CTI Reconciliaton
CTI Reconciliaton
Nota importada desde Inbox durante consolidacion bulk.
Informe de Reconciliación del Programa CTI
CLIENTE programa CTI corporativo — Análisis de Alineamiento entre el Diseño del Programa CTI y el Alcance Contractual
Fecha: 8 de febrero de 2026
Clasificación: Interno / Confidencial
Versión: 1.0
1. RESUMEN EJECUTIVO
1.1 Contexto
Dos documentos definen el alcance de los servicios de Cyber Threat Intelligence (CTI) para CLIENTE dentro del compromiso programa CTI corporativo:
-
Documento A — Programa CTI (v3.0, 29 de enero de 2026): Un diseño programático detallado que define requisitos de inteligencia, actividades operativas, arquitectura, estructura de equipo y entregables para la prestación del servicio CTI.
-
Documento B — Respuesta Técnica del MSSP a la RFP de CLIENTE (89 páginas): La respuesta técnica y comercial formal a la solicitud de propuesta de CLIENTE para servicios de Ciberdefensa y Resiliencia, cubriendo el Lote 1 (GRC) y el Lote 2 (Ciberdefensa).
1.2 Propósito de Este Informe
Este informe identifica y documenta las áreas de alineamiento, divergencia y ambigüedad entre ambos documentos. Su objetivo es proporcionar una base factual para la toma de decisiones tanto por parte de la dirección interna del MSSP como del cliente, facilitando la alineación de expectativas con el alcance contractual.
1.3 Resumen de Hallazgos
El Programa CTI (Documento A) describe un servicio de inteligencia integral e independiente con 7 Requisitos Prioritarios de Inteligencia, 44 actividades operativas diferenciadas, 13 productos de inteligencia y un equipo dedicado de 3 personas.
La Respuesta Técnica del MSSP (Documento B) aborda CTI en aproximadamente 2 páginas de 89, posicionándolo como una capacidad de apoyo dentro del servicio más amplio de SOC/MDR, con un rol de Especialista en Threat Intelligence listado sin especificación de FTE.
El nivel de detalle y ambición operativa del Documento A parece exceder lo explícitamente descrito en el Documento B. Varias áreas presentes en el Documento A no cuentan con compromisos correspondientes en el Documento B, y ciertos habilitadores referenciados en el Documento A permanecen sin definir.
2. ANÁLISIS DE DISCREPANCIAS
2.1 Estructura del Equipo y Recursos
| Dimensión | Documento A (Programa CTI) | Documento B (Respuesta RFP) | Observación |
|---|---|---|---|
| Tamaño del equipo | 3 roles: CTI Lead, Analista CTI Senior, Analista CTI | 1 rol: "Especialista en Threat Intelligence" | El Documento A define un equipo estructurado; el Documento B lista un único especialista |
| Compromiso FTE | Porcentajes de dedicación no especificados (indicado como "%") | FTE no especificado | Ninguno de los dos documentos proporciona compromisos explícitos de FTE para CTI |
| Requisitos de experiencia | No detallados por rol | No especificados | Por definir |
| Estado de dotación | Contactos del Anexo C todos TBD | Sin personal identificado | No se ha identificado personal CTI en ninguno de los documentos |
Clasificación: Requiere clarificación
Observación: La capacidad operativa implícita en cada documento difiere. La alineación sobre composición del equipo y dedicación se beneficiaría de una definición explícita.
