EXTERNO Cuestionario Servicios Externalizados (R.O)

INFORMACIÓN G
I. Datos Gen
Razón Social de la Empresa:
Número de RUT
Grupo o Holding al que Pertenece:
Principales Accionistas
Nombre de Persona de Contacto:
N° Teléfono
Correo electrónico:
Servicio a ser contratado (Breve descripción)
División Área representate del Servicio
NOTA: Se solicita acompañar con los siguientes documentos
II. Documentos Requeridos
Presentación Corporativa Empresa (PPT, PDF)
Presentación del Servicio Contratado (PPT, PDF)
Informes auditores o consultores externos respecto al control interno, gestion de riesgo, seguridad de l
INFORMACIÓN GENERAL DEL PROVEEDOR
I. Datos Generales de la Empresa
stion de riesgo, seguridad de la información , continuidad del negocio de la empresa (en caso de existir).
so de existir).
DECLARACIÓN DE RESPONSABILIDAD
Quién suscribe el presente documento, declara conocer el íntegro del contenido del mismo, asegurando la ve
Caja Los Andes se reserva el derecho de solicitar documentación que respalde las respuestas.
Nombre del Funcionario Responsable

Cargo del Funcionario Responsable
Firma del Funcionario Responsable
Fecha en que se firma el documento
NSABILIDAD
smo, asegurando la veracidad de las respuesta y datos proporcionados.

puestas.
Evaluación Nivel Implementación del Control
NivelNivel Implementación Riesgo Operacional Seguridad de la Información Continuidad de Negocios Servicio Cloud
Desconocimiento por parte de la empresa. Inexistencia de Desconocimiento por parte de la empresa. Inexistencia de Desconocimiento por parte del proveedor o inexistencia de Desconocimiento por parte del proveedor o inexistencia de
0 Inexistente
eventos, procesos y/o actividades relacionadas. eventos, procesos y/o actividades relacionadas. procesos y/o actividades relacionadas. procesos y/o actividades relacionadas.
No existe registro de evaluaciones de riesgos para medir el No existe un proceso estándar para la ejecución de la No existe registros de evaluaciones de Continuidad de No existen definiciones ejecutar actividades, si bien se
grado de exposión existente al interior de la empresa, si actividad, si bien se aplican controles, éstos no se encuentran Negocio para medir el grado de exposión existente al interior aplican controles, éstos no se encuentran formalizados y
1 Inicial / Ad-hoc bien existen controles definidos, éstos no se encuentran formalizados y son ejecutados de forma individual por las de la organización, si bien existen controles definidos, éstos no son ejecutados de forma individual por los responsables. La
formalizados y son ejecutados de forma reactiva por parte áreas o bien por evento. La administración del proceso al se encuentran formalizados y son ejecutados de forma administración del proceso al interior de la empresa es
de personal a cargo. interior de la empresa es desorganizado. reactiva por parte de personal a cargo. desorganizado.
Existen procesos estándar que son desarrollados por la Se aplican controles pero no existe capacitación,
Se ejecutan procesos básicos de control al interior de la empresa, pero no existe capacitación, comunicación y Se ejecutan procesos básicos de Continuidad de Negocio, comunicación y formalización de dichos controles en
Repetible, pero
2 empresa, estos controles permiten identificar algunos formalización de dichos procedimientos, se deja la pero éstos no se encuentran formalizados ni divulgados al procedimientos o manuales, se deja la responsabilidad al
intuitivo
incidentes operacionales. responsabilidad al individuo confiando en sus conocimientos, interior de la organización. individuo confiando en sus conocimientos, se pueden
se pueden producir errores. producir errores.
Existe una estructura de gobierno de riesgos definida en la Existen procesos definidos y documentados los cuales se han Existe una estructura de gobierno y planes de Continuidad de Los procesos se encuentran definidos, documentados y
Procesos empresa. Los controles se establecieron para identificar a difundido al interior de la empresa, no existen controles Negocio definida en la empresa y planes de recuperación de han sido difundidos al interior de la empresa, no existen
3
definidos los responsables, los cuales se encuentran documentados, establecidos para validar la correcta ejecución o desviaciones desastres TI los cuales estan documentados y aprobados por controles establecidos para validar la correcta ejecución o
aprobados, implementados y actualizados. por parte de los colaboradores. la alta gerencia. desviaciones por parte de los colaboradores.
Los procesos se ejecutan, monitorean y se mide su nivel de

Existe un sistema de gestión de riesgos, el cual se Los procesos se ejecutan, monitorean y se mide su nivel de
cumplimiento de acuerdo a las mejores prácticas de la Existe un modelo de Continuidad de Negocios implementado y
encuentra implementado y difundido al interior de la cumplimiento, en caso que estos procesos no se realicen
industria, en caso que estos procesos no se realicen de la difundido al interior de la organización, basado en estándares
Gestionado y empresa. El diseño del sistema se basa en una revisión de la manera esperada, se detectan, informan y se toman
4 manera esperada, es informado y se toman medidas. Se internacionales, que aborda distintos tipos de escenarios de
medible independiente de gestión y efectividad de los controles medidas. Se utilizan herramientas y se automatizan
utilizan herramientas y se automatizan procesos de manera contingencia y posee un calendario formalizado de pruebas y
implementados. Se generan métricas de riesgo las cuales procesos de manera limitada. Se generan mejoras y
limitada. Se generan mejoras y proporcionan buenas prácticas ejercicios para diferentes escenarios de riesgos.
están formalizadas. proporcionan buenas prácticas en los procesos ejecutados.
en los procesos ejecutados.
Existe una actualización de los planes y pruebas de

