PROCEDIMIENTO GESTIÓN DE VULNERABILIDADES

TECNOLÓGICAS
Cód.: PR-GVTE-186

Versión 004

ELABORADO REVISADO REVISADO APROBADO

Cecilia Del Valle

Julio Villalobos Gerente Ecosistemas Digitales
Sebastián Gallardo Rodrigo Silva
Abogado
Especialista Seguridad de la Subgerente de Seguridad de la
Información información y Ciberseguridad
Gabriela Covarrubias Cristian Ibaceta
Fiscal Gerente Contralor

Fecha: 04-11-2022 Fecha: 11-05-2023 Fecha: 18-01-2023 Fecha: 10-05-2023

La información contenida en este documento es de carácter confidencial y de uso exclusivo de Caja de

Compensación La Araucana.
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

Índice

I. Objetivo .................................................................................................................................................. 3

II. Alcance .................................................................................................................................................. 3

III. Definiciones ........................................................................................................................................... 3

IV. Referencias ............................................................................................................................................ 3

V. Procedimiento ........................................................................................................................................ 4
1. Identificación o Descubrimiento de Vulnerabilidades ........................................................................ 4
2. Evaluación de vulnerabilidades conocidas ........................................................................................ 5
3. Planificación y pruebas para la aplicación de recomendaciones ...................................................... 5
4. Aplicación o implementación de las recomendaciones ..................................................................... 6
5. Monitoreo y mejora continua ............................................................................................................. 7
VI. Sanciones por Incumplimiento............................................................................................................... 7

VII. Frecuencia de Revisión y Actualización ................................................................................................ 8

VIII. Tabla Control de Cambios ..................................................................................................................... 8

IX. Anexo ..................................................................................................................................................... 9

Página | 2
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

I. Objetivo
El objetivo de este procedimiento es generar una práctica de administración y gestión de las
vulnerabilidades tecnológicas de los sistemas disponibles para la operación y los procesos de negocio de
La Araucana C.C.A.F., permitiendo así mitigar los riesgos asociados a la explotación maliciosa de éstas,
que puede producir indisponibilidad de los sistemas, acceso no autorizado, pérdida, robo y/o modificación
de información.

II. Alcance
Este procedimiento aplica a la Subgerencia de Ciberseguridad y todas las divisiones de Ecosistemas
Digitales involucradas en la planeación, el descubrimiento de vulnerabilidades, el análisis y evaluación de
los riesgos asociados, la definición de los planes de acción para mitigar los riesgos identificados, la
ejecución de planes de acción, la verificación de la efectividad de las medidas aplicadas, y el monitoreo
continuo de las vulnerabilidades técnicas asociadas a la infraestructura T.I. implementada por La Araucana
C.C.A.F.
Este alcance se establece para comenzar a gestionar las vulnerabilidades, y aplica sobre los activos que
se señalan a continuación:
 Software autorizados por Subgerencia de Ciberseguridad (anexo b).
 Servidores que prestan servicios a procesos críticos (anexo c).
 Infraestructura de red
 SAP (anexo d).
 Aplicaciones Web (anexo e).
 Active Directory
 Correo corporativo
 Motor de negocio

III. Definiciones
Vulnerabilidad: Es un punto débil en la seguridad de un sistema informático. A través de ésta se pueden
presentar amenazas que pongan en peligro la confidencialidad, integridad y disponibilidad de la
información.
SOC: Sigla en inglés referida al Centro de Operaciones de Seguridad. (Security Operation Center)
Indisponibilidad: Falta de disponibilidad de los servicios tecnológicos.

IV. Referencias
PR-PASE-152 Procedimiento parches de seguridad.

Página | 3
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

V. Procedimiento
1. Identificación o Descubrimiento de Vulnerabilidades
RESPONSABLE ACCIÓN
1. Actualmente, para identificar o conocer vulnerabilidades que puedan afectar los
activos tecnológicos de La Araucana, se mantienen como fuente de información
las siguientes entidades:
 VAMPS: Es un servicio contratado con Telefónica y que permite gestionar las
vulnerabilidades. Esta aplicación permite conocer las vulnerabilidades, los
activos afectados (Servidores y Aplicaciones Web que son objeto de éste
monitoreo), el nivel de criticidad de la misma, y algunas recomendaciones
que permiten mitigar los riesgos identificados.
(https://cybersecurity.telefonica.com/gravity/login).
 SOC Telefónica: A través del servicio de monitoreo de seguridad
proporcionado por el proveedor Telefónica, notifican alertas sobre
vulnerabilidades que están siendo explotadas en nuestro entorno (Otras
empresas, casas de estudios, bancos, etc.) para poder evaluar si nos afectan,
y podamos tomar las medidas de mitigación que correspondan, si aplica.
 Otras fuentes:
Especialista de
A través de las publicaciones que realizan diversos organismos y empresas
Ciberseguridad
de tecnología, se conocen vulnerabilidades publicadas respecto de diferentes
aplicaciones, software, sistemas operativos, navegadores, entre otras, para
alertar a la comunidad respecto de vulnerabilidades conocidas y las
recomendaciones que las mismas proporcionan para mitigarlas.
 Organismos:
- Equipo de respuesta ante incidentes de Seguridad Informática del
gobierno de Chile (CSIRT) (https://www.csirt.gob.cl/vulnerabilidades/)
- Instituto Nacional de Ciberseguridad España (INCIBE-CERT)
(https://www.incibe-cert.es/alerta-temprana/avisos-seguridad)
- Centro Criptológico Nacional España (CCN-CERT)
- (https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert.html)
- Department of Homeland Security United State (CISA)
- (https://us-cert.cisa.gov/ncas/alerts)

