Visión general del proceso

Objetivo
Asegurar que el tercero cumple con los estándares de seguridad de Natura para la prestación de servicios. La evaluación
permite a Natura comprender el nivel de madurez actual de los controles de seguridad del tercero medido en función de
los requisitos de seguridad estándar de Natura.

Éscopo
La evaluación de Natura incluye controles internos de terceros y los dominios de riesgo que se destacan a continuación.
El alcance de las evaluaciones se ajusta dinámicamente en función de la Evaluación de Riesgos de Seguridad Inherente. El
alcance del cuestionario se puede ajustar durante la evaluación, ya que las respuestas de terceros se evalúan sujetas a la
confirmación de Natura Security Assessor.

Dominios de riesgo

Access Control
Business Continuity and Disaster Recovery
Cloud Security
Compliance
Configuration Management
Human Resources
Incident Response
Physical and Environmental Security
oceso
seguridad de Natura para la prestación de servicios. La evaluación
tual de los controles de seguridad del tercero medido en función de

terceros y los dominios de riesgo que se destacan a continuación.

te en función de la Evaluación de Riesgos de Seguridad Inherente. El
evaluación, ya que las respuestas de terceros se evalúan sujetas a la

minios de riesgo

Privacy
Security Event and Logging and Monitoring
Security Program Management
Security Risk Assessment and Authorization
System and Communications Protection
System and Information Integrity
System and Services Acquisition
Perfil de terceros
Nombre de terceros:

Servicios de terceros: Por favor proporcionar un breve resumen de los servicios que se prest
(A rellenar por Natura)

Información adicional sobre los servicios: Información adicional sobre los servicios (si corresponde)
(A rellenar por terceros)

Respondiente de tercero: Por favor proporcionar el nombre del encuestado principal

Título del trabajo del respondiesnte:

Nombres y títulos/funciones de las personas que

contribuyeron a este cuestionario:

Fecha de respuesta:
esumen de los servicios que se prestan.

ervicios (si corresponde)

del encuestado principal

 Evaluación de seguridad de terce
Guía del usuario de terceros para completar la evaluación de seguridad de terceros de Natura

Rellenando el Cuestionario de Seguridad:

Natura Security Assessor debe proporcionarle el alcance de los servicios para los que proporcionar respuestas. Si no s
con su asesor de seguridad de Natura antes de comenzar y busque orientación sobre cómo proceder con el cuestiona

1) Complete la pestaña Perfil de terceros

2) Vaya a la pestaña Cuestionario de seguridad y responda las preguntas en cada dominio de riesgo seleccionando Yes
3) Utilice el campo Información adicional para proporcionar más detalles o explicaciones según sea necesario. Respon
Assessor evalúe las capacidades de su organización.

¿Debería la respuesta ser:

'Sí' o 'No': puede utilizar el campo Información adicional para proporcionar más detalles o explicaciones según sea nec
«N/A» - Asegúrese de que en el campo de información adicional se proporciona una justificación suficiente que expliq

Nota: No se requiere la provisión de evidencias.

Presentación y Seguimiento:

Envío del cuestionario de seguridad completado: Una vez que se hayan introducido todas las respuestas, envíe el cues
acuerdo con las instrucciones que se le han proporcionado.

Nota: El envío incompleto puede dar lugar a consultas de seguimiento. Esto puede tener un impacto posterior en el
garantizar un proceso de evaluación eficiente, sírvase proporcionar todas las respuestas necesarias de manera opor

Recordatorios clave:

Responda a todas las preguntas del cuestionario; si una pregunta no No deje las preguntas en blanco
es aplicable al servicio prestado por el tercero a Natura, utilice la No comparta información de identi
columna de información adicional y proporcione la justificación
adecuada
Proporcione respuestas detalladas cuando corresponda
Mantenga los plazos acordados: la participación activa reducirá el
esfuerzo global de evaluación para el tercero en cuestión
idad de terceros

roporcionar respuestas. Si no se recibieron instrucciones, se recomienda que se ponga en contacto

ómo proceder con el cuestionario para cumplir con los requisitos.