Los procesos son ejecutados de acuerdo a las mejores Los procesos son ejecutados de acuerdo a las mejores
Existe una mejora continua del sistema de gestión, basada contingencia los cuales están en conocimiento por toda la
prácticas de la industria y se cuenta con certificación por una prácticas de la industria y se cuenta con certificación por
en una evaluación cualitativa y cuantitativa de los riesgos organización, donde se establece una mejora continua
entidad independiente, los resultados se basan en la mejora una entidad independiente, los resultados se basan en la
identificados por una unidad independiente, la cual prioriza mediante un Sistema de Continuidad de Negocio, realizando
5 Optimizado continua y en un modelo de madurez. El área de TI se mejora continua y en un modelo de madurez. El área de TI
los principales riesgos y establece los planes de acción revisiones internas o externas aprobadas por la alta gerencia
encuentra integrada al flujo de trabajo de manera automática, se encuentra integrada al flujo de trabajo de manera
para los más relevantes, existe una medición de la de manera periodica, que prioricen los principales riesgos,
entregando herramientas para mejorar detección y efectividad automática, entregando herramientas para mejorar
efectividad de los controles a través de indicadores. planes de mejora y pruebas integrales de varios escenarios de
de los controles en el mejor tiempo posible. detección y efectividad de los controles.
riesgos que puedan interrumpir el negocio.
Los servicios externalizados o realizados por el proveedor Los servicios externalizados o realizados por el proveedor no Los servicios externalizados o realizados por el proveedor no Los servicios externalizados o realizados por el proveedor
N/A No Aplica
no tienen relación con el control. tienen relación con el control. tienen relación con el control. no tienen relación con el control.
N°
6
7
10
Autoeval
Instrucciones
1. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "
2. Todos los campos deben ser completados en la columna "Nivel Implementación", en caso de no aplicar c
3. Comente o fundamente en caso que corresponda en la casilla "Observaciones".
Requerimiento
¿Su empresa cuenta con políticas , metodologías y/o procedimientos formales y aprobados por el Directorio
y/o comites, que contemple la Gestión de Riesgo Operacional, enfocada en su tolerancia al riesgo y Eventos
de Pérdidas?.
Su empresa cuenta con un procedimiento de Gestión de Incidentes donde se considere su registro, gestión y
protocolo de comunicación de incidentes a CLA?
¿Los colaboradores de su empresa tienen internalizado el tema de riesgo operacional como parte de sus
funciones, identificando y comunicando los riesgos en forma oportuna al área encargada de evaluar el riesgo,
con el propósito de establecer planes de acción y su posterior seguimiento?
Frente al servicio prestado:

- ¿La empresa cuenta con procedimiento establecido para proveer el servicio a ser contratado por CLA?
¿Envía reportes del detalle de sus servicios?
- Antes de incorporar nuevos sistemas, procesos, servicios o modficacion de estos, ¿son evaluados
identificando el impacto a nivel de riesgo operacional?
¿Todos sus procesos cuentan con responsables claramente definidos y métricas que permitan verificar el
cumplimiento de los compromisos acordados con los clientes en tiempo y forma (Acuerdos de Nivel de
Servicios: SLA)?, ¿estos procedimientos, metodologías y politicas, se encuentran aprobados y son revisados
a los menos una vez cada 12 meses, o cuando cualquier cambio operacional lo amerite?
¿La empresa ha recibido amonestaciones, reclamos, multas o sanciones por no cumplir con los niveles de
acuerdo de servicios establecidos para la entrega del servicio que desea brindar a la empresa?
En caso que el servicio contemple terceros subcontratados.
- ¿Su empresa puede asegurar que los contratos con esos proveedores incluyan cláusulas de
confidencialidad y resguardo de la información, auditabilidad, de continuidad del negocio, niveles de servicio,
multas y otras de cumplimiento regulatorio?.
- La empresa ocupa en sus procesos de servicios, personal subcontratado que maneja información crítica de
servcio a contratar por la empresa, este personal firma algún documento de confidencialidad de información
que resguarde la información que manipula?
¿En su empresa las políticas y/o procedimientos formales de selección, contratación, capacitación y
evaluación del personal idóneo son monitoreados en forma periódica con el objetivo de asegurar mejorar el
desempeño y calidad de los servicios entregados?
Su empresa cuenta con políticas y/o procedimiento de auditoría interna y/o externa a sus procesos, los que
favorezcan una opinión independiente, y donde cuyos hallazgos y sus correcciones se encuentren
documentadas? Estas auditorías cuentan con un programa formal y periódico de realización?
¿Su empresa cuenta con un proceso formal de detección y acciones a realizar en caso de presentarse algún
tipo de fraude (interno y externo)?, que se apoye con herramientas o procesos que permitan prevenir y
monitorear riesgos de fraudes (interno y externo)?
Autoevaluación de Riesgo Operacional
da en la Hoja "Descripción de Niveles"

de no aplicar colocar N/A.
Evidencia Nivel Implementación
1. Políticas, Metodologías y/o Procedimientos, relacionados

con la Gestión de Riesgos, en donde se abarque base de
pérdidas, tolerancia al riesgo, gestión de indicadores de
Riesgo KRI.
Procedimiento de Gestión de Incidentes, donde se

contemple un protocolo de comunicación con su cliente.
Plan de capacitación al personal, Plan de comunicación y

difusión de los cambios en Políticas, metodologías y
procedimientos asociados al ámbito de Riesgo Operacional.
- Reportes a los Clientes, correspondientes a la Gestión de

Calidad de los servicios prestados.
- Metodología y/o Procedimientos de Administración ,

Licitación, Adquisiciones que contenga el proceso de
servicios prestados.
Control de Cambios establecidos en Políticas y

Procedimientos
En caso de existir, dar mayor detalle del evento.

- Políticas y/o Procedimientos de Subcontratación.
- Contrato tipo de subcontratación.
- Listado de empresas con las cuales se mentiene

subcontrato para prestar el servicio a CLA
Procedimiento de Administración, contratación de personal y

evaluación del desempeño.
- Políticas y/o Procedimientos de Auditorías Internas y

Externas, que consideren el ejecución, remediación y
tratamiento de observaciones.
- Programa formal de Auditorías Internas y Externas.

