CUESTIONARIO DE AUDITORÍA

NIVEL GENERAL

El presente documento es un esfuerzo realizado por MasterBase® para informar sobre temas de seguridad específicos. Para esto se ha escogido el formato de cuestionario por ser el de mayor utilidad en auditorías desde nuestros clientes.

La versión del documento es 201908.1.

Para una máxima claridad se define los siguientes conceptos, a los cuales se hará referencia en el cuestionario:

  • Proveedor: Empresa MasterBase®.
  • Cliente: La empresa que tiene contratado algún servicio brindado por MasterBase®.
  • Tercero: Alguna empresa que provee servicios relacionados a MasterBase®.

Id tema Tema
1 Políticas y Estándares
2 Autenticación, autorización y acceso (personal del proveedor)
3 Autenticación, autorización y acceso al servicio (usuarios del cliente)
4 Confidencialidad e Integridad
5 Detección y Respuesta de Incidentes
6 Seguridad del Personal
7 Concientización y Entrenamiento
8 Firewalls y Sistemas de Detección de Intrusión
9 Desarrollo y Mantenimiento de Sistemas
10 Riesgo Operacional
11 Seguridad Física
12 Continuidad de Negocio
13 Proveedores
14 Cumplimiento / Leyes y Regulaciones
15 Transporte de Medios Electrónicos
16 Transporte documentos Valorados/Confidenciales
17 Internet Web Hosting
18 Gestión de Control Financiero Contable
19 Administración de Operaciones y Comunicaciones
20 Respecto de los servicios
Id tema Pregunta Respuesta Comentario
1 ¿El proveedor ha creado una política de seguridad de la información con una frecuencia periódica de revisión? SI
2 ¿Se eliminan o desactivan las cuentas por defecto de los fabricantes o se cambian sus contraseñas inciales en los sistemas y/o dispositivos antes de su puesta en producción? SI
2 ¿Se requiere autenticación para los sistemas que almacenen, procesen o transporten datos del cliente? SI
2 ¿Existen reglas de seguridad para la construcción de las contraseñas para los sistemas y aplicaciones del proveedor? SI
2 ¿Se les obliga a los empleados del proveedor a cambiar periódicamente sus contraseñas? SI Para las labores críticas definidas
2 ¿Se ha establecido un procedimiento para la administración de perfiles de acceso del proveedor ? SI
2 ¿Existe un procedimiento formal y documentado para otorgar/eliminar/modificar acceso lógico a los sistemas y aplicaciones del proveedor que contienen o procesan información del cliente? SI
3 ¿Los usuarios disponen de identificadores únicos para el acceso a las aplicaciones? SI
3 ¿A los nuevos usuarios se les proporciona una contraseña inicial generada de manera aleatoria? SI
3 ¿A los nuevos usuarios se les fuerza el cambio de contraseña tras el primer acceso? SI
3 ¿El reiniciar las contraseñas de usuario está restringida a personas autorizadas y/o a una herramienta automatica? SI El servicio lo ofrece de manera automática
3 ¿Existe un procedimiento de administración de usuarios en el que se garantice que el acceso se otorga de acuerdo a roles? funcionalidades y privilegios mínimos? SI El servicio ofrece al cliente toda la granularidad que requiere para que él haga su propia definición
3 ¿Existen reglas de seguridad para la construcción de las contraseñas para acceder a los servicios? SI
4 ¿Existen acuerdos de confidencialidad firmados entre el proveedor y el cliente? SI
4 ¿El proveedor ha adoptado medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme a la normatividad vigente sobre la materia? SI
4 ¿Tiene el proveedor un esquema de clasificación de la información(Restringida/Confidencial / /Interna/Pública) u otra similar? SI
4 ¿Se proporcionan mecanismos de devolución/regresión para el servicio y los datos en caso de finalización del contrato? N/A Sus datos están bajo la administración del cliente
4 ¿Tiene el proveedor procedimientos para desechar, eliminar y reutilizar equipos y medios de respaldo, de manera que cualquier dispositivo o medio de almacenamiento que se dé de baja, se bote o remate no contenga información del cliente, ni tampoco la información pueda ser recuperada por terceras personas? SI
4 ¿El proveedor encripta toda la información electrónica del cliente que transmite o transporta?. Describa la encriptación utilizada o los controles que la reemplazan si la encriptación no se usa. SI Protocolo HTTPS
4 ¿Existe un procedimiento para la liberación de parches y actualizaciones para los sistemas y aplicaciones del proveedor? SI
5 ¿Dispone de una política formalizada de gestión de incidentes de seguridad (incluyendo un plan documentado de identificación, respuesta, escalado y solución) ? SI
5 ¿La documentación relativa a los incidentes y soluciones a los mismos es registrada y almacenada? SI
5 ¿Se encuentran claramente identificadas las responsabilidades respecto a revisión y monitoreo de los incidentes de seguridad? SI