Página | 4
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

RESPONSABLE ACCIÓN
Empresas de Tecnología: A través de sus publicaciones oficiales, se conocen
vulnerabilidades asociadas al software y realizan recomendaciones para su
mitigación.
2. Para aquellas vulnerabilidades conocidas, y que a través de un análisis
preliminar se determina que afectan a nuestra infraestructura tecnológica
actualmente implementada en La Araucana C.C.A.F., el especialista de la
Subgerencia de Ciberseguridad genera un ticket en SOLMAN, para que el
administrador responsable de la infraestructura afectada evalúe y aplique las
medidas de mitigación que correspondan.
3. En el ticket se proporcionan todos los antecedentes obtenidos acerca de la
vulnerabilidad, y se adjunta el link del sitio a través del cual obtuvimos la
información según corresponda.

2. Evaluación de vulnerabilidades conocidas

RESPONSABLE ACCIÓN
1. Una vez recibido el ticket con la notificación de vulnerabilidad, evalúa si la
vulnerabilidad ya ha sido mitigada.
2. Si ya existe mitigación aplicada, informa dicha situación.
3. Si no existe mitigación aplicada, revisa las recomendaciones existentes para la
Supervisor de remediación de los riesgos de explotación.
Comunicaciones 4. Si existen limitaciones técnicas u otras que impiden aplicar las mitigaciones
recomendadas, comunica a la Gerencia para determinar acción a seguir.
5. Evalúa si la mitigación a aplicar requiere planificar y ejecutar pruebas en
ambiento no productico y revisiones previas a su aplicación en todos los activos
productivos involucrados, dada la criticidad y número de los activos afectados.

3. Planificación y pruebas para la aplicación de recomendaciones

RESPONSABLE ACCIÓN
1. Planifica y ejecuta pruebas previas en caso de ser necesario.
2. Además, considera las medidas preventivas adecuadas para la ejecución de las
Supervisor de
pruebas, con el fin de prevenir efectos adversos.
Comunicaciones
 Define hora adecuada de pruebas (Horas de bajo tráfico, horarios de no
prestación de servicios).

Página | 5
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

RESPONSABLE ACCIÓN
 Realiza un análisis de riesgo cualitativo sobre la prueba (Análisis sobre la
no disponibilidad de activos críticos de la prueba).
 Realiza monitoreo de los servicios durante las pruebas. (Tiempos de
respuesta excesivos, eventos o incidentes de seguridad).
 Informa a operaciones de la realización de las pruebas.
 Informa a los dueños de los activos.
 Si existen problemas, contempla otras/nuevas acciones de remediación.
3. Posteriormente, documenta las pruebas, para que sirva como evidencia del
proceso, (Configuraciones, activos involucrados, errores, casos de éxito,
metodología de prueba, entre otros que se consideren necesarios mantener).
4. Aquellos casos en los que no sea posible aplicar las recomendaciones respecto
de la vulnerabilidad, escala a las instancias de jefaturas, Subgerencias o
Gerencia Ecosistemas Digitales correspondiente, para evaluar su escalamiento
a otras instancias necesarias (Riesgo Corporativo, Comité de Inversiones u
otras que apliquen), y documentar en el ticket asociado a la vulnerabilidad
notificada para permitir su seguimiento.
5. Si no se requieren pruebas previas o bien estas han sido exitosas, preparará el
Plan de Mitigación Vulnerabilidad a presentar al Comité de Cambio.

1. Toma conocimiento de la situación de los activos en los cuales no es posible

aplicar las recomendaciones para remediar las vulnerabilidades, y valoriza la
solución T.I. que permitirá mitigar los riesgos conocidos.
Supervisor de 2. Comunica los riesgos identificados a la Subgerencia de Ciberseguridad.
Comunicaciones
3. Para los riesgos no aceptados aplica los procedimientos establecidos para
escalar la situación al Comité de Inversiones (Presupuesto necesario para
aplicar las mejoras necesarias de los activos tecnológicas).

