Documentos de Académico
Documentos de Profesional
Documentos de Cultura
I. Datos Gen
Número de RUT
Principales Accionistas
N° Teléfono
Correo electrónico:
Informes auditores o consultores externos respecto al control interno, gestion de riesgo, seguridad de l
INFORMACIÓN GENERAL DEL PROVEEDOR
stion de riesgo, seguridad de la información , continuidad del negocio de la empresa (en caso de existir).
so de existir).
DECLARACIÓN DE RESPONSABILIDAD
Quién suscribe el presente documento, declara conocer el íntegro del contenido del mismo, asegurando la ve
Caja Los Andes se reserva el derecho de solicitar documentación que respalde las respuestas.
NivelNivel Implementación Riesgo Operacional Seguridad de la Información Continuidad de Negocios Servicio Cloud
Desconocimiento por parte de la empresa. Inexistencia de Desconocimiento por parte de la empresa. Inexistencia de Desconocimiento por parte del proveedor o inexistencia de Desconocimiento por parte del proveedor o inexistencia de
0 Inexistente
eventos, procesos y/o actividades relacionadas. eventos, procesos y/o actividades relacionadas. procesos y/o actividades relacionadas. procesos y/o actividades relacionadas.
No existe registro de evaluaciones de riesgos para medir el No existe un proceso estándar para la ejecución de la No existe registros de evaluaciones de Continuidad de No existen definiciones ejecutar actividades, si bien se
grado de exposión existente al interior de la empresa, si actividad, si bien se aplican controles, éstos no se encuentran Negocio para medir el grado de exposión existente al interior aplican controles, éstos no se encuentran formalizados y
1 Inicial / Ad-hoc bien existen controles definidos, éstos no se encuentran formalizados y son ejecutados de forma individual por las de la organización, si bien existen controles definidos, éstos no son ejecutados de forma individual por los responsables. La
formalizados y son ejecutados de forma reactiva por parte áreas o bien por evento. La administración del proceso al se encuentran formalizados y son ejecutados de forma administración del proceso al interior de la empresa es
de personal a cargo. interior de la empresa es desorganizado. reactiva por parte de personal a cargo. desorganizado.
Existen procesos estándar que son desarrollados por la Se aplican controles pero no existe capacitación,
Se ejecutan procesos básicos de control al interior de la empresa, pero no existe capacitación, comunicación y Se ejecutan procesos básicos de Continuidad de Negocio, comunicación y formalización de dichos controles en
Repetible, pero
2 empresa, estos controles permiten identificar algunos formalización de dichos procedimientos, se deja la pero éstos no se encuentran formalizados ni divulgados al procedimientos o manuales, se deja la responsabilidad al
intuitivo
incidentes operacionales. responsabilidad al individuo confiando en sus conocimientos, interior de la organización. individuo confiando en sus conocimientos, se pueden
se pueden producir errores. producir errores.
Existe una estructura de gobierno de riesgos definida en la Existen procesos definidos y documentados los cuales se han Existe una estructura de gobierno y planes de Continuidad de Los procesos se encuentran definidos, documentados y
Procesos empresa. Los controles se establecieron para identificar a difundido al interior de la empresa, no existen controles Negocio definida en la empresa y planes de recuperación de han sido difundidos al interior de la empresa, no existen
3
definidos los responsables, los cuales se encuentran documentados, establecidos para validar la correcta ejecución o desviaciones desastres TI los cuales estan documentados y aprobados por controles establecidos para validar la correcta ejecución o
aprobados, implementados y actualizados. por parte de los colaboradores. la alta gerencia. desviaciones por parte de los colaboradores.
Los servicios externalizados o realizados por el proveedor Los servicios externalizados o realizados por el proveedor no Los servicios externalizados o realizados por el proveedor no Los servicios externalizados o realizados por el proveedor
N/A No Aplica
no tienen relación con el control. tienen relación con el control. tienen relación con el control. no tienen relación con el control.
N°
6
7
10
Autoeval
Instrucciones
1. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "
2. Todos los campos deben ser completados en la columna "Nivel Implementación", en caso de no aplicar c
3. Comente o fundamente en caso que corresponda en la casilla "Observaciones".
Requerimiento
¿Su empresa cuenta con políticas , metodologías y/o procedimientos formales y aprobados por el Directorio
y/o comites, que contemple la Gestión de Riesgo Operacional, enfocada en su tolerancia al riesgo y Eventos
de Pérdidas?.
