Política de protección de endpoints y malware

La Política de protección de endpoints / malware (P20) codifica los controles esenciales y los requisitos operativos necesarios para proteger todos los endpoints de la organización frente a un amplio abanico de amenazas de software malicioso. El propósito de la política es exigir normas técnicas y procedimentales para salvaguardar equipos de escritorio, portátiles, dispositivos móviles, servidores e infraestructura virtual frente a virus, ransomware, spyware, rootkits, malware sin archivos y otras amenazas avanzadas. Aborda el ciclo de vida completo de la defensa de endpoints, abarcando la detección de software malicioso en tiempo real, la monitorización del comportamiento, la contención de incidentes y la recuperación, garantizando que los sistemas de la organización sigan siendo resilientes y operativos incluso frente a técnicas emergentes de software malicioso. El alcance de la política es integral y se extiende a todos los endpoints propiedad de la organización, gestionados o autorizados por esta, incluidos los dispositivos Trae tu propio dispositivo (BYOD) y activos alojados en la nube. Cubre a empleados internos, contratistas, proveedores de servicios gestionados y cualquier usuario o administrador autorizado a operar, mantener o dar soporte a los endpoints de la organización. El panorama de amenazas reconocido por la política es amplio e incluye tanto vectores de ataque comunes como sofisticados, tales como adware, phishing, botnets, explotación de vulnerabilidades y propagación de software malicioso mediante USB. Los objetivos clave de la política son mantener la integridad, la confidencialidad y la disponibilidad de los sistemas de endpoints y de los datos que tratan. Exige el despliegue de plataformas de defensa contra el software malicioso gestionadas de forma centralizada, como antivirus, detección y respuesta en el endpoint (EDR) y Security Information and Event Management (SIEM), con características técnicas mínimas prescritas: escaneo en tiempo real, detección heurística, cuarentena automatizada y alertas robustas. La política también requiere una integración fluida de la protección de endpoints con los procesos de seguridad circundantes, incluidos la gestión de activos, la respuesta a incidentes, los controles de acceso y el análisis de inteligencia de amenazas. Se definen roles y responsabilidades claros para el Director de Seguridad de la Información (CISO), los responsables de seguridad de endpoints/gestores del Centro de operaciones de seguridad (SOC), Operaciones de TI, propietarios de aplicaciones, empleados habituales y proveedores terceros. Cada rol es responsable de aspectos específicos que van desde mantener registros de herramientas de protección y garantizar la aplicación de la política, hasta responsabilidades a nivel de usuario como notificar incidentes sospechosos y prohibir conexiones de dispositivos no autorizados. La aplicación de la política es rigurosa, con disposiciones para el despliegue de agentes, regímenes estrictos de actualización, controles de línea base técnicos, revisiones semanales y procedimientos explícitos para excepciones de control de acceso o incumplimiento. La respuesta a incidentes se apoya en un playbook de respuesta a malware mantenido, y el cumplimiento continuo se garantiza mediante auditorías periódicas, acciones correctivas obligatorias para debilidades detectadas y consecuencias claras por infracciones. La política está estrechamente alineada con una amplia gama de normas y reglamentos internacionales, incluidos ISO/IEC 27001:2022 (Cláusula 8.1 y Anexo A: 8.7), ISO/IEC 27002:2022 (Controles 8.7, 8.8), NIST SP 800-53 Rev.5, EU GDPR (Artículo 32), EU NIS2 (Artículo 21), EU DORA (Artículo 9) y COBIT 2019, garantizando mejores prácticas y preparación para auditoría para organizaciones reguladas. También se especifican requisitos de revisión y mejora continua para garantizar la adaptabilidad a amenazas en evolución y a cambios en entornos legales o técnicos.