nio de riesgo seleccionando Yes/Sí, No o N / A en el menú desplegable en el campo Respuesta.

es según sea necesario. Responda a cada pregunta con suficiente detalle para que Natura Security

es o explicaciones según sea necesario.

stificación suficiente que explique por qué esa pregunta no es aplicable.

das las respuestas, envíe el cuestionario completado a su Asesor de Seguridad de Natura de

ner un impacto posterior en el cronograma de evaluación. Para

tas necesarias de manera oportuna.

deje las preguntas en blanco

comparta información de identificación personal en las respuestas de terceros
 Dominio No. Pregunta

¿Su empresa tiene una política de seguridad de la información

documentada e implementada que se revisa al menos anualmente?
Q002 Describa cualquier certificación de seguridad de la información que tenga.

¿Su empresa evalúa el rendimiento y la eficacia de su programa de

Gestión de Programas de seguridad de la información a través de auditorías internas u otras
Seguridad Q004 actividades de gestión de riesgos de tercera línea?

¿Tiene su empresa un programa de clasificación y control de datos, como

estándares de apoyo sobre retención de datos, etiquetado y manejo de
Q005 información?

¿Tiene su empresa un proceso de gestión de riesgos para identificar,

Q0013 evaluar, monitorear y responder a los riesgos de seguridad de la
información?

¿Su empresa realiza pruebas de penetración en sistemas de información,

componentes de sistemas o sistemas de red? ¿Con qué frecuencia se
realiza esto?
Evaluación y Autorización Q040
de Riesgos de Seguridad Por favor, adjunte la evidencia requerida.

¿Su empresa busca vulnerabilidades en las computadoras y la

infraestructura de los usuarios?
Q051

¿Sus empleados y contratistas completan la capacitación continua de

concientización sobre seguridad, que los educa para identificar y responder
a las amenazas modernas?
Q016 Describa la frecuencia de la capacitación y proporcione el contenido o la
agenda de la muestra.

Recursos Humanos
 ¿Tiene su empresa procedimientos formales de ingresos, mudanzas,
egresados (JML) que incluyen lo siguiente:
Colección de activos
Eliminación / modificación del sistema de empleados / acceso a la
Recursos Humanos información
Q017 Eliminación / modificación del acceso físico de los empleados

Por favor, adjunte las pruebas aplicables

¿Tiene su empresa una Política de uso aceptable que haga cumplir las
reglas para el uso aceptable de la información y los servicios de TI?
Q019 Sírvase describir qué controles técnicos existen para hacer cumplir esto,
como el filtrado web.

¿Su empresa tiene una directiva de administración de dispositivos móviles

establecida que extiende las mejores prácticas de seguridad a dispositivos
portátiles y móviles?

Sírvase describir qué controles y políticas existen.

Q052

¿Tiene su empresa reglas para controlar el acceso físico y lógico a la

información y otros activos asociados?

Sírvase describir qué políticas y procedimientos existen.

Q020

Control de Acceso

¿Su empresa tiene una Política de Contraseñas documentada e

implementada, para el acceso a todas las plataformas, aplicaciones y bases
de datos, que cumpla con los estándares actuales de mejores prácticas?
Q026 Proporcione detalles de los estándares de contraseña actuales.

¿Su empresa requiere autenticación multifactor (MFA) para todos los

sistemas críticos y servicios en la nube?
Q027 Describa los controles de autenticación implementados en toda la
empresa.

¿Su organización protege y cifra todas las transferencias de datos utilizando

un control/protocolo adecuado (por ejemplo, SFTP, HTTPS)?
Q033 Describa los algoritmos de cifrado y las versiones utilizadas.

Protección de Sistemas y
Comunicaciones
 ¿Los datos se almacenan en el sitio (instalaciones de la empresa), incluidas
las copias de seguridad, se cifran en reposo utilizando marcos de
criptografía recomendados por la industria? (es decir, AES 256)
Q034 Por favor, adjunte la evidencia requerida.

¿Se implementan controles técnicos de seguridad en la capa de red? (por

ejemplo, cortafuegos, sistema de prevención de intrusiones, sistema de
Protección de Sistemas y detección de intrusos)
Comunicaciones Q039
¿Qué controles de seguridad tiene su empresa para proteger la red?

