Atención de Formularios
Encuentra acá las preguntas para dar respuesta a los formularios compartidos por nuestros clientes o prospectos de clientes.
Activos de la información
- Por favor describa su proceso de clasificación de la información, ¿está documentado?
- ¿Ha implementado un sistema para etiquetar la información confidencial de los clientes?
- ¿Cómo se decomisan o destruyen las cintas u otros medios de almacenamiento de copias de seguridad cuando no se requieren más para su uso?
- Describa sus controles de seguridad para dispositivos móviles. Esto incluye teléfonos inteligentes, tabletas, etc.
- Describa sus procesos para destrucción/eliminación o re-utilización de equipos.
- ¿Tiene su organización una política de clasificación de datos formal y documentada que se utiliza para determinar cómo se organizan los datos y los activos en función de su sensibilidad y valor para la organización?
- ¿Existen procedimientos/ políticas para el manejo de la Información?
- ¿Existen controles para validar que activos que no estén permitidos y no se conecten a la red de la Entidad?
- Si se hace uso de BYOD (trae tu propio dispositivo), describa los controles de seguridad para estos dispositivos (no corporativos). ¿Cómo se protege la información sensible?
- ¿Tiene identificados los activos de información?
- ¿Tiene su organización una política o programa formal que incluye un sistema de inventario para los activos de hardware y software?
- ¿Cuentan con una línea base de software necesaria para gestionar los fines del negocio?
Calidad
- ¿Cómo se realiza el seguimiento a los planes de acción y cada cuanto se realizan?
- ¿La compañía revisa los controles, políticas, procesos y procedimientos de seguridad de la información y ciberseguridad regularmente? ¿Esta labor es desarrollada por personal interno o externo?
- ¿Se revisan las políticas al menos una vez al año y se comunican los cambios o actualizaciones a todos los empleados, contratistas y consultores?
- ¿Existe revisión de las políticas y controles realizadas por un tercero?
- ¿La compañía cuenta con Indicadores para la medición de la gestión de Riesgo y Planes de acción?
- ¿Cómo se asegura que los registros de auditoría (logs) son protegidos contra alteración y accesos no autorizados?
- ¿Tiene su organización procesos y procedimientos documentados para recibir y responder a las quejas y consultas sobre privacidad de manera oportuna (incluidas las de las autoridades regulatorias)?
- ¿Cómo asegura la compañía que sus empleados son conscientes y están informados de los cambios en los documentos de seguridad de la información y ciberseguridad? ¿Cómo se entrena a los empleados respecto a las amenazas de seguridad de la información?
Capacitación y Toma de Conciencia
- ¿Se realizan capacitaciones de Riesgo? ¿Cuál es el público de la capacitación y qué contenido abarca?
- ¿Qué actividades realiza la organización para difundir la cultura de la Seguridad de la Información y Ciberseguridad? Presentar las actividades de difusión, capacitación y concientización.
- ¿Su organización brinda capacitación sobre privacidad y concientización sobre seguridad de la información a todos los empleados, contratistas y consultores al menos una vez al año?
Certificaciones y/o Sistemas de Gestión
Continuidad de Negocio
- ¿Cuándo fue la última actualización del plan documentado de continuidad del negocio y cuál fue el alcance de la actualización?
- ¿Tiene una estrategia o plan documentado de continuidad del negocio?
- ¿El modelo se enmarca bajo buenas prácticas de gestión de seguridad de la información?(el. ISO 22301, etc.)
- ¿Cuentan con procesos de mejora continua para el plan de continuidad del negocio (auditorías, sistema de gestión, entre otros)?
- ¿Qué escenarios estructuran el PCN y describa sus estrategias de recuperación?
- ¿Su empresa cuenta con una área o personal designado para la gestión de la continuidad de negocio, y la misma ha sido aprobada por la alta gerencia?
- ¿Tiene definido un plan de comunicación con su aliado contratante en caso de presentarse una contingencia o al realizarse una prueba que afecte al cliente?
- ¿Quién es responsable de mantener el Plan de Continuidad del Negocio?
- ¿Se ha probado el plan de contingencia (DRP) en los últimos 12 meses?
- ¿Se realizan revisiones independientes externas al modelo o sistema?¿Con que periocidad?
- ¿Se cuenta con un presupuesto para continuidad de negocio?
- ¿Existen mecanismos de reporte a la alta Dirección, sobre el cumplimiento del modelo o sistema de continuidad del negocio?¿Con que periodicidad?
- ¿Se cuenta con indicadores para medir la eficacia y eficiencia de la gestión de continuidad del negocio?
- ¿Se cuenta con un modelo o sistema de gestión de continuidad del negocio?
- ¿Se ha probado este plan de continuidad en los últimos 12 meses?
- Describa su Plan de Continuidad de Negocio (PCN-BCP) y su proceso de Recuperación ante Desastres (DR), incluyendo la frecuencia con que son probados.
- ¿Se analiza la respuesta a los incidentes de interrupción que se han presentado, para generar mejoras?
- ¿Con que periodicidad realiza ejercicios de continuidad de negocio y crisis (pruebas de escritorio) para su equipo de líderes?
- ¿Se tienen detalladas las responsabilidades en continuidad del negocio para toda la organización, de acuerdo con los diferentes grupos de interés?
- ¿Cuándo fue la última actualización del BIA y cual fue el alcance de la actualización?
