Annex: Survey questions (Spanish)

Seguridad de la información y riesgo operacional.

Bienvenido a este estudio de seguridad de la información.

Este cuestionario consta de 6 preguntas iniciales y 38 afirmaciones. Todas las respuestas son anónimas.

Por favor conteste las preguntas iniciales e indique si está o no de acuerdo con las afirmaciones.

Al final del cuestionario, puede introducir una dirección de correo donde podrá recibir un resumen de los resultados de este estudio. Las respuestas al cuestionario no se asocian con la dirección de correo proporcionada.

Gracias por su participación.

Estas son las 6 preguntas iniciales:

Pregunta 1. ¿Cuál es el nombre de su actual puesto?

Elija solamente uno del siguiente

Responsable de gestión de riesgos
Experto en gestión de riesgos
Responsable de seguridad de la información
Experto en seguridad de la información
Responsable de seguridad en sistemas de información
Experto en seguridad en sistemas de información
Otro

Pregunta 2. ¿Cuánto tiempo lleva trabajando en su puesto actual?

Menos de 1 año
Entre 1 y 3 años
Entre 3 y 5 años
Más de 5 años

Pregunta 3. ¿Dentro de qué especialidad se encontraba su anterior puesto?
Elija solamente uno del siguiente

Gestíon de riesgo
Tecnologías de la información
Auditoría
Otro

Pregunta 4. ¿De qué cargo depende su puesto?
Elija solamente uno del siguiente

Del responsable de sistemas de información
Del responsable financiero
Del responsable de auditoría interna
Del máximo responsable ejecutivo (consejero ejecutivo, presidente)
Del consejo ejecutivo
Otro

Pregunta 5. ¿A cuántos empleados influye (directa o indirectamente) el trabajo que hace su grupo?

Menos de 100
Entre 100 y 1000
Entre 1001 y 10000
Entre 10001 y 100000
Más de 100000

Pregunta 6. ¿En qué sector trabaja su compañía?
Elija solamente uno del siguiente

Telecomunicaciones
Administración
Sector financiero
Energía
Otro

Gracias por contestar a estas 6 preguntas. A continuación hay 38 afirmaciones. Por favor indique si está o no de acuerdo con ellas.

Afirmación 1. En la actualidad, mi compañía utiliza la tecnología de la información (TTII) para transformar sus procesos de negocio.

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 2. Mi compañía considera que la gestión global del riesgo es una actividad estratégica que requiere la participación de todos los empleados.

1 2 3 4 5

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala. Las respuestas posibles varían desde un total desacuerdo (1) hasta un total acuerdo (5).

Afirmación 3. En mi compañía , los cambios en los procesos de negocio suceden frecuentemente.

1 2 3 4 5

Afirmación 4. En mi compañía, los cambios en la estructura de dirección suceden frecuentemente.

1 2 3 4 5

Afirmación 5. Mi compañía está preparada para practicar la transparencia en su gobierno corporativo compartiendo su situación de riesgo con todos los grupos interesados en ella (sus stakeholders).

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 6. La dirección de mi compañía establece objetivos a largo plazo (p.e. 2 años) en seguridad de la información.

1 2 3 4 5

Afirmación 7. La dirección de mi compañía establece objetivos a medio plazo (p.e. 6 meses) en seguridad de la información.

1 2 3 4 5

Afirmación 8. La dirección de mi compañía muestra un alto nivel de compromiso con la seguridad de la información.

1 2 3 4 5

Afirmación 9. Mi compañía realiza análisis de riesgos de la información evaluando el impacto para el proceso de negocio.

1 2 3 4 5

Afirmación 10. Mi compañía realiza análisis de riesgos de la información evaluando amenazas y vulnerabilidades.

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 11. El propietario de la información siempre recibe los resultados del análisis de riesgos.

1 2 3 4 5

Afirmación 12. El propietario de la información es responsable de aceptar o mitigar los riesgos.

1 2 3 4 5

Afirmación 13. Mi compañía tiene una política de seguridad aprobada por la dirección.