Resultado de Informes de atestiguación AT-205, SSAE-18,
Otros.
Metodología y/o Procedimiento asociada a la de detección y

acciones a realizar en caso de presentarse algún tipo de
fraude (interno y externo), en el cual se establezcan los roles
y responsables, herramientas de prevención de fraude.
Observaciones
Autoevaluación de Seguridad de la Información
Instrucciones
1. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "Descripción de Niveles"
2. Todos los campos deben ser completados en la columna "Nivel Implementación", en caso de no aplicar colocar N/A.
3. Comente o fundamente con la mayor cantidad de antecedentes posibles la evaluación indicada en la casilla "Observaciones".
N° Requerimiento
¿Cuenta con una Política corporativa de Seguridad de la Información?, documentada, basada en el

1 estándar internacional ISO, 27001, 27.002, NIST, u otro estándar, oficialmente aprobada e informada
adecuadamente a la organización.
¿Su empresa cuenta con un marco normativo interno de Seguridad de la Información? el cual se
2 encuentra documentado, basado en el estandares internacionales como ISO 27001, 27.002, NIST, u
otro estándar, oficialmente aprobadas e informadas adecuadamente a la organización.
¿Su empresa cuenta con Normativas de Ciberseguridad? las cuales se encuentran documentadas y
3
basadas en el estandares internacional por ejemplo: NIST, COBIT, entre otros.
Ejecuta de forma programada y periódica (a lo menos una vez al año), planes de concientización a sus
colaboradores internos acorde a sus roles y responsabilidades, propiciando la comprensión y adhesión
4
a la normativa de seguridad vigente, garantizando la confidencialidad, integridad y disponibilidad de la
información.
¿Cuentan con políticas o procedimientos aprobados y documentados para la configuración de

servidores, comunicaciones y dispositivos móviles basados en estándares de seguridad, de manera
5
que se controle que las herramientas de procesamiento de información operen bajo una configuración
de seguridad revisada y verificable?.
En caso de documentación física, cuentan con procedimientos que aseguren el adecuado traspaso de
6 información a la Organización por parte del proveedor, y que éste en ningún caso mantenga
información en su poder después de finalizada la relación contractual.
¿Su empresa cuenta con una instancia colegiada en que se revisen e informen los riesgos de
7
Seguridad de la Información y Ciberseguridad?
Cuenta con un Oficial de Seguridad de la Información u otro profesional responsable de la gestión de la

8
seguridad al interior de la empresa.
Cuentan con el resultado de evaluaciones de auditorías externas orientadas a la evaluación de riesgos
9 de seguridad de la información o certificaciones. Los informes estaran disponibles cuando Caja Los
Andes lo requiera.
¿Cuenta con certificacion ISO 27001 u alguna otra relacionada a Seguridad de la informacion y
10
Ciberseguridad?
11 ¿Su empresa cuenta con Politica o normativa respecto al tratamiento de activos de información?
Cuentan con un proceso de revisiones orientadas a la evaluación de riesgos de seguridad de la

12 información (activos de información) en los distintos procesos y proyectos, en especial sobre los
procesos que manejan información sensible de sus clientes.
En caso de subcontratación, ¿su empresa dispone de controles que permitan identificar, monitorear y
13
mitigar riesgos en seguridad de la información sobre los procesos externalizados?.
¿Cuenta con un Proceso de Gestión y respuesta de incidentes de Seguridad de la información y

14
Ciberseguridad documentado?
¿Su empresa cuenta con un protocolo de comunicación de incidentes en caso de verse comprometida
15
la información de Caja Los Andes?.
¿Su empresa cuenta con una instancia colegiada para informar, gestionar y tomar de decisiones sobre
16
los incidentes?
¿Cuenta con un proceso de tratamiento de información, durante todo el ciclo de vida, almacenamiento,
17
traslado y su destrucción?
Cuentan con procedimientos de respaldo de información para proteger la información contra pérdida,
18 asegurar la continuidad de las operaciones de procesamiento de datos y proveer la habilidad de
restaurar las operaciones de procesamiento de datos luego de un evento disruptivo.
Los sectores o lugares donde se conservan o mantienen los medios de respaldo con la información
19 digital de los clientes, poseen controles de acceso físico, bitácoras de registro, supervisión y monitoreo,
tal que se tiene un control apropiado de quienes acceden a los medios de almacenamiento.
¿Su empresa cuenta con indicadores de riesgos (KRI) relacionados a seguridad de la información y
20
ciberseguridad?
¿Cuenta con un proceso de administración de cuentas de usuarios que contempla las altas, bajas,
21
modificaciones, accesos externos u otras?
¿Su empresa cuenta con un proceso de administración y control sobre los accesos a las bases de
22
datos que almacenan informacion de Caja los Andes?
¿Su empresa cuenta con conexión VPN con protocolo seguro u otro medio que permita el acceso
23
remoto a la información?
Cuentan con un procedimiento de exploración, identificación y gestión de vulnerabilidades en equipos

24 de red (scanning), el cual se ejecuta periodicamente o después de modificaciones significativas en el
ambiente.
¿Su empresa ejecuta al menos una vez al año pruebas de ciberseguridad como ethical hacking o
25
pentest?
Cuentan con controles establecidos para la identificación, registro, monitoreo y bloqueo de ataques
26 informáticos o acceso de intrusos a la red interna de la empresa (NAC, DDoS, escaneo de puertos,
entre otros)
Cuentan con un procedimiento de identificación y actualización de parches de seguridad, considerando

