Contenido principal
Superintendencia de Seguridad Social (SUSESO) - Gobierno de Chile

Compendio de Normas del Seguro Social de Accidentes del Trabajo y Enfermedades Profesionales


TÍTULO V. Gestión de la Seguridad de la Información

LIBRO VII. ASPECTOS OPERACIONALES Y ADMINISTRATIVOS

TÍTULO V. Gestión de la Seguridad de la Información

TÍTULO V. Gestión de la seguridad de la información

TÍTULO V. Gestión de la Seguridad de la Información

A. Generalidades

Generalidades

A. Generalidades

CAPÍTULO I. Alcance de las instrucciones impartidas

Alcance de las instrucciones impartidas

Las presentes instrucciones tienen por objeto establecer un marco regulatorio que comprenda los fundamentos generales de seguridad de la información y ciberseguridad, los que deben ser considerados como buenas prácticas por parte de los organismos administradores del Seguro Social de la Ley N°16.744, con excepción de aquellas instrucciones en las que se indique expresamente su carácter obligatorio.

Adicionalmente, se establece el reporte obligatorio de ciberincidentes que ocurran en sus redes, equipos y sistemas y que alcancen los niveles de peligrosidad e impacto establecidos en esta normativa, así como también un reporte anual obligatorio de autoevaluación del estado de la seguridad de la información y ciberseguridad al interior de la organización.

Las instrucciones contenidas en el presente Título V. Gestión de la Seguridad de la Información serán aplicables a todos los organismos administradores del Seguro de la Ley N°16.744, entendiendo como tales, las mutualidades de empleadores y el Instituto de Seguridad Laboral.

En el caso del Instituto de Seguridad Laboral, estas disposiciones son complementarias a las impartidas por el Estado de Chile, respecto de las instrucciones de seguridad de la información.

CAPÍTULO II. Definiciones

Definiciones

  1. Seguridad de la información: Conjunto de medidas preventivas y reactivas de los organismos administradores y sus respectivos sistemas tecnológicos, que tienen por objeto resguardar y proteger la información, asegurando la confidencialidad, integridad, autenticidad y disponibilidad de los datos, continuidad de servicios y protección de activos de información.
  2. Ciberseguridad: Conjunto de acciones posibles para la prevención, mitigación, investigación y manejo de las amenazas e incidentes sobre los activos de información, datos y servicios, así como para la reducción de los efectos de los mismos y del daño causado antes, durante y después de su ocurrencia.
  3. Ciberincidente: Todo evento que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los sistemas o datos informáticos almacenados, transmitidos o procesados, o los servicios correspondientes ofrecidos por dichos sistemas y su infraestructura, que puedan afectar al normal funcionamiento de los mismos.
  4. Gestión de incidentes: Procedimiento para la detección, análisis, manejo, contención y resolución de un incidente de ciberseguridad.
  5. Protección de los activos de información: Adoptar las medidas que resguarden la seguridad física de los dispositivos, así como los accesos a éstos. Se entenderá por infraestructura crítica las instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación, interrupción o destrucción pueden tener una repercusión importante en los trabajadores protegidos, pensionados, empresas adherentes o afiliadas y en las prestaciones preventivas, médicas y económicas que debe brindar el seguro.
  6. Continuidad de servicios: Adoptar las medidas que permitan proveer un nivel mínimo de servicio, entendiendo por esto las prestaciones propias del seguro, reduciendo el riesgo de eventos que puedan crear una interrupción o inestabilidad en las operaciones de la entidad hasta niveles aceptables y planificando la recuperación de los servicios de las tecnologías de la información (TI).
  7. Autenticación: Proceso utilizado en los mecanismos de control de acceso con el objetivo de verificar la identidad de un usuario, dispositivo o sistema mediante la comprobación de credenciales de acceso.
  8. Confidencialidad: Adoptar las medidas necesarias que impidan la divulgación de información a individuos, entidades o procesos no autorizados. A su vez, asegurar que, en el ambiente interno del organismo administrador, sólo las personas autorizadas dentro de ésta tengan acceso a la información.
  9. Integridad: Adoptar las medidas necesarias que aseguren que los datos están protegidos de modificaciones no autorizadas y que dichos datos mantienen exactitud respecto del origen de los mismos.
  10. Disponibilidad: Adoptar las medidas necesarias que permitan que la información esté a disposición de quienes la necesitan, entendiendo por esto a trabajadores protegidos, pensionados, trabajadores de los organismos administradores, procesos o aplicaciones, Superintendencia de Seguridad Social y otras entidades con competencia en materias del Seguro de la Ley N° 16.744.

