Pre-Análisis de Seguridad

Evalúa tu cumplimiento
ENS, NIS2 e ISO 27001
en un solo formulario

Completa el cuestionario de pre-análisis y puedes descargarlo sin dejar tu contacto, no guardamos ningún tipo de información, pero si lo deseas, puedes enviarlo al finalizar y nos llegará una copia con la que un consultor se pondrá en contacto para ayudarte.

Duración aproximada: 10 – 15 minutos

RD 311/2022 · NIS2 · ISO 27001:2022
Pre-Análisis de Estado de Seguridad
Datos de empresa e inventario tecnológico
Cuestiones clave de documentación (18)
Cuestiones clave de tecnología (29)
Marco Organizacional ENS
Marco Operacional y Medidas de Protección
8
Secciones del cuestionario
32
Tipos de dispositivos inventariados
53
Controles ENS/NIS2 evaluados
24h
Respuesta de nuestros consultores
Adaptado a RD 311/2022
NIS2 e ISO 27001:2022
Datos confidenciales
Informe PDF descargable

Cuestionario completo

Pre-Análisis de Estado de Seguridad

Cumplimenta las 8 secciones. Al finalizar podrás generar un PDF y enviar el cuestionario a nuestro equipo.

1
Empresa
2
Objetivos
3
Dimensionamiento
4
Inventario
5
Documentación
6
Tecnología
7
Marco ENS
8
Revisión

Datos de la empresa

Información general de la organización y personas que participan en el pre-análisis.

EmpresaDatos generales
ResponsablePersona de contacto principal
ParticipantesPersonas que participan en el pre-análisis
Empresa / OrganizaciónRolNombre
InfraestructuraNúmero de sedes
El ENS (RD 311/2022) es obligatorio para empresas privadas que prestan servicios a la Administración Pública o tratan datos públicos. La categoría la determina el impacto que tendría un incidente de seguridad sobre los servicios que se ofrecen.
¿Por qué es recomendable para cualquier empresa?
Aunque no tengas contrato con la Administración hoy, el ENS se está convirtiendo en un estándar de facto en licitaciones y concursos públicos — cada vez más pliegos lo exigen. Además, implantar sus controles mejora tu postura de seguridad frente a ataques, reduce el riesgo de sanciones por incumplimiento del RGPD y demuestra a clientes y socios que tu empresa gestiona la seguridad de forma seria y auditable. Es, en la práctica, el equivalente español a la ISO 27001 para el sector público y su cadena de suministro.
BÁSICA — Para empresas cuyos servicios, si fallasen, tendrían un impacto limitado.
Ejemplos: proveedores de software ofimático, mantenimiento IT de oficina, gestión documental básica o soporte técnico para organismos públicos pequeños.
MEDIA — Para empresas que gestionan sistemas o datos sensibles de la Administración y cuyo fallo causaría un perjuicio grave.
Ejemplos: proveedores de servicios cloud, ciberseguridad gestionada (MSS), SaaS para gestión municipal, empresas de telecomunicaciones, salud digital o formación pública.
ALTA — Para empresas que operan infraestructuras críticas o manejan información de seguridad nacional, y cuyo fallo tendría consecuencias muy graves o irreparables.
Ejemplos: operadoras de energía, transporte o telecomunicaciones críticas, proveedores de defensa, empresas con acceso a sistemas de seguridad del Estado.

Descripción, objetivos e incidentes

Describe la empresa, los objetivos del proyecto y si han experimentado algún incidente de seguridad.

Breve descripción de la empresa
Objetivo que se busca

Selecciona los objetivos del proyecto de seguridad (puede ser más de uno).

¿Han sufrido algún incidente de seguridad?
Necesidades y expectativas

Datos de dimensionamiento

Información cuantitativa sobre el tamaño y alcance de la organización.

Cuestiones clave de dimensionamiento
PreguntaRespuesta
1 ¿Cuántas personas trabajan en la empresa? ¿Cuántos de ellos trabajan con información digital?
2 ¿Qué volumen de personas visitan la empresa / mes? (clientes, proveedores, comerciales, transportistas, familiares, etc.)
3 ¿Cuántas instalaciones tiene? (oficinas, almacenes, delegaciones…)
4 ¿Cuáles son los importes de facturación más altos que tienen de compras/ventas por factura?
5 ¿Qué volumen de facturación anual tienen?

Inventario básico de dispositivos digitales

Indica el número de unidades de cada tipo de dispositivo, tanto en total como por sede. Deja en blanco lo que no aplique.

Las columnas se adaptan automáticamente
Dispositivo Total Sede 1 Sede 2 Sede 3 Sede 4

Cuestiones clave — Documentación

Evalúa el estado de la documentación y procedimientos de seguridad de la organización.

Cuestión clave (Documentación)RespuestaObservaciones

Cuestiones clave — Tecnología

Evalúa el estado de los sistemas y herramientas de seguridad tecnológica implantadas.

Cuestión clave (Tecnología)RespuestaObservaciones

Marco ENS

El Esquema Nacional de Seguridad (ENS, RD 311/2022) organiza todos sus requisitos en tres grandes marcos. Antes de responder las preguntas, lee qué significa cada uno para entender de qué estamos hablando.

org.1 – org.4
Marco Organizacional

Es la base documental y de gobierno de la seguridad. Regula cómo la dirección de la empresa se compromete con la seguridad, qué normas existen por escrito y quién es responsable de qué.

¿Qué incluye? La Política de Seguridad (documento aprobado por dirección), las normativas de uso de sistemas, las reglas de clasificación de la información y los procedimientos escritos que sigue el equipo (alta de usuarios, copias de seguridad, respuesta a incidentes…).

