Política Corporativa Anti-Ransomware

Basada en ISO/IEC 27001:2022 e ISO/IEC 27002

1. Introducción

El ransomware constituye una de las amenazas más agresivas y prevalentes en el panorama actual de ciberseguridad. Su impacto puede incluir:

• interrupción prolongada de operaciones,
• pérdida total o parcial de información,
• filtración de datos confidenciales,
• costos financieros elevados,
• daños reputacionales.

Esta política establece un marco integral para prevenir, detectar, contener y recuperar ante incidentes de ransomware. Se alinea a la norma ISO/IEC 27001, que define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI).

2. Propósito

El objetivo de esta política es:

• Definir controles claros que reduzcan el riesgo de infección.
• Establecer lineamientos obligatorios para todos los usuarios.
• Mantener la continuidad operativa incluso ante incidentes severos.
• Asegurar prácticas alineadas a estándares internacionales.
• Crear cultura de prevención y reacción temprana.

3. Alcance

Esta política aplica a:

• Infraestructura on-premise y cloud.
• Servidores, puestos de trabajo, dispositivos móviles y redes internas/externas.
• Personal interno, consultores, proveedores y terceros con acceso a datos.
• Procesos del SGSI y documentación asociada.

4. Definiciones

Ransomware

Malware que cifra la información y exige un rescate para recuperarla.

Backups inmutables

Copias de seguridad que no pueden ser modificadas, eliminadas o cifradas.

EDR/XDR

Herramientas avanzadas de protección y respuesta en endpoints.

5. Responsabilidades

5.1 Dirección

• Aprobar esta política y asignar recursos.
• Alinear la estrategia corporativa con la gestión de riesgos.
• Supervisar cumplimiento y eficacia.

5.2 Área de Tecnología / Seguridad

• Implementar controles técnicos preventivos.
• Operar sistemas de detección y monitoreo.
• Ejecutar pruebas, simulacros y auditorías internas.
• Gestionar incidentes según procedimientos establecidos.

5.3 Usuarios finales

• Respetar todas las medidas de seguridad.
• No instalar software no autorizado.
• Evitar clics en enlaces o adjuntos sospechosos.
• Reportar inmediatamente cualquier actividad inusual.

6. Controles Preventivos (ISO/IEC 27001 – Secciones A.5, A.8, A.12, A.13)

6.1 Gestión de activos

• Inventario actualizado de hardware, software y servicios cloud.
• Clasificación de información según sensibilidad.

6.2 Gestión de vulnerabilidades

• Escaneos permanentes.
• Parches críticos aplicados en un plazo no mayor a 7 días.
• Endpoints protegidos con EDR o antimalware de nueva generación.

6.3 Control de acceso

• Autenticación multifactor obligatoria.
• Políticas de contraseñas robustas.
• Acceso basado en roles (mínimo privilegio).
• Revisión trimestral de permisos.

6.4 Seguridad en correo electrónico

• Filtro antispam avanzado.
• Análisis automático de enlaces y adjuntos.
• Bloqueo de extensiones peligrosas.
• Capacitación específica en phishing.

6.5 Seguridad de endpoints

• EDR activo en todos los equipos.
• Restricción de ejecución de macros.
• Aplicación estricta de listas blancas de software.
• Control de dispositivos extraíbles.

6.6 Seguridad en redes

• Segmentación de redes críticas (LAN, DMZ, proveedores).
• IDS/IPS activo.
• Reglas de firewall restrictivas.
• Monitoreo de tráfico saliente para detectar canales C&C.

7. Copias de seguridad (ISO/IEC 27001 – A.12.3)

7.1 Requisitos obligatorios

• Copias offline, off-site e inmutables.
• Retención mínima: 30 días.
• Backups cifrados, verificados y documentados.

7.2 Pruebas de restauración

• Restauraciones de prueba mensuales.
• Registro documentado de cada test.
• Verificación de integridad previa a la restauración final.

8. Monitoreo y detección (ISO/IEC 27001 – A.8.16)

• Centralización de logs en un SIEM.
• Alertas de comportamiento anómalo:
  • cifrado repentino de archivos,
  • borrado de shadow copies,
  • actividad fuera de horario,
  • movimientos laterales,
  • intentos de elevación de privilegios.

9. Respuesta a incidentes (ISO/IEC 27001 – A.5.24 a A.5.34)

9.1 Detección y análisis

• Identificación del incidente.
• Clasificación de severidad.
• Activación del equipo de respuesta.

9.2 Contención

• Aislar el equipo afectado.
• Bloquear cuentas involucradas.
• Desactivar servicios comprometidos.

9.3 Erradicación

• Limpieza del malware.
• Reinstalación de sistemas si es necesario.
• Rotación de claves y contraseñas.

9.4 Recuperación

• Restauración desde backups seguros.
• Validación de integridad post-restauración.
• Monitoreo reforzado durante 72 horas.

9.5 Comunicación

• Informar a dirección, legal y proveedores.
• Evaluar obligaciones de notificación a autoridades según legislación aplicable.
• No pagar rescates, salvo decisión de Dirección bajo recomendación legal.

10. Capacitación y concientización (ISO/IEC 27001 – A.6.3)

• Capacitaciones semestrales obligatorias.
• Pruebas de phishing simuladas.
• Reportes de desempeño por área.
• Material instructivo fácil de entender.

11. Gestión de proveedores (ISO/IEC 27001 – A.5.19, A.5.20)

• Evaluaciones de seguridad previas a la contratación.
• Cláusulas contractuales específicas de ciberseguridad.
• Requisitos mínimos: ISO 27001, SOC 2 o equivalentes.
• SLA claros en caso de incidentes.

12. Mejora continua

• Revisión anual de esta política.
• Actualización tras incidentes relevantes.
• Auditorías periódicas internas y externas.
• Revisión del análisis de riesgos del SGSI.

13. Referencias normativas

• ISO/IEC 27001:2022 — Sistema de Gestión de Seguridad de la Información
• ISO/IEC 27002:2022 — Controles de Seguridad
• NIST Cybersecurity Framework 2.0
• NIST SP 800-53 Rev.5
• MITRE ATT&CK — Técnicas de ransomware

14. Entrada en vigencia

Esta política rige desde su fecha de publicación y deberá revisarse al menos una vez al año.

Aprobado por: Dirección de Devlois
Fecha: 17/11/2025