Su empresa cuenta con un procedimiento de Gestión de Incidentes donde se considere su registro, gestión y
protocolo de comunicación de incidentes a CLA?
¿Los colaboradores de su empresa tienen internalizado el tema de riesgo operacional como parte de sus
funciones, identificando y comunicando los riesgos en forma oportuna al área encargada de evaluar el riesgo,
con el propósito de establecer planes de acción y su posterior seguimiento?
¿Todos sus procesos cuentan con responsables claramente definidos y métricas que permitan verificar el
cumplimiento de los compromisos acordados con los clientes en tiempo y forma (Acuerdos de Nivel de
Servicios: SLA)?, ¿estos procedimientos, metodologías y politicas, se encuentran aprobados y son revisados
a los menos una vez cada 12 meses, o cuando cualquier cambio operacional lo amerite?
¿La empresa ha recibido amonestaciones, reclamos, multas o sanciones por no cumplir con los niveles de
acuerdo de servicios establecidos para la entrega del servicio que desea brindar a la empresa?
En caso que el servicio contemple terceros subcontratados.
- ¿Su empresa puede asegurar que los contratos con esos proveedores incluyan cláusulas de
confidencialidad y resguardo de la información, auditabilidad, de continuidad del negocio, niveles de servicio,
multas y otras de cumplimiento regulatorio?.
- La empresa ocupa en sus procesos de servicios, personal subcontratado que maneja información crítica de
servcio a contratar por la empresa, este personal firma algún documento de confidencialidad de información
que resguarde la información que manipula?
¿En su empresa las políticas y/o procedimientos formales de selección, contratación, capacitación y
evaluación del personal idóneo son monitoreados en forma periódica con el objetivo de asegurar mejorar el
desempeño y calidad de los servicios entregados?
Su empresa cuenta con políticas y/o procedimiento de auditoría interna y/o externa a sus procesos, los que
favorezcan una opinión independiente, y donde cuyos hallazgos y sus correcciones se encuentren
documentadas? Estas auditorías cuentan con un programa formal y periódico de realización?
¿Su empresa cuenta con un proceso formal de detección y acciones a realizar en caso de presentarse algún
tipo de fraude (interno y externo)?, que se apoye con herramientas o procesos que permitan prevenir y
monitorear riesgos de fraudes (interno y externo)?
Autoevaluación de Riesgo Operacional
Instrucciones
1. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "Descripción de Niveles"
2. Todos los campos deben ser completados en la columna "Nivel Implementación", en caso de no aplicar colocar N/A.
3. Comente o fundamente con la mayor cantidad de antecedentes posibles la evaluación indicada en la casilla "Observaciones".
N° Requerimiento
¿Su empresa cuenta con Normativas de Ciberseguridad? las cuales se encuentran documentadas y
3
basadas en el estandares internacional por ejemplo: NIST, COBIT, entre otros.
Ejecuta de forma programada y periódica (a lo menos una vez al año), planes de concientización a sus
colaboradores internos acorde a sus roles y responsabilidades, propiciando la comprensión y adhesión
4
a la normativa de seguridad vigente, garantizando la confidencialidad, integridad y disponibilidad de la
información.
11 ¿Su empresa cuenta con Politica o normativa respecto al tratamiento de activos de información?
En caso de subcontratación, ¿su empresa dispone de controles que permitan identificar, monitorear y
13
mitigar riesgos en seguridad de la información sobre los procesos externalizados?.
¿Su empresa cuenta con un protocolo de comunicación de incidentes en caso de verse comprometida
15
la información de Caja Los Andes?.
¿Su empresa cuenta con una instancia colegiada para informar, gestionar y tomar de decisiones sobre
16
los incidentes?
¿Cuenta con un proceso de tratamiento de información, durante todo el ciclo de vida, almacenamiento,
17
traslado y su destrucción?
Cuentan con procedimientos de respaldo de información para proteger la información contra pérdida,
18 asegurar la continuidad de las operaciones de procesamiento de datos y proveer la habilidad de
restaurar las operaciones de procesamiento de datos luego de un evento disruptivo.
Los sectores o lugares donde se conservan o mantienen los medios de respaldo con la información
19 digital de los clientes, poseen controles de acceso físico, bitácoras de registro, supervisión y monitoreo,
tal que se tiene un control apropiado de quienes acceden a los medios de almacenamiento.
¿Su empresa cuenta con indicadores de riesgos (KRI) relacionados a seguridad de la información y
20
ciberseguridad?
¿Cuenta con un proceso de administración de cuentas de usuarios que contempla las altas, bajas,
21
modificaciones, accesos externos u otras?
¿Su empresa cuenta con un proceso de administración y control sobre los accesos a las bases de
22
datos que almacenan informacion de Caja los Andes?
¿Su empresa cuenta con conexión VPN con protocolo seguro u otro medio que permita el acceso
23
remoto a la información?
Cuentan con controles establecidos para la identificación, registro, monitoreo y bloqueo de ataques
26 informáticos o acceso de intrusos a la red interna de la empresa (NAC, DDoS, escaneo de puertos,
entre otros)
Todas las estaciones de trabajo y servidores cuentan con un software de antivirus actualizado a través
28
de un proceso constante de actualización.
Los datos son transmitidos encriptados desde o hacia Caja Los Andes, la transmisión de los datos
debe estar protegida por medio del uso de las últimas versiones estables y consensuadas con la
29
industria, por ejemplo TLS 1.2 o superior y en la criptografía es esperable a lo menos de cifrado
AES256.
Poseen una política de contraseñas fuertes que defina el largo, composición, vencimiento, entre otros,
30
que se encuentra alineada con las mejores prácticas.
31 Cuentan con controles que permitan mitigar fuga de información en estaciones de trabajo.
Cuentan con logs de auditoria que permitan tener trazabilidad de la información, los cuales son
32 almacenados al menos un año offline o bien considerando la regulación vigente. Indicar los datos que
son almacenados.
Cuentan con un firewall que asegure que las redes estén protegidas y que verifique el tráfico entre
33
cada una de ellas (red interna, red transaccional, red desmilitarizada, otras).
Cuentan con un Security Operation Center (SOC), propio o a través de un servicio externo, que opera
34 las 24 horas del día, con instalaciones, herramientas tecnológicas y personal dedicado, a fin de
prevenir, detectar, evaluar y responder a amenazas e incidentes de ciberseguridad.
¿Cuenta con un proceso de desarrollo seguro con el objetivo de eliminar vulnerabilidades que puedan
35
ser explotadas?
Su empresa dispone que código fuente debe ser custodiado y almacenado por Caja los Andes y se
39
debe contar con procedimiento de acceso a estos códigos a cargo de TI.
Autoevaluación de Seguridad de la Información
Nivel
Evidencia Requerida Observaciones
Implementación
-- Política de Ciberseguridad o Seguridad de la Información 1 Politica de seguridad de la informacion aun en proceso de construccion
-- Documentación de Certificaciones
-- Informes de Auditoría Externa (resumidos o completos)
Instrucciones
1. En caso que el proveedor de servicios cloud cuenta con certificaciones vigentes, completar esta pestaña es opcional, siempre
2. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "Descripción de Nivele
3. Todos los campos deben ser completados en la columna "Nivel Implementación", en caso de no aplicar colocar N/A.
4. Comente o fundamente en caso que corresponda en la casilla "Observaciones".
N° Requerimiento
Cuenta con adecuados mecanismos de seguridad, tanto físicos como lógicos para aislar los
9 componentes de la infraestructura nube, de manera de prevenir fugas de información o eventos que
puedan afectar la confidencialidad e integridad de los datos de la entidad.
El proveedor nube cuenta con procedimiento de identificación y gestión de incidentes, el cual menciona
10
la notificación inmediata en caso de verse comprometida información de la Organización.
Los datos cifran utilizando el sistema de derivación de clave basado en HSM avanzado. La clave es
13 generada por el HSM de la empresa y almacenada en un ambiente con el mismo nivel de control, es
decir, debe ser utilizado HSM del proveedor para almacenamiento y protección de la clave.
Los datos son transmitidos encriptados, la transmisión de los datos debe estar protegida por medio del
uso de las últimas versiones estables y consensuadas con la industria, por ejemplo TLS 1.2 o superior
14
y en la criptografía es esperable a lo menos de cifrado AES256. Se utiliza certificados Internacional /
Global Step Up SSL con un 2048 bits de clave pública.
Utiliza sólo la clave de sesión de token (mínimo de 64 caracteres generados de forma aleatoria, no
15
debe ser estática) o API para mantener el estado del cliente en una caché Del lado del servidor.
Anti-replay: Considera el uso de una clave de cifrado de tiempo limitado, cerrado contra la clave de
16
sesión de token o API, fecha, hora y dirección IP entrante.
Protección métodos HTTP. Posee una política o control de acceso para determinar el token de sesión /
17 API con acceso a una colección de recursos, usuario o acción debe ser definido para cada método
HTTP.
Posee política que restringe los métodos permitidos. Al igual que el requisito anterior es importante
18 para que el servicio restrinja los métodos permitidos para determinada entidad. Los métodos que no se
utilicen están deshabilitados en el servidor web.
Protección de las acciones privilegiadas y las colecciones de recursos sensibles. El token de sesión o
19 API key se envía como parámetro de cookie o en el cuerpo para garantizar que los recursos
privilegiados o las acciones estén debidamente protegidos contra el uso no autorizado.
Las API aseguran que la salida enviada a los clientes son codificados para ser consumidos como datos
20
y no como secuencias de comandos.
En el caso de XML encoding siempre utiliza un XML serializer para garantizar que el contenido enviado
21
al navegador es "parseable" y no contiene inyección de XML.
Las APIs cuentan con Log (referente a los accesos y acciones en base de datos) y cuente fallas de
22 validación de input, cualquiera puede realizar llamadas en el servicio Web, se encuentra implementada
la limitación de límites para fallas en la validación de entrada en un determinado período de tiempo.
23 Las APIs cuentan con una especificación del tipo de datos de entrada.
Validar el Content-Type APIs. El cliente nunca debe asumir el Content-Type (por ejemplo, application /
24
xml o application / json), el encabezado Content-Type y el contenido son del mismo tipo.
El servidor de autorización de las APIs considera la limitación del número de tokens de acceso
25
concedidos por el usuario.
El Tráfico vía API con encriptación en el canal de comunicación HTTP, es mínimo certificado TLS1.2 o
26
mayor.
El servidor de autorización de las APIs considera la limitación del número de tokens de acceso
27
concedidos por el usuario.
Pista de auditoría APIs - El registro referente a los accesos y acciones en base de datos segregada
28
conforme Normativa Interna.
Protección de los registros de las APIs debe asegurar que no sea posible manipulación vía
29
herramienta, incluso por usuarios privilegiados (administradores).
Contar con un esquema de protección de las claves API (tokens) que incluya al menos:
* No incorporar las claves de la API directamente en el código;
* No almacene claves de API en archivos dentro del árbol de origen de la aplicación;
* Restrinja las claves de la API que sólo se utilizarán por las direcciones IP, las URL de referencia y las
30
aplicaciones móviles que las necesitan;
* Eliminar claves de API innecesarias;
* Registre las claves de la API periódicamente.
* Realizar análisis de vulnerabilidad en la API.
Existe una gestión de perfiles de acceso a los datos almacenados en servicios nube (usuarios
31
convencionales y privilegiados), independientemente del tipo de información almacenada.
Los servicios públicos y las condiciones ambientales del centro de datos donde se encuentra alojado el
servicio Cloud, cuentan con controles mínimos tales como (Agua Potable, Respaldo Energético,
32 Telecomunicaciones, etc). Además dichos controles son probados para dar efectividad continua a
intervalos planificados para garantizar la protección y reducir el riesgo en caso de interrupciones
planificadas o no planificadas.
Las instalaciones del Servicio Cloud, cuentan con protección física contra daños por causas naturales y
desastres (ataques terroristas, incendios, inundaciones, descargas eléctricas atmosféricas, tormentas
geomagnéticas inducidas por el sol, viento, terremotos, tsunamis, explosiones, accidentes nucleares,
33
actividad volcánica, riesgos biológicos, disturbios civiles u otras formas de desastres provocados por el
hombre) y se encuentra alejado de estos lugares considerando controles de recuperación redundantes
ubicados a una distancia razonable entre sí.
Se han realizado pruebas de activación de recuperación de desastres (DRP) dentro servicio de cloud
35 durante los últimos 12 meses y además estos han sido revisados por parte de auditoría interna/externa
en conjunto con los Planes de Continuidad de Negocio asociada a los servicios Cloud.
Se han realizado pruebas de los respaldos de datos o replicación del servicio Cloud, indicar
periodicidad y RPO (Punto Recuperación Objetivo) establecidos en conjunto con la realización de
36
mediciones de Acuerdos de Niveles de Servicios (SLA/Uptime) durante las pruebas de recuperación y
continuidad de los servicios Cloud.
La entidad cuenta con un plan de gestión de incidentes y plan de comunicaciones para aquellos riesgos
37
que afecten o interrumpan los servicios cloud.
La entidad realiza de forma periódica evaluaciones de riesgos (RA) que afecten la continuidad
38
operacional de los servicios cloud.
Autoevaluación para Sevicios Cloud (Nube)
Nivel
Evidencia Requerida
Implementación
Indicar cuales son las herramientas de cifrado en reposo y evidenciar
su implementación a través de por ejemplo:
--- Print de pantalla de la implementación de cifrado en reposo.
Evidenciar la consideración de controles de seguridad en los entornos
en la nube a través de por ejemplo:
--- Procedimientos de configuración de activos en la nube.
-- Presentación corporativa de proveedor nube.
-- Antecedentes financieros del proveedor nube
-- Documentación de Certificaciones
-- Informes de Auditoría Externa (resumidos o completos)
5
Autoevaluación de Continuidad de Neg
Instrucciones
1. Lea atentamente cada pregunta y conteste de acuerdo a la escala de evaluación mencionada en la Hoja "Descripción de Niveles
2. Todos los campos deben ser completados en la columna "Nivel Implementación", en caso de no aplicar colocar N/A.
3. Comente o fundamente en caso que corresponda en la casilla "Observaciones".
N° Requerimiento
La organización posee Planes de Continuidad de Negocio que aborden al menos los siguientes
escenarios de interrupción; Ausencia del Personal Crítico (el cuál considere ausencias masivas del
personal en caso de Pandemia u otro similar), Imposibilidad de acceder y/o utilizar las instalaciones
2
físicas, falta de provisión de los servicios contratados a proveedores. Además de Planes de
recuperación tecnológica que aborde al menos la Falta total y/o parcial de los sistemas
tecnológicos, Ataques maliciosos que afecten la ciberseguridad, entre otros. Adjuntar Evidencia.
La organizacion ha presentado algún incidente que no este cubierto por el plan de continuidad del
3 negocio para el servicio contratado. (Adjuntar Evidencia de Listado de Incidentes de los ultimos 12
meses).
La entidad realiza Pruebas de efectividad a los Planes Operacionales y/o Tecnológicos, con
periodicidad anual, según la criticidad de sus procesos y que contemplen pobrar los distintos
escenarios de disrupción, pruebas de recuperación de datos de sus servicios y respaldos de la
7
información, pruebas de recuperación de desastres (DRP) en su centro de procesamientos de
datos tecnologicos, con resultados documentados y medidas correctivas implementadas. Adjuntar
evidencia.
La entidad ha desarrollado una metodología formal de Evaluación de Impacto al Negocio (BIA) de
acuerdo al nivel de criticidad de sus procesos, donde se establezcan Tiempos Recuperación
Objetivos (RTO) y el Máximo Periodo de Tiempo de Disrupción (MTPD); y además, un Análisis de
8 Riesgos (RIA o RA) estableciendo gestiones sobre los principales riesgos identificados con mayor
criticidad con el fin de mitigar su impacto. Ambas metodologías deben realizarse al menos con una
perodicidad anual para el servicio contratado. Adjuntar Evidencia.
La entidad cuenta con un comité de crisis para responder frente a incidentes que afecten la
9 continuidad operacional de los servicios prestados. el cual haya sido aprobado por el Directorio o
Alta Gerencia.
Antes de introducir nuevos productos, emprender nuevas actividades o definir nuevos procesos y
12 sistemas, la organización se asegura de evaluar los riesgos de continuidad del negocio frente a
fallas de sus servicios.
La Organización subcontrata o externaliza los procesos para el servicio prestado. Especificar que
13
servicios en caso de subcontratación.