¿Tiene su organización controles de protección de endpoints

implementados en todos los equipos de usuario final y servidor (incluidos
los virtuales), que incluyen

Controles antimalware actualizados y gestionados de forma centralizada.

Aplicación de parches de seguridad actualizados
Q043
Sírvase describir qué tecnología y procesos existen.

¿Su empresa cuenta con controles documentados de administración de

configuración y protección para todas las redes, usuarios finales y equipos
servidor (incluidos los virtuales)?
Q047
¿Se revisan regularmente?

Gestión de la ¿Tiene su empresa una política de administración de parches

Configuración documentada, implementada, revisada y actualizada que aborde el
propósito, el alcance, los roles, las responsabilidades, el compromiso de la
administración, la coordinación entre las entidades organizativas y el
Q050 cumplimiento?

Por favor, adjunte la evidencia requerida.

¿Su organización ha definido permisionarios de seguridad e implementado

procesos y soluciones de control de acceso físico para proteger todas las
instalaciones y áreas que pueden acceder a la información y otros activos
asociados?
Protección Física y
Ambiental Q065
Sírvase describir estos controles.

¿Su organización ha definido procesos y tecnología para garantizar que

todas las alertas y eventos de seguridad en toda la empresa se revisen y
actúen según lo definido en su política de respuesta a incidentes?
Registro y Supervisión de Q069 Sírvase describir qué procesos y controles existen.
Eventos de Seguridad
 ¿Su empresa ha documentado e implementado planes y procedimientos de
respuesta a incidentes que incluyen eventos de seguridad?

¿Se asignan adecuadamente los roles y responsabilidades?

Respuesta a Incidentes Q070
Sírvase adjuntar las pruebas necesarias.
 Orientación Adicional

La política de seguridad de la información proporciona protección a las

personas, información e implementación efectiva de controles de
seguridad.

Proceso para confirmar el cumplimiento de requisitos reglamentarios,

obligaciones legales y contratos. Además, la auditoría interna ayuda a
identificar brechas de control y deficiencias de control dentro de la
organización.

Clasificar los datos según su sensibilidad y los controles correspondientes

para cada tipo de datos.

Proceso de gestión de riesgos para las operaciones y activos de la

organización, individuos, otras organizaciones asociadas con la operación y
el uso de los sistemas de información.

La realización de pruebas de penetración periódicas al intentar eludir o

derrotar las características de seguridad de un sistema de información
ayuda a identificar las brechas de red externas y las vulnerabilidades de
seguridad.

El escaneo regular y el empleo de herramientas y técnicas de escaneo de

vulnerabilidades ayudan a identificar vulnerabilidades que podrían afectar
potencialmente la forma en que funcionan el sistema / aplicaciones.

La capacitación en concientización sobre seguridad describe un programa

para mejorar la conciencia de los empleados sobre las amenazas de
seguridad para reducir los riesgos e incidentes.
El procedimiento de verificación de terminación describe el proceso
estándar y los controles a seguir cuando un empleado abandonará
voluntaria o involuntariamente la empresa.

La política de uso aceptable describe las reglas y restricciones que los

empleados deben seguir con respecto a la red, el software, la conexión a
Internet y los dispositivos de la empresa.

La política de administración de dispositivos móviles describe el programa

para proteger y controlar los dispositivos de la empresa al tiempo que
reduce los riesgos comerciales y los costos de soporte. Los controles de
mejores prácticas incluyen actualizaciones de firmware, cifrado, biometría
y PIN, borrado y desactivación remota de dispositivos, prevención de
dispositivos con jailbreak, VPN, MFA y antimalware.

¿Tiene su empresa una Política de Control de Acceso documentada,

implementada, revisada y actualizada que aborde el propósito, el alcance,
los roles, las responsabilidades, el compromiso de la administración, la
coordinación entre las entidades organizativas y el cumplimiento?

Por favor, adjunte la evidencia requerida.

La política de contraseñas protege la confidencialidad de la información y la

integridad de los sistemas al mantener a los usuarios no autorizados fuera
de la computadora, las aplicaciones y las bases de datos.