2.2 Requisitos de Inteligencia y Actividades Operativas
| PIR (Doc A) | Actividades en Doc A | Contenido Correspondiente en Doc B | Clasificación |
|---|---|---|---|
| PIR-001: Operacionalización de IoCs | Gestión de feeds en tiempo real, ciclo de vida de IoCs, soporte SOC L1/L2/L3, 6 tipos de integración con SLAs | TI nativa de CrowdStrike + enriquecimiento STIX/TAXII/MISP/VirusTotal mencionado; enriquecimiento de alertas descrito | Solapamiento parcial — Doc B describe enriquecimiento basado en TI como capacidad SIEM/SOC; Doc A lo detalla como función CTI independiente |
| PIR-002: Modelado de Amenazas y Hunting | Perfilado de actores, modelado TTP, escritura de reglas Sigma/KQL, hipótesis y ejecución de hunting | Threat Hunting descrito en 3.2.2.9; analistas L3 ejecutan hunting; alineamiento MITRE ATT&CK mencionado | Solapamiento parcial — Metodología de hunting descrita en ambos; escritura de reglas de detección (Sigma/KQL) presente en Doc A pero no en el alcance CTI del Doc B |
| PIR-003: Inteligencia de Vulnerabilidades | Monitorización de CVEs por tecnología (SLA <4h), priorización contextual, evaluación semanal de superficie de ataque | Qualys para gestión de vulnerabilidades; no se describe priorización CTI de vulnerabilidades | Solapamiento mínimo — Doc B cubre VM como servicio separado; Doc A lo posiciona como función CTI |
| PIR-004: Protección de Marca | Suplantación de dominios, monitorización de redes sociales, monitorización de tiendas de aplicaciones, solicitudes de takedown | No mencionado en Doc B | No abordado en Doc B |
| PIR-005: Prevención de Fraude VIP | Evaluación de exposición de ejecutivos, detección BEC, scoring de riesgo VIP, monitorización en foros underground | No mencionado en Doc B | No abordado en Doc B |
| PIR-006: Fugas de Datos y Credenciales | Monitorización de compromiso de credenciales (brechas, infostealers, IABs), monitorización de sitios de leak de ransomware, soporte RGPD | Dark web mencionado (Flare.io); sin entregables ni SLAs específicos | Referenciado parcialmente — Flare.io y metodología dark web/Tor mencionados en Doc B; detalle operativo ausente |
| PIR-007: Informes Estratégicos y NIS2 | Informes estratégicos trimestrales, informes mensuales, evidencia NIS2, dashboard de ciberseguridad | "Informes personalizados (mensuales/semanales)" mencionados genéricamente; alineamiento NIS2 referenciado en sección de mejora | Referenciado parcialmente — Reporting mencionado a nivel general; sin cadencia CTI específica ni compromiso de evidencia NIS2 |
Resumen: De los 7 PIRs definidos en el Documento A, 2 no están abordados en el Documento B (PIR-004, PIR-005), 3 están parcialmente referenciados sin detalle operativo equivalente (PIR-003, PIR-006, PIR-007), y 2 presentan áreas de solapamiento con diferentes niveles de especificidad (PIR-001, PIR-002).
2.3 Herramientas y Plataformas
| Herramienta/Plataforma | Documento A | Documento B | Observación |
|---|---|---|---|
| TIP (Plataforma de Inteligencia) | Requisito fundacional (RF-01); plataforma TBD — selección, proveedor y cronograma sin definir | OpenCTI mencionado como herramienta del MSSP | Doc A referencia un TIP como plataforma central sin nombrarlo; Doc B menciona OpenCTI. Que OpenCTI cumpla los requisitos RF-01 se beneficiaría de validación |
| Monitorización dark web | TBD | Flare.io mencionado | Herramienta identificada en Doc B pero no en Doc A |
| Análisis de malware/IoCs | TBD | VirusTotal Enterprise mencionado | Herramienta identificada en Doc B pero no en Doc A |
| Feeds de inteligencia | TBD (feeds Premium, 6 categorías sin definir) | Maltiverse, Feedly mencionados; CrowdStrike Intelligence nativo | Algunas fuentes identificadas en Doc B; las categorías de feeds premium del Doc A permanecen sin especificar |
| CrowdStrike SIEM | Integración API bidireccional, SLA <15 min | Plataforma central, descrita extensamente | Alineado — ambos documentos referencian CrowdStrike como central |
| SOAR | CrowdStrike SOAR, API/Webhook | Swimlane SOAR descrito como plataforma de orquestación | Posible divergencia — Doc A referencia CrowdStrike SOAR; Doc B describe Swimlane |
| Monitorización de marca | TBD | No mencionado | Ningún documento identifica una plataforma de monitorización de marca |
| Herramientas IA | Referenciadas como multiplicador de fuerza para equipo de 3; sin herramientas específicas | No mencionado para CTI | Por definir |
Clasificación: Requiere alineamiento
Observación: El Documento B identifica herramientas CTI específicas (OpenCTI, Flare.io, VirusTotal Enterprise, Maltiverse, Feedly) no referenciadas en el Documento A. El Documento A referencia requisitos de herramientas (TIP, monitorización de marca, IA) no presentes en el Documento B. La consolidación del panorama de herramientas podría ser beneficiosa.
