Política de protección de endpoints y malware - PYME

Esta Política de protección de endpoints – malware (P20S) está diseñada específicamente para pequeñas y medianas empresas (PYMES) que buscan una protección sólida, práctica y alineada con normas frente a amenazas de malware dirigidas a dispositivos endpoint. Identificada por la “S” en su número de documento y por la delegación de la responsabilidad principal al Director General, esta política refleja un enfoque simplificado adecuado para organizaciones sin Director de Seguridad de la Información (CISO), Centro de operaciones de seguridad (SOC) ni equipos de TI a tiempo completo, y aun así sigue siendo plenamente compatible con marcos líderes, incluido ISO/IEC 27001:2022. El propósito de esta política es establecer estándares mínimos claros y aplicables para asegurar todos los dispositivos endpoint, incluidos portátiles, equipos de sobremesa, tabletas, smartphones y medios extraíbles. Al abordar los elementos técnicos, procedimentales y de comportamiento de la seguridad de endpoints, pretende mitigar riesgos comunes como ransomware, spyware, registradores de pulsaciones y malware basado en USB. La política está redactada para apoyar los objetivos de resiliencia cibernética de la organización y facilitar el cumplimiento normativo, en particular con GDPR, NIS2, DORA y COBIT 2019. El alcance es integral: cubre dispositivos de la organización y Trae tu propio dispositivo (BYOD), independientemente de si están in situ, en remoto, conectados a la nube u offline. Todo el personal, proveedores de servicios gestionados, contratistas y becarios están sujetos a sus requisitos. La política detalla la gobernanza tanto para dispositivos propiedad de la empresa como para dispositivos de propiedad personal, con especial énfasis en controles de Trae tu propio dispositivo (BYOD), como antivirus o agentes MDM obligatorios, aplicación de parches actualizada, almacenamiento cifrado y aplicación del bloqueo de pantalla. Los requisitos operativos clave incluyen ejecutar soluciones aprobadas de antivirus o detección y respuesta en el endpoint (EDR) en todos los endpoints, escaneos completos semanales del sistema, actualizaciones automáticas de firmas, bloqueo de tipos de archivo sospechosos, deshabilitación de servicios no utilizados y escaneo USB en tiempo real. Si se detecta malware, se describen claramente la desconexión inmediata, la notificación a TI, la contención, las acciones de remediación y los procedimientos de notificación de incidentes. Controles adicionales exigen formación periódica de concienciación del personal y campañas de phishing simulado continuas para minimizar los riesgos de infección relacionados con el usuario. La política también estipula que los eventos críticos (como protecciones deshabilitadas o intentos repetidos de infección) se registran y generan alertas automatizadas, que la evidencia de auditoría de cumplimiento se conserva para auditoría durante al menos 12 meses y que las excepciones se documentan estrictamente y son de duración limitada. La revalidación anual y las actualizaciones basadas en desencadenantes garantizan que la política siga siendo eficaz frente a amenazas y cambios normativos en evolución. Todos estos controles son adecuados para PYMES, proporcionando a directores generales y proveedores de soporte de TI pasos de seguridad accionables y gestionables que cumplen las expectativas de los principales marcos regulatorios.