B. Responsabilidades del organismo administrador en la gestión de la seguridad de la información

Responsabilidades del organismo administrador en la gestión de la seguridad de la información

Los organismos administradores deberán implementar medidas técnicas y de organización para gestionar los riesgos de seguridad de la información y ciberseguridad de las redes, equipos y sistemas que utilizan para la administración del Seguro de la Ley N° 16.744, especialmente en lo referente al otorgamiento de las prestaciones médicas, económicas y preventivas a los trabajadores, pensionados y entidades empleadoras adheridas y afiliadas.

El organismo administrador determinará las medidas de gestión que garanticen la disponibilidad, integridad y confidencialidad de la información, de conformidad con la complejidad de sus operaciones, los riesgos asociados, la tecnología disponible y la normativa vigente.

Para establecer un adecuado sistema de gestión de seguridad de la información, se recomienda que el organismo administrador, considere los siguientes aspectos:

  1. Contar con una política de seguridad de la información y ciberseguridad definida al interior del organismo administrador, establecida por el Directorio o la Dirección Institucional.
  2. Realizar Realizar un levantamiento de los activos de información críticos existentes en el organismo administrador asegurando que la información reciba el nivel de protección adecuado de acuerdo con su importancia para la organización. En particular aquellos sistemas relevantes para el soporte de las operaciones y procesos críticos que involucran el adecuado otorgamiento de las prestaciones de seguridad social, con el fin de resguardar la información interna, así como también la de carácter externa relacionada a los trabajadores protegidos, a las entidades empleadoras adheridas o afiliadas, pensionados, entre otros.
  3. Conocer los riesgos críticos de las tecnologías de la información identificando los que afecten la seguridad de la información y ciberseguridad.
  4. Establecer anualmente el nivel de riesgos aceptado por el organismo administrador en materia de tecnologías de información, considerando además los niveles de disponibilidad mínimos para asegurar la continuidad operacional.
  5. Informar al directorio y a toda la organización respecto a los lineamientos principales de la entidad frente a la seguridad de la información.
  6. Adoptar las recomendaciones entregadas por auditores externos e internos respecto de esta materia.
  7. Contar con el apoyo del área de riesgos existente, procurando que dicha área se involucre en materia de valorización, identificación, tratamiento y tolerancia de los riesgos propios del ambiente de tecnologías de la información a los que se expone el organismo administrador por los distintos factores en que se desenvuelve.
  8. Identificar las amenazas más relevantes a las que se expone el organismo administrador ante eventuales ciberataques y evaluar el impacto organizacional que conlleva la vulnerabilidad e indisponibilidad de estos activos de información.
  9. Mantener un registro formalmente documentado de los sistemas de información existentes al interior de la organización, señalando el proceso de negocio que gestiona el área usuaria, identificación de la base de datos y sistema operativo que soporta el aplicativo.

C. Elementos de la gestión del sistema de seguridad de la información

Elementos de la gestión del sistema de seguridad de la información

C. Elementos de la gestión del sistema de seguridad de la información

CAPÍTULO I. Consideraciones

Consideraciones

Para una efectiva gestión del sistema de seguridad de la información, éste se deberá integrar a los procesos de los organismos administradores, considerando sus aspectos en el diseño de los procesos y controles establecidos, en base a las obligaciones y responsabilidades derivadas de la administración del Seguro de la Ley N°16.744.