2.4 Acuerdos de Nivel de Servicio y KPIs
| Dimensión | Documento A | Documento B | Observación |
|---|---|---|---|
| SLAs específicos CTI | Múltiples SLAs sub-hora definidos (ej.: <15 min ingestión de IoCs, <1 hora detección en sitios de leak de ransomware, <2 horas menciones VIP en underground, <4 horas alertas CVE) | No se definen SLAs específicos CTI | Doc A propone SLAs detallados; Doc B no incluye niveles de servicio específicos para CTI |
| KPIs CTI | 12 KPIs en categorías de velocidad, calidad, cobertura, entrega e impacto | KPI_L2_HUNT1 (>=95% activos críticos cubiertos por campañas de hunting) es el único KPI parcialmente relacionado | Doc A define un marco KPI integral; Doc B aborda solo cobertura de hunting |
| Modelo de cobertura operativa | Múltiples SLAs en tiempo real y sub-hora implican capacidad de monitorización continua; no se describe modelo 24/7 explícito | Monitorización SOC es 24x7; gestión de herramientas es 12x5 | El modelo de cobertura para monitorización CTI en tiempo real podría beneficiarse de definición |
Clasificación: Pendiente de acuerdo
Observación: Los SLAs y KPIs para servicios CTI se anotan como pendientes de acuerdo. Los marcos propuestos en el Documento A podrían servir como punto de partida para esta discusión.
2.5 Gobernanza y Modelo de Colaboración
| Dimensión | Documento A | Documento B | Observación |
|---|---|---|---|
| Gobernanza CTI | 4 tipos de reunión: stand-up diario, sincronización semanal CTI-SOC, revisión mensual de servicio, revisión estratégica trimestral | Sin gobernanza específica CTI. Existe gobernanza multicapa para el servicio global (comités estratégico, táctico, operativo) | Doc A propone gobernanza específica CTI; la gobernanza del Doc B cubre el servicio más amplio |
| Modelo de colaboración | Intercambio bidireccional de información con 8 áreas de servicio (SOC L1/L2/L3, CSIRT, VM, Fraude, GRC, Arquitectura) | Coordinación entre lotes descrita; sin flujos de colaboración CTI específicos definidos | El modelo de colaboración del Doc A es una propuesta pendiente de validación de la estructura organizativa del cliente |
| Proceso PIR/requisitos de inteligencia | Marco formal de PIR (7 PIRs, SIRs, EEIs) | No descrito | El marco PIR es una construcción del Doc A; su adopción como mecanismo de gobernanza compartido podría discutirse |
| Gestión de fuentes | Revisión mensual, evaluación trimestral, actualización semestral de modelo de costes | No descrito para CTI | La gobernanza de fuentes está propuesta en Doc A; no abordada en Doc B |
Clasificación: Propuesto — pendiente de acuerdo
Observación: El modelo de gobernanza y colaboración descrito en el Documento A representa una propuesta. Su implementación dependería del acuerdo entre ambas partes respecto a estructura, frecuencia y disponibilidad de participantes.