- ¿Con qué periodicidad realiza pruebas del centro de cómputo alterno y/o los planes de recuperación del mismo?
- ¿Con que periodicidad se realizan pruebas de conexión con proveedores críticos?
- ¿Con que periodicidad se realizan pruebas de las alternativas manuales de recuperación identificadas?
- ¿Se cuenta con un árbol de llamadas definido para situaciones de crisis(declaración y atención)?
- ¿Ha considerado los resultados de su análisis de impacto para identificar brechas en su capacidad de recuperación (sistemas, talento humano, proveedores)?
- ¿Tiene un equipo de personas entrenadas para gestionar, atender y responder a un evento de interrupción?
- ¿Cuenta con una estrategia de respaldo de su información critica?
- ¿Tiene una estrategia o plan documentado de contingencia (DRP)?
- ¿Tiene una política de continuidad de negocio documentada y aprobada por la alta gerencia?
- De acuerdo con los resultados de las pruebas de continuidad y contingencia ¿Existen planes de acción pendientes o en proceso de ejecución? (describe)
- Se garantiza la eficacia del plan de continuidad del negocio mediante la revisión y actualización
- ¿Tiene establecido un programa de sensibilización y capacitación en continuidad de negocio al personal que ingresa y al actual? Incluir en casilla de respuesta la periodicidad
- ¿Con qué periodicidad se prueba el árbol de llamadas definido para situaciones de crisis (declaración y atención)?
- ¿Realiza pruebas frecuentes a las estrategias de recuperación definidas en el Plan de Continuidad del Negocio? Indique en el campo "Descripción" qué pruebas realizó.
- ¿Tiene establecido el tiempo objetivo de recuperación (RTO) y el punto objetivo de recuperación (RPO) de los servicios prestados a un cliente?
- ¿Sus planes de Continuidad y Recuperación validan la funcionalidad de los sitios Frío (Cold), Tibio (Warm) y Caliente (Hot) para recuperaciones? ¿A qué distancia del sitio primario se encuentran?
- ¿Se cuenta con un proceso cuyo objetivo sea identificar, resolver e implementar mejoras de incidentes de interrupción?
- ¿Su empresa cuenta con un centro alterno de Operación -CAO en caso de presentarse escenario de indisponibilidad de sitio? Describa las características y ubicación del CAO.
- ¿Cubre su estrategia las localidades desde que usted provee los servicios/ productos?
- ¿Con qué periodicidad evalúa la estrategia de continuidad de Negocio de sus proveedores críticos?
- ¿Se realiza la difusión de la Política a todos los colaboradores de la organización ?
- ¿Se cuenta formalmente con un responsable de continuidad del negocio, o un cargo que haga las veces del mismo?
- ¿Cómo se compone el Plan de Manejo de Crisis?
- ¿Con qué periodicidad realiza pruebas que involucren a los líderes de los planes de recuperación y a sus integrantes?
- ¿Los dueños de los procesos críticos incluyen y actualizan los requerimientos(necesidades) para operar en contingencia?
- Se tienen establecidos mecanismos automáticos o manuales para la identificación de eventos que afecten la operación, actividades a realizar cuando presenten fallas, alternativas de operación y retorno a la actividad normal.
- Ha realizado pruebas a los sistemas de prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la actividad normal?
- ¿Cómo se realiza el respaldo de la información requerida para restaurar el servicio?
Ethical Hackyng y Vulnerabilidades
- ¿Si el servicio falla existe afectación directa a clientes?
- ¿Si el servicio falla, la operativa del negocio se detiene?
- ¿Cómo evalúa y monitorea la compañía las fuentes confiables de aviso sobre vulnerabilidades emergentes y actualizaciones de seguridad?
- ¿Su organización tiene un programa documentado o un requisito de política para realizar análisis trimestrales de vulnerabilidades de la red?
- ¿Tiene su organización una política y un proceso documentado y aprobado para la gestión de vulnerabilidades?
- ¿Con qué herramienta se ejecuta el proceso de escaneo de vulnerabilidades? y ¿Con qué periodicidad se ejecuta este proceso?
- ¿Existe un cuadro de mando para el manejo de situaciones de crisis documentado y probado?
- Presentar y describir la arquitectura de seguridad
- Describa su proceso de pruebas para aplicaciones Web (gestión de vulnerabilidades, Ethical Hacking)
- Describa su proceso de gestión de vulnerabilidades, incluyendo el escaneo de aplicaciones Web y Bases de Datos
- ¿Cuenta con procedimientos enfocados en gestión de vulnerabilidades, hardening o aseguramiento continuo?
- La solución ofrecida debe ser analizada mediante pruebas de vulnerabilidad. Mencione cuando se realizó la última prueba y adjunte el informe de resultados.
- Describa su proceso de análisis de vulnerabilidades, incluyendo aplicaciones Web e infraestructura de servidores y bases de datos
- Describa su proceso de pruebas de seguridad (pentest), incluyendo aplicaciones web/API, aplicaciones móviles e infraetructura de servidores y bases de datos
- ¿Qué controles implementan frente al software malicioso? Incluir en dicha descripción los equipos de trabajo de los consultores relacionados al proyecto.
- ¿Si el servicio falla se incurre en un incumplimiento normativo de manera directa?
- ¿Con que periodicidad se realizan los análisis de vulnerabilidades o Ethical Hacking a la infraestructura tecnológica que soporta la prestación del servicio contratado?
