RESPUESTA A MEMO N° 002/2021

AI.05. Gestionar Cambios (Vencimiento Marzo 2020)

Poseen documentació n que evidencie el proceso de adquisició n de los nuevos mó dulos

implementados? ¿Cuá les son?

Nueva Implementació n de Web del asegurado

Evidencias:

1- Exigencia externa : RESOLUCIÓ N SS.SG. N° 031/2020

2- Pedido de presupuesto : Copia de Email al proveedor
3- Presupuesto : Copia de Email del proveedor
4- Estudio de presupuesto y aprobació n : Acta de Comité de TI N° 2
5- Aprobació n de exigencia externa : Copia de email de aprobació n
6- Conclusió n de implementació n : Presentació n de aprobació n Acta de Comité
de TI N° 8

ES.05. Gestionar Servicios de Seguridad (Vencimiento Marzo 2020)

ES.05.01. Implementar la Protecció n contra Software Malicioso (malware).

- Cuá les son las herramientas que utilizan para la prevenció n?

Utilizamos el Kaspersky Endpoint Security para Windows con servidor local
centralizado en todos los equipos y para acceso a Internet utilizamos el
Firewall Fortinet 60D

- Como detectan cual fue el problema? ¿En caso de haber sufrido un ataque?
El acceso al servicio se ve afectado
Las detecciones de un posible incidente causado por un virus pueden ser
detectados mediante un reporte de fallas indicado por algún usuario que
sospeche o considere un comportamiento anormal en su sistema o bien por
el reporte de la consola de Kaspersky, en base a ello se accede al servicio que
se ve afectado

- Como identifican el alcance de una infecció n? ¿Có mo miden el impacto?

Una vez identificado la infección se determinan los sistemas que fueron

comprometidos con el propósito de conocer el alcance del impacto de dicha
infección por ejemplo, si está limitada a un único equipo, un conjunto de ellos, una
subred o, en casos más graves, a toda la red corporativa para ello se procede a lo
siguiente:
 IDENTIFICACION DEL ALCANCE DE LA INFECCION

Nombre del virus: Fecha:

Como se detecto:

Afecta:
Equipo aislado (Nivel bajo)____________________________
Sub Red (Segmentación) (Nivel Medio)__________________
Toda la Red Corporativa (Nivel Alto)____________________

Metodo de Solucion:

…………………………….. ………………………………….
Firma Jefe de TI Administrador de Seguridad

Primeramente se verifica que equipos y servicios fueron afectados.

Servidor de base de datos: falta de sistema.
Correo electrónico: contacto desde y hacia proveedores
Dominio: acceso a recursos de red.
Antivirus: vulnerabilidad de los equipos.

- Como saben si se filtro informació n sensible?

Para deducir si la información que administra la Entidad pudiese haber sido
filtrada por el malware, como pasó anterior es necesaria la identificación del
tipo de virus; ya que existen ciertas características y comportamientos del
malware que permiten identificar la posible filtración de información.
Otro medio de identificación de acceso a información sensible es la
verificación de los registros de accesos no autorizados a un determinado
recurso

Verificando acceso no autorizado a un recurso

- ¿Qué hacen si sospechan que las contraseñ as de los asegurados que utilizan la app
o la web fue filtrada?
Debido a que el mismo es administrado por un proveedor, se realiza la
comunicación al mismo.

- Suponiendo que el servidor de producció n sea vulnerado y corra en él un

ransomware, su servidor espejado/alterno también podría ser vulnerado?
Actualmente se encuentra configurado para replicación cada 30 segundos, el
mismo será modificado luego de una reunión con personal de la División de
Riesgos Tecnológicos de la Superintendencia de Seguros

- Como entra en producció n el servidor alterno, de forma que se asegure la

continuidad del negocio respaldada por el sistema?
La configuración actual es al detectar un error en el servidor principal,
automáticamente entra en servicio el servidor de replicas.
- ¿Có mo contienen el ataque? ¿Tienen documentadas sus estrategias? ¿Tienen redes
segmentadas? Que tienen conectado en cada segmento?
Las estrategias de contenció n pueden variar segú n en función del incidente del tipo
de malware que afecte a la organización.
Por ejemplo, si un equipo se ve afectado por un caso de ransomware, se deberá seguir
una estrategia distinta a si se está ante un caso de un spyware. A partir del
comportamiento del código malicioso se pueden determinar los pasos a seguir para la
contención
Primeramente para todos los casos, se deberá proceder a la desconexión de la red del
equipo infectado en cuestión, posterior a eso según el tipo de infección se deberá
correr de vuelta el anti – virus para códigos maliciosos leves, entiéndase por leve, los
que el antivirus pueda eliminar. Para los casos graves como los malwares de la
familia Win32/FileCoder, es decir, ransomware que cifra archivos, será necesario
aplicar algún método de restauración de información con la intención de evitar el pago
de la información secuestrada y mantener las actividades críticas.
De la misma manera, es necesario emitir las alertas necesarias al personal idóneo para
mitigar la reproducción de los códigos maliciosos, ya sea que puedan presentarse por
dispositivos removibles, correos electrónicos o cualquier otro medio de propagación.
(Controles y Protocolos de Prevención de Software Malicioso)
Con respecto a las herramientas de prevención, actualmente solo con las
herramientas mencionadas y firewall Fortinet
No contamos actualmente con segmentación de redes.

- Como restauran los datos en caso que los hayan perdido?

El servidor del sistema genera un backup automatico el cual es copiado para
resguardo externo, el proveedor cuenta con un programa restaurador
SebaotRestore

- Una vez que contienen el ataque, como aseguran que la amenaza fue eliminada?
A través de un escaneo completo del equipo con herramientas antivirus,
antispyware (Sistema de archivos, registro, recursos de red), con el objetivo
de asegurar el tráfico normal de tal manera a que si se encontrase aun activo
la amenaza en otro equipo pueda ser detectada de manera más eficaz

- ¿Có mo analizan que controles añ adirá n a su infraestructura para evitar o

disminuir la probabilidad de ocurrencia de situaciones similares?
Mediante las lecciones aprendidas, Realizar una investigación de lo
acontecido permite mejorar los procesos dentro de la organización y que los
equipos de respuesta evolucionen para enfrentar nuevas amenazas para ello
se realizara un control periódico de actualización de herramientas,
efectividad de las mismas ante nuevas amenazas.

- ¿Qué hacen después de todo vuelva a la normalidad, ademá s de los controles

aplicados?
 Evaluar cómo se genero la infección/intrusión y atacar los puntos débiles
que pudo haber permitido dicha vulnerabilidad generando un registro para
el plan de mejora y corrección

- Tienen un panel de control centralizado para el antivirus?, porque centralizado?

Contamos con el Kaspersky Security Center, con el servicio centralizado se
tiene un control de las actualizaciones, historial de amenazas, instalación,
análisis y actualizaciones remotas.