2.6 Límites de Alcance
| Área | Posición Doc A | Posición Doc B | Observación |
|---|---|---|---|
| Ingeniería de detección (reglas Sigma/KQL) | Incluido como responsabilidad CTI (SIR 2.3) | No atribuido a CTI; desarrollo de casos de uso mencionado como función SOC L2/L3 | La atribución de responsabilidad podría beneficiarse de clarificación |
| Acciones de respuesta a incidentes (reset de contraseñas, invalidación de sesiones) | Incluido como acciones CTI para compromiso de credenciales (SIR 6.1) | No atribuido a CTI | Estas acciones se asocian típicamente con funciones SOC/CSIRT |
| Gestión de superficie de ataque | Incluido como actividad CTI (SIR 3.3, evaluación semanal) | No mencionado como entregable CTI | No abordado en el alcance del Doc B |
| Evidencia de cumplimiento NIS2 | Incluido como entregable CTI (SIR 7.3, trimestral) | Alineamiento NIS2 mencionado como objetivo de mejora | El rol de CTI en la producción de evidencia NIS2 podría definirse |
| Impartición de formación | 5 sesiones de formación definidas (RF-16) | No se menciona formación CTI específica | Alcance de formación por acordar |
| Certificación CREST | Requerida en 6 meses (RO-02) | No mencionada | Requisito organizativo presente solo en Doc A |
| Distribución de inteligencia a entidades Geopost | Referenciada en objetivos del cliente ("todas las entidades del grupo") | No mencionada | Alcance de distribución de inteligencia por confirmar |
2.7 Dependencias y Habilitadores
| Dependencia | Estado (Doc A) | Estado (Doc B) | Observación |
|---|---|---|---|
| Selección y despliegue de plataforma TIP | TBD — sin proveedor, sin cronograma | OpenCTI disponible como herramienta del MSSP | La idoneidad de OpenCTI para los requisitos RF-01 requiere evaluación |
| Fuentes de inteligencia premium (6 categorías) | TBD | Flare.io, Maltiverse, VirusTotal Enterprise, Feedly identificados | Cobertura parcial; la alineación de categorías de fuentes con herramientas identificadas podría ser útil |
| Aprovisionamiento VPN y accesos | Pendiente (VPN, cuentas de dominio, cuentas admin) | No abordado específicamente | Prerrequisito operativo |
| Disponibilidad operativa de CrowdStrike SIEM | Firmado 28 de enero de 2026; migración a completar el 31 de marzo de 2026 | CrowdStrike descrito como plataforma central; migración mencionada | Alineamiento de cronograma para integración CTI por confirmar |
| Estructura organizativa del cliente | Se asumen 8 equipos funcionales (niveles SOC, CSIRT, VM, Fraude, GRC, Arquitectura) | Estructura SOC descrita; otros equipos no detallados | Disponibilidad organizativa del cliente por validar |
| Proveedores externos existentes (protección de marca, fraude VIP) | Reconocidos como operativos; transición/coexistencia sin definir | No mencionados | Relación con proveedores existentes por clarificar |
3. ELEVACIÓN INTERNA — Para Dirección del MSSP
3.1 Actividades con Aparente Cobertura Contractual
Las siguientes áreas aparecen en ambos documentos, aunque con diferentes niveles de detalle:
-
Threat Intelligence como enriquecimiento del SOC — Enriquecimiento de alertas con datos TI, alineamiento MITRE ATT&CK, integración STIX/TAXII (Doc B secciones 3.2.2.5, 3.2.2.6, 3.2.2.8, 3.2.2.9)
-
Threat Hunting — Campañas proactivas usando inputs CTI, metodología descrita (Doc B sección 3.2.2.9)
-
Monitorización dark web — Flare.io e investigación basada en Tor mencionados en Doc B
-
Reporting CTI — Informes personalizados (mensuales/semanales) y llamadas de seguimiento mencionados en Doc B sección 3.2.2.9
-
Operación de plataforma CTI — OpenCTI mencionado como herramienta operativa
3.2 Actividades Sin Aparente Referencia Contractual