27 que los parches sean instalados en hasta 30 días posterior a la divulgación por el fabricante y
obedeciendo los criterios de homologación
Todas las estaciones de trabajo y servidores cuentan con un software de antivirus actualizado a través
28
de un proceso constante de actualización.
Los datos son transmitidos encriptados desde o hacia Caja Los Andes, la transmisión de los datos
debe estar protegida por medio del uso de las últimas versiones estables y consensuadas con la
29
industria, por ejemplo TLS 1.2 o superior y en la criptografía es esperable a lo menos de cifrado
AES256.
Poseen una política de contraseñas fuertes que defina el largo, composición, vencimiento, entre otros,
30
que se encuentra alineada con las mejores prácticas.
31 Cuentan con controles que permitan mitigar fuga de información en estaciones de trabajo.
Cuentan con logs de auditoria que permitan tener trazabilidad de la información, los cuales son
32 almacenados al menos un año offline o bien considerando la regulación vigente. Indicar los datos que
son almacenados.
Cuentan con un firewall que asegure que las redes estén protegidas y que verifique el tráfico entre
33
cada una de ellas (red interna, red transaccional, red desmilitarizada, otras).
Cuentan con un Security Operation Center (SOC), propio o a través de un servicio externo, que opera
34 las 24 horas del día, con instalaciones, herramientas tecnológicas y personal dedicado, a fin de
prevenir, detectar, evaluar y responder a amenazas e incidentes de ciberseguridad.
¿Cuenta con un proceso de desarrollo seguro con el objetivo de eliminar vulnerabilidades que puedan
35
ser explotadas?
36 ¿Su empresa cuenta con un área o equipo encargada de desarrollo seguro?
37 ¿Su empresa cuenta con Segmentación de entornos de Desarrollo y Producción?
38 Cuentan con un proceso formal para la gestión de cambio en sistemas o aplicaciones.
Su empresa dispone que código fuente debe ser custodiado y almacenado por Caja los Andes y se
39
debe contar con procedimiento de acceso a estos códigos a cargo de TI.
Autoevaluación de Seguridad de la Información
da en la Hoja "Descripción de Niveles"

de no aplicar colocar N/A.
cada en la casilla "Observaciones".
Nivel
Evidencia Requerida Observaciones
Implementación
-- Política de Ciberseguridad o Seguridad de la Información 1 Politica de seguridad de la informacion aun en proceso de construccion
-- Normativas o procedimientos asociados a la gestión de Seguridad

1
de la Información.
-- Normativas o procedimientos asociados a la gestión de

Ciberseguridad.
Plan de contientización, el cual puede ser evidenciado por ejemplo a

través de:
-- Slide o presentación con los resultados de las actividades de
concientización.
-- Correo de difusión de cursos/informativos.
-- Cronograma de actividades de concientización.
Documento en donde se visualice el contenido de los requisitos para

el uso aceptable de recursos.
-- Política de resguardo de información física

-- Cláusula contractual donde se indique proceso de eliminación de
datos una vez terminado el servicio
-- Presentación de los riesgos de seguridad de la información o
ciberseguridad.
-- Informes de Riesgos
-- Política de Ciberseguridad o Seguridad de la Información.
-- Organigrama
-- Documentación de Certificaciones
-- Informes de Auditoría Externa (resumidos o completos)
Certificado ISO 27001 o otra certificación que detalle el alcance de la

certificación y su vigencia.
-- Política o normativa de tratamiento de activos de información.
-- Diagrama del proceso de tratamiento
Evidencia del inventario de los activos informáticos y su gestión, como
por ejemplo:
-- Print de pantalla de la planilla donde se registran los activos.
-- Print de pantalla del sistema en donde se registran los activos.
-- Planilla completa con el inventario de activos.
-- Print de pantalla o documento en donde se visualice la cláusula en
caso de subcontratación.
-- Planilla monitoreo a los proveedores subcontratados.
Documentación del proceso de respuesta a incidentes como por
ejemplo:
-- Diagrama de proceso
-- Procedimiento de respuesta a incidentes
-- Presentación con el proceso

ejemplo:
-- Evidencia de la ejecución del protocolo comunicacional o
documento en donde se encuentre establecido como informar a Caja
Los Andes en caso de exista una violación de seguridad.
-- Presentación de incidentes de seguridad de la información o
ciberseguridad. 1 No
-- Informes de Riesgos
--- Procedimiento/proceso de ofuscamiento de datos y sus diagramas

correspondientes. y/o Print de pantalla en donde se evidencie la
ejecución de una tarea de ofuscamiento o de los datos ya ofuscados.
--- Print de pantalla de la implementación de Certificados de seguridad
de los sitios WEB asociados. y/o Procedimientos de cifrado de datos
en tránsito.
Política o procedimiento de respaldos.
Evidencia de la existencia del plan o política de copias y pruebas, a
través de por ejemplo:
--- Cronograma de actividades de respaldo (excel o print de pantalla).
--- Presentación del plan de copias de seguridad y pruebas de
recuperación de datos.
Evidencia de la implementación de mecanismos a través de por

ejemplo:
--- Planilla con el registro de accesos lógicos a lugares de medios de
respaldo
--- Procedimiento de control de acceso o monitoreo a los lugares
donde se mantienen los medios de respaldo.
-- Procedimiento de generación de indicadores de riesgo.
-- Evidencia de panel donde se muestren los KRI
--- Política de accesos lógicos o Política de roles y perfiles
Evidencia de la existencia del plan o registro de accesos como por
ejemplo:
--- Planilla con el registro de accesos lógicos a los activos
tecnológicos (ej: cuentas de usuario). y/o Print de pantalla de la
plataforma en donde se observa el registro de accesos lógicos a los
activos.
Evidencia de la implementación de mecanismos de seguridad de base

de datos, por ejemplo a través de:
-- Print de pantalla de la implementación de mecanismos de
protección.
-- Evidencia de la implementación de mecanismos a través de por

ejemplo: -- Print de pantalla en donde se vea el mecanismo de control
de accesos.
-- Evidencia del uso de protocolos de seguridad para las conexiones
inalámbricas.
-- Evidencia de la implementación de MFA para el acceso remoto
como por ejemplo -- Print de pantalla del uso de MFA y/o Print de
pantalla de la configuración del MFA en el gestor de
identidades/accesos.
Documentación del proceso de identificación y mitigación de

vulnerabilidades como por ejemplo:
-- Procedimiento de identificación y mitigación de vulnerabilidades.
Evidencia de la realización de pruebas de Hacking Ético o Pentest
como por ejemplo:
--- Informe de Hacking Ético y Pentest. y/o correo electrónico con el
resumen de la ejecución de hacking ético y Pentest.
-- Indicar cuales son los mecanismos y un print de pantalla de como

estan implementados al momento de ingresar a la red interna.
-- Print de pantalla de la configuración y/o Planilla con el registro de
aplicación de controles de seguridad sobre equipos.
-- Extracto de acuerdo de servicio y/o contrato con la marca o
proveedor de la solución de mecanismos de seguridad para
denegación de servicios y/o Print de pantalla de la solución
implementada.
Evidencia de la implementación de mecanismos para mitigar las

vulnerabilidades y parchado, como por ejemplo:
--- Procedimiento o flujo de proceso de parchado de sistemas
operativos, y/o Print de pantalla de la instalación masiva de parches
de seguridad.
Evidencia de la implementación de mecanismos a través de por

ejemplo:
-- Extracto de contrato o acuerdo de servicio con proveedor o marca
de antivirus-antimalware. y/o Print de pantalla de la solución
implementada de antivirus o antimalware.