5 ¿El proveedor ha establecido un procedimiento formal para la atención de incidentes de seguridad, que además considere planes de resolución conforme a la criticidad del evento/problema detectado? SI
6 ¿El proveedor tiene políticas, normas y/o procedimientos para la selección del personal? SI
6 ¿Se ha definido claramente los roles y responsabilidades en seguridad de la información por parte del proveedor? SI
7 ¿Personal interno del proveedor y tercerizado recibe regularmente entrenamiento apropiado del conocimiento y actualización sobre políticas de Seguridad de la Información? SI
8 ¿El proveedor ha protegido sus redes internas de conexiones externas a través de firewall? SI
8 ¿Existen medidas para asegurar el nivel de servicio ante ataques de denegación de servicio DoS/DDoS? SI
9 ¿Los desarrolladores tienen restringido el acceso al entorno de producción? SI
9 En caso que el proveedor desarrolle sistemas o aplicaciones que sean ocupados para entregar el servicio al cliente, responda ¿Existe metodología para el desarrollo, pruebas (Quality Assurance)? Ejemplo, autorización de paso a producción, etc. SI
9 ¿Esta prohibido dentro de la organización proveedora usar una base de datos con información del cliente para ser usada en ambiente de desarrollo o pruebas? SI
10 ¿El proveedor tiene controles de prevención de fraude interno y/o Externo, para evitar posibles daños económicos al cliente? SI
10 ¿El proveedor puede desarrollar investigaciones de fraudes , ya sea interno o externos, como apoyo para investigaciones por parte del cliente? SI
11 ¿El proveedor tiene procedimientos formales de control de seguridad física para sus instalaciones? SI
11 ¿El proveedor tiene procedimientos formales de control de seguridad física para su(s) Datacenter(s)? SI
11 ¿El proveedor mantiene controles físicos para su(s) Datacenter(s) y controles ambientales conforme a las especificaciones de los equipos (por ejemplo: valores de humedad, temperatura, eléctricas, entre otros)? SI
11 ¿El proveedor mantiene registro de los ingresos a su(s) Datacenter(s)? SI
11 ¿El proveedor posee controles para prevenir pérdidas, daños o robos de los activos, incluyendo la protección de los equipos frente a amenazas físicas y ambientales? SI
11 ¿El proveedor tiene CCTV Interno / Externo con sistema de almacenamiento de imágenes en su(s) Datacenter(s)? SI
11 ¿Las instalaciones del proveedor están protegidas por alarmas de detección de intrusos? SI
12 ¿El proveedor cuenta con una política, modelo y gestión formal de continuidad de negocio implementado y actualizado? SI Parcialmente
12 ¿Ha sufrido algún incidente de seguridad que requiriese la activación del Plan de Recuperación ante Desastres en los últimos 3 años? NO
12 ¿Existe un calendario anual de pruebas de Recuperación ante Desastres? NO En desarrollo
12 ¿El Plan de Continuidad de Negocio del proveedor incluye todos los procesos principales que soportan el procesamiento del cliente? SI
13 ¿El proveedor tiene controles que aseguren que los contratos con sus proveedores incluyan cláusulas de confidencialidad, Auditibilidad, de continuidad de negocio, niveles de servicio, multas y otras de cumplimiento de la industria? SI
14 ¿El proveedor tiene organismos reguladores o de reglamentación que lo rigen en el ámbito del cumplimiento? (por ejemplo, SOX, OSFI, etc.) NO Nos regimos por las mejores prácticas en cuanto a normativa de datos personales y Anti-Spam
14 ¿La empresa cuenta con un área definida de Seguridad de la Información? SI
15 ¿El proveedor tiene un procedimiento para el Transporte de Medios Electrónicos (Cintas, CD, DVD, etc.) que contengan información del cliente? N/A No se transporta información del cliente
16 ¿El proveedor tiene un procedimiento para el Transporte de documentos Valorados o Confidenciales del cliente? N/A No se transporta información del cliente
17 ¿El proveedor tiene procedimientos para identificar y solucionar fallas en el ambiente de red (routers, switches, firewalls, DNS, servers, etc.)? SI
17 ¿A sus aplicaciones e infraestructura de Internet WebHosting, el proveedor les realiza pruebas de calidad (Quality Assurance) antes de salir a producción? SI
19 ¿El proveedor tiene procedimientos documentados para el uso de plataformas específicas que tengan impacto con los servicios brindados al cliente? SI
19 ¿Los sub-contratantes del proveedor están alineados en temas de seguridad y de acuerdo a sus estándares? SI
19 ¿El proveedor ha establecido la política del buen uso de los equipos, entre ellos el correo electrónico? SI
19 ¿El proveedor cuenta con sistema antivirus con administración centralizada y con las últimas firmas? SI Por definición no se usa administración central
20 ¿Los sistemas en donde se procesan o almacenan datos del cliente son monitorizados para asegurar la disponibilidad del servicio? SI
20 ¿El servicio requiere de conexión con la infraestructura del cliente? NO