Ejemplo práctico: si alguien de RRHH firma un documento explicando las normas de uso del correo corporativo y lo que pasa si se incumplen, eso es Marco Organizacional.
op.acc – op.ext
Marco Operacional

Es el conjunto de controles del día a día. Cubre cómo se gestiona quién puede acceder a qué (control de acceso), cómo se mantienen y monitorizan los sistemas en producción, y cómo se gestionan los proveedores externos.

¿Qué incluye? Control de acceso de usuarios (quién entra a qué sistema y con qué permisos), gestión de parches y actualizaciones, monitorización de eventos y logs, copias de seguridad, gestión de proveedores y relación con terceros que acceden a tus sistemas.

Ejemplo práctico: que cuando un empleado se va de la empresa, su cuenta se desactiva el mismo día, y que los servidores se actualizan en menos de una semana cuando aparece un fallo crítico.
mp.if – mp.si
Medidas de Protección

Son los controles técnicos y físicos concretos que protegen las instalaciones, los equipos, las comunicaciones y los datos. Es el nivel más técnico del ENS, pero también el más visible: lo que se puede tocar o configurar.

¿Qué incluye? Seguridad física de la sala de servidores (cerraduras, CCTV, SAI), cifrado de comunicaciones (VPN, TLS), segmentación de la red (VLANs, DMZ), protección del software (antivirus, EDR), y protección de los datos almacenados (cifrado de discos, backups).

Ejemplo práctico: que los portátiles tienen el disco cifrado, que la red WiFi de invitados no puede acceder a los servidores, y que hay un SAI para que los servidores no se apaguen si hay un corte de luz.
org.1Política de seguridad

Existencia y vigor de la política de seguridad aprobada por dirección.

org.2–3Normativa y procedimientos
Marco Operacional — controles del día a día
op.accControl de acceso

¿Quién puede acceder a qué sistemas y con qué nivel de permisos? Este bloque evalúa si se aplica el principio de mínimo privilegio: cada persona solo tiene acceso a lo que necesita para su trabajo, ni más ni menos.

op.expExplotación y mantenimiento

¿Cómo se mantienen los sistemas en funcionamiento seguro? Cubre las actualizaciones y parches de seguridad (para corregir fallos antes de que los aproveche un atacante), la monitorización de lo que ocurre en la red, las copias de seguridad y la revisión de los proveedores externos que tienen acceso a vuestros sistemas.

Medidas de Protección — controles técnicos y físicos
mp.if / mp.comProtección física y comunicaciones

¿Están físicamente protegidas las instalaciones y cifradas las comunicaciones? Evalúa si hay controles para que no cualquiera pueda entrar a la sala de servidores, si hay SAI para proteger ante cortes de luz, si las comunicaciones van cifradas (VPN, HTTPS) y si la red está segmentada para limitar el daño en caso de intrusión.

Valoración de madurez global (1–5)

Esta sección sirve para que vosotros mismos evaluéis, de forma global y subjetiva, en qué punto de madurez de seguridad se encuentra vuestra organización. No es una auditoría técnica: es una autoevaluación honesta que nos ayuda a entender el punto de partida y a diseñar el plan de mejora más adecuado.

1
Inexistente
No existe nada formal. Cada persona actúa como puede, sin normas ni herramientas definidas. La seguridad no está en la agenda.
2
Inicial
Hay algo de seguridad, pero depende de personas concretas y no está documentado. Cuando esa persona no está, el proceso falla.
3
Definido
Existen políticas y procedimientos escritos, la mayoría del equipo los conoce y se aplican de forma habitual, aunque con excepciones.
4
Gestionado
Se mide, se controla y se mejora. Hay métricas, revisiones periódicas y responsables designados. Los incidentes se gestionan de forma ordenada.
5
Optimizado
La seguridad está integrada en la cultura de la empresa. Se mejora continuamente con lecciones aprendidas, herramientas avanzadas y evaluaciones externas.
💡 ¿Cómo elegir el número correcto?
Piensa en el área de seguridad que describes (políticas, operación diaria, o controles técnicos). Si no tenéis nada escrito ni organizado → 1. Si hay algo pero solo en la cabeza de alguien → 2. Si está documentado y se cumple más o menos → 3. Si se mide y se revisa → 4. Si forma parte de la cultura y se mejora continuamente → 5. La mayoría de organizaciones sin certificación previa se sitúan entre 2 y 3.
1
2
3
4
5
InexistenteOptimizado
1
2
3
4
5
InexistenteOptimizado
1
2
3
4
5
InexistenteOptimizado

Revisión y envío

Revisa el resumen antes de enviar. Puedes generar el PDF ahora o al enviar el formulario.

Análisis de cumplimiento estimado
Calculado automáticamente a partir de las respuestas del cuestionario
global
Pendiente de calcular
Estado vs. objetivo ENS:

Estimación orientativa basada en las respuestas. El análisis definitivo requiere auditoría técnica presencial.

Marco Organizacional
Marco Operacional
Medidas de Protección
Documentación y Procedimientos
Infraestructura Tecnológica
Solo descargar PDF
El informe se descarga en tu dispositivo. Todo queda anónimo: ningún dato se envía a TechConsulting ni a ningún servidor externo.
Enviar a TechConsulting
Se descarga el PDF y se envía una copia del informe a nuestro equipo. Nos pondremos en contacto contigo en menos de 72 horas laborales para presentarte un plan de mejora personalizado.

¡Cuestionario enviado!

Hemos recibido tus respuestas. Recibirás confirmación en y nuestros consultores te contactarán en menos de 72 horas laborales.

¿Dudas? r.ortin@techconsulting.es