de los sitios WEB asociados. y/o Procedimientos de cifrado de datos
en tránsito.
Evidencia de la implementación de mecanismos, por ejemplo a través

de:
--- Políticas/normas/estándares de contraseñas y/o Print de pantalla
de configuración de estándares de contraseñas y mantención de
cuentas de acceso.
Política o plan de configuración de revisión y actualización de
versiones o plan de mantención sobre la infraestructura.
Evidencia de la política de seguridad, a través de:
--- Print de pantalla de la configuración de la política en un dispositivo.
--- El documento Word o PDF que contengan la política.
-- Print de pantalla de la solución de detección de dispositivos o
software no autorizado. (puede ser pantalla de alerta en caso que
identifique un dispositivo no autorizado)
-- Evidencia de la implementación de mecanismos de registro de

eventos como por ejemplo: -- Política/normativa/estandar de retención
de registros o un extracto en donde se indique la frecuencia.
-- Evidencia de la implementación de registros de auditoría y sus
requisitos mínimos, tales como --- Print de pantalla de un log de
auditoría y/o Procedimiento de retención de registros y logs de
auditoría
Evidencia del diseño de redes, como por ejemplo:

-- Print de pantalla del diseño de la red corporativa.
-- Documento PDF o WORD con el diseño de la red.
-- Print de pantalla de login las consolas de cortafuegos, IPS o WAF.
y/o extracto del contrato o compra de licencias de soluciones de
cortafuegos, IPS o WAF
Evidencia de la implementación de monitoreo a través de por ejemplo:
-- Print de pantalla del login de la consola de monitoreo. y/o Print de
pantalla del panel de monitoreo (pueden ofuscarse datos que no sean
de CLA).
Evidencia de la implementación de mecanismos para gestionar las
vulnerabilidades, por ejemplo:
--- Matrices de riesgo que consideren la evaluación de
vulnerabilidades.
y/o Informes de riesgo y vulnerabilidades.
-- Política de Desarrollo Seguro
-- Metodología de desarrollo seguro (Word, PDF o presentación) que
mencione los roles y responsabilidades del área.
-- Política/normativa/procedimiento de segregación de ambientes.
-- Print de pantalla con la implementación o el diseño de la red en
donde se evidencia la segregación de ambientes.
Procedimiento o flujo de proceso de gestión y control de cambios.
-- Política de respaldo de código fuente.

-- Procedimiento de acceso a código fuente y/o flujo del proceso.
Autoevaluación para Sevicio
Instrucciones
1. En caso que el proveedor de servicios cloud cuenta con certificaciones vigentes, completar esta pestaña es opcional, siempre
2. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "Descripción de Nivele
N° Requerimiento
La información de la empresa, en todo el ciclo de vida (recepción, procesamiento, reposo y salidas) es

1
encriptada o posee control de acceso restringido y monitoreado (end to end).
Cuenta con herramientas de control y monitoreo del servicio externalizado en el Centro de
Procesamiento de Datos en el exterior, especialmente, en los aspectos relacionados con la seguridad
2
de la información, continuidad del negocio y condiciones de operación del centro de procesamiento (up
Cuenta con antecedentes que respaldan la solidez financiera del proveedor nube y que mantiene
time).
3 certificaciones de calidad, seguridad y apropiados sistemas de control, las cuales deben estar
disponibles en caso de requerimientos posteriores.
Realiza informes de auditoría a los servicios prestados y dichos informes se encuentran disponibles,
4
para ser consultados en cualquier momento.
Cuenta con procedimientos operacionales, administrativos y tecnológicos propios del servicio
5 contratado, se encuentren debidamente documentados, actualizados y a disposición en caso de ser
requeridos.
Los datos, plataformas tecnológicas y aplicaciones a utilizar en la externalización de los servicios deben
encontrarse en sitios de procesamiento específicos y para el caso de procesamiento en el extranjero,
6
en una jurisdicción definida y conocida. Además de la jurisdicción, se debe conocer la ciudad donde
operan los centros de datos.
Cuenta con medidas efectivas de control y protección en los servicios nube, como herramienta de
7 defensa perimetral, ta les como IDS e IPS, inteligencia de amenazas que permita la identificación de
ataques externos.
Realiza de manera periódica evaluaciones de vulnerabilidad de su infraestructura tecnológica y testeos

8 de penetración con un proceso definido para la gestión y mitigación de los hallazgos, las cuales se
encuentran a disposición en caso de requerimientos posteriores.
Cuenta con adecuados mecanismos de seguridad, tanto físicos como lógicos para aislar los
9 componentes de la infraestructura nube, de manera de prevenir fugas de información o eventos que
puedan afectar la confidencialidad e integridad de los datos de la entidad.
El proveedor nube cuenta con procedimiento de identificación y gestión de incidentes, el cual menciona
10
la notificación inmediata en caso de verse comprometida información de la Organización.
El proveedor nube cuenta con certificaciones independientes, reconocidas internacionalmente, en