4. Aplicación o implementación de las recomendaciones

RESPONSABLE ACCIÓN
1. Presenta Plan de Mitigación Vulnerabilidad en el Comité de Cambios para su
aprobación.
Supervisor de
Comunicaciones 2. Presenta los resultados de las pruebas y aquellos antecedentes relevantes que
el Comité de Cambios requiera.

Página | 6
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

RESPONSABLE ACCIÓN
1. El Comité de Cambios en base a los antecedentes presentados aprueba o
rechaza su implementación en producción.
2. Los aspectos que a lo menos deberá considerar para decidir la
Comité Control de
implementación, además de los resultados de las pruebas, es el tiempo a
Cambios
implantar el control respectivo a la vulnerabilidad, contemplar el costo del
control, capacidad, administración y facilidad de implementación, además de
los posibles impactos que pueda producir su implementación en producción.

1. Si el plan es aprobado se ejecuta, comunica sus resultados y genera registro

de las evidencias en el ticket.
Supervisor de
Comunicaciones 2. Si el plan es rechazado, realiza los ajustes necesarios y prepara una nueva
presentación al Comité de Cambios.

5. Monitoreo y mejora continua

RESPONSABLE ACCIÓN
1. Realiza seguimiento de los tickets generados a partir de la identificación de
vulnerabilidades.
2. Evalúa las respuestas y evidencias documentadas por los administradores o
responsables, verificando que los planes de acciones hayan sido
implementados y las brechas hayan sido cerradas.

Especialista de 3. Mantiene un registro de los tickets asociados a vulnerabilidades, respecto de:

Ciberseguridad - Niveles de efectividad del proceso
- N° de tickets generados al mes
4. La gestión de vulnerabilidades, de acuerdo con lo descrito en este
procedimiento, se mantiene documentada en SOLMAN, para afectos de futuras
revisiones (Auditoría interna o externa, División Ciberseguridad, y otros
interesados).

VI. Sanciones por Incumplimiento

El incumplimiento de las obligaciones establecidas en este procedimiento será sancionado de acuerdo a
las disposiciones establecidas en el Título XXII “De las Sanciones y su Procedimiento de Reclamación”,
del Reglamento Interno de Orden, Higiene y Seguridad de La Araucana C.C.A.F., en concordancia a lo
señalado en el numeral 10 del artículo 154 del Código del Trabajo.

Página | 7
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

VII. Frecuencia de Revisión y Actualización

El presente procedimiento será revisado y actualizado al menos una vez al año o cuando alguna
circunstancia así lo requiera.

VIII. Tabla Control de Cambios

Fecha
Versión Aspectos Modificados
Modificación
- Creación del procedimiento que formaliza la actual práctica de Gestión
de Vulnerabilidad Tecnológica.
- Consideración de los criterios y recomendaciones formuladas por el
001 26-11-2020 Oficial de Seguridad de la Información, proporcionadas el día
05/10/2020, y que toma como referencia el estándar NCh-ISO 27001 /
NCh-ISO 27002, ambos en su versión 2013. Específicamente en el
control “12.06.01 administración de las vulnerabilidades técnicas”.

12-01-2021 - Actualización de procedimiento.

002

10-12-2021 - Modificación de responsables, de acuerdo a la estructura actual de TI.

003
- Modificación de responsables, de acuerdo a la creación del área
Ciberseguridad.
- Cambio de criticidad de activos.
004 10-05-2023
- Modificación de flujo.
- Actualización de anexos a, b, c, d, e.

Página | 8
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

IX. Anexo

a. Flujo

Página | 9
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

b. Listado de software permitidos

Software
ACL 9.2.3 e-contact ICBusinessManagerApps 2018_R1
Acrobat Reader 4- DC e-contact ICUserApps 2018_R1
Acronis Filezilla 3.56
Anaconda 2021-2022 FIN700
Antivirus Mcafee 5.7.3 Firefox
Anyconnect 4.10.0511 Firmas
Anydesk FlashPlayer
ASICOM FONASA Vta_atencion_PAE
Atento tsapi_client Forticlient 6.2.6.0951
Atento ultravnc Framework 4.7.2
Atento winpcap 4.1.2 Genesys cloud 2.10.640
AxisOpen 4.0 HirensBoot
BBRules SIMAT 1857 Hostmonitor 8
Bizagi Hyperrenta
Business Object 4.1 ICS
Check Point R80.40 Internet Explorer
Chrome IP scan Advanced
Cisco SipPhone Itunes
Cisco VPN Client 5.0.07.0290 IVMS 4200
Cleaner Jabber Video Setup 4.6
Client Access 5.3-7.1 Java 1.4 - 8u333
Control M 9.18.200 JWALK
CoolPlex 5.5 k-Lite Codec
CutePDF LDAP
CVS Tortoise LibreOffice 7.2.0
Dbeaver 21.0.5 Lighshot
DBVisualizer 12.1.5 Logmein 4.0.982
Discovery 4.6.2 Lotus Domino 8
driverEasy Malwarebytes
DWGTrueView 2015-2023 Microsoft Office 2003-2019-365
Eclipse MSG Viewer
Mysql WorkBENCH 5.2.40 SUSESO - GRIS 1.848 - 3.030
Netscape Talent Open Studio 2019