Fraude
- ¿Tiene proceso de evaluación de riesgos relacionado con fraude?
- ¿Tiene políticas, normas, estándares, procesos y procedimientos documentados relacionados con fraude? (aprobadas y divulgadas)
- ¿Quién es el Responsable de la gestión de fraude en la compañía?
- ¿Cómo es el proceso cuando se presenta un evento de fraude?
- ¿Cuenta con Planes de acción para los eventos de fraude?
Gestión de control de Accesos
- ¿Cómo se configuran los sistemas y aplicaciones para restringir el acceso únicamente a los usuarios autorizados?
- ¿Qué reglas existen respecto a los identificadores de usuarios?, ¿Pueden compartirse las cuentas de usuario?, ¿Se queman en código las cuentas en las aplicaciones? ¿Cuál es su proceso para el acceso de emergencia a la información sensible?
- Describa sus procesos para asegurar que la autorización de acceso está basada en el principio del "mínimo privilegio"
- Tras la terminación o cambio de función laboral, ¿los derechos de acceso de los empleados, consultores y contratistas, se inhabilitan en todos los sistemas y aplicaciones dentro de veinticuatro (24) horas?
- ¿Las revisiones de acceso físico para todos los empleados se realizan al menos una vez al año?
- ¿Cómo es el proceso de gestión de usuarios en la entidad?
- ¿La entidad tiene estructurado un proceso de asignación de privilegios asociado al rol y perfil de los usuarios, determinando por ejemplo que los usuarios solo tengan acceso a los servicios que tengan autorizados?
- ¿Tiene su organización una Política de Seguridad Física formal y documentada que garantice que se implementen los controles físicos apropiados donde se procesan o almacenan los datos protegidos?
- ¿Qué protecciones se han implementado para el acceso por redes inalámbricas a la información de Producción?
- ¿Tiene implementado controles de acceso físico a las áreas sensibles?
Gestión de Riesgos
- ¿La compañía cuenta con una matriz de riesgo? y ¿Cómo está distribuido el Perfil de los riesgos identificados?
- ¿Cómo es la estructura organizacional de la administración de Riesgos?
- ¿Se cuenta con una estructura para la gestión de riesgos dentro de la organización?
- ¿Se tienen detalladas las responsabilidades en la gestión de riesgos para toda la organización, de acuerdo con los diferentes grupos de interés?
- ¿Con que periodicidad se realiza monitoreo de los riesgos de sus proveedores considerados como críticos?
- ¿Cómo se realiza el reporte y registro de eventos de Riesgo?
- ¿Tiene una política de riesgos de ciberseguridad y seguridad de la información?
- ¿Qué tratamiento de riesgos desarrolla cuando tiene riesgos importantes?
- ¿La empresa está en alcance de alguna entidad de vigilancia, control o supervisión nacional o internacional?. En caso de respuesta positiva, ¿Qué entidades regulan la operación de la empresa?
- ¿La compañía tiene presencia en jurisdicciones de riesgo?
- ¿Ha establecido un plan de capacitación organizacional para la divulgación y sensibilización del modelo de riesgos y políticas de su compañía?
- ¿Se cuenta con planes de mitigación de los riesgos de información y/o ciberseguridad que se encuentren en un nivel no aceptable y que puedan afectar el servicio?
- ¿Se han asumido riesgos de información y/o ciberseguridad que se encuentren en un nivel no aceptable y que puedan afectar el servicio?
- ¿Se cuenta con seguros que cubran a la Organización y a sus clientes, frente a ataques cibernéticos?
- ¿Se realiza la identificación de riesgos de información en nuevos proyectos tecnológicos, en especial aquellos que generan una superficie de ataque en el mundo cibernético?
- ¿Con que periodicidad se actualizan los riesgos y controles?
- ¿La compañía cuenta con una política de riesgo operacional?
- Para el modelo de riesgos ¿se ha tomado como modelo algún estándar guía para su implementación?
- ¿Se ha establecido un Gobierno, Roles y responsabilidades para la gestión de Riesgos?
- ¿La compañía presta servicios a entidades del sector público?
- ¿Durante el último año se han materializado eventos de riesgo operativo o incidentes de seguridad relacionados con el producto o servicio prestado por el proveedor?
- ¿Dentro de la gestión de riesgos, se incluyen los riesgos de información y ciberseguridad?
- ¿Con qué periodicidad se realiza la evaluación de los riesgos de información y ciberseguridad?
- ¿Se tienen conjuntos de controles diferenciados, de acuerdo con la clasificación de la información?
- ¿Se tienen actualmente riegos de información y/o ciberseguridad que se encuentren en un nivel no aceptable para la organización, y que puedan afectar el servicio?
- ¿Se realiza la identificación de riesgos cibernéticos emergentes y los controles que pudieran requerirse, cuando dichos riesgos puedan llegar a afectar a la Organización?
- ¿Dentro de la gestión de riesgos, se incluyen los riesgos de fraude?
- ¿Se cuenta con planes de mitigación de los riesgos de fraude que se encuentren en un nivel no aceptable y que puedan afectar el servicio?
- ¿Con qué periodicidad se realiza la evaluación de los riesgos de fraude?
- ¿Se tienen actualmente riesgos de fraude que se encuentren en un nivel no aceptable para la organización, y que puedan afectar el servicio?
- ¿Se realiza la identificación de riesgos de fraude en nuevos proyectos tecnológicos?
