Actúa como experto en ciberseguridad con especialización en auditoría de SGSI bajo ISO 27001:2022 y en el modelo de capacidad de procesos COBIT 2019.

Adjunto un Excel con los resultados de una evaluación de diagnóstico de un SGSI (Sistema de Gestión de Seguridad de la Información). Contiene:
- Hoja "Cláusulas 4-10": 23 cláusulas del sistema de gestión con su nivel de cumplimiento ISO.
- Hoja "Controles Anexo A": 93 controles de seguridad con su nivel de cumplimiento ISO.

Tu tarea: Transpolar los resultados (Cumple / Cumple parcialmente / No cumple / Excluido) a los niveles de capacidad COBIT 2019.

ESCALA COBIT 2019 (usar exactamente estos textos):
- Nivel 0 — Incompleto: El proceso no está implementado o no logra su propósito. No hay evidencia.
- Nivel 1 — Inicial: El proceso existe pero es ad hoc, sin planificación ni consistencia. Dependiente de personas clave.
- Nivel 2 — Gestionado: El proceso está planificado, monitoreado y ajustado. Hay documentación básica y seguimiento.
- Nivel 3 — Definido: El proceso está documentado, estandarizado y comunicado. Forma parte del sistema de gestión.
- Nivel 4 — Cuantitativamente gestionado: El proceso se mide con indicadores cuantitativos. Hay control estadístico.
- Nivel 5 — Optimizado: Hay mejora continua basada en análisis de rendimiento e innovación.

REGLA DE TRANSPOLACIÓN:
- "Cumple" → Evaluar entre Nivel 2 y 3 según evidencia y formalización descrita en el comentario.
- "Cumple parcialmente" → Evaluar entre Nivel 1 y 2 según coherencia y documentación.
- "No cumple" → Nivel 0 o 1 según si hay algún intento reconocido.
- "Excluido (no aplica)" → Registrar como "No aplica" con la justificación de la SoA.

LINEAMIENTOS para el comentario de madurez:
1. Basarse en evidencia objetiva del comentario/observación registrado.
2. Describir el estado actual: qué existe, qué falta, qué es informal.
3. Identificar el gap específico para alcanzar el nivel superior.
4. Redacción técnica, directa y verificable (lenguaje declarativo).
5. Máximo 3 frases por ítem.

FORMATO DE SALIDA: Excel con hoja "Análisis COBIT 2019" con columnas exactas:
| Tipo | Referencia | Título | Categoría | Cumplimiento ISO | Nivel COBIT (0-5) | Nombre Nivel COBIT | Comentario de Madurez | Brecha para siguiente nivel |

Incluye los 116 ítems (23 cláusulas + 93 controles). Entrega el archivo como: M2_SGSI_analisis_cobit_[org].xlsx

Ahora actúa como auditor senior de SGSI con experiencia en ISO 27001 y COBIT 2019.

Con base en el análisis de madurez realizado, redacta la sección de HALLAZGOS CLAVE del informe de diagnóstico para cada uno de los siguientes dominios:

DOMINIOS ISO 27001:
1. Contexto y Alcance (Cláusulas 4.1–4.4)
2. Liderazgo y Gobernanza (Cláusulas 5.1–5.3)
3. Planificación y Gestión de Riesgos (Cláusulas 6.1–6.3)
4. Soporte y Operación (Cláusulas 7.1–7.5, 8.1–8.3)
5. Evaluación y Mejora (Cláusulas 9.1–9.3, 10.1–10.2)
6. Controles Organizativos (A5)
7. Controles de Personas (A6)
8. Controles Físicos (A7)
9. Controles Tecnológicos (A8)

LINEAMIENTOS:
- Enfoque de auditoría de sistemas de gestión (no ítem por ítem).
- Análisis integrado de grupos de controles relacionados.
- Describir patrones: qué existe, nivel de formalización, implementación puntual vs. gestión sostenida.
- Lenguaje técnico: "Se evidenció que...", "Se observó...", "No se identificaron mecanismos formalizados para..."
- Entre 3 y 5 hallazgos por dominio.
- Al final de cada hallazgo, referenciar: (cláusula 5.1, A5.2)
- NO incluir recomendaciones.

FORMATO: Por cada dominio, un encabezado y los hallazgos en párrafos integradores.
Agrega una hoja "Hallazgos" al Excel M2 con columnas: Dominio | Num_Hallazgo | Enunciado | Referencias

Actúa como especialista en gestión del riesgo de ciberseguridad con experiencia en ISO 27005 y COBIT 2019.

Con base en los hallazgos del diagnóstico SGSI, identifica los principales riesgos de ciberseguridad. Usa ÚNICAMENTE los eventos y fuentes de los catálogos siguientes.

EVENTOS DE RIESGO (selecciona los más relevantes):
- CONF-01: Acceso no autorizado a información confidencial
- CONF-02: Divulgación de información sensible a terceros
- CONF-03: Interceptación de comunicaciones
- INTEG-01: Modificación no autorizada de información o sistemas
- INTEG-02: Inyección de código o malware
- INTEG-03: Manipulación de registros de auditoría
- DISP-01: Interrupción de servicios críticos (DoS/ransomware)
- DISP-02: Pérdida o corrupción de datos
- DISP-03: Falla de sistemas de recuperación ante desastres
- ACCESO-01: Robo o compromiso de credenciales
- ACCESO-02: Escalada de privilegios no autorizada
- ACCESO-03: Acceso físico no autorizado a instalaciones o equipos
- CUMPL-01: Incumplimiento de requisitos regulatorios o contractuales
- CUMPL-02: Violación de acuerdos de confidencialidad
- TERCERO-01: Incidente de seguridad originado en proveedor o tercero
- TERCERO-02: Compromiso de la cadena de suministro TIC

FUENTES DE RIESGO:
Error humano | Acción intencionada interna (insider threat) | Atacante externo | Proveedor o tercero | Fallo de sistemas | Configuración incorrecta | Ausencia de proceso | Ausencia de control técnico | Cambio organizacional no gestionado | Incumplimiento normativo

CRITERIOS:
- Priorizar solo los riesgos más relevantes derivados de los hallazgos (no listar todos los posibles).
- Cada riesgo vincula evento + fuente contextualizada con los hallazgos.
- Explicación causal concreta: cómo la brecha detectada incrementa la probabilidad del evento.
- Sin valoraciones subjetivas ni niveles de probabilidad/impacto.

FORMATO: Hoja "Riesgos" en el Excel M2 con columnas:
| ID_Evento | Evento de riesgo | Categoría | Fuente de riesgo | Explicación contextualizada |