11 términos de gestión de la seguridad de la información, la continuidad del negocio y la calidad de
servicios que recojan las mejores prácticas vigentes, al menos ISO 27001, SOC 1, SOC 2, CSA u otra.
Cuenta con procedimientos de intercambio de claves entre el proveedor de servicios y la Organización,
12 además de establecerse los roles y responsabilidades de las personas involucradas en la
administración de la seguridad.
Los datos cifran utilizando el sistema de derivación de clave basado en HSM avanzado. La clave es
13 generada por el HSM de la empresa y almacenada en un ambiente con el mismo nivel de control, es
decir, debe ser utilizado HSM del proveedor para almacenamiento y protección de la clave.
Los datos son transmitidos encriptados, la transmisión de los datos debe estar protegida por medio del
uso de las últimas versiones estables y consensuadas con la industria, por ejemplo TLS 1.2 o superior
14
y en la criptografía es esperable a lo menos de cifrado AES256. Se utiliza certificados Internacional /
Global Step Up SSL con un 2048 bits de clave pública.
Utiliza sólo la clave de sesión de token (mínimo de 64 caracteres generados de forma aleatoria, no
15
debe ser estática) o API para mantener el estado del cliente en una caché Del lado del servidor.
Anti-replay: Considera el uso de una clave de cifrado de tiempo limitado, cerrado contra la clave de
16
sesión de token o API, fecha, hora y dirección IP entrante.
Protección métodos HTTP. Posee una política o control de acceso para determinar el token de sesión /
17 API con acceso a una colección de recursos, usuario o acción debe ser definido para cada método
HTTP.
Posee política que restringe los métodos permitidos. Al igual que el requisito anterior es importante
18 para que el servicio restrinja los métodos permitidos para determinada entidad. Los métodos que no se
utilicen están deshabilitados en el servidor web.
Protección de las acciones privilegiadas y las colecciones de recursos sensibles. El token de sesión o
19 API key se envía como parámetro de cookie o en el cuerpo para garantizar que los recursos
privilegiados o las acciones estén debidamente protegidos contra el uso no autorizado.
Las API aseguran que la salida enviada a los clientes son codificados para ser consumidos como datos
20
y no como secuencias de comandos.
En el caso de XML encoding siempre utiliza un XML serializer para garantizar que el contenido enviado
21
al navegador es "parseable" y no contiene inyección de XML.
Las APIs cuentan con Log (referente a los accesos y acciones en base de datos) y cuente fallas de
22 validación de input, cualquiera puede realizar llamadas en el servicio Web, se encuentra implementada
la limitación de límites para fallas en la validación de entrada en un determinado período de tiempo.
23 Las APIs cuentan con una especificación del tipo de datos de entrada.
Validar el Content-Type APIs. El cliente nunca debe asumir el Content-Type (por ejemplo, application /
24
xml o application / json), el encabezado Content-Type y el contenido son del mismo tipo.
El servidor de autorización de las APIs considera la limitación del número de tokens de acceso
25
concedidos por el usuario.
El Tráfico vía API con encriptación en el canal de comunicación HTTP, es mínimo certificado TLS1.2 o
26
mayor.
El servidor de autorización de las APIs considera la limitación del número de tokens de acceso
27
concedidos por el usuario.
Pista de auditoría APIs - El registro referente a los accesos y acciones en base de datos segregada
28
conforme Normativa Interna.
Protección de los registros de las APIs debe asegurar que no sea posible manipulación vía
29
herramienta, incluso por usuarios privilegiados (administradores).
Contar con un esquema de protección de las claves API (tokens) que incluya al menos:
* No incorporar las claves de la API directamente en el código;
* No almacene claves de API en archivos dentro del árbol de origen de la aplicación;
* Restrinja las claves de la API que sólo se utilizarán por las direcciones IP, las URL de referencia y las
30
aplicaciones móviles que las necesitan;
* Eliminar claves de API innecesarias;
* Registre las claves de la API periódicamente.
* Realizar análisis de vulnerabilidad en la API.
Existe una gestión de perfiles de acceso a los datos almacenados en servicios nube (usuarios
31
convencionales y privilegiados), independientemente del tipo de información almacenada.
Los servicios públicos y las condiciones ambientales del centro de datos donde se encuentra alojado el
servicio Cloud, cuentan con controles mínimos tales como (Agua Potable, Respaldo Energético,
32 Telecomunicaciones, etc). Además dichos controles son probados para dar efectividad continua a
intervalos planificados para garantizar la protección y reducir el riesgo en caso de interrupciones
planificadas o no planificadas.
Las instalaciones del Servicio Cloud, cuentan con protección física contra daños por causas naturales y
desastres (ataques terroristas, incendios, inundaciones, descargas eléctricas atmosféricas, tormentas
geomagnéticas inducidas por el sol, viento, terremotos, tsunamis, explosiones, accidentes nucleares,
33
actividad volcánica, riesgos biológicos, disturbios civiles u otras formas de desastres provocados por el
hombre) y se encuentra alejado de estos lugares considerando controles de recuperación redundantes
ubicados a una distancia razonable entre sí.
Los servicios de almacenamiento en la nube establecen políticas y procedimientos de Continuidad de

Negocio, las cuales implementarán los procesos comerciales y las medidas técnicas de soporte para el
34
mantenimiento del equipo, lo que garantizará la continuidad y disponibilidad de las operaciones junto al
personal de soporte.
Se han realizado pruebas de activación de recuperación de desastres (DRP) dentro servicio de cloud
35 durante los últimos 12 meses y además estos han sido revisados por parte de auditoría interna/externa
en conjunto con los Planes de Continuidad de Negocio asociada a los servicios Cloud.
Se han realizado pruebas de los respaldos de datos o replicación del servicio Cloud, indicar
periodicidad y RPO (Punto Recuperación Objetivo) establecidos en conjunto con la realización de
36
mediciones de Acuerdos de Niveles de Servicios (SLA/Uptime) durante las pruebas de recuperación y
continuidad de los servicios Cloud.
La entidad cuenta con un plan de gestión de incidentes y plan de comunicaciones para aquellos riesgos
37
que afecten o interrumpan los servicios cloud.
La entidad realiza de forma periódica evaluaciones de riesgos (RA) que afecten la continuidad
38
operacional de los servicios cloud.
Autoevaluación para Sevicios Cloud (Nube)
mpletar esta pestaña es opcional, siempre y cuando se evidencie certificado.
cionada en la Hoja "Descripción de Niveles"
caso de no aplicar colocar N/A.
Nivel
Evidencia Requerida
Implementación
Indicar cuales son las herramientas de cifrado en reposo y evidenciar
su implementación a través de por ejemplo:
--- Print de pantalla de la implementación de cifrado en reposo.
Evidenciar la consideración de controles de seguridad en los entornos
en la nube a través de por ejemplo:
--- Procedimientos de configuración de activos en la nube.
-- Presentación corporativa de proveedor nube.
-- Antecedentes financieros del proveedor nube
-- Documentación de Certificaciones
-- Informes de Auditoría Externa (resumidos o completos)
-- Procedimientos operacionales, administrativos y tecnológicos del

proveedor nube
-- Indicar país donde se encuentran los centros de datos del proveedor.