- ¿Con qué periodicidad se realiza la evaluación de los riesgos de disponibilidad?
- ¿Se tienen actualmente riesgos de disponibilidad que se encuentren en un nivel no aceptable para la organización, y que puedan afectar el servicio?
- ¿Cuenta con Comités a los cuales se reporta la gestión de riesgos, políticas, procedimientos o manuales de gestión de riesgos?
- ¿Tiene cuantificadas las pérdidas potenciales hacia los clientes, que pudieran resultar de la materialización de los riesgos de continuidad?
- ¿Se realiza la identificación de riesgos de disponibilidad en nuevos proyectos?
- ¿Cuenta con políticas de administración de riesgo?
- ¿Cómo realizan la Gestión de Riesgos con proveedores?
- ¿Se cuenta con controles antifraude, tales como segregación de funciones, niveles de autorización, conciliaciones, estándares de reclutamiento, conflictos de interés, firma de compromisos, etc?
- ¿Dentro de la gestión de riesgos, se incluyen los riesgos de disponibilidad?
- ¿Existen planes asociados a la gestión de riesgos?
Gobierno/legal
- ¿Cuál es el nombre de la compañía/negocio?
- ¿Bajo que regulaciones o entes reguladores se basa su cumplimiento de gobierno? (Por ejemplo: SOX, OSFI, SuperFinanciera, SIC, etc.)
- ¿Dónde se encuentra el centro de operación de Producción? Provea la ubicación (Dirección, ciudad, provincia, país)
- ¿Dónde se encuentra el centro de operación de Respaldo? Provea la ubicación (Dirección, ciudad, provincia, país)
- ¿Dónde se encuentra el centro de operación de Contingencia? Provea la ubicación (Dirección, ciudad, provincia, país)
- ¿Cuál es el nombre de la compañía padre/holding?
Producto
- Detallar el licenciamiento y soporte con el que cuenta el sistema o servicio ofertado
- ¿Se utiliza un proceso formal de control de cambios para administrar y rastrear las solicitudes de cambio de los clientes y los cambios en la aplicación, la base de datos, la red y los componentes del sistema operativo?
- ¿Cuál es Modelo de entrega del servicio al cliente?
- ¿Los procesos de Desarrollo y promoción de código a producción están separados?
- Presentar documento del ciclo de vida de desarrollo seguro para la madurez del producto.
- ¿Su sistema de información cuenta con ambientes de desarrollo, laboratorio, producción y contingencia?
- ¿Cuál es el mecanismo de Integración (si aplica)? Ejemplo API
- Los servicios prestados por usted, ¿dependen de proveedores adicionales?. Si la respuesta es SI por favor nómbrelo(s) en el campo "Respuesta".
- Describa su proceso de revisión de código
Protección de Datos Personales
- ¿Su organización tiene una Política de privacidad documentada y aprobada que se revisa regularmente para cumplir con las leyes y regulaciones aplicables?
- ¿Tiene su organización procesos y procedimientos documentados para el manejo de solicitudes de derechos individuales y se procesan de acuerdo con los requisitos reglamentarios?
- ¿Tiene su organización un Oficial de Protección de Datos (DPO) o un Director de Privacidad designado oficialmente que informa a la alta gerencia y es responsable del cumplimiento de la privacidad en toda la organización?
- ¿Dispone de políticas y procedimientos de protección de datos personales de acuerdo con la ley 1581?
- ¿Tiene autorización de protección de datos personales de los titulares?
- ¿Ha realizado y mantiene actualizado el registro nacional de bases de datos ante la SIC?
- ¿Su organización accede, procesa, transmite y/o almacena datos protegidos de clientes?
- Describa las finalidades con las que hace tratamiento de datos personales
- ¿Tiene su organización registros escritos que documenten sus actividades de procesamiento de información personal de acuerdo con los requisitos reglamentarios?
- En caso afirmativo relacione los terceros con tipo y número de identificación, nombre, descripción de la actividad e informe si tiene con ellos suscrito un acuerdo
- ¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal?
- ¿Tiene un procedimiento implementado para la disposición final de la información personal?
- ¿Dónde se encuentran almacenados los datos que trata en calidad de encargado? Si están en el extranjero por favor indique el país
- Describa el proceso que sigue para tramitar una solicitud relacionada con tratamiento de datos personales
- Anexe su política de tratamiento de datos personales
- ¿Tiene un proceso de control de acceso a la información personal tanto a nivel tecnológico como en la instalaciones físicas?
- ¿Tiene un procedimiento para la gestión de usuarios con acceso a información personal?
- ¿Ha implementado una política de protección para el acceso remoto a La información personal?
- ¿Tiene un procedimiento de auditoria de los sistemas de información que contengan datos personales?
- ¿Está definida y comunicada la política de protección de datos personales a los involucrados?
- ¿Tiene su organización procesos y procedimientos documentados para devolver/ destruir información personal una vez que se hayan cumplido y/o terminado los servicios contratados?
- ¿Ha completado su organización los registros con las Autoridades de Protección de Datos aplicables?
- ¿Existen actividades relacionadas con el tratamiento de datos que sean realizadas por terceros?
- Enliste sus canales de atención a los titulares de datos personales
- ¿Ha realizado documentación de procesos en torno a la seguridad de la información personal?
- Las actividades de correo electrónico que viaja por redes públicas utilizan algún tipo de control que garantice la confianza, e integridad de la transmisión
Proveedores
- ¿Cómo se establecen las conexiones de terceros (clientes o proveedores) hacia su red? Incluye el acceso por VPN.