Página | 10
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

Node.js Teams
Notepad++ 8.14 TeamViewer
OCS Inventory Teracopy
Palemoon textPad
PDF Creator Thunderbird
PDF Printer 2.6 Tigh VNC
PDF24 Creator TOC Setup
PORT scan Advanced U+
PostMan 8.11.0 Veem Agent 4.0.1.2169
Power BI VirtualBox
Project 2007 Visual studio 2017 -2019
pspad 500 Visual studio Code 1.59.0
Putty VLC
Python Vmware-player
QMS 2.5.2 Vmware-viClient 6.0.0
ReportBuilder Vsplayer
Repositorio JAVA WAMP
RPA WEBEX
Safari WhatsUP Gold 8.3 8.3
Safenetauthenticationclient 10.4 Winrar
SAP 7.5 WinSCP
Service Pack windows 44621 Winzip
SigniantApp 1.4.0 Wireshark
SINACOFI Xcelsius 2008
Skype XRPA
Snagit 8.0.1 Yarn
SoapUi ZIP_7
SPSS 2012-2014 Zoho SAP CRM
SQL SERVER 2008-2019 ZOOM

Página | 11
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

c. Servidores que prestan servicio a procesos críticos

Serv-288 ARAUCPARAP.laaraucana.local
ARAPRA1ACP.laaraucana.local ARAUCPARBD.laaraucana.local
ARAPRA2ACP.laaraucana.local ARAPRA1ABP.laaraucana.local
ARAPRA3ACP.laaraucana.local ARAPRA2ABP.laaraucana.local
ARAPRBDACP.laaraucana.local ARAPRA3ABP.laaraucana.local
ARAPRSCACP.laaraucana.local ARAPRA4ABP.laaraucana.local
EX01-2010.laaraucana.local ARAPRBDABP.laaraucana.local
EX02-2010.laaraucana.local ARAPRSCABP.laaraucana.local
Office 365 Serv-NRP.laaraucana.local
SERV-272.laaraucana.local Serv-302
ARAPRA1ASP.laaraucana.local as400
ARAPRBDASP.laaraucana.local serv-205.laaraucana.local
SERV-105.laaraucana.local SERV-144.laaraucana.local
ARAPRSCPAR.laaraucana.local Serv-280.laaraucana.local
ARAUCPAR.laaraucana.local SERV-292.laaraucana.local

d. Servidores SAP

Sistema VM Sistema VM
Arapra1abp-2016 Arapracpip-2016
Arapra2abp-2016 Araprcipip-2016
PIP
Arapra3abp-2016 Araprscpip-2016
BKS
Arapra4abp-2016 Araprbdpip-2016
Araprscabp-2016 araprwdweb-2016
WEB
Araprbdabp-2016 araprwiweb-2016
Arapra1acp-2016 GRC Arapra1grc
Arapra2acp-2016 arapra1asp-2016
CRM Arapra3acp-2016 araprbdasp-2016
ASP
Araprscacp-2016 Araprarabos
Araprbdacp-2016 Araprsmasn
Arprsapap2-2016 Arapra1wap-2016
Araucpar-2016 WAP Araprscwap-2016
ERP Araucparap-2016 Araprbdwap-2016
Araprscpar-2016
Araucparbd-2016

Página | 12
 NOMBRE PROCEDIMIENTO GESTIÓN DE VULNERABILIDAD
DOCUMENTO TECNOLÓGICA
CÓDIGO FECHA DE REALIZACIÓN ELABORADO REVISADO APROBADO
PR-GVTE-186 Noviembre- 2022 Subgerente de
VERSION FECHA APROBACIÓN Seguridad de la Gerencia de
información y Ecosistemas
Subgerencia
Ciberseguridad / Digitales /
Ciberseguridad
004 10-05-2023 Subgerencia Gerencia de
Cumplimiento y Contraloría
Normativa

e. Aplicaciones Web

i. www.laaraucana.cl
ii. www.previpass.cl

Página | 13