-- Indicar el país donde serán almacenados los datos de CLA
-- Print de pantalla de login las consolas de cortafuegos, IPS o WAF.
y/o extracto del contrato o compra de licencias de soluciones de
cortafuegos, IPS o WAF
Evidencia de la implementación de mecanismos para identificar y

clasificar vulnerabilidades, por ejemplo a través de:
--- Procedimiento/estándar para la clasificación de vulnerabilidades y/o
Informe de vulnerabilidades con las mismas clasificadas.
Evidenciar la consideración de controles de seguridad en los entornos

en la nube a través de por ejemplo:
--- Procedimientos de configuración de activos en la nube.
ejemplo:
-- Procedimiento de respuesta a incidentes
Certificado ISO 27001 o otra certificación que detalle el alcance de la
certificación y su vigencia.
-- Documentación del proceso de intercambio de llaves definidas entre

proveedor.
-- Documentación del proceso de intercambio de llaves definidas entre

proveedor.

de los sitios WEB asociados. y/o Procedimientos de cifrado de datos en
tránsito.
-- Print de pantalla de definición de clave.

-- Print de pantalla de definición y configuración de clave.
-- Política de control de acceso a los métodos HTTP
-- Política de métodos permitidos y proceso de deshabilitación.

-- Flujo del proceso.
-- Evidencia de habilitación y eliminación de métodos.
-- Print pantalla con evidencia de controles.

-- Flujo definido por la organización
-- Indicar los controles aplicados para validar la integridad de la
información.
-- Print pantalla con evidencia de controles.
-- Flujo definido por la organización
-- Print de pantalla de definición y configuración en caso de XML.

auditoría
-- Print de pantalla con los tipo de datos de entrada.
-- Print de pantalla con configuración de token de servidor.
Indicar cuales son las herramientas de cifrado en proceso y evidenciar

su implementación a través de por ejemplo:
--- Print de pantalla de la implementación de cifrado en proceso.

auditoría
-- Evidencia de las medidas de protección definidas para los registros
de logs.
-- Documento con el detalle de las medidas de protección.

-- Print de oantalla con las medidas de seguridad.
--- Política de accesos lógicos o Política de roles y perfiles

Evidencia de la existencia del plan o registro de accesos como por
ejemplo:
--- Planilla con el registro de accesos lógicos a los activos tecnológicos
(ej: cuentas de usuario). y/o Print de pantalla de la plataforma en donde
se observa el registro de accesos lógicos a los activos.
Se debe adjuntar Políticas, Manuales, Procedimientos, Normas,

Presentaciones, Informes y/o documentos que evidencien los puntos
de control en el ámbito de Continuidad de negocio necesarios para
realizar la evaluación.

Observaciones
N/A
5
Autoevaluación de Continuidad de Neg
Instrucciones
1. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "Descripción de Niveles
N° Requerimiento
La entidad cuenta con un Modelo de Gestión de la Continuidad de Negocio, el que considera

Políticas, Normas, Planes de Continuidad de Negocio, aprobadas por el Directorio o Alta Gerencia,
1 los que se actualizan anualmente o cada vez que ocurren cambios significativos en la organización
y que son concordantes con las necesidades del negocio y la calidad de los servicios
comprometidos. Adjuntar evidencias.
La organización posee Planes de Continuidad de Negocio que aborden al menos los siguientes
escenarios de interrupción; Ausencia del Personal Crítico (el cuál considere ausencias masivas del
personal en caso de Pandemia u otro similar), Imposibilidad de acceder y/o utilizar las instalaciones
2
físicas, falta de provisión de los servicios contratados a proveedores. Además de Planes de
recuperación tecnológica que aborde al menos la Falta total y/o parcial de los sistemas
tecnológicos, Ataques maliciosos que afecten la ciberseguridad, entre otros. Adjuntar Evidencia.
La organizacion ha presentado algún incidente que no este cubierto por el plan de continuidad del
3 negocio para el servicio contratado. (Adjuntar Evidencia de Listado de Incidentes de los ultimos 12
meses).
La organización cuenta con un procedimiento formal de comunicaciones hacia las partes

4 interesadas y que opere frente a incidente que puedan interrumpir el normal funcionamiento sobre
el servicio prestado. Adjuntar Evidencia.
La organización realiza la calendarización de pruebas de contingencia para realizar una correcta

5 medición de los planes de continuidad de negocio las cuales se encuentren programadas
anualmente. Adjuntar Evidencia
La organización cuenta formalmente con un responsable a cargo de la continuidad del negocio,

además de contar con el personal suficiente, idóneo y con la experiencia necesaria para afrontar
6
los diferentes escenarios de contingencias o emergencias que se pueden presentar en su
organización y que nos puedan impactar en los servicios que nos ofrecen. Indicar Cargos.
La entidad realiza Pruebas de efectividad a los Planes Operacionales y/o Tecnológicos, con
periodicidad anual, según la criticidad de sus procesos y que contemplen pobrar los distintos
escenarios de disrupción, pruebas de recuperación de datos de sus servicios y respaldos de la
7
información, pruebas de recuperación de desastres (DRP) en su centro de procesamientos de
datos tecnologicos, con resultados documentados y medidas correctivas implementadas. Adjuntar
evidencia.
La entidad ha desarrollado una metodología formal de Evaluación de Impacto al Negocio (BIA) de
acuerdo al nivel de criticidad de sus procesos, donde se establezcan Tiempos Recuperación
Objetivos (RTO) y el Máximo Periodo de Tiempo de Disrupción (MTPD); y además, un Análisis de
8 Riesgos (RIA o RA) estableciendo gestiones sobre los principales riesgos identificados con mayor
criticidad con el fin de mitigar su impacto. Ambas metodologías deben realizarse al menos con una
perodicidad anual para el servicio contratado. Adjuntar Evidencia.
La entidad cuenta con un comité de crisis para responder frente a incidentes que afecten la
9 continuidad operacional de los servicios prestados. el cual haya sido aprobado por el Directorio o
Alta Gerencia.
La organización ha presentado algún incidente que haya afectado la continuidad operacional de