- Describa los acuerdos de servicio con sus proveedores, que apliquen para los servicios que se ofrecen
- ¿Realiza seguimiento a sus proveedores para verificar que cuenten con un plan de continuidad del negocio que les permita cumplir con los compromisos pactados durante una crisis?
SAGRILAFT
- ¿Cuenta con un Código de conducta?
- ¿Alguno de los miembros de la organización y/o junta directiva es considerado PEP?
- ¿Dentro de las actividades de la compañía está permitido apoyar campañas políticas?
- ¿Alguna vez su empresa subsidiaria, afiliadas o cuerpo directivo han sido parte o investigados en el contexto de una demandas?
- ¿Los colaboradores o terceros cuentan con mecanismos para denuncia de casos de fraude, soborno o corrupción?
- ¿Alguna vez su empresa subsidiaria, afiliadas o cuerpo directivo han sido parte o investigados en juicios por violaciones a la ley de competencia?
- ¿Alguna vez su empresa subsidiaria, afiliadas o cuerpo directivo han sido parte o investigados en el contexto de un juicio relacionado con denuncias de violaciones a la legislación ambiental?
- ¿Su empresa, subsidiarias, afiliadas o cuerpo directivo forman parte o ya han sido parte de listas internacionales para combatir el Crimen Organizado?
- ¿Su empresa cuenta con un programa de Compliance?
- ¿Esta persona o comité cuentan con capacitación o especialización para actuar como officer?
- ¿Cúando fue creado el Programa de Compliance? (SAGRILAFT, ptee Y Protección de datos personales)
- ¿Su programa de Compliance es compartido con sus subsidiarias o afiliadas del mismo grupo? (SAGRILAFT, ptee Y Protección de datos personales)
- ¿Su empresa cuenta con una persona o Comité con autoridad para supervisar el programa de Compliance de la empresa?
- Indique la línea de reporte para los asuntos relacionados con el programa de Compliance
- ¿Los responsables del área de Compliance reciben capacitación periódica para actuar como compliance Officer?
- ¿Su empresa cuenta con un código de Conducta o Código de Ética?
- ¿La compañía cuenta con un código de buen gobierno?
- ¿Con qué frecuencia se actualiza o revisa la política antisoborno?
- ¿Su empresa, subsidiarias, afiliadas o cuerpo directivo forman parte o ya han sido parte de listas internacionales para combatir el Narcotráfico?
- ¿Cuál es la frecuencia de entrenamiento en SAGRILAFT, PTEE y Protección de Datos Personales?
- ¿Con qué frecuencia se actualiza o revisa su Código de conducta o Código de ética?
- ¿Su empresa cuenta con Política anticorrupción?
- ¿Con qué frecuencia se actualiza o revisa la política anticorrupción?
- ¿Su empresa cuenta con Política antisoborno?
- ¿Realiza capacitación a los funcionarios relacionados al Código de Conducta?
- ¿Su empresa, subsidiarias, afiliadas o cuerpo directivo forman parte o ya han sido parte de listas internacionales para combatir el Tráfico de Personas?
- ¿Su empresa, subsidiarias, afiliadas o cuerpo directivo forman parte o ya han sido parte de listas internacionales para combatir el financiamiento del terrorismo?
- ¿Cuándo fue implementada la última capacitación de su Compliance Officer?
Seguridad de la Información
- ¿Cómo se realiza el reporte de fallas de los incidentes a los clientes?
- ¿Cómo está estructurado su equipo de seguridad de la información?
- ¿Cuáles son los controles de seguridad para prohibir la instalación de software no autorizado en todos los equipos de producción y componentes de red?
- ¿Cuáles son los controles y procesos que aseguran la instalación, mantenimiento y operación segura de las estaciones de trabajo?
- ¿Su organización utiliza las mejores prácticas de la industria como las redes de área local virtuales (VLANS), las listas de control de acceso (ACL) y las reglas de firewall para limitar el acceso no autorizado a los servicios de red?
- ¿Se implementan procesos para garantizar que se consideren los requisitos de privacidad al diseñar o actualizar sistemas, software, hardware o procesos de negocios?
- ¿Su organización cuenta con procedimientos escritos para la detección, investigación y notificación de infracciones?
- ¿Su organización implementa el cifrado de disco completo en todos los sistemas que tienen la capacidad de acceder, procesar o almacenar datos protegidos?
- ¿Su organización implementa una solución de administración de dispositivos móviles (MDM) en dispositivos corporativos y personales (BYOD) que acceden a la red o a datos protegidos?
- ¿Ha implementado su organización una solución de Autenticación Multifactor (MFA) para que la usen todos los usuarios con acceso remoto a los sistemas internos de la empresa y para todas las conexiones de acceso privilegiado?
- ¿Tiene procedimientos establecidos para la respuesta, escalamiento e investigación de incidentes?
- ¿Su organización restringe el uso del almacenamiento extraíble USB para todas las personas con acceso a Datos protegidos?
- ¿Dispone de políticas y procedimientos para cumplir con las normas de derechos de autor y propiedad intelectual?
- ¿Dispone de políticas y procedimientos para garantizar la seguridad de la información confidencial que se maneja en los equipos y redes?
- ¿Dispone de procedimientos que permitan detectar y notificar al cliente acerca de incidentes de seguridad que afecten o puedan afectar la operación o servicios contratados?
- ¿Valida el procedimiento y la periodicidad de actualización del inventario? ¿Cada cuánto actualiza el inventario de activos?
- ¿Utiliza herramientas para identificar qué software se encuentra instalado en los dispositivos de la Entidad?
- ¿Se encuentra segmentada la red de la entidad, separando las áreas críticas del resto de la operación?
- ¿Cada cuanto tiempo se bloquean automáticamente los sistemas de información por inactividad?
- ¿Se restringe el horario de acceso a las aplicaciones de alto riesgo?
- ¿La entidad cuenta con controles para proteger la información de cualquier cliente?
- Describir los mecanismos y controles que implementan para garantizar el intercambio seguro de información
- ¿El servicio o la solución ofertada, cuenta o soporta segregación de funciones? En caso de que así sea, ¿Cuál es el nivel de granularidad que ofrece?
- ¿Qué actividades realizan para mantener actualizados los conocimientos del personal en las modalidades de ciber ataque y riesgos emergentes?
- ¿Tiene políticas, normas, estándares, procesos y procedimientos documentados relacionados con lavado de activos y financiación del terrorismo? (aprobadas y divulgadas)
- ¿Qué cláusulas contractuales exigen el cumplimiento de políticas de seguridad de la información y ciberseguridad para trabajadores y terceros?
- ¿Utiliza un mecanismo para garantizar que los recursos compartidos se almacenan en un repositorio autorizado?
- ¿Ha implementado mecanismos de cifrado de disco en las estaciones de trabajo de los funcionarios?
- ¿Dispone de acuerdos de confidencialidad o de no divulgación de la información que se maneja y sobre las actividades desarrolladas, con los empleados / contratistas o terceros?
- ¿Con qué herramienta (método) actualiza los activos tecnológicos de información?
- ¿Qué procedimiento se tiene definido para retirar las aplicaciones no autorizadas que se encuentran en el proceso de descubrimiento?
- ¿Existe un protocolo formalizado para gestionar los incidentes de la entidad?
- ¿En caso de un incidente de Ciberseguridad que comprometa la información de algún cliente, la entidad sabe que acciones tomar y cómo y cuándo comunicarlo al cliente?
- ¿Cuentan con mecanismos de autenticación de dispositivos?
- ¿Las aplicaciones sensibles se encuentran en un ambiente aislado?
- ¿Tiene herramientas antimalware, antivirus? ¿Qué reglas generales tiene implementadas?¿Cada cuanto actualiza la herramienta en los dispositivos?
- ¿Cómo es el esquema que tiene definido para la autenticación de los colaboradores?
- ¿Qué controles implementan a nivel de usuario final en cuanto a configuración, instalación y desinstalación de software?
- Presentar el marco y la política de ciberseguridad adoptada por la organización
- ¿Qué controles utilizan para mitigar los riesgos de información confidencial en reposo y en tránsito?
- Presentar procedimientos para la retención y destrucción final de la información, sin que se desconozca lo establecido en el Artículo 96 del EOSF y demás normas aplicables
- ¿Tiene políticas, normas, estándares, procesos y procedimientos documentados y alineados con Seguridad de la Información y ciberseguridad para trabajadores y terceros? (aprobadas y divulgadas)
- ¿Tiene políticas, normas, estándares, procesos y procedimientos documentados relacionados con riesgo operativo? (aprobadas y divulgadas)
- ¿Todos los colaboradores de la Entidad pueden hacer teletrabajo?
- Si los trabajadores usan equipos personales (BYOD) para teletrabajo, ¿Cómo se valida que se apliquen controles de seguridad? ¿Qué revisión o configuración se realiza para acceder a los recursos de la organización? ¿Los controles se aplican antes o después de ingresar a los sistemas de información?
- ¿Cuenta con lineamientos de seguridad para el establecimiento de contraseñas?
- ¿Cómo protege los derechos de autor y el derecho a la propiedad intelectual?
- ¿Cuál es el mecanismo que emplea para cifrar los datos en reposo?
- ¿Realiza la entidad pruebas al procedimiento de respuesta a incidentes?
- ¿Cuál es el medio de comunicación?
- ¿Cuál es el protocolo de autenticación y autorización que tiene implementado?
- ¿Qué controles implementan para monitorear y generar trazabilidad sobre las consultas a información confidencial de clientes?
- Presentar el documento donde se especifiquen las responsabilidades en materia de Seguridad de la Información y Ciberseguridad.
- Presentar los estándares de seguridad, buenas prácticas de desarrollo seguro y herramientas de software utilizan para el desarrollo de su tecnología y en especial el producto que le ofrecen al cliente
- ¿Cómo se manejan los permisos sobre los usuarios y tipos de usuarios?
- ¿Puede describir el proceso implementado para garantizar la seguridad de la información en formato físico?
- ¿Existe un procedimiento documentado de atención de incidentes de seguridad de la información, que contemple, entre otros, la protección de la evidencia?
- En la prestación del servicio, utiliza alguna herramienta de acceso remoto a equipos y escritorios de los trabajadores (RDP, VNC, TeamViewer, LogMeIn, SSH, etc.), ¿sigue buenas prácticas de seguridad recomendadas por el fabricante u otras? (explique)
- ¿Tiene su organización una Política de Cifrado formal y documentada que define los requisitos de cifrado estándar para sistemas o aplicaciones que almacenan o transmiten datos protegidos?