El sistema de gestión de la seguridad de la información debe ser consistente con las definiciones y objetivos de la política de gestión integral de riesgos, establecida en la Letra A, Título IV, de este Libro VII, y la política de seguridad de la información a la que se refiere el número 9, Capítulo I, Letra E, del Título I, de este Libro VII.

CAPÍTULO II. Política de seguridad de la información

Política de seguridad de la información

Para una eficiente gestión del sistema de seguridad de la información, se estima necesario establecer las políticas internas que entreguen el marco en que el organismo administrador gestionará la seguridad de la información.

En dicho contexto, esta política debiese considerar al menos los siguientes aspectos:

  1. Definición de la seguridad de la información, objetivos generales, alcance y la importancia de ésta como un mecanismo que permita compartir y gestionar información de forma segura.
  2. Una declaración de la intención de la alta administración, que apoye los objetivos y principios de la seguridad de la información, en concordancia con las metas y estrategias del organismo administrador.
  3. Una explicación de los principios, estándares y requisitos de cumplimiento más relevantes para el organismo administrador, tales como, el adecuado otorgamiento de las prestaciones de la Ley N°16.744, cumplimientos normativos de la Seguridad Social, gestión de la continuidad de negocio, consecuencia de una violación de la política de seguridad de la información, entre otros aspectos.
  4. Una definición clara respecto de las responsabilidades generales y específicas de la alta gerencia y demás estamentos relevantes dentro del organismo administrador.
  5. Considerar un registro de incidentes de seguridad de la información.
  6. Referencia de documentos complementarios a la política de seguridad de la información, si corresponde, tales como procedimientos o manuales detallados con reglas o estándares asociados a actividades específicas.

La política de seguridad de la información debiese ser comunicada y difundida a toda la organización, de forma clara y comprensible para el usuario final. Se recomienda considerar, como parte de este proceso, que al momento de la contratación de un colaborador, éste firme que ha tomado conocimiento de dicha política.

La política de seguridad de la información debiese ser revisada y actualizada anualmente, para asegurar que se encuentre en concordancia con las metas y estrategias de los organismos administradores. Este hecho debiese quedar documentado con la correspondiente firma en el control de cambios del referido documento.

CAPÍTULO III. Gestión de riesgos de las tecnologías de la información

Gestión de riesgos de las tecnologías de la información

La gestión de los riesgos de las tecnologías de la información implica identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto de los riesgos de las tecnologías de la información sobre los procesos de los organismos administradores.

Una vez que se identifiquen los riesgos y se determine el apetito de riesgo, se recomienda especificar la estrategia de gestión de riesgos, asignando un responsable por cada riesgo identificado y, dependiendo de su importancia e impacto, definir cómo tratar el riesgo, es decir, evitar, mitigar, transferir o aceptar dicho riesgo.

Por otra parte, se recomienda que los criterios de tratamiento del riesgo estén especificados y formalizados, y que éstos sean revisados anualmente por la alta administración y el directorio, dejándose registro de dicha actividad.

La identificación y formalización de los riesgos de tecnologías de la información y actividades que contemplan el uso, transporte o almacenamiento de activos de información que impiden cumplir con el objetivo de mantener la confiabilidad, integridad y disponibilidad de los datos, continuidad de servicios y protección de dichos activos de información se realizará en la correspondiente matriz de riesgo y controles, contenida en el número 2, Capítulo V, Letra B, del Título IV, del presente Libro VII, identificando claramente los riesgos que los organismos administradores asocian a los riesgos de seguridad de la información.

De igual forma, se recomienda que los organismos administradores adopten las medidas adecuadas para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten la seguridad de sus redes, equipos y sistemas, con el objeto de garantizar su continuidad operativa, así como la continuidad de la seguridad de la información. En todos los casos, se podrá diseñar, implementar, practicar y evaluar un plan de respuesta que otorgue adecuada cobertura a sus redes, equipos y sistemas, en conformidad con estándares internacionales o nacionales, de amplia aplicación y, a su vez, desde el punto de vista de los grupos de interés, garantizar la integridad, disponibilidad y confidencialidad de la información.