los servicios prestados durante los últimos 12 meses, además de contar con áreas de soporte y
10
definición de niveles de servicios mínimos (SLA o %Uptime) en caso de presentar algún tipo de
interrupción al servicio prestado.
La entidad ha realizado revisiones de Auditoria Interna o Externa al Modelo de Gestión de la

11 Continuidad de Negocio en los últimos 12 meses o cuenta con alguna certificación ISO en materia
de Continuidad de Negocio
Antes de introducir nuevos productos, emprender nuevas actividades o definir nuevos procesos y
12 sistemas, la organización se asegura de evaluar los riesgos de continuidad del negocio frente a
fallas de sus servicios.
La Organización subcontrata o externaliza los procesos para el servicio prestado. Especificar que
13
servicios en caso de subcontratación.
La Organización tiene un plan anual de capacitación formal para el personal de la organización en

14
materia de Continuidad de Negocio. Adjuntar Evidencia.
Autoevaluación de Continuidad de Negocio
mencionada en la Hoja "Descripción de Niveles"

", en caso de no aplicar colocar N/A.
Evidencia Requerida Nivel Implementación Observaciones
Se debe adjuntar Políticas, Manuales,

Procedimientos, Normas, Presentaciones,
Informes y/o documentos que evidencien los
puntos de control en el ámbito de Continuidad
de negocio necesarios para realizar la
evaluación.

evaluación.
evaluación.

evaluación.

evaluación.

evaluación.

evaluación.
evaluación.

evaluación.

evaluación.

evaluación.
evaluación.
evaluación.

evaluación.

EXTERNO Cuestionario Servicios Externalizados (R.O)

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

EXTERNO Cuestionario Servicios Externalizados (R.O)

Cargado por

Copyright:

Formatos disponibles

INFORMACIÓN G

Razón Social de la Empresa:

Grupo o Holding al que Pertenece:

Nombre de Persona de Contacto:

Servicio a ser contratado (Breve descripción)

División Área representate del Servicio

NOTA: Se solicita acompañar con los siguientes documentos

II. Documentos Requeridos

Presentación Corporativa Empresa (PPT, PDF)

Presentación del Servicio Contratado (PPT, PDF)

I. Datos Generales de la Empresa

Nombre del Funcionario Responsable

smo, asegurando la veracidad de las respuesta y datos proporcionados.

Los procesos se ejecutan, monitorean y se mide su nivel de

Existe una actualización de los planes y pruebas de

Frente al servicio prestado:

da en la Hoja "Descripción de Niveles"

Evidencia Nivel Implementación

1. Políticas, Metodologías y/o Procedimientos, relacionados

Procedimiento de Gestión de Incidentes, donde se

Plan de capacitación al personal, Plan de comunicación y

- Reportes a los Clientes, correspondientes a la Gestión de

- Metodología y/o Procedimientos de Administración ,

Control de Cambios establecidos en Políticas y

En caso de existir, dar mayor detalle del evento.

- Contrato tipo de subcontratación.

- Listado de empresas con las cuales se mentiene

Procedimiento de Administración, contratación de personal y

- Políticas y/o Procedimientos de Auditorías Internas y

- Programa formal de Auditorías Internas y Externas.

Metodología y/o Procedimiento asociada a la de detección y

¿Cuenta con una Política corporativa de Seguridad de la Información?, documentada, basada en el

¿Cuentan con políticas o procedimientos aprobados y documentados para la configuración de

Cuenta con un Oficial de Seguridad de la Información u otro profesional responsable de la gestión de la

Cuentan con un proceso de revisiones orientadas a la evaluación de riesgos de seguridad de la

¿Cuenta con un Proceso de Gestión y respuesta de incidentes de Seguridad de la información y

Cuentan con un procedimiento de exploración, identificación y gestión de vulnerabilidades en equipos

Cuentan con un procedimiento de identificación y actualización de parches de seguridad, considerando

36 ¿Su empresa cuenta con un área o equipo encargada de desarrollo seguro?

37 ¿Su empresa cuenta con Segmentación de entornos de Desarrollo y Producción?

38 Cuentan con un proceso formal para la gestión de cambio en sistemas o aplicaciones.

da en la Hoja "Descripción de Niveles"

-- Normativas o procedimientos asociados a la gestión de Seguridad

-- Normativas o procedimientos asociados a la gestión de

Plan de contientización, el cual puede ser evidenciado por ejemplo a

Documento en donde se visualice el contenido de los requisitos para

-- Política de resguardo de información física

Certificado ISO 27001 o otra certificación que detalle el alcance de la

Documentación del proceso de respuesta a incidentes como por

--- Procedimiento/proceso de ofuscamiento de datos y sus diagramas

Evidencia de la implementación de mecanismos a través de por

Evidencia de la implementación de mecanismos de seguridad de base

-- Evidencia de la implementación de mecanismos a través de por

Documentación del proceso de identificación y mitigación de

-- Indicar cuales son los mecanismos y un print de pantalla de como

Evidencia de la implementación de mecanismos para mitigar las

Evidencia de la implementación de mecanismos a través de por

--- Procedimiento/proceso de ofuscamiento de datos y sus diagramas

Evidencia de la implementación de mecanismos, por ejemplo a través

-- Evidencia de la implementación de mecanismos de registro de

Evidencia del diseño de redes, como por ejemplo:

-- Política de respaldo de código fuente.

La información de la empresa, en todo el ciclo de vida (recepción, procesamiento, reposo y salidas) es