- ¿Tiene su organización una Política de Acceso Remoto formal y documentada para empleados, contratistas y otros terceros que puedan conectarse a la red corporativa con privilegios mínimos necesarios para realizar su trabajo?
- Presentar informes de disponibilidad del sistema o servicio ofertado y detallar el periodo de retención de los mismos
- Presentar KPI que permitan medir la eficacia y eficiencia de la gestión de Seguridad de la Información y Ciberseguridad
- ¿Todos los trabajadores conocen sus responsabilidades con respecto a las políticas y directrices de seguridad de la información de Olimpia?
- ¿Cuenta con una política de escritorio limpio?
- ¿Cuenta la compañía con una Política de Seguridad de la Información aprobada? ¿Qué tan a menudo es revisada?
- Describa a los miembros de su equipo de respuesta a incidentes (CIRT), incluyendo la alta gerencia, comunicaciones y técnicos.
- ¿Tiene su organización una Política de Administración de Contraseñas formal y documentada que establece un estándar para la creación de contraseñas seguras, la protección de contraseñas y la frecuencia de los cambios de contraseñas?
- ¿Tiene su organización una política y un proceso documentado y aprobado para la gestión de parches?
- ¿Se realiza un manejo especial a nivel de usuarios administradores?
- Detallar ¿Cómo garantizan la sincronización de los relojs sobre los diferentes sistemas de información que componen la solución ofertada?
- Detallar a que autoridades que hacen parte del modelo nacional comparte información sobre gestión de incidentes cibernéticos
- ¿Tienen una política de teletrabajo?
- ¿Ha informado a todos los trabajadores que realizan teletrabajo sobre los sistemas de control que serán utilizados?
- Los datos almacenados en la bases de datos deben estar cifrados. Especificar protocolo de cifrado y alcances.
- Los datos a transferir deben estar cifrados. Especificar protocolo de cifrado y alcances (tipos de transferencias)
- ¿Tiene su organización una Política de Eliminación de Medios formal y documentada que especifique cómo los medios, tanto en formato electrónico como en papel, deben eliminarse o sanearse para que los datos almacenados sean inutilizables e inaccesibles?
- ¿Qué actividades ejecutan en la organización para mantener la Ciberseguridad?
Seguridad Digital
- Describa su proceso de revisión e implementación de actualizaciones de seguridad (parchado)
- ¿Su organización ha implementado sistemas de Detección de Intrusión (NIDs-siglas Inglés) o Prevención de Intrusión (NIPs-siglas Inglés) basados en la red para detectar y / o bloquear el tráfico de red malicioso?
- ¿Ha implementado su organización el software de Detección de Intrusiones (HID-siglas Inglés) o Prevención de Intrusiones (HIP-siglas Inglés) basada en host en los equipos o sistemas donde se almacenan los datos protegidos?
- ¿Se asegura su organización de que todos los dispositivos y puntos de acceso inalámbricos estén configurados de forma segura?
- ¿El software antivirus y antimalware está instalado en todos los sistemas que reciben, acceden, procesan o transmiten datos?
- ¿Tiene su organización un proceso documentado y aprobado para proteger y fortalecer los sistemas operativos, servidores, bases de datos y otros dispositivos de red?
- Describa su proceso para mantenerse al tanto de las amenazas de seguridad para dispositivos de red, bases de datos y componentes del sistema operativo.
- Los recursos expuestos a Internet deben estar protegidos mediante una solución Anti DDoS
- La solución debe estar protegida mediante un IPS de red con reglas en modo bloqueo. Mencione cual se tiene implementado.
- Si la solución implementa buckets, ninguno debe estar expuesto públicamente. Enumere los permisos requeridos.
- Tiene un plan de contingencia frente al personal documentado, probado?
- Presentar el plan de respuesta a incidentes de seguridad
- ¿Qué controles tiene para la instalación y administración de unidades removibles (Quemadores de CD/DVD, conexión de discos duros y memorias USB) con las cuales se presta el servicio o procesa la información de Olimpia?
- El sistema de información debe estar protegido mediante un antimalware (protección contra Amenazas persistentes avanzadas)
- ¿El Firewall que tiene implementado tiene alta disponibilidad?
- ¿Tiene las licencias del software requerido para la prestación del servicio?
- Describa su proceso de endurecimiento (hardening) de servidores. ¿Cada cuanto se revisa la configuración?
- ¿El IPS que tiene implementado es autoescalable?
- ¿Todas las comunicaciones que van desde la nube hacia Internet y desde Internet hacia la nube deben pasar a través de los IPS?
- ¿Cómo se separan los datos de un cliente con los datos de los otros clientes para aplicaciones Multi-Tenant?
- ¿Cuenta con un plan de respaldo para el personal crítico a cargo de la ejecución de procesos que soportan los servicios prestados?
- ¿Qué productos antivirus están instalados en los equipos? ¿Con que frecuencia se actualizan?
- ¿Se tienen implementados controles de acceso a nivel de puerto para limitar la conexión de dispositivos no autorizados a la red de la entidad?
- La solución debe contar con protección de Firewall con reglas en modo bloqueo. Mencione cuál se tiene implementado.
- Presentar el plan de comunicaciones relacionado a los incidentes de seguridad
- ¿La solución ofrecida cuenta con recursos expuestos a Internet?
- ¿El WAF que tiene implementado es auto escalable?