Las siguientes actividades definidas en el Documento A no parecen contar con compromisos explícitos correspondientes en el Documento B:
-
Servicio de protección de marca (PIR-004) — Suplantación de dominios, monitorización de redes sociales, monitorización de tiendas de aplicaciones, gestión de takedowns
-
Servicio de prevención de fraude VIP (PIR-005) — Evaluación de exposición de ejecutivos, detección de infraestructura BEC, scoring de riesgo VIP, monitorización en foros underground de menciones a VIPs
-
Inteligencia de vulnerabilidades impulsada por CTI (elementos PIR-003) — Alertas CVE por tecnología con SLAs, priorización contextual más allá del VM estándar, evaluación de superficie de ataque
-
Ingeniería de detección por el equipo CTI — Escritura de reglas Sigma/KQL, ajuste de casos de uso, gestión de falsos positivos como responsabilidad CTI
-
Acciones de respuesta a incidentes por el equipo CTI — Reset de contraseñas, invalidación de sesiones, análisis de endpoints disparados por detección de compromiso de credenciales
-
Producción de evidencia de cumplimiento NIS2 — Documentación trimestral mapeada a artículos 21 y 23 de NIS2
-
Programa de formación — 5 sesiones de formación para diferentes audiencias (19+ horas de impartición inicial)
-
Certificación CREST — Hito organizativo de 6 meses
-
SLAs específicos CTI — Todos los compromisos de tiempo de respuesta sub-hora y sub-día
-
Dashboard de ciberseguridad — Elementos de dashboard en tiempo real/diario/semanal
-
Soporte de cumplimiento RGPD — Análisis de brechas de datos, soporte para notificación AEPD
-
Distribución de inteligencia a entidades Geopost — Extensión de alcance referenciada
3.3 Consideraciones de Recursos
-
El Documento A define un equipo de 3 personas con 44 actividades operativas y 13 productos de inteligencia
-
El Documento B identifica un único Especialista en Threat Intelligence sin compromiso de FTE
-
La diferencia entre estas dos posiciones representa una variable de planificación significativa
-
Los porcentajes de dedicación en el Documento A permanecen sin especificar, lo que afecta la planificación de capacidad
3.4 Consideraciones para la Toma de Decisión
Las siguientes preguntas pueden informar la planificación interna:
-
¿Qué actividades del Documento A se están ejecutando actualmente o están planificadas para ejecución?
-
¿Cuál es la asignación real de recursos (FTEs, porcentaje de dedicación) para CTI?
-
¿Espera el cliente servicios de protección de marca y prevención de fraude VIP basándose en otras comunicaciones o presentaciones?
-
¿Cuál es el estado de selección de la plataforma TIP, y cumple OpenCTI con los requisitos RF-01?
-
¿Qué fuentes de inteligencia están actualmente activas, y cuál es el estado de adquisición de las categorías TBD?
-
¿Se ha abordado la cuestión de cobertura 24/7 para los compromisos de monitorización en tiempo real?
4. ELEVACIÓN AL CLIENTE — Propuesta de Alineamiento
4.1 Capacidades del Servicio
El MSSP está capacitado para prestar un servicio CTI integral que fortalezca la postura de ciberseguridad de CLIENTE. El diseño del Programa CTI (Documento A) refleja el modelo de servicio que el MSSP puede ofrecer, incluyendo:
-
Detección y respuesta impulsadas por inteligencia mediante integración con CrowdStrike SIEM/SOAR/EDR
-
Campañas proactivas de Threat Hunting informadas por inteligencia de amenazas
-
Perfilado de actores de amenazas y análisis TTP alineado con MITRE ATT&CK
-
Monitorización de dark web e inteligencia de fuentes abiertas
-
Reporting de inteligencia estructurado a niveles estratégico, táctico y operativo
4.2 Áreas que Requieren Alineamiento
Para asegurar que ambas partes operan con un entendimiento compartido del alcance del servicio CTI, las siguientes áreas se beneficiarían de una discusión conjunta:
4.2.1 Definición del Alcance del Servicio
| Área | Pregunta para Alineamiento |
|---|---|
| Protección de marca | ¿Se encuentra dentro del alcance esperado la monitorización de suplantación de dominios, suplantación en redes sociales y aplicaciones no autorizadas? |
| Protección VIP/Ejecutivos | ¿Se encuentra dentro del alcance esperado la monitorización de exposición digital de ejecutivos, infraestructura BEC y menciones en foros underground del personal VIP? |
| Inteligencia de vulnerabilidades | Más allá de la gestión estándar de vulnerabilidades, ¿se espera la priorización CTI de vulnerabilidades (contexto de explotación activa, correlación con actores de amenazas) como entregable CTI? |
| Gestión de superficie de ataque | ¿Se espera la evaluación periódica de activos corporativos expuestos a Internet como parte del servicio CTI? |
| Evidencia de cumplimiento NIS2 | ¿Se espera que el equipo CTI produzca paquetes de evidencia específicos para cumplimiento NIS2 (Artículos 21, 23)? |
4.2.2 Parámetros Operativos
| Parámetro | Pregunta para Alineamiento |
|---|---|
| Requisitos de inteligencia | ¿Desearía CLIENTE participar en un proceso estructurado para definir y priorizar requisitos de inteligencia (PIRs)? |
| Cadencia de reporting | ¿Cuál es la frecuencia y formato preferidos para los entregables CTI (digest diario, boletines semanales, informes mensuales, evaluaciones estratégicas trimestrales)? |
| Reuniones de gobernanza | ¿Qué estructura de gobernanza contempla CLIENTE para el servicio CTI (frecuencia de revisión, participantes, rutas de escalado)? |
| Acceso a plataforma | ¿Requiere CLIENTE acceso directo a la plataforma CTI (OpenCTI) para consultar datos de inteligencia? |
| Lista de VIPs | Si la monitorización VIP está dentro del alcance, ¿quiénes son las personas a monitorizar y cuál es el proceso de notificación preferido? |
| Inventario tecnológico | ¿Puede CLIENTE proporcionar un inventario tecnológico completo para la priorización de inteligencia de vulnerabilidades? |
4.2.3 Niveles de Servicio
| Parámetro | Estado |
|---|---|
| SLAs específicos CTI | Pendiente de definición y acuerdo |
| KPIs específicos CTI | Pendiente de definición y acuerdo |
| Tiempos de respuesta para hallazgos de inteligencia críticos | Por proponer y acordar |
| Objetivos de entrega de productos de inteligencia | Por proponer y acordar |
4.2.4 Modelo de Colaboración
El diseño del Programa CTI propone un modelo de intercambio de información entre el servicio CTI y diversas funciones de seguridad de CLIENTE (SOC, CSIRT, Gestión de Vulnerabilidades, Fraude, GRC, Arquitectura). Este modelo se presenta como propuesta y se beneficiaría de:
-
Validación de qué equipos de CLIENTE están disponibles para participar
-
Acuerdo sobre frecuencia y formato del intercambio de información
-
Definición de mecanismos de escalado y retroalimentación
-
Identificación de contactos clave en ambas partes
4.3 Próximos Pasos Propuestos
-
Taller conjunto de alineamiento de alcance — Revisar los límites del servicio CTI y confirmar qué capacidades están dentro del alcance
-
Sesión de requisitos de inteligencia — Definir y priorizar las necesidades de inteligencia de CLIENTE mediante un proceso estructurado de PIR
-
Definición de SLA/KPI — Proponer, discutir y acordar niveles de servicio medibles para CTI
-
Acuerdo del modelo de gobernanza — Definir la cadencia de reuniones, participantes y ciclo de revisión para los servicios CTI
-
Validación del modelo de colaboración — Confirmar el modelo de intercambio de información entre CTI y la organización de seguridad de CLIENTE
-
Alineamiento de herramientas y plataformas — Confirmar el stack de herramientas CTI y los requisitos de acceso de CLIENTE
