pwcAuditoria PSC
Admin

Guion de entrevistas — Discovery

Discovery · guion-entrevistas.md

Guion de entrevistas — Discovery

Guion para entrevistas 1-a-1 que complementan el cuestionario-cliente.md. Cada entrevista busca profundizar en lo que el cuestionario no capta: contexto, motivaciones, conflictos internos, decisiones pendientes.

Reglas generales:

  • Duración objetivo: 60-90 min por entrevista.
  • Una sola persona por sesión (entrevistas grupales pierden información).
  • Grabar siempre que sea posible (con consentimiento) o tomar notas estructuradas.
  • Volcar conclusiones a resultado-discovery.md en bloque "Hallazgos por entrevista".

Entrevista 1 — Sponsor ejecutivo (CEO / Director General)

Objetivo: entender el caso de negocio, los plazos reales, el apetito de riesgo y el respaldo organizativo.

#Pregunta abierta
E1.1¿Por qué quiere la organización ser QTSP? ¿Qué cambia en el negocio cuando lo seáis?
E1.2¿Hay un cliente, contrato o concurso concreto que dependa de obtener la cualificación?
E1.3¿Qué pasa si el proyecto se retrasa 6 meses? ¿Y 18 meses?
E1.4¿Qué presupuesto se ha aprobado para el proyecto y qué órgano lo aprobó?
E1.5¿Hay competencia interna por recursos con otros proyectos?
E1.6¿Quién toma las decisiones cuando hay un conflicto entre seguridad/coste/plazo?
E1.7Si la auditoría CAB sale con no conformidades mayores, ¿qué tolerancia hay?
E1.8¿Hay accionistas o stakeholders externos a los que reportar el avance?

Entrevista 2 — CISO / Responsable de Seguridad

Objetivo: estado real del SGSI, análisis de riesgos, controles operativos, gestión de incidentes.

#Pregunta abierta
E2.1Cuéntame el ciclo SGSI actual: ¿cuándo se hizo el último análisis de riesgos formal? ¿Quién lo aprobó?
E2.2¿Qué controles del Anexo A de 27001 están implementados parcialmente o no implementados?
E2.3¿Cuántos incidentes de seguridad se han gestionado en los últimos 12 meses? ¿Hay registro?
E2.4¿En cuánto tiempo detectasteis el último incidente real? ¿Y en notificarlo?
E2.5¿Cómo es la separación de funciones operacional? ¿Quién admin la PKI vs quién la audita?
E2.6¿Quién tiene acceso físico a la sala criptográfica y cómo se controla?
E2.7¿Qué puntos del SGSI te preocupan más cara a una auditoría externa exigente?
E2.8¿Habéis tenido auditoría externa de seguridad reciente? ¿Qué hallazgos hubo?

Entrevista 3 — CTO / Arquitecto de la plataforma

Objetivo: arquitectura técnica, software TSA/QERDS, dependencias, deuda técnica.

#Pregunta abierta
E3.1Dibuja en una pizarra la arquitectura actual: HSMs → CAs → TSUs → frontends QERDS → bases de datos → backups.
E3.2¿Qué componentes son in-house vs de proveedor? ¿Hay vendor lock-in crítico?
E3.3¿Qué versiones de protocolo/estándar estáis implementando? (RFC 3161 vs ETSI 319 422, 522-1 vs draft, etc.)
E3.4¿Cómo gestionáis la sincronización UTC? ¿Qué fuentes? ¿Cómo medís el drift?
E3.5¿Cómo se arquetipa la generación de evidencias QERDS? ¿Sello cualificado en proceso o por lote?
E3.6¿Cuál es el RTO/RPO real medido (no documentado) en última prueba?
E3.7¿Cuál es el cuello de botella técnico más importante hoy?
E3.8Si te dieran 6 meses sin nuevos requisitos, ¿qué deuda técnica solucionarías?
E3.9¿Qué dependencias externas son críticas? (CAs externas, NTP, cloud, telco…)

Objetivo: contratos, RGPD, política, riesgos jurídicos.