- Se ha creado un plan de respuesta a incidentes para varios escenarios, incluyendo: Infección de Malware, Intrusión externa o Denegación de servicio o cualquier otro ciberataque. ¿se hacen pruebas de escritorio sobre estos planes?, ¿con que periodicidad?
- ¿El IPS que tiene implementado tiene alta disponibilidad?
- El código fuente de cada versión a implementar, debe ser analizado periódicamente mediante revisiones tipo SAST. Mencione que herramienta se utiliza para este fin y adjunte el informe generado.
- ¿Se ha implementado una solución de Prevención de Pérdida de Datos (DLP-siglas Inglés) u otra herramienta automatizada en los perímetros de la red para descubrir y bloquear los intentos de enviar datos protegidos, ya sea accidental o maliciosamente, fuera de la organización?
- ¿Cómo se almacenan y protegen los registros de auditoría de actividad de usuarios y eventos de seguridad de la información?
- ¿Cuál es la estrategia de la compañía para una defensa por capas? ¿Se han implementado IPS, next generation firewall, web application firewall, web security gateways?
- ¿Cómo está segmentada la red en zonas apropiadas?
- ¿Cómo realiza el control de navegación en las estaciones de trabajo y servidores?
- Confirme que cuenta con software EDR, antivirus y/o antimalware configurado para ejecutarse automáticamente, interactivamente y en tiempo real en sus plataformas. ¿Este proceso incluye el escaneo de nuevas aplicaciones en el momento de su instalación?
- ¿La solución antivirus y antimalware de la organización está configurada para descargar e instalar automáticamente las actualizaciones de firmas?
- ¿Qué protocolos de cifrado se utilizan para la protección de la información en tránsito?
Seguridad y Salud en el Trabajo
- ¿Tiene política del SG-SST (Sistema de Gestión, seguridad y salud en el trabajo)? aprobada y divulgada
- ¿La organización garantiza la gestión adecuada del sistema SST en sus programas, operaciones, proyectos y actividades con subcontratistas, comunidades locales u otros grupos de interés?
- ¿La organización incluye en su sistema de gestión de la SST, las actividades, los productos y los servicios bajo el control o la influencia de la misma, que pueden tener un impacto en el desempeño de la SST?
- ¿La organización establece, implementa y mejora continuamente un sistema de gestión de SST, cumpliendo con los procesos e interacciones requeridos?
- ¿El empleador lidera e implementa las medidas de Seguridad y Salud en el Trabajo con la participación de los trabajadores, garantizando la mejora del comportamiento, las condiciones laborales y el control de riesgos?
- ¿Se cumple con los Estándares Mínimos, asegurando cobertura efectiva en todas las jornadas, centros de trabajo y para todos los empleados de la empresa?
- ¿Asegura la alta dirección de la organización que la política y los objetivos de SST se establezcan por escrito y sean compatibles con la dirección estratégica, sirviendo como marco de referencia para su revisión?
- ¿Garantiza la alta dirección de la organización los recursos necesarios para establecer, implementar, mantener y mejorar el sistema de gestión de la SST?
- ¿La organización diseña e implementa procedimientos para prevenir y controlar las amenazas priorizadas, o para minimizar el impacto de las no prioritarias?
- ¿Qué procesos implementa la organización para eliminar peligros y reducir riesgos en SST, integrando las medidas de control en los subprogramas de Medicina Preventiva, Higiene y Seguridad Industrial?
- ¿Se genero la calificación de estándares mínimos con ARL?
- ¿Se genero la calificación de estándares mínimos con ministerio?
- ¿La organización tiene procesos de preparación y respuesta ante emergencias que cubren todos los centros, turnos y personas, incluidos contratistas, proveedores y visitantes?
- ¿La organización ha definido directrices o lineamientos para realizar teletrabajo?
- ¿Se informa a las autoridades sobre la identificación y control de riesgos e impactos en SST?
- ¿La organización cuenta con el alcance de la SST documentado y disponible?
- ¿Se aborda la prevención de accidentes y enfermedades laborales, así como la promoción de la salud de trabajadores y contratistas, mediante un sistema de gestión basado en el ciclo PHVA?
- ¿Asume la alta dirección de la organización la responsabilidad y rendición de cuentas por la prevención de lesiones y enfermedades laborales, así como por garantizar lugares y actividades de trabajo seguros y saludables?
- ¿La alta dirección asegura que los requisitos del sistema de gestión de SST estén integrados en los procesos de negocio y decisiones de la empresa?
- ¿Se ha definido, implementado, auditado y aprobado el plan anual de trabajo SG-SST (Sistema de Gestión, seguridad y salud en el trabajo) por la alta dirección?
- ¿Se verifica su participación en simulacros y actividades de prevención y atención de emergencias?
Sostenibilidad
- ¿Su empresa cuenta con un plan o iniciativa para generación de empleo?
- ¿Su empresa realiza acciones para contribuir al desarrollo y bienestar de sus empleados?
- ¿Su empresa cuenta con un plan integral de gestión ambiental?
- ¿Su empresa cuenta con una política de gestión ambiental claramente definida y comunicada?
- ¿La empresa realiza capacitaciones internas sobre sostenibilidad y economía circular? ¿Qué temas se han abordado?
- ¿La empresa tiene iniciativas especificas para involucrarse con la comunidad local en temas de sostenibilidad/circularidad?
- ¿Su empresa cuenta con un plan o iniciativa para aumentar el nivel de educación?