RFP de ciberseguridad: las 20 preguntas más frecuentes y cómo responderlas
Si respondés RFPs de seguridad regularmente, sabés que el 70% de las preguntas se repiten de un cuestionario a otro. Esta guía reúne las 20 más frecuentes con un modelo de respuesta para cada una que podés adaptar a tu empresa.
Controles de acceso e identidad
Estas son las preguntas más frecuentes en cualquier assessment. "¿Implementan autenticación multifactor?" — la respuesta debe especificar en qué sistemas aplica MFA (todos los accesos a producción, VPN, email corporativo) y qué método se usa (TOTP, hardware key, etc.). "¿Cómo gestionan los accesos privilegiados?" — describí el proceso de solicitud, aprobación y revisión periódica de accesos con privilegios elevados. "¿Qué proceso siguen cuando se desvincula un empleado?" — el tiempo máximo para revocar todos los accesos es el dato clave; el estándar esperado es menos de 24 horas.
Gestión de vulnerabilidades y parches
"¿Con qué frecuencia realizan análisis de vulnerabilidades?" — la respuesta estándar esperada es al menos mensualmente para escaneo automatizado y anualmente para pentest por terceros. "¿Cuál es su proceso de gestión de parches?" — describí los SLAs por criticidad: vulnerabilidades críticas en 48-72 horas, altas en 7 días, medias en 30 días. "¿Cuándo fue el último pentest y quién lo realizó?" — nombre del proveedor, fecha y si el reporte está disponible bajo NDA.
Seguridad de datos y cifrado
"¿Cómo cifran los datos en tránsito y en reposo?" — TLS 1.2 o superior para datos en tránsito, AES-256 para datos en reposo son los estándares mínimos esperados. "¿Dónde se almacenan los datos y en qué región?" — especificá el proveedor cloud, la región y si hay opciones de residencia de datos para clientes con requisitos específicos. "¿Cuánto tiempo retienen los datos de clientes?" — política de retención con período específico y proceso de eliminación al finalizar el contrato.
Respuesta a incidentes y continuidad
"¿Tienen un plan de respuesta a incidentes documentado?" — sí o no, con fecha de última actualización y si fue probado. "¿En qué plazo notifican a los clientes ante una brecha de seguridad?" — 72 horas es el estándar esperado. "¿Cuáles son su RTO y RPO?" — Recovery Time Objective y Recovery Point Objective son datos que todo equipo de operaciones debería tener documentados. "¿Con qué frecuencia prueban su plan de continuidad del negocio?" — al menos anualmente es el mínimo esperado.
¿Respondés estas preguntas repetidamente en cada RFP?
FormReply genera respuestas adaptadas a tu empresa para cada una de estas preguntas usando tu propia documentación. El primer RFP que respondés con FormReply construye la base para todos los siguientes.
Probá FormReply gratis →