CAPÍTULO IV. Acceso a programas y datos

Acceso a programas y datos

En atención a que los procesos de otorgamiento de las prestaciones de los organismos administradores se encuentran vinculados a un sistema de información, el que se compone por un sistema operativo, una base de datos y el aplicativo en sí, para una correcta gestión de la seguridad de la información es recomendable considerar los siguientes aspectos mínimos en la seguridad de acceso a programas y datos:

  1. Seguridad de acceso físico tanto a los servidores como a la inmediación o a cualquier centro sobre el que se encuentre información sensible del organismo administrador, empresas adheridas o afiliadas, trabajadores protegidos y otros beneficiarios, emplazando y protegiendo los equipos para reducir las amenazas y peligros ambientales.
  2. Identificación y autenticación de reglas de accesos a los sistemas de información mediante usuarios individualizados y contraseñas encriptadas.
  3. La administración de accesos a las cuentas de usuarios con privilegios de administrador debe estar formalmente definida e identificada, tanto en la base de datos, sistema operativo que soporta el aplicativo y el aplicativo en sí.
  4. Existencia de un procedimiento de creación de cuentas de usuarios con acceso a los sistemas formalmente documentado, que considere las autorizaciones necesarias y perfiles de accesos para los sistemas de información.
  5. Monitoreo de accesos periódicos a los sistemas de información, con el objeto de identificar accesos no autorizados o sospechosos.
  6. Implementación de controles para garantizar el acceso autorizado a los usuarios, evitando el acceso no autorizado a los sistemas, aplicaciones y servicios.

Los aspectos señalados precedentemente deben ser formalmente documentados en el procedimiento de administración de accesos a los sistemas críticos para las prestaciones del Seguro de la Ley N°16.744. Asimismo, se recomienda que dicho procedimiento sea revisado y actualizado anualmente, y que se someta a aprobación de la alta gerencia.

CAPÍTULO V. Cambios a programas y datos

Cambios a programas y datos

Los sistemas utilizados por los organismos administradores para el otorgamiento de las prestaciones del Seguro de la Ley N°16.744, pueden corresponder a desarrollos internos o externos y, de la misma manera, su administración puede ser propia o tercerizada. Dichos sistemas no deben permitir cambios directos en los ambientes productivos, y éstos deben encontrarse autorizados tanto por el área de tecnología como por el dueño del proceso.

Para el cumplimiento de lo señalado en párrafo anterior, se recomienda que los organismos administradores consideren al menos los siguientes aspectos:

  1. Implementar ambientes de desarrollo y prueba separados del ambiente productivo para los sistemas de información que soportan procesos críticos.
  2. Formalizar y documentar los hitos de conformidad y autorización frente a un cambio en los sistemas, tanto del área dueña del proceso como del área de tecnología.
  3. Considerar como parte del proceso de cambios a los sistemas, la documentación de las pruebas de usuario y la respectiva conformidad.

Los aspectos antes señalados deben ser formalmente documentados en el procedimiento de gestión de cambio de los sistemas críticos para las prestaciones del Seguro de la Ley N°16.744, considerando una revisión y actualización anual.

Conjuntamente con lo anterior, se deberá garantizar que la seguridad de la información sea una parte integral de los sistemas de información en todo el ciclo de vida de los datos, incluyendo a los sistemas que proporcionan servicios en redes públicas.

CAPÍTULO VI. Respaldo y restauración de los sistemas

Respaldo y restauración de los sistemas

Se recomienda que los organismos administradores implementen medidas de respaldo de la información, restauración de los sistemas, plan de continuidad operacional, además de considerar otras acciones destinadas a mantener el funcionamiento óptimo de los sistemas, y el adecuado otorgamiento de las prestaciones del Seguro de la Ley N°16.744.