#Pregunta abierta
E4.1¿Tenéis ya redactados los términos y condiciones del servicio? ¿Quién los validó?
E4.2¿Hay EIPD sobre QERDS? Si no, ¿cómo lo planteáis?
E4.3¿Cómo se documenta la base jurídica del tratamiento de datos del remitente y destinatario?
E4.4¿Hay transferencias internacionales de datos? (cloud US, SaaS de identificación…)
E4.5¿Tenéis póliza de responsabilidad civil profesional específica para servicios de confianza? Cuantía.
E4.6¿Qué cláusulas tenéis en los contratos con subcontratistas sobre auditoría, derecho de información, plazo de notificación?
E4.7¿Hay incidentes pasados con AEPD o reclamaciones relevantes?
E4.8¿Qué régimen disciplinario tenéis para empleados con acceso a sistemas críticos?
E4.9¿Quién aprueba el plan de cese? ¿Está validado por asesoría legal?

Entrevista 5 — Responsable Operaciones / SRE

Objetivo: operaciones diarias, monitorización, incidentes, procedimientos.

#Pregunta abierta
E5.1¿Quién está de guardia 24/7 hoy y para qué servicios?
E5.2¿Qué herramientas de monitorización usáis y qué métricas críticas tenéis?
E5.3¿Cómo detectáis si la TSA empieza a desfasarse de UTC?
E5.4¿Qué runbooks tenéis para escenarios críticos? (compromiso de clave, caída del HSM, falsa firma, etc.)
E5.5¿Cuándo fue la última vez que ejecutasteis un runbook bajo presión?
E5.6¿Cómo se hacen los change requests en componentes críticos?
E5.7¿Cómo se gestiona el patching de los HSMs y software PKI? Frecuencia, ventanas, evidencias.
E5.8¿Hay separación dev/test/prod? ¿Cómo se promocionan cambios?

Entrevista 6 — RR.HH. / Talent

Objetivo: dotación, formación, gestión de roles sensibles.

#Pregunta abierta
E6.1¿Hay descripciones de puesto específicas para roles PKI/TSA/QERDS?
E6.2¿Qué proceso seguís para incorporación de personal a roles sensibles?
E6.3¿Hay proceso formal de bajas que cubra revocación de accesos, devolución de credenciales y NDA post-empleo?
E6.4¿Hay rotación de roles prevista para evitar concentración de conocimiento?
E6.5¿Cómo se documenta la formación continua en seguridad y normativa?
E6.6¿Hay un perfil clave en la organización cuya marcha sería bloqueante? (single point of failure humano)

Entrevista 7 — Comercial / Producto

Objetivo: encaje del servicio en la propuesta comercial, casos de uso, partners.

#Pregunta abierta
E7.1¿Cuáles son los 3 casos de uso de mayor valor previstos para QTSA y QERDS?
E7.2¿Hay clientes piloto comprometidos?
E7.3¿Qué SLA de disponibilidad quieres ofrecer?
E7.4¿Pricing previsto y modelo (por evento, suscripción, mixto)?
E7.5¿Cómo se va a integrar la oferta cualificada con los servicios actuales?
E7.6¿Hay propuesta de valor añadido distinta a la mera cualificación?
E7.7¿Has hablado ya con potenciales partners distribuidores?

Plantilla de notas de entrevista

Para cada entrevista, capturar en resultado-discovery.md:

### Entrevista N — [Rol] — [Nombre] — [Fecha]

**Asistentes adicionales**: ...

**Hallazgos clave**:
1. ...
2. ...
3. ...

**Citas relevantes** (literales si aportan):
- "..."
- "..."

**Decisiones tomadas en la sesión**:
- ...

**Acciones pendientes / preguntas para sesiones futuras**:
- [ ] ...
- [ ] ...

**Riesgos detectados**:
- ...

**Documentos solicitados como evidencia**:
- [ ] ...