1 2 3 4 5

Afirmación 14. La política de seguridad ha sido comunicada activamente a todos los empleados.

1 2 3 4 5

Afirmación 15. En mi compañía, un comité ejecutivo es responsable de la seguridad de la información.

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 16. En mi compañía, un comité ejecutivo es responsable de la implementación de los controles de seguridad de la información.

1 2 3 4 5

Afirmación 17. En mi compañía, un comité ejecutivo es responsable del riesgo operacional.

1 2 3 4 5

Afirmación 18. En mi compañía, un comité ejecutivo es responsable de la implementación de un modelo de gestión de riesgo operacional.

1 2 3 4 5

Afirmación 19. En mi compañía, la función de seguridad de la información colabora con la función de seguridad en sistemas de información.

1 2 3 4 5

Afirmación 20. La dirección de mi compañía ha emitido un mensaje nítido sobre cuáles son los riesgos que se pueden aceptar y cuáles no.

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 21. En mi compañía, este mensaje sobre qué riesgos se pueden aceptar está documentado.

1 2 3 4 5

Afirmación 22. En mi compañía, este mensaje sobre los riesgos que se pueden aceptar es accessible a todos los empleados.

1 2 3 4 5

Afirmación 23. La práctica actual de seguridad de la información en mi compañía contribuye al cumplimiento de requisitos legales y normativos.

1 2 3 4 5

Afirmación 24. La práctica actual de seguridad de la información en mi compañía facilita sus operaciones.

1 2 3 4 5

Afirmación 25. La práctica actual de seguridad de la información en mi compañía proporciona nuevas oportunidades de negocio.

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 26. La práctica actual de seguridad de la información en mi compañía aumenta el grado de fidelidad demostrado por organizaciones asociadas y clientes.

1 2 3 4 5

Afirmación 27. La práctica actual de seguridad de la información en mi compañía contribuye a su gobierno corporativo.

1 2 3 4 5

Afirmación 28. La práctica actual de seguridad de la información en mi compañía facilita su capacidad de financiación.

1 2 3 4 5

Afirmación 29. La práctica actual de seguridad de la información en mi compañía contribuye a aumentar las ventas.

1 2 3 4 5

Afirmación 30. La práctica actual de seguridad de la información en mi compañía ayuda a ahorrar costes.

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 31. La estrategia de gestión de riesgos de mi compañía está alineada con su estrategia de negocio.

1 2 3 4 5

Afirmación 32. La estrategia de gestión de seguridad de la información de mi compañía está alineada con su estrategia de negocio.

1 2 3 4 5

Afirmación 33. La estrategia de gestión de seguridad en sistemas de información de mi compañía está alineada con su estrategia de negocio.

1 2 3 4 5

Afirmación 34. La gestión de riesgos de mi compañía proporciona una ventaja competitiva.

1 2 3 4 5

Afirmación 35. La seguridad de la información de mi compañía proporciona una ventaja competitiva.

1 = Estoy completamente en desacuerdo con esta afirmación
2 = No estoy de acuerdo con esta afirmación
3 = No estoy de acuerdo ni en desacuerdo con esta afirmación
4 = Estoy de acuerdo con esta afirmación
5 = Estoy completamente de acuerdo con esta afirmación

Por favor seleccione únicamente una respuesta por afirmación. Todas las afirmaciones siguen la misma escala.

Afirmación 36. La gestión de riesgos de mi compañía proporciona valor a todos sus grupos de interés (sus stakeholders).

1 2 3 4 5

Afirmación 37.La seguridad de la información de mi compañía proporciona valor a todos sus grupos de interés (sus stakeholders).

1 2 3 4 5

Afirmación 38. En mi compañía, los riesgos se gestionarán de una forma más coordinada.

1 2 3 4 5

Muchas gracias por sus respuestas. Son de gran valor para este estudio. Si desea recibir un resumen del resultado de este estudio antes del final de 2006, por favor introduzca una dirección de correo electrónico. Las respuestas al cuestionario no se asocian con la dirección de correo proporcionada.