Guion de entrevistas — Discovery
Guion para entrevistas 1-a-1 que complementan el cuestionario-cliente.md. Cada entrevista busca profundizar en lo que el cuestionario no capta: contexto, motivaciones, conflictos internos, decisiones pendientes.
Reglas generales:
- Duración objetivo: 60-90 min por entrevista.
- Una sola persona por sesión (entrevistas grupales pierden información).
- Grabar siempre que sea posible (con consentimiento) o tomar notas estructuradas.
- Volcar conclusiones a
resultado-discovery.mden bloque "Hallazgos por entrevista".
Entrevista 1 — Sponsor ejecutivo (CEO / Director General)
Objetivo: entender el caso de negocio, los plazos reales, el apetito de riesgo y el respaldo organizativo.
| # | Pregunta abierta |
|---|---|
| E1.1 | ¿Por qué quiere la organización ser QTSP? ¿Qué cambia en el negocio cuando lo seáis? |
| E1.2 | ¿Hay un cliente, contrato o concurso concreto que dependa de obtener la cualificación? |
| E1.3 | ¿Qué pasa si el proyecto se retrasa 6 meses? ¿Y 18 meses? |
| E1.4 | ¿Qué presupuesto se ha aprobado para el proyecto y qué órgano lo aprobó? |
| E1.5 | ¿Hay competencia interna por recursos con otros proyectos? |
| E1.6 | ¿Quién toma las decisiones cuando hay un conflicto entre seguridad/coste/plazo? |
| E1.7 | Si la auditoría CAB sale con no conformidades mayores, ¿qué tolerancia hay? |
| E1.8 | ¿Hay accionistas o stakeholders externos a los que reportar el avance? |
Entrevista 2 — CISO / Responsable de Seguridad
Objetivo: estado real del SGSI, análisis de riesgos, controles operativos, gestión de incidentes.
| # | Pregunta abierta |
|---|---|
| E2.1 | Cuéntame el ciclo SGSI actual: ¿cuándo se hizo el último análisis de riesgos formal? ¿Quién lo aprobó? |
| E2.2 | ¿Qué controles del Anexo A de 27001 están implementados parcialmente o no implementados? |
| E2.3 | ¿Cuántos incidentes de seguridad se han gestionado en los últimos 12 meses? ¿Hay registro? |
| E2.4 | ¿En cuánto tiempo detectasteis el último incidente real? ¿Y en notificarlo? |
| E2.5 | ¿Cómo es la separación de funciones operacional? ¿Quién admin la PKI vs quién la audita? |
| E2.6 | ¿Quién tiene acceso físico a la sala criptográfica y cómo se controla? |
| E2.7 | ¿Qué puntos del SGSI te preocupan más cara a una auditoría externa exigente? |
| E2.8 | ¿Habéis tenido auditoría externa de seguridad reciente? ¿Qué hallazgos hubo? |
Entrevista 3 — CTO / Arquitecto de la plataforma
Objetivo: arquitectura técnica, software TSA/QERDS, dependencias, deuda técnica.
| # | Pregunta abierta |
|---|---|
| E3.1 | Dibuja en una pizarra la arquitectura actual: HSMs → CAs → TSUs → frontends QERDS → bases de datos → backups. |
| E3.2 | ¿Qué componentes son in-house vs de proveedor? ¿Hay vendor lock-in crítico? |
| E3.3 | ¿Qué versiones de protocolo/estándar estáis implementando? (RFC 3161 vs ETSI 319 422, 522-1 vs draft, etc.) |
| E3.4 | ¿Cómo gestionáis la sincronización UTC? ¿Qué fuentes? ¿Cómo medís el drift? |
| E3.5 | ¿Cómo se arquetipa la generación de evidencias QERDS? ¿Sello cualificado en proceso o por lote? |
| E3.6 | ¿Cuál es el RTO/RPO real medido (no documentado) en última prueba? |
| E3.7 | ¿Cuál es el cuello de botella técnico más importante hoy? |
| E3.8 | Si te dieran 6 meses sin nuevos requisitos, ¿qué deuda técnica solucionarías? |
| E3.9 | ¿Qué dependencias externas son críticas? (CAs externas, NTP, cloud, telco…) |
Entrevista 4 — Responsable Legal / DPO
Objetivo: contratos, RGPD, política, riesgos jurídicos.
| # | Pregunta abierta |
|---|---|
| E4.1 | ¿Tenéis ya redactados los términos y condiciones del servicio? ¿Quién los validó? |
| E4.2 | ¿Hay EIPD sobre QERDS? Si no, ¿cómo lo planteáis? |
| E4.3 | ¿Cómo se documenta la base jurídica del tratamiento de datos del remitente y destinatario? |
| E4.4 | ¿Hay transferencias internacionales de datos? (cloud US, SaaS de identificación…) |
| E4.5 | ¿Tenéis póliza de responsabilidad civil profesional específica para servicios de confianza? Cuantía. |
| E4.6 | ¿Qué cláusulas tenéis en los contratos con subcontratistas sobre auditoría, derecho de información, plazo de notificación? |
| E4.7 | ¿Hay incidentes pasados con AEPD o reclamaciones relevantes? |
| E4.8 | ¿Qué régimen disciplinario tenéis para empleados con acceso a sistemas críticos? |
| E4.9 | ¿Quién aprueba el plan de cese? ¿Está validado por asesoría legal? |
Entrevista 5 — Responsable Operaciones / SRE
Objetivo: operaciones diarias, monitorización, incidentes, procedimientos.
| # | Pregunta abierta |
|---|---|
| E5.1 | ¿Quién está de guardia 24/7 hoy y para qué servicios? |
| E5.2 | ¿Qué herramientas de monitorización usáis y qué métricas críticas tenéis? |
| E5.3 | ¿Cómo detectáis si la TSA empieza a desfasarse de UTC? |
| E5.4 | ¿Qué runbooks tenéis para escenarios críticos? (compromiso de clave, caída del HSM, falsa firma, etc.) |
| E5.5 | ¿Cuándo fue la última vez que ejecutasteis un runbook bajo presión? |
| E5.6 | ¿Cómo se hacen los change requests en componentes críticos? |
| E5.7 | ¿Cómo se gestiona el patching de los HSMs y software PKI? Frecuencia, ventanas, evidencias. |
| E5.8 | ¿Hay separación dev/test/prod? ¿Cómo se promocionan cambios? |
Entrevista 6 — RR.HH. / Talent
Objetivo: dotación, formación, gestión de roles sensibles.
| # | Pregunta abierta |
|---|---|
| E6.1 | ¿Hay descripciones de puesto específicas para roles PKI/TSA/QERDS? |
| E6.2 | ¿Qué proceso seguís para incorporación de personal a roles sensibles? |
| E6.3 | ¿Hay proceso formal de bajas que cubra revocación de accesos, devolución de credenciales y NDA post-empleo? |
| E6.4 | ¿Hay rotación de roles prevista para evitar concentración de conocimiento? |
| E6.5 | ¿Cómo se documenta la formación continua en seguridad y normativa? |
| E6.6 | ¿Hay un perfil clave en la organización cuya marcha sería bloqueante? (single point of failure humano) |
Entrevista 7 — Comercial / Producto
Objetivo: encaje del servicio en la propuesta comercial, casos de uso, partners.
| # | Pregunta abierta |
|---|---|
| E7.1 | ¿Cuáles son los 3 casos de uso de mayor valor previstos para QTSA y QERDS? |
| E7.2 | ¿Hay clientes piloto comprometidos? |
| E7.3 | ¿Qué SLA de disponibilidad quieres ofrecer? |
| E7.4 | ¿Pricing previsto y modelo (por evento, suscripción, mixto)? |
| E7.5 | ¿Cómo se va a integrar la oferta cualificada con los servicios actuales? |
| E7.6 | ¿Hay propuesta de valor añadido distinta a la mera cualificación? |
| E7.7 | ¿Has hablado ya con potenciales partners distribuidores? |
Plantilla de notas de entrevista
Para cada entrevista, capturar en resultado-discovery.md:
### Entrevista N — [Rol] — [Nombre] — [Fecha]
**Asistentes adicionales**: ...
**Hallazgos clave**:
1. ...
2. ...
3. ...
**Citas relevantes** (literales si aportan):
- "..."
- "..."
**Decisiones tomadas en la sesión**:
- ...
**Acciones pendientes / preguntas para sesiones futuras**:
- [ ] ...
- [ ] ...
**Riesgos detectados**:
- ...
**Documentos solicitados como evidencia**:
- [ ] ...