En relación con lo anterior, los organismos administradores debiesen considerar al menos los siguientes documentos:

  1. Procedimiento de respaldo y restauración de los sistemas críticos para las prestaciones del Seguro de la Ley N°16.744. En este documento se deberá contemplar al menos, la definición del medio de respaldo, la frecuencia en que éstos se llevarán a cabo según el sistema asociado, el lugar de resguardo de dicha información y el responsable de ejecutar el respaldo. Asimismo, se deberá incluir la definición del responsable y la frecuencia de las pruebas de restauración de la información para los sistemas críticos de dicho seguro.
  2. Plan de continuidad operacional, considerando lo instruido en el número 4, Capítulo V, Letra B, Título IV, del presente Libro VII.
  3. Plan de administración de incidentes, en el que se detalle paso a paso cómo se debe proceder frente a una contingencia o desastre asociado a los servidores o sistemas. Éste debe contener los responsables de iniciar el plan de acción, cargo y datos de contacto, y el procedimiento para documentar y respaldar el evento, así como las condiciones que darán conformidad para finalizar el plan.

CAPÍTULO VII. Responsabilidad y seguridad de los datos

Responsabilidad y seguridad de los datos

Los organismos administradores deben contar con mecanismos de control que aseguren la exactitud y calidad de los datos y reportes generados, incluida la reportería a los sistemas de información de administración de la Superintendencia de Seguridad Social.

Es responsabilidad de los organismos administradores asegurar que los datos reportados a los sistemas de la Superintendencia de Seguridad Social, sean consistentes, asegurando su totalidad, exactitud e integridad.

Los organismos administradores deberán incorporar en el plan anual de auditoría interna, la revisión sobre la consistencia de los datos reportados a los sistemas de información de la Superintendencia de Seguridad Social.

Por otra parte, se recomienda que, como parte de sus actividades preventivas, los organismos administradores apliquen técnicas de hacking ético, para encontrar vulnerabilidades o fallas de seguridad en el sistema y, de esta manera, adoptar todas las medidas necesarias que posibiliten prevenir una catástrofe cibernética, en función del alcance y periodicidad definidos por el organismo administrador.

Respecto a los activos de la organización que se encuentran accesibles a los proveedores, se deberá acordar con éstos un nivel de seguridad de la información y prestación de servicios conforme a la importancia de dichos activos.

D. Ciberseguridad

Ciberseguridad

D. Ciberseguridad

CAPÍTULO I. Gestión de la ciberseguridad

Gestión de la ciberseguridad

Se considera buena práctica la designación al interior de la organización de un profesional en calidad de titular y su respectivo suplente, como contraparte formal de la Superintendencia de Seguridad Social, y que sea el responsable de la seguridad de la información y la ciberseguridad, así como del diseño, mantención, seguimiento y notificación de los riesgos de seguridad de la información y ciberseguridad, considerando controles de segregación de deberes y áreas de responsabilidad para reducir las oportunidades de modificación o uso indebido no autorizado o no intencional de los activos de la organización, incluyendo las nuevas formas de trabajo a distancia o teletrabajo.

Es recomendable que el organismo administrador cuente con un equipo de respuesta para la adecuada gestión de la ciberseguridad, con el objeto de identificar los riesgos de afectación de los servicios por causa de ciberincidentes, verificar el cumplimiento eficaz de los respectivos planes de gestión y reportar los ciberincidentes.

Asimismo, los organismos administradores debiesen establecer planes de gestión de riesgos de ciberseguridad, formulados de acuerdo a estándares y directrices que guarden la debida coherencia con las características de las redes, equipos y sistemas críticos utilizados para el otorgamiento de las prestaciones de Seguro de la Ley N°16.744.

Se recomienda que los planes de gestión de riesgo sean actualizados y sometidos a aprobación del directorio o dirección institucional y conocidos por la alta gerencia de los organismos administradores, junto con señalar el estado de los riesgos de ciberseguridad, indicadores claves, principales ciberincidentes y planes de acción de mejoras.