5. ANEXO: PREGUNTAS ABIERTAS
Preguntas para Resolución Interna (MSSP)
| # | Pregunta | Prioridad | Responsable |
|---|---|---|---|
| Q-INT-01 | ¿Cuál es la asignación real de FTE para CTI? ¿Los 3 roles del Documento A están dotados, planificados o son aspiracionales? | Alta | Gestión de Recursos |
| Q-INT-02 | ¿Se está ejecutando actualmente alguna de las 44 actividades definidas en el Documento A? En caso afirmativo, ¿cuáles? | Alta | Operaciones CTI |
| Q-INT-03 | ¿Cuál es el estado de adquisición y cronograma para la plataforma TIP? ¿Cumple OpenCTI con RF-01? | Alta | Tecnología |
| Q-INT-04 | ¿Cuál es el estado de adquisición/activación de fuentes de inteligencia premium (darknet, marca, infostealer, vulnerabilidades)? | Alta | Tecnología |
| Q-INT-05 | ¿Se han discutido o presentado servicios de protección de marca y/o prevención de fraude VIP al cliente fuera de estos dos documentos? | Alta | Gestión de Cuenta |
| Q-INT-06 | ¿Cuál es la plataforma SOAR — CrowdStrike SOAR (Doc A) o Swimlane (Doc B)? | Media | Tecnología |
| Q-INT-07 | ¿Es aplicable el modelo de cobertura 24/7 a la monitorización CTI, o CTI opera bajo modelo de horario laboral? | Media | Operaciones |
| Q-INT-08 | ¿Siguen activos los proveedores externos existentes de protección de marca y fraude VIP? ¿Cuál es el plan de transición? | Media | Gestión de Cuenta |
| Q-INT-09 | ¿Es la certificación CREST (RO-02) una obligación contractual o un objetivo de mejora interno? | Baja | Calidad |
| Q-INT-10 | ¿Qué herramientas de IA, si alguna, están planificadas para ampliar la capacidad de los analistas CTI? | Baja | Innovación |
Preguntas para Resolución con el Cliente
| # | Pregunta | Prioridad | Área Relacionada |
|---|---|---|---|
| Q-CLI-01 | ¿Cuáles de los siguientes servicios espera CLIENTE dentro del alcance CTI: protección de marca, protección VIP/ejecutivos, gestión de superficie de ataque? | Alta | Alcance |
| Q-CLI-02 | ¿Dispone CLIENTE de una lista definida de VIPs/ejecutivos para fines de monitorización? | Alta | Alcance |
| Q-CLI-03 | ¿Qué equipos organizativos del lado de CLIENTE están disponibles para participar en un modelo de colaboración CTI (SOC, CSIRT, VM, Fraude, GRC, Arquitectura)? | Alta | Colaboración |
| Q-CLI-04 | ¿Requiere CLIENTE acceso directo a la plataforma CTI (OpenCTI o equivalente) y/o a dashboards de monitorización de dark web? | Media | Plataforma |
| Q-CLI-05 | ¿Cuál es la cadencia preferida de CLIENTE para el reporting CTI (diario, semanal, mensual, trimestral)? | Media | Entrega |
| Q-CLI-06 | ¿Espera CLIENTE sesiones de formación CTI para el personal de seguridad interno? | Media | Alcance |
| Q-CLI-07 | ¿Se espera que el servicio CTI produzca evidencia específica de cumplimiento NIS2, o esto corresponde al lote GRC (Lote 1)? | Media | Alcance |
| Q-CLI-08 | ¿Cuál es la expectativa de CLIENTE respecto a la distribución de inteligencia a entidades del grupo Geopost? | Media | Alcance |
| Q-CLI-09 | ¿Cómo gestiona CLIENTE actualmente la protección de marca y la monitorización de fraude VIP (proveedores externos existentes)? ¿Se espera continuidad o reemplazo? | Media | Transición |
| Q-CLI-10 | ¿Qué mecanismos de retroalimentación contempla CLIENTE para evaluar la calidad y relevancia de los productos CTI? | Baja | Gobernanza |
Este informe se basa exclusivamente en el contenido de los dos documentos analizados. No se han introducido suposiciones más allá de lo declarado en los materiales fuente. Las áreas de ambigüedad se señalan como tales y se presentan como preguntas para resolución por las partes correspondientes.
Preparado por: Equipo de Reconciliación CTI
Estado de revisión: Pendiente de revisión interna