Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• SO.5-1: todos los equipos del personal cuentan con solución antimalware.
• SO.5-2: las soluciones a los problemas detectados se realizan en forma ad-hoc.

Nivel 2

• SO.5-3: los servidores cuentan con una solución antimalware, salvo excepciones justificadas.
• SO.5-4: se encuentran configurados chequeos periódicos en los equipos del personal.

Nivel 3

• SO.5-5: está definida una política del manejo de software malicioso.
• SO.5-6: está establecido un procedimiento del manejo de software malicioso.
• SO.5-7: se cuenta con una solución centralizada de antimalware.

Nivel 4

• SO.5-8: están implementados controles para evitar el acceso a sitios Web maliciosos y/o no autorizados.
• SO.5-9: la protección ante software malicioso se extiende a otros dispositivos móviles y se refleja en la política de protección contra software malicioso.
• SO.5-10: existen procedimientos documentados para la detección de equipos que se encuentran desprotegidos y se realizan las acciones necesarias para subsanar la situación.
• SO.5-11: se cuenta con un registro estadístico de infecciones por software malicioso que aporta a la toma de decisiones y alimenta las lecciones aprendidas que se usan para la mejora continua.

Política de control contra software malicioso
Se debe contar con una política de protección contra software malicioso y procedimientos asociados que contemplen aspectos como:

• Mecanismos y/o procedimientos para la detección de uso de software no autorizado o malicioso.
• Mantener una lista de software autorizado (lista blanca).
• Mantener una lista de sitios Web maliciosos y/o no autorizados (lista negra).
• Protección antimalware centralizada y su responsable para la gestión.
• Capacitar al personal afectado en la operación y uso de la solución antimalware, así como cualquier otro mecanismo utilizado para la detección de software malicioso.
• Reducir las vulnerabilidades que podrían ser explotadas por software malicioso mediante, por ejemplo, la gestión técnica de vulnerabilidades.
• Procedimientos para obtener información en forma regular (suscripción a listas de correo, comprobación de los sitios Web especializados que brindan información sobre nuevo software malicioso).

Herramientas de protección
Se debe contar con herramientas automatizadas (EDR, XDR, antispyware, firewalls personales, IPS, etc.), de preferencia centralizadas, para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles.

Protección contra software malicioso en servidores
Se debe implementar una estrategia de defensa en profundidad que combine múltiples capas de seguridad interconectadas. El núcleo de esta estrategia es la adopción de una solución avanzada de Detección y Respuesta Extendidas (XDR), que integra y correlaciona datos de diversas fuentes más allá del endpoint.

Esta plataforma XDR debe incorporar las capacidades de una solución de protección de endpoints (EPP/EDR). Simultáneamente, es fundamental reducir la superficie de ataque mediante el hardening del sistema operativo. La estrategia debe reforzarse con sistemas de detección y prevención de intrusiones (IDS/IPS) y monitoreo.  

Aquellos servidores que, debido a limitaciones tecnológicas inherentes, no puedan alojar un agente de protección, deberán ser monitoreados de forma compensatoria, justificando claramente el motivo de la excepción y las medidas alternativas aplicadas. 

• Política de Seguridad de la Información.
• Política de protección contra software malicioso y otros archivos provenientes de redes externas u otros medios y medidas preventivas que deberán tomarse.
• Procedimiento para el control y detección de software no autorizado o malicioso.
• Lista de aplicaciones permitidas.
• Lista de aplicaciones no permitidas.
• Sitios Web no autorizados o reglas que los filtran.
• Muestra de equipos para determinar que cuentan con el antimalware actualizado.
• Cantidad de licencias vs cantidad de equipos de la organización.
• Muestra de equipos para determinar que cuentan con las últimas actualizaciones de seguridad instaladas.
• Muestra de equipos para determinar que tienen instalado únicamente el software permitido.
• Política y procedimiento de gestión de incidentes.  
• Muestra de incidentes y su gestión para una muestra seleccionada por el auditor dentro del período auditado.
• Filtros aplicados en correo y Gateway.