Junto a lo anterior, se recomienda que los planes de gestión de riesgo incluyan medidas para la protección de los datos personales y sensibles, en cumplimiento con lo establecido en la Ley N°19.628.

CAPÍTULO II. Reporte de ciberincidentes

Reporte de ciberincidentes

CAPÍTULO II. Reporte de ciberincidentes

1. Mecanismo de reporte

Mecanismo de reporte

Los organismos administradores deberán reportar a la Superintendencia de Seguridad Social todos los ciberincidentes que detecten en sus redes, equipos y sistemas y que alcancen los niveles de peligrosidad e impacto establecidos en las tablas indicadas en el número 2. Niveles de peligrosidad y número 3. Niveles de impacto del presente Capítulo II. En caso que un suceso pueda asociarse con dos o más tipos de incidentes con niveles de peligrosidad o impacto distintos, se le asignará el nivel más alto.

2. Niveles de peligrosidad

Niveles de peligrosidad

El nivel de peligrosidad determina la potencial amenaza que supondría la materialización de un incidente en las redes, equipos y sistemas del organismo administrador, así como su efecto en la calidad o continuidad en el otorgamiento de las prestaciones del Seguro de la Ley N°16.744.

Conforme a sus características, las amenazas son clasificadas con los siguientes niveles de peligrosidad: Crítico, Muy Alto, Alto, Medio y Bajo. El nivel asignado se determinará según se indica en la siguiente tabla:

Niveles de peligrosidad
Nivel Clasificación Tipo de incidente
Crítico Amenaza avanzada persistente

APT: Ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería social para conseguir sus objetivos junto con el uso de procedimientos de ataque conocidos o genuinos.

Muy alto Código dañino
  • Distribución de malware:
    • Ej: recurso de una organización empleada para distribuir malware.
  • Configuración de malware:
    • Recurso que aloje ficheros de configuración de malware. Ej: ataque de webinjects para troyano.
Intrusión
  • Robo:
    • Ej: acceso no autorizado a un sistema informático con el fin de conocer sus datos internos, apoderarse de ellos o utilizar sus recursos, acceso no autorizado a Centro de Proceso de Datos.
  • Sabotaje:
    • Ej: destrucción, inutilización, de un sistema de tratamiento de información, la destrucción, alteración de datos contenidos en un sistema de tratamiento de información, cortes de cableados de equipos o incendios provocados.
Disponibilidad del servicio
  • Interrupciones:
    • Ej: ataque informático.

Alto

Contenido abusivo
  • Pornografía infantil, contenido sexual o violento inadecuado:
    • Ej: Material que represente de manera visual contenido relacionado con pornografía infantil, apología de la violencia, etc.
Código dañino
  • Sistema infectado:
    • Ej: Sistema, computadora o teléfono móvil infectado con un rootkit.
  • Servidor C&C (Mando y Control):
    • Ej: Conexión con servidor de Mando y Control (C&C) mediante malware o sistemas infectados.
Intrusión
  • Compromiso de aplicaciones:
    • Ej: Compromiso de una aplicación mediante la explotación de vulnerabilidades de software, como por ejemplo a través de una inyección de SQL.
  • Compromiso de cuentas con privilegios:
    • Ej: Compromiso de un sistema en el que el atacante ha adquirido privilegios.
Intento de Intrusión

Ataque desconocido:
Ej: Ataque empleando exploit desconocido.

Disponibilidad del servicio
  • DoS (Denegación de servicio):
    • Ej: envío de peticiones a una aplicación web que provoca la interrupción o ralentización en la prestación del servicio.
  • DDoS (Denegación distribuida de servicio):
    • Ej: inundación de paquetes SYN, ataques de reflexión y amplificación utilizando servicios basados en UDP.
Compromiso de la información
  • Acceso no autorizado a información:
    • Ej: robo de credenciales de acceso mediante interceptación de tráfico o mