Lirium Chile

POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Enero, 2025

---

OBJETIVO Y ALCANCE

El propósito fundamental de este documento es establecer un marco sólido y eficiente para la gestión de incidentes de seguridad de la información en nuestra organización.

El objetivo primordial de la Política de Gestión de Incidentes de Seguridad de la Información (en adelante, la “Política”) es garantizar la detección temprana de eventos y debilidades de seguridad, como también la rápida reacción y respuesta ante incidentes de seguridad.

La presente Política resulta aplicable a todos los empleados, socios y miembros de LIRIUM, sin distinción de jerarquía, como también a terceros externos (colaboradores externos, proveedores, etc.) que se encuentran en contacto con los sistemas y con la información alcanzados por el Sistema de gestión de seguridad de la información (SGSI).

Estas personas desempeñan un papel esencial en la gestión de incidentes de seguridad de la información y deben estar familiarizados con esta política y procedimiento para garantizar una respuesta coordinada y eficaz en caso de incidentes.

---

NORMATIVA

LIRIUM se compromete a cumplir con los estándares y buenas prácticas en materia de Seguridad de la Información:

  • Norma ISO/IEC 27001: cláusulas 7.4, A.5.7, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.4 y A.6.8.
  • Ley N° 19.628 sobre protección de la vida privada (“LPVP”);
  • Ley Nº 21.459, que establece normas sobre delitos informáticos;
  • Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
---

DEFINICIONES

Las siguientes definiciones se aplican a los términos utilizados a lo largo de la Política de Gestión de Incidentes de Seguridad de la Información:

Término Definición
Ciberseguridad "Conservación de la confidencialidad, integridad y disponibilidad de la información en el ciberespacio.(ISO 27.032:2015)"
Chief Information Security Officer (CISO) "Es el director de seguridad de la información y ciberseguridad dentro de la organización. Es la persona responsable de alinear la seguridad informática y ciberseguridad de una organización con sus objetivos principales. Protege a la organización de ciberataques y otros incidentes de seguridad, evitando además la pérdida de datos personales y empresariales."
Confidencialidad Característica de la información por la cual solo está disponible para personas o sistemas autorizados.
Delegado de Protección de datos (DPO) Es la persona encargada de supervisar y garantizar el cumplimiento de las leyes y regulaciones de protección y privacidad de datos.
Disponibilidad Característica de la información por la cual solo pueden acceder las personas autorizadas cuando sea necesario.
Gestión de incidentes de seguridad de la información "Conjunto de procesos para detectar, informar, evaluar, responder, tratar y aprender de incidentes de seguridad de la información."
Incidente de seguridad de la información "Evento, o serie de eventos, indeseado e inesperado que tiene una alta probabilidad de poner en riesgo las actividades comerciales y de amenazar la seguridad de la información."
Integridad Característica de la información por la cual solo que es modificada por personas o sistemas autorizados y de una forma permitida.
RTO El RTO o Recovery Time Objective es el objetivo de tiempo de recuperación. Es un indicador que permite conocer el tiempo de inactividad que puede tolerar una empresa en caso de incidente informático. Este dato establece en qué tiempo deben recuperarse los sistemas después de un desastre.
Seguridad de la información " Es la preservación de la confidencialidad, integridad y disponibilidad de la información."
Sistema de gestión de seguridad de la información "Parte de los procesos generales de gestión que se encarga de planificar, implementar, mantener, revisar y mejorar la seguridad de la información."
Vulnerabilidad Es un fallo técnico o deficiencia de un programa o aplicación que puede permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas.
---

GESTIÓN DE INCIDENTES

La gestión de incidentes de seguridad de la información se puede definir como un proceso integral dentro del Sistema de Gestión de Seguridad de la Información (SGSI) que se encarga de detectar, analizar, responder y gestionar los incidentes de seguridad que puedan afectar la confidencialidad, integridad o disponibilidad de la información en una organización.

Esta gestión tiene como objetivo minimizar el impacto de los incidentes, garantizar la continuidad de las operaciones y aprender de las amenazas y debilidades identificadas para fortalecer la seguridad de la información en el futuro.

Recepción y clasificación de incidentes, debilidades y eventos

La efectiva identificación y gestión de incidentes, debilidades y eventos de seguridad de la información son pilares fundamentales para garantizar la seguridad y la continuidad operativa de LIRIUM. Esta sección del documento detalla los procedimientos y las pautas que se deben seguir para la recepción, registro y clasificación de incidentes de seguridad de la información, debilidades y eventos relacionados.

Proceso de Recepción y Clasificación Preliminar:

  • Detección y Notificación: Los incidentes, debilidades o eventos de seguridad pueden ser detectados por cualquier empleado de LIRIUM o sistema de monitoreo de seguridad. Tan pronto como se identifique una posible situación de seguridad, se debe notificar al equipo de seguridad utilizando los canales de comunicación establecidos.
  • Registro Inicial: El CISO o responsable de la seguridad informática registrará el incidente o evento de seguridad en un registro centralizado de incidentes. La información recopilada debe incluir detalles como la fecha y hora de detección, la ubicación, los sistemas afectados y una breve descripción de lo observado.
  • Clasificación Preliminar: Se realizará una clasificación preliminar del incidente o evento según su gravedad y el impacto potencial en la seguridad de la información. Esto permitirá asignar recursos y priorizar la respuesta de manera adecuada.

Al recibir la información, el CISO o responsable de la seguridad informática deberá clasificarla de la siguiente manera:

  • Amenaza, debilidad de seguridad o evento: No se produjo un incidente, pero el evento relacionado a un sistema, proceso u organización podría generar un incidente en el corto o mediano plazo.
  • Incidente menor: Un incidente que no puede tener consecuencias significativas sobre la confidencialidad o integridad de la información de LIRIUM, y que no puede producir una indisponibilidad operativa prolongada.
  • Incidente grave: Un incidente que puede producir un daño significativo debido a la pérdida de confidencialidad o integridad de la información de LIRIUM, o que puede producir una interrupción en la disponibilidad de la información y/o de los procesos durante un período de tiempo no aceptable.

Responsables

  • Responsable de la seguridad informática: El CISO o el responsable de la seguridad informática es quien recibe y coordina la respuesta ante incidentes de seguridad. Esto incluye la identificación inicial, la clasificación y la notificación de incidentes a las partes relevantes.
  • Personal de la Entidad: Todos los empleados y personal de LIRIUM, colaborador, proveedor o tercero que esté en contacto con información, sistemas, o áreas sensibles de LIRIUM tienen la responsabilidad de informar inmediatamente cualquier incidente o debilidad de seguridad que identifiquen a su supervisor o al responsable de la seguridad informática. Los incidentes, amenazas, vulnerabilidades, debilidades y eventos deben ser reportados lo antes posible, ya sea por vía telefónica, de manera personal o vía correo electrónico dirigido a la casilla **[ ]**.

Proceso de Clasificación de un Incidente

Clasificación Impacto Ejemplos
Crítico (Prioridad 1) "Incidentes que tienen un impacto grave en la confidencialidad, integridad o disponibilidad de datos críticos o sistemas esenciales. Pueden causar daño significativo a la organización." Brecha de datos con información confidencial. Ataque de denegación de servicio que afecta la operación crítica. Acceso no autorizado a sistemas.
Alto (Prioridad 2) "Incidentes que tienen un impacto sustancial en la seguridad de la información, pero no llegan a ser críticos. Requieren una respuesta urgente y una gestión cuidadosa." Ataque exitoso de malware que afecta varios sistemas. Acceso no autorizado a datos sensibles. Robo de credenciales de administrador. Pérdida de dispositivos móviles con datos confidenciales.
Medio (Prioridad 3) "Incidentes con un impacto moderado en la seguridad de la información. Aunque no son críticos, aún deben ser tratados de manera efectiva para evitar problemas mayores." Intentos de phishing que no resultaron en una brecha. Escaneo de red sospechoso. Infracciones menores de políticas de seguridad. Intrusiones a sistemas menos críticos.
Bajo (Prioridad 4) "Incidentes con un impacto bajo en la seguridad de la información. Aunque no son críticos, aún deben ser tratados de manera efectiva para evitar problemas mayores." Informes de seguridad de baja gravedad. "Eventos de seguridad rutinarios, detección de malware que no logró ejecutarse. Intentos de acceso no autorizado bloqueados por medidas de seguridad."
Falso positivo "Incidentes que inicialmente se consideraron una amenaza, pero luego se determinó que no representan un riesgo real." Alarmas falsas. Detecciones incorrectas de seguridad. Informes de incidentes que resultan ser actividades normales del sistema. Notificaciones de antivirus por archivos seguros.

Categorización de Incidentes

  • Categorización Basada en la Gravedad: Los incidentes se clasificarán en categorías que reflejan su gravedad, siguiendo la tabla de categorización/clasificación definida en este documento.
  • Categorización por Tipo de Incidente: Además de la gravedad, los incidentes se categorizan según su tipo. Esto puede incluir categorías como intrusiones, malware, pérdida de datos, brechas de seguridad, entre otros.

Tratamiento de incidentes menores

Si se reporta un incidente menor, el CISO o responsable de la seguridad informática deberá seguir los siguientes pasos:

  • Tomar acciones para controlar el incidente.
  • Analizar el origen del incidente.
  • Tomar acciones correctivas para eliminar la causa del incidente.
  • Informar a las personas que estuvieron involucradas en el incidente (ej. el área en que se produjo el incidente), incluyendo el proceso de tratamiento del mismo.

Tratamiento de incidentes graves

En el caso de incidentes graves que puedan interrumpir las actividades durante un período de tiempo no aceptable, LIRIUM implementará un Plan de recuperación ante desastres. El objetivo del Plan de recuperación ante desastres será definir en forma precisa cómo LIRIUM recuperará su infraestructura y servicios de TI dentro de los plazos establecidos en el caso que ocurra un desastre o un incidente disruptivo. El objetivo de este Plan es incluir todos los recursos y procesos necesarios para lograr completar la recuperación de la infraestructura y de los servicios de TI dentro del tiempo objetivo de recuperación (RTO) establecido por la entidad. Todos el personal de LIRIUM que deberá actuar para dar respuesta ante la ocurrencia de incidentes, contarán con la formación, certificación y desarrollo profesional continuo requerido.

Tiempo de Respuesta y Tiempo de Resolución de Incidentes

Clasificación de Incidente Tiempo de respuesta objetivo - confirmación por correo electrónico, de que se ha recibido la incidencia y se le ha asignado prioridad Tiempo de resolución previsto
Crítico 4 horas hábiles 12 horas hábiles
Alto 4 horas hábiles 24 horas hábiles
Medio 7 horas hábiles 10 días hábiles
Bajo 8 horas hábiles 20 días hábiles

Los tiempos objetivo de respuesta y resolución a los que se hace referencia anteriormente se medirán a partir de que LIRIUM haya recibido la incidencia. LIRIUM deberá realizar todos los esfuerzos necesarios para poder cumplir con los tiempos de resolución previstos. Cabe destacar que, en caso de ser necesario la entidad podrá recurrir a servicios externalizados de soporte adicional.

Aprendizaje a partir de los incidentes

El proceso de gestión de incidentes no solo se trata de detectar y responder a las amenazas y debilidades de seguridad, sino también de aprender y mejorar continuamente nuestra postura de seguridad. Cada incidente, sin importar su gravedad, representa una oportunidad valiosa para adquirir conocimientos y experiencias que fortalezcan la capacidad de proteger la información y mitigar futuros riesgos. Una vez que se ha resuelto un incidente, se llevará a cabo una revisión exhaustiva para evaluar las medidas tomadas, identificar las lecciones aprendidas y determinar áreas de mejora. Estas lecciones se documentarán y se incorporarán a los procesos de seguridad de LIRIUM, políticas y procedimientos para asegurar que la entidad se encuentre mejor preparada frente a amenazas similares en el futuro.

Acciones disciplinarias

El CISO o responsable de seguridad informática debe activar el proceso disciplinario por cada violación de las reglas de seguridad. La seguridad de la información es un aspecto crítico de la entidad, y la responsabilidad de mantenerla recae en todos los miembros del equipo. Para garantizar el cumplimiento de las políticas y procedimientos de seguridad, es esencial contar con un conjunto claro de acciones disciplinarias en caso de que se produzcan violaciones graves. Cualquier empleado de LIRIUM que viole intencional o repetidamente las políticas de seguridad de la información estará sujeto a acciones disciplinarias, que pueden incluir advertencias escritas, suspensiones temporales, restricciones en el acceso a sistemas, o, en los casos más graves, la terminación del empleo. Estas acciones disciplinarias se aplicarán de manera justa y consistente, y se llevarán a cabo de acuerdo con las leyes y regulaciones aplicables.

Es importante destacar que, el objetivo principal de LIRIUM es la prevención y la educación en materia de seguridad de la información. Antes de llegar a medidas disciplinarias, se brindará a los empleados la oportunidad de recibir capacitación adicional y comprender las implicaciones de sus acciones. Sin embargo, en situaciones en las que la negligencia o la intención de dañar la seguridad de la información sean evidentes, se tomarán las medidas disciplinarias apropiadas. La firme postura de LIRIUM en relación con las acciones disciplinarias subraya la importancia de la seguridad de la información y refuerza el compromiso de proteger activamente los datos y sistemas contra posibles amenazas.

Recolección de evidencia

La recolección y preservación adecuada de evidencia desempeña un papel fundamental en la gestión de incidentes de seguridad de la información. Cuando se produce un incidente, es esencial recopilar evidencia de manera precisa y profesional para respaldar las investigaciones y facilitar la toma de decisiones informadas. Esto implica la documentación exhaustiva de todos los detalles relevantes, como registros de actividad, registros de acceso, registros de sistemas y cualquier otro dato que pueda proporcionar información sobre el incidente. La recolección de evidencia se llevará a cabo siguiendo prácticas legales y éticas, y garantizando la integridad y la autenticidad de los datos recopilados.

El enfoque de LIRIUM en la recolección de evidencia se centra en tres principios clave: **preservación, cadena de custodia y documentación**. Los datos recolectados se preservarán de manera que no se alteren ni se modifiquen accidentalmente, garantizando que permanezcan intactos para futuras investigaciones. Además, se establecerá una cadena de custodia clara y controlada para rastrear el manejo de la evidencia desde su adquisición hasta su almacenamiento seguro. La documentación detallada de todos los pasos tomados durante la recolección de evidencia se mantendrá como parte integral de los registros del incidente, lo que permitirá una revisión completa y la presentación de la evidencia si es necesario en el futuro. Este enfoque riguroso en la recolección de evidencia respalda la capacidad de LIRIUM para investigar, analizar y tomar medidas apropiadas en respuesta a incidentes de seguridad de la información.

---

RESPONSABILIDADES GENERALES

Órgano de Administración

  • Es de responsabilidad del Órgano de Administración de LIRIUM apoyar este procedimiento de gestión de incidentes y las tareas derivadas de ella; asegurando su implementación, facilitando la estructura organizacional y recursos necesarios, para su cumplimiento y aplicación.
  • Participar en la “Mesa de crisis'' si su presencia es requerida por la criticidad del incidente.
  • Aprobar los procedimientos de respuesta y recuperación ante incidentes, que consideren la recuperación oportuna de las funciones críticas, los procesos de respaldo y soporte, los activos de información críticos y las interdependencias con terceros en caso de incidentes.
  • El Órgano de Administración u órgano equivalente se mantendrá informado en forma oportuna y periódica sobre el sistema de gestión de la seguridad de la información y ciberseguridad.
  • Deberá dejarse constancia del reporte de la información de estas materias en las respectivas actas del Órgano de Administración u órgano equivalente y los comités que se conformen para revisar estas materias.

Miembros y colaboradores

Miembros, colaboradores externos de tiempo completo y proveedores de LIRIUM se comprometen a cumplir con lo siguiente:

  • Leer este procedimiento y todas las tareas específicas, derivados de él o cualquier otra directriz emitida por la entidad.
  • Participar en el plan de concientización y entrenamiento que sean necesarios para su cumplimiento.
  • Cualquier incidente, que ocurra dentro del horario laboral, será comunicado de forma directa vía telefónica/whatsapp, correo electrónico al encargado de seguridad.
  • Cualquier incidente, que ocurra fuera del horario laboral, será comunicado de forma directa al teléfono de emergencia al número **[ ]**.

CISO o Responsable de la Seguridad Informática

  • Será el responsable de mantener actualizado el presente procedimiento, verificando su cumplimiento en cada una de las tareas a realizar dependiendo de la criticidad del incidente.
  • Invocará la aplicación del presente procedimiento cuando la situación lo amerite.
  • Convocará a la “Mesa de crisis'' o la “Mesa técnica de crisis”, de acuerdo a lo estipulado por la criticidad del incidente.
  • Comunicará a todos los miembros de LIRIUM el incidente de forma directa o indirecta cuando corresponda.
  • Comunicará a las terceras partes involucradas en el incidente de forma directa cuando su infraestructura o datos sean comprometidos.
  • Comunicará al DPO o al responsable de la protección de datos personales y el Órgano de Administración cuando exista un compromiso de datos e Información de Identificación Personal que involucre a los miembros de LIRIUM.

Delegado de Protección de Datos (DPO) o Responsable de la Protección de Datos

  • Comunicará a los involucrados de la entidad cuando exista un compromiso de datos e Información de Identificación Personal que los involucre.
  • Comunicará a las terceras partes involucradas en el incidente, cuando exista un compromiso de datos e Información de Identificación Personal que involucre a clientes
  • Participar en la “Mesa de crisis'' o la “Mesa técnica de crisis”, si su presencia es requerida por la criticidad del incidente.

Representante de Empresas Proveedoras

  • Será una persona nombrada como representante técnico ante la necesidad de un apoyo externo ante la ocurrencia de un incidente.

Mesa Técnica de Crisis

  • Será compuesta en forma permanente por el CISO o responsable de la seguridad informática y especialistas del área de ciberseguridad.
  • Será compuesta en forma concurrente otros miembros de la organización y especialistas técnicos convocados.
  • De acuerdo al tipo, origen o impacto del incidente.
  • Esta mesa tiene como objetivo detallar las medidas técnicas necesarias para lograr mitigar el incidente en curso.

Mesa de Crisis

  • Será compuesta en forma permanente por un representante del Órgano de Administración, CISO o responsable de la seguridad informática y equipo de TI.
  • Será compuesta en forma concurrente por el DPO, representante del área de Negocio y otros miembros de la organización convocados.
  • De acuerdo al tipo, origen o impacto del incidente.
  • Esta mesa tiene como objetivo identificar el impacto organizacional de las medidas técnicas necesarias para lograr mitigar el incidente en curso, y los siguientes pasos que realizará la organización.
---

OBLIGACIÓN DE COMUNICAR

Se mantendrá informado en forma oportuna al Órgano de Administración, a otras partes interesadas (tanto internas como externas); a las autoridades pertinentes en materia de seguridad de la información y ciberseguridad; y, a la CMF, de la ocurrencia de un incidente y las medidas adoptadas para resolverlo.

Estos procedimientos se debe considerar las disposiciones relativas al registro, reporte y comunicación de incidentes.

Tratándose de incidentes que afecten la calidad o continuidad de los servicios a los clientes o de un hecho de público conocimiento, LIRIUM será responsable de informar oportunamente a los usuarios sobre la ocurrencia de dicho evento, debiendo actualizar la información disponible hasta que se conozcan las conclusiones sobre las causas del incidente y las medidas adoptadas para resolverlo, incluyendo el cumplimiento de las normas que resguardan la protección de datos personales y los derechos de los inversionistas.

---

AUDITORÍA

Se deberá realizar anualmente una auditoría interna del cumplimiento de cada una de las funciones y tareas descritas en el presente documento. Los resultados serán presentados directamente al Órgano de Administración de la entidad con copia al CISO o responsable de la seguridad informática. La auditoría incluirá la revisión de registros, registros de incidentes anteriores y la verificación de que se estén cumpliendo las políticas y procedimientos de seguridad establecidos. Cualquier hallazgo se documentará y se tomarán medidas correctivas para abordar las deficiencias identificadas. Además, se utilizarán los resultados de las auditorías para mejorar continuamente los procesos de seguridad y garantizar que los mismos estén alineados con las mejores prácticas y estándares de seguridad de la información.

La Auditoría deberá considerar a lo menos:

  • (a) La recolección y análisis de información sobre el funcionamiento de activos de información.
  • (b) El análisis de los incidentes de seguridad de la información y ciberseguridad y la efectividad de las medidas adoptadas para resolverlo.
  • (c) La ejecución de pruebas para identificar amenazas y vulnerabilidades en la seguridad de la información.
    • Las pruebas se deben realizar con una periodicidad no mayor a un año, y ser supervisadas por la instancia responsable de la Gestión de Riesgos de la entidad.
    • Las pruebas se debe estar basadas en escenarios de riesgo planificados y diseñados para demostrar que los mecanismos y herramientas implementados para preservar la seguridad de la información cumplen adecuadamente con su objetivo, incluyendo ataques cibernéticos.
    • Los resultados de las pruebas realizadas se deben reportar al Órgano de Administración u órgano equivalente, incluyendo recomendaciones de mejora en las herramientas, procedimientos y controles.
---

ACTUALIZACIÓN DE LA POLÍTICA

El CISO o responsable de seguridad informática, debe verificar, y si es necesario actualizar, el documento por lo menos una vez por año y en especial, cada vez que se registran cambios en los activos de información o se produzcan incidentes que amenacen la seguridad de estos.

Al evaluar la efectividad y adecuación de esta Política, deberá tener en cuenta algunos de los siguientes criterios:

  • Cantidad de debilidades o incidentes que no fueron reportados.
  • Cantidad de incidentes que no fueron tratados de la forma más adecuada.
  • Cantidad de incidentes que no fueron anotados en el Registro de incidentes.
  • Cantidad de incidentes para los cuales la evidencia para acciones legales fue inadecuada.
  • Cantidad de violaciones a las reglas de seguridad en las que no se activó un proceso disciplinario.
Address

Avenida Apoquindo N°3650, comuna de Las Condes,
ciudad de Santiago, Región Metropolitana
Chile

© All rights reserved.