Independiente · AuditableMethodology Book v3bis

// METODOLOGÍA //

Cómo se calculan los FR Ratings

Una metodología transparente y determinista, alineada con ISO 27001, NIS2 y DORA. Las mismas respuestas producen siempre la misma calificación.

Ver la escala FR RatingLeer las FAQ
FR RISK RATING
FR-A
74.2%
Verified · June 2026

Puntuación agregada a partir de 3 marcos de ciberseguridad.

CaBBaBaaAAaa

// VISIÓN GENERAL //

Tres marcos, una puntuación transparente

Finnovia evalúa organizaciones según tres marcos europeos de ciberseguridad: ISO 27001, NIS2 y DORA. Cada evaluación se basa en un cuestionario estructurado por dominios, cuyas respuestas se convierten en puntuaciones ponderadas para producir una calificación global FR-Rating.

Nuestra metodología está diseñada para ser transparente, reproducible y alineada con los requisitos regulatorios europeos. Las ponderaciones reflejan las prioridades de cada marco.

DORA

38 preguntas · 7 dominios

ISO 27001

56 preguntas · 10 dominios

NIS2

37 preguntas · 7 dominios

// CÓMO FUNCIONA //

Proceso de cálculo

  1. 1

    Paso 1 — Puntuación por dominio

    Para cada dominio, la puntuación es el promedio de las respuestas proporcionadas, convertido a porcentaje. Las respuestas «No aplicable» se excluyen. Un dominio donde todas las preguntas obtienen nivel 3 (Gestionado) tendrá una puntuación del 75 %.

  2. 2

    Paso 2 — Puntuación global ponderada

    La puntuación global se calcula como la suma ponderada de las puntuaciones de cada dominio. Cada dominio contribuye proporcionalmente a su peso, que refleja su importancia en el marco.

  3. 3

    Paso 3 — Asignación del FR-Rating

    La puntuación global se convierte en un FR Rating mediante una escala fija de 8 niveles, desde FR-Ca (puntuación inferior al 20 %) hasta FR-Aaa (puntuación igual o superior al 90 %). Cada nivel tiene un umbral preciso definido en el código (FR_RATING_THRESHOLDS) — nunca ajustado a posteriori.

// ESCALA DE MADUREZ //

Puntuación de cada respuesta en una escala de madurez

Cada pregunta se evalúa en una escala de madurez de 5 niveles, desde 0 (ninguna medida implementada) hasta 4 (proceso optimizado con mejora continua).

NivelMadurezPuntuación
0Ninguno0%
1Inicial25%
2Definido50%
3Gestionado75%
4Optimizado100%
N/ANo aplicableexcluded

// ESCALA FR RATING //

De la puntuación a la calificación con letra

El FR-Rating traduce la puntuación global en una nota comparable, inspirada en las calificaciones financieras. Permite una lectura inmediata del nivel de conformidad.

CaCaaBBaBaaAAaAaa
FR-AaaExcelencia
≥ 90%
FR-AaMuy alto
80–89%
FR-AAlto
70–79%
FR-BaaSatisfactorio
60–69%
FR-BaModerado
50–59%
FR-BBajo
40–49%
FR-CaaInsuficiente
20–39%
FR-CaCrítico
< 20%

// BANDAS DE RIESGO //

Tres bandas de riesgo de un vistazo

Los 8 niveles del FR Rating se agrupan en tres bandas de riesgo para el reporting de alto nivel y el benchmarking — definidas en el Methodology Book §5.1.

≥ 70 %

Riesgo bajo

FR-Aaa · FR-Aa · FR-A

Postura sólida de ciberseguridad con controles medidos, documentados y aplicados de forma consistente.

50 – 69 %

Riesgo medio

FR-Baa · FR-Ba

Postura satisfactoria con áreas de mejora identificadas y riesgos residuales conocidos.

< 50 %

Riesgo alto

FR-B · FR-Caa · FR-Ca

Brechas significativas que requieren atención inmediata; los controles son parciales, ad hoc o inexistentes.

// PESOS POR DOMINIO //

Cómo se pondera cada dominio

Cada marco asigna diferentes pesos a sus dominios, reflejando las prioridades regulatorias. Los dominios con mayor peso tienen un mayor impacto en la calificación final.

DORA

38 preguntas · 7 dominios

Marco de gestión de riesgos ICT
20%
Gestión y notificación de incidentes ICT
20%
Pruebas de resiliencia operativa digital
17%
Gestión de riesgos de terceros ICT
18%
Inteligencia y compartición de ciberamenazas
10%
Gobernanza y responsabilidad
10%
Protección y recuperación de datos
5%

ISO 27001

56 preguntas · 10 dominios

Gobernanza y liderazgo
15%
Gestión de riesgos
15%
Control de acceso e identidad
13%
Gestión de incidentes
12%
Riesgo de proveedores y terceros
10%
Continuidad de negocio
10%
Gestión y clasificación de activos
8%
Criptografía y protección de datos
8%
Seguridad física y ambiental
5%
Gestión de vulnerabilidades y parches
4%

NIS2

37 preguntas · 7 dominios

Gobernanza y responsabilidad del consejo
18%
Notificación de incidentes
18%
Medidas técnicas de seguridad
25%
Seguridad de la cadena de suministro
12%
Gestión de riesgos y resiliencia
12%
Control de acceso y autenticación
8%
Continuidad de negocio y gestión de crisis
7%

// VALIDEZ //

¿Cuánto dura una calificación?

Cada calificación lleva asociada una ventana de validez fija. Una vez caducada, deja de contar como credencial vigente y ya no figura en la página pública de calificaciones.

Calificación autoevaluada

12 meses

Desde la fecha de envío

Refleja las respuestas enviadas por la organización. Sin revisión de analista en esta fase.

Calificación verificada

24 meses

Desde la fecha de firma del analista

Auditada control por control por un analista de Finnovia. Sólo se publican las calificaciones verificadas.

// NUESTROS COMPROMISOS //

Diseñada para la transparencia, auditada con rigor

La metodología de Finnovia se basa en la transparencia y el rigor:

  • Pesos públicos — las ponderaciones de cada dominio se comunican abiertamente.

  • Cálculo determinista — respuestas idénticas siempre producen puntuaciones idénticas. Sin factores subjetivos.

  • Alineación regulatoria — los cuestionarios cubren exhaustivamente los requisitos de cada marco.

  • Verificación independiente — las evaluaciones enviadas pueden ser verificadas por un analista de Finnovia antes de su publicación.

// LISTO PARA OBTENER SU CALIFICACIÓN //

Realice su primera evaluación en minutos

Empiece con el plan gratuito Discovery. Actualice a una calificación verificada cuando esté listo.

Iniciar su evaluaciónExplorar calificaciones públicas