La autenticación multifactor y el inicio de sesión único ayudan a mejorar la

seguridad al requerir que los usuarios ingresen más que un nombre de
usuario y una contraseña. (es decir, algo que sabes, algo que tienes y algo
que eres).

Controles de cifrado para datos en tránsito.

Controles de cifrado para datos en reposo.

Controles implementados para evitar la intrusión en la red por una parte

maliciosa.

Controles para proteger los dispositivos informáticos de ataques de

seguridad, accesos no autorizados y pérdida de datos. EDR / XDR moderno
debe estar en su lugar.

La política de administración de configuración o la política de

endurecimiento ayudan a construir sistemas robustos y estables para
administrar y monitorear las actualizaciones de los datos de configuración,
así como minimizar las amenazas y mitigar los riesgos.

La política de administración de parches describe los controles y pasos

involucrados en el proceso de administración de parches para solucionar
problemas o actualizar errores.

La política de protección física y ambiental describe las medidas adoptadas

para proteger los sistemas, edificios e infraestructura de apoyo relacionada
contra las amenazas asociadas con su entorno físico. Las salvaguardas
físicas y ambientales a menudo se pasan por alto, pero son muy
importantes para proteger la información.

Se trata de una estrategia de monitorización continua para identificar

actividades maliciosas, anomalías agregadas de diferentes redes
herramientas, dispositivos, sistemas y aplicaciones de la organización.
Un proceso para responder a todos los eventos e incidentes de seguridad
que requieren que se tomen medidas, generalmente por parte de un
Centro de Operaciones de Seguridad (SOC). La cobertura adecuada debe
estar en su lugar, idealmente 24/7.
La política de respuesta a incidentes describe el procedimiento para ayudar
a los oficiales o equipos de seguridad de la empresa a detectar, responder y
recuperarse de ataques o incidentes de red.
 Declaración de Riesgos

La falta de una política de seguridad de la información en vigor puede

resultar en la ausencia de la aplicación de medidas y controles de seguridad
para proteger los activos de información de la empresa.

La falta de revisiones de control interno puede conducir a la incapacidad de

identificar brechas de control y deficiencias de control, lo que resulta en
procesos comerciales fallidos y un posible impacto financiero /
reputacional.

Un esquema de clasificación de información no administrada puede

conducir a un mayor riesgo de comprometer la confidencialidad, integridad
o disponibilidad de los datos.

La falta de identificación, evaluación, monitoreo y respuesta a los riesgos

de seguridad puede conducir a la identificación y mitigación, transferencia,
aceptación o seguro de riesgos inoportunos.

La falta de rendimiento de las pruebas de penetración de redes y

aplicaciones puede llevar a la incapacidad de identificar brechas de red
externas y vulnerabilidades de seguridad.

La falta de ejecución de análisis de vulnerabilidades puede provocar

ataques a la red, sistemas no seguros y pérdida de datos confidenciales.

La falta de un programa de capacitación en conciencia de seguridad puede

conducir a un conocimiento insuficiente y a la incapacidad de realizar de
manera efectiva las responsabilidades de seguridad.
La falta de procedimiento para las comprobaciones de terminación puede
dar lugar a un acceso no autorizado a los datos y a la incapacidad de
identificar y rastrear la actividad del sistema, lo que resulta en la pérdida de
datos.

La falta de una Política de Uso Aceptable puede conducir a actividades no

autorizadas e inapropiadas que resulten en impactos financieros /
reputacionales.

La falta de una política de administración de dispositivos móviles aprobada

por la administración puede conducir a medidas de seguridad insuficientes
para los dispositivos móviles administrados por la empresa y no
administrados por la empresa, lo que lleva a una posible pérdida de datos.

La falta de una política de control de acceso aprobada puede llevar a que

los usuarios no autorizados obtengan acceso a información confidencial
causando posibles fugas de datos y pérdida de datos.

La falta de una política o requisitos de administración de contraseñas

puede resultar en un acceso inapropiado para los usuarios, una gestión de
identidad ineficaz, datos inseguros e información personal.

