Cuestionarios de Seguridad
Los Cuestionarios de Seguridad convierten el tedioso papeleo de adquisiciones en unos minutos de revisión. Cargue un cuestionario (SIG, CAIQ, hoja de cálculo personalizada) y graph8 extrae las preguntas, las compara con su biblioteca de respuestas aprobadas y genera borradores. Usted revisa y envía.
Por qué existe
Un solo cuestionario de seguridad puede tener entre 150 y 400 preguntas. Los equipos dedican entre 8 y 40 horas por cuestionario copiando manualmente respuestas de cuestionarios anteriores, políticas de seguridad y runbooks. Este módulo reduce ese tiempo a entre 30 y 90 minutos de revisión.
Cómo funciona
- Vaya a Studio → Security Questionnaires → New Questionnaire
- Cargue el archivo del cuestionario (XLSX, DOCX o PDF)
- graph8 lo analiza: extrae cada pregunta, sección y formato de respuesta esperado
- La IA compara cada pregunta con su biblioteca de respuestas aprobadas
- Revise los borradores de respuestas
- Exporte el cuestionario completado en el mismo formato que cargó
Formatos compatibles
| Formato | Notas |
|---|---|
| XLSX | El más común: cuestionarios con filas de preguntas. La salida preserva el formato original |
| DOCX | Documentos Word con preguntas numeradas. La salida devuelve un nuevo DOCX |
| Solo entrada de lectura; la salida debe ser XLSX o DOCX | |
| Google Sheets | Importación mediante conexión con Google Drive |
| SIG (Standard Information Gathering) | Compatibilidad nativa: reconoce los formatos estándar SIG Lite y SIG Core |
| CAIQ (Consensus Assessments Initiative Questionnaire) | Compatibilidad nativa |
Extracción de preguntas
El análisis depende del formato:
- Estructurado (XLSX): graph8 identifica la columna de preguntas, la columna de respuestas y cualquier columna de clasificación (categoría, familia de controles, etc.)
- Semiestructurado (DOCX): detecta preguntas numeradas y preserva la jerarquía
- No estructurado (PDF): utiliza IA para identificar el texto de las preguntas; puede requerir revisión manual en casos atípicos
Tras la extracción, revise las preguntas analizadas. Puede:
- Combinar duplicados
- Reclasificar etiquetas de categoría
- Marcar preguntas como “omitir” si no aplican
Biblioteca de respuestas
La biblioteca de respuestas es su fuente única de referencia para las respuestas aprobadas. Cada vez que revisa y aprueba una respuesta, esta se agrega a la biblioteca para reutilizarla en cuestionarios futuros.
Configuración inicial de la biblioteca
Inicialice su biblioteca a partir de:
- Cuestionarios completados anteriormente (carga masiva)
- Políticas de seguridad (informe SOC 2, resultados de pruebas de penetración, documentos del SGSI)
- Runbooks de ingeniería
- Documento de respuestas canónicas del equipo de cumplimiento
Vaya a Security Questionnaires → Answer Library → Import para realizar una carga masiva.
Organización de la biblioteca
| Campo | Propósito |
|---|---|
| Patrón de pregunta | La pregunta (o variante parafraseada) que esta respuesta aborda |
| Respuesta canónica | La respuesta aprobada |
| Formulaciones alternativas | Variantes breves, largas o adaptadas a hojas de cálculo |
| Etiquetas | Categoría (control de acceso, protección de datos, etc.) |
| Nivel de confianza | Alto / Medio / Bajo: afecta los umbrales de aprobación automática |
| Última revisión | Fecha en que la respuesta se aprobó por última vez |
| Responsable | Qué equipo o persona es el responsable |
Gobernanza de la biblioteca
Las respuestas tienen un ciclo de vida de revisión:
- Pendiente de revisión: elaborada o importada, aún no aprobada
- Aprobada: lista para usar
- Requiere actualización: marcada tras N meses sin nueva revisión
- Obsoleta: ya no es aplicable
Configure la frecuencia de revisión en Library → Settings → Review Cadence (predeterminado: cada 6 meses).
Elaboración de respuestas
Una vez cargado y analizado el cuestionario, haga clic en Draft Answers. graph8 recorre cada pregunta y:
- Encuentra la respuesta con mejor coincidencia en su biblioteca
- Reformula la respuesta para adaptarla al formato de la pregunta (respuesta corta, respuesta larga, S/N/NA)
- Asigna una puntuación de confianza (0-100)
- Marca las preguntas sin buena coincidencia para revisión manual
Puntuación de confianza
| Confianza | Significado | Acción recomendada |
|---|---|---|
| ≥90 | Coincidencia directa de alta confianza | Aprobación rápida |
| 70-89 | Coincidencia sólida con reformulación menor | Revisar para verificar exactitud |
| 40-69 | Coincidencia parcial: existe contenido relevante en la biblioteca | Revisión exhaustiva o nueva respuesta |
| Menos de 40 | Sin buena coincidencia en la biblioteca | Redactar desde cero o rechazar |
Acciones masivas
Desde la pantalla de revisión:
- Aprobar todo con confianza ≥90: aprobación rápida de coincidencias evidentes
- Marcar todo con confianza inferior a 40: clasificar los elementos desconocidos
- Reasignar al responsable: derivar categorías específicas a su responsable (legal, seguridad, ingeniería)
Flujo de revisión
- Abra la pantalla de Review del cuestionario
- Filtre por confianza, sección o responsable
- Para cada pregunta:
- Lea el borrador de respuesta
- Edite en línea si es necesario
- Haga clic en Approve para finalizar
- Haga clic en Needs Input para derivar a otra persona con un comentario
- Una vez aprobadas todas las preguntas, haga clic en Export
Colaboración
Varios revisores pueden trabajar en el mismo cuestionario de forma simultánea:
- Asigne secciones a responsables (seguridad, legal, ingeniería)
- Agregue comentarios en preguntas que requieran discusión
- Vea quién está consultando una sección en ese momento (indicador de presencia)
- Las menciones (
@username) envían notificaciones por correo electrónico
Control de versiones
Cada edición queda registrada. Revierta a cualquier versión anterior de una respuesta en Review → [Question] → History.
Exportación
Cuando todas las respuestas estén aprobadas, exporte el cuestionario:
- Haga clic en Export
- Elija el formato:
- Original XLSX: respuestas insertadas en la estructura del archivo original
- Formatted DOCX: respuestas presentadas en un documento Word con formato
- PDF: PDF estático y bloqueado
- CSV: pares de pregunta-respuesta sin formato
- Haga clic en Download
Las exportaciones preservan:
- El orden original de las preguntas
- Los encabezados de sección y el formato
- Cualquier marca o encabezado del archivo original
Registro de auditoría
La exportación incluye una página opcional de registro de auditoría que detalla:
- Quién aprobó cada respuesta
- Cuándo se aprobó
- La fuente de la biblioteca de respuestas (ID canónico)
- Cualquier edición realizada durante la revisión
Actívelo en Export → Include Audit Trail.
Reutilización en distintos cuestionarios
Tras completar 2-3 cuestionarios, su biblioteca es lo suficientemente sólida como para que los nuevos cuestionarios obtengan entre un 70 % y un 90 % de coincidencias automáticas con una confianza ≥70. El tiempo de revisión se reduce considerablemente después de los primeros cuestionarios.
Crecimiento típico de la biblioteca
| Cuestionarios completados | Tamaño de la biblioteca | Tasa de coincidencia automática |
|---|---|---|
| 1 | ~200 respuestas | 20-30% |
| 3 | ~500 respuestas | 50-65% |
| 10 | ~1.200 respuestas | 75-85% |
| 25+ | ~2.000+ respuestas | 85-95% |
Integraciones
| Integración | Uso |
|---|---|
| Google Drive | Importar cuestionarios directamente desde Drive |
| Slack | Recibir notificaciones cuando se le asignen cuestionarios |
| Jira / Linear | Crear tickets para preguntas que requieran aportación del equipo de ingeniería |
| Vanta / Drata | Incorporar controles de cumplimiento directamente a la biblioteca de respuestas |
| SharePoint | Importar masivamente cuestionarios históricos |
Configure las integraciones en Settings → Integrations.
Permisos
| Rol | Capacidades |
|---|---|
| Admin | Cargar cuestionarios, gestionar la biblioteca, aprobar respuestas, exportar |
| Reviewer | Revisar y aprobar borradores de respuestas para las secciones asignadas |
| Contributor | Agregar respuestas a la biblioteca (pendiente de aprobación del administrador) |
| Viewer | Acceso de solo lectura |
Configure permisos por sección para cuestionarios sensibles (legal, financiero, recursos humanos).
Seguridad
Todo el contenido de los cuestionarios y los datos de la biblioteca de respuestas se cifran en reposo y en tránsito. Los cuestionarios están delimitados a su organización: nunca se utilizan como datos de entrenamiento ni se comparten entre distintos clientes.
Los registros de acceso rastrean cada consulta, edición y exportación. Exporte los registros en Settings → Audit → Security Questionnaires.
Solución de problemas
| Problema | Solución |
|---|---|
| El análisis del cuestionario omitió preguntas | Vuelva a analizar con límites de sección manuales, o edite directamente el resultado de la extracción |
| Confianza baja en la mayoría de las preguntas | La biblioteca es insuficiente: inicialícela con cuestionarios y políticas anteriores |
| El formato de exportación no coincide con el original | Use el modo “Original XLSX”; si el problema persiste, el original usaba plantillas no estándar |
| Las respuestas se contradicen entre sí | Revise la biblioteca en busca de entradas en conflicto; marque las más antiguas como obsoletas |
| El revisor no puede ver una sección | Verifique los permisos a nivel de sección en la pantalla de revisión |
Relacionado
- Global Context → — Detalles de marca y empresa referenciados en las respuestas
- Custom Records → — Modele objetos relacionados (políticas, controles)
- Skills → — La elaboración de respuestas está impulsada por skills