Política Corporativa de Incidentes de Seguridad de la información y Ciberseguridad.

Política Corporativa de Incidentes de Seguridad de la información y Ciberseguridad.

Organización: TTPSEC SpA
Versión vigente: 30 de mayo de 2025

1. Propósito

Establecer un marco integral, estructurado y proactivo para la detección, análisis, clasificación, contención, erradicación, recuperación y aprendizaje de incidentes de seguridad de la información, en conformidad con la NIST SP 800-61 Revision 3, ISO/IEC 27035, y basado en el modelo táctico-operacional MITRE ATT&CK.

2. Ámbito de Aplicación

Esta política aplica a todos los activos de información, sistemas, aplicaciones, redes, servicios cloud, infraestructura IT y OT, propios o administrados por TTPSEC SpA o en nombre de sus clientes. Es obligatoria para todos los colaboradores, contratistas, proveedores y socios estratégicos.

3. Definición y Clasificación de Incidentes

Un incidente de seguridad de la información se define como cualquier evento real o sospechoso que afecte o tenga el potencial de afectar la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de los activos de información.

Los incidentes se clasifican en categorías técnicas alineadas a MITRE ATT&CK, como:

A. Uso no autorizado de redes y sistemas

T1078, T1110, T1190, T1588.006, T1555

B. Phishing y fraudes digitales

T1566, T1583.001, T1566.001, T1566.002, T1566.003

C. Ejecución remota o local de código malicioso

T1059, T1203, T1611, T1505.001, T1505.003

D. Exfiltración de datos, leaks o exposición

T1557, T1530, T1213, T1005, T1552, T1567

E. Denegación de servicio e indisponibilidad

T1499, T1529, T1499.002, T1485, T1561

F. Degradación de servicio o recursos

T1496, T1498, T1499.003

G. Manipulación de datos y registros

T1565, T1491.003, T1070.001, T1070.003

H. Alteración no autorizada de configuraciones

T1562.004, T1562.002, T1098, T1489

4. Ciclo de Vida del Incidente

Adoptamos el ciclo recomendado por NIST 800-61r3:

1. Preparación: Planes, herramientas, roles definidos y conciencia organizacional.

2. Detección y Análisis: Uso de SIEM, sensores, inteligencia de amenazas y correlación de eventos.

3. Clasificación y Priorización: Medición del impacto y urgencia.

4. Contención: Limitación de propagación (temporal, a corto y largo plazo).

5. Erradicación: Eliminación de artefactos y persistencia del atacante.

6. Recuperación: Restauración controlada de servicios con monitoreo activo.

7. Post-Incident Review: Informe detallado, lecciones aprendidas y refuerzo de controles.

5. Roles y Responsabilidades

• CISO (Chief Information Security Officer): Supervisa la arquitectura de seguridad, las medidas técnicas, la gestión del SGSI, la respuesta a incidentes y el cumplimiento de controles técnicos.

• DPO (Data Protection Officer): Responsable de garantizar el cumplimiento de la Ley 21.719 y otras regulaciones de protección de datos personales. Supervisa el tratamiento legítimo de datos, participa en evaluaciones de impacto (DPIA), y es el punto de contacto con la Agencia Nacional de Protección de Datos Personales.

• CSIRT interno: Ejecuta investigación técnica, contención, erradicación y documentación.

• SOC o terceros especializados: Soporte 24/7 en detección avanzada y respuestas.

• Jefe de Arquitectura e Ingeniería: Aplica ajustes técnicos de mitigación y cambios de arquitectura.

• Ingeniero Senior de Ciberseguridad IT: Revisa vulnerabilidades, implementa parches y verifica hardening.

• Colaboradores y terceros: Reportar inmediatamente incidentes o conductas sospechosas.

6. Gestión de Incidentes Críticos

En caso de incidentes clasificados como críticos:

• Se debe notificar a los clientes afectados dentro de los 60 minutos posteriores a la verificación del incidente.

• Se debe notificar a la Agencia Nacional de Ciberseguridad (ANCI) en un plazo máximo de 60 minutos desde su verificación, según exige la Ley 21.719.

• Activación de plan de comunicaciones y gestión reputacional.

• Coordinación con entes regulatorios adicionales si aplica.

• Entrega de informe técnico con plan de acción, medidas correctivas y garantías post-incidente.

7. Registro y Trazabilidad

Todos los incidentes deben:

• Ser documentados en el sistema oficial.

• Incluir: código, clasificación ATT&CK, impacto, responsables, evidencia, cronología y resolución.

• Generar un informe post-mortem si es incidente alto o crítico.

8. Concienciación y Simulacros

• Ejecución de simulacros anuales de Red Team o tabletop.

• Talleres técnicos para personal clave.

• Formación obligatoria para todo el personal sobre notificación de incidentes.

9. Control de Cambios

• Versión: 1.0

• Fecha: 10/04/2025

• Cambio: Versión inicial

• Aprobado por: Gerencia General

10.Difusión y Vigencia

• Esta política está disponible en los canales internos de TTPSEC SPA. Su conocimiento, comprensión y cumplimiento son obligatorios para todo el personal interno y terceros con acceso a información o recursos de la organización.

11. Contacto Oficial para Reportes

• Correo: csirt@ttpsec.com

• Teléfono de emergencia: +56 9 2006 3713

• Dirección: Merced 838-A, Oficina 117, Santiago, Chile

Fin del Documento