La falta de controles de acceso sólidos puede conducir a un acceso no

autorizado a los datos y a la incapacidad de identificar y rastrear la
actividad del sistema, lo que resulta en la pérdida de datos.

La falta de una política y controles de cifrado puede provocar la fuga de

datos y el acceso no autorizado a información confidencial.
La falta de una política y controles de cifrado puede provocar la fuga de
datos y el acceso no autorizado a información confidencial.

La falta de controles de seguridad de la red puede resultar en la intrusión

de una parte maliciosa, lo que resulta en tiempo de inactividad del sistema,
interrupciones, pérdida de datos e impactos financieros / reputacionales.

La falta de controles de vulnerabilidad, malware y gestión de amenazas

aumenta el riesgo de que las amenazas al entorno de red no se detecten y
remedien de manera oportuna.

La falta de estándares de administración / endurecimiento de la

configuración puede resultar en un sistema operativo incorrectamente
protegido o no seguro, lo que aumenta las vulnerabilidades y los riesgos de
seguridad.

Si no se revisan y aplican los parches de seguridad, se pueden producir

vulnerabilidades en los programas o los datos y disminuir la usabilidad o el
rendimiento.

Los empleados pueden no ser conscientes de sus responsabilidades

relacionadas con la seguridad física que conduce a daños a las instalaciones
/ activos físicos, falta de seguridad del personal, acceso no autorizado a las
instalaciones y pérdida de la integridad de los activos físicos debido a
amenazas físicas o ambientales.

La falta de procedimientos para responder a las alertas puede dar lugar a

una supervisión, detección y respuesta inadecuadas, inoportunas o fallidas
a actividades maliciosas, lo que permite actividades no autorizadas o
perjudiciales en la red y los sistemas.
La falta de una política de gestión de incidentes definida lleva a las
empresas a ser reactivas en lugar de proactivas cuando se producen
violaciones de datos y otros problemas.
 Respuesta de terceros
(Respuesta obligatoria)
¿Debería la respuesta ser:
«Sí» - Proporcione las pruebas sugeridas en la columna F, incluida la documentación de
referencia.
"No" - Meta más detalles y dar una explicación. Si no se ha establecido una capacidad, pero se
está entregando o se prevé su entrega, proporcione esta información para contextualizarla.
«N/A» - Asegúrese de que en el campo de información adicional se proporciona una
justificación suficiente que explique por qué esa pregunta no es aplicable.

Si

Si

Si

Si

Si

Si

Si
Si

Si

Si

N/A

Si

N/A
Si

Si

Si

N/A

N/A

Si

Si
Si
 Información adicional

(Respuesta obligatoria)

Crear politica del año 2023 y del año 2024

registro de auditoria interna (aprox Julio 2023)

Informe mensual de seguridad de la informacion

Cronograma de simulacros (implemetando este año)

Antivirus y licencias informaticas

Registro en capacitacion en fishing, privacidad de la información,

etc
crear procedimiento de inhabilitacion de personal retirado

Crear politica

Crar un documento de confidencialidad de documentos

crear procedimiento de acceso fisico (politica de uso de usb)

No aplica porque se resetea la clave.

Crear procedimiento para cuadno llegue el cooreo para resetear la
clave

Buscar como lo gestiona Google.

No usamos FTP , todos los entregables se envian mendiante

transmital. A traves de control documentario
No tenemos servidores, toda informacion se almacena en la nube
la cual genera backups

A traves del antivirus ( verificar las licencias hacer coincidir con la

cantidad de laptos) migrar las licencias de karsperky al corporativo
de asertiva

A traves del antivirus ( verificar las licencias hacer coincidir con la

cantidad de laptos) migrar las licencias de karsperky al corporativo
de asertiva

no tenemos servidores ni fisicos ni virtuales, todos son gestionados

atraves de los servicios de google empresarial

Los sistemas operativos son OEM y estan asociadas a la compra de

las laptops

Adjuntar el procedimiento de las contraseñas

Crear un procedimieno que el antivirus lance una alerta

Crear una politica de accesos a los directorios en la nube
Crear un procedimiento de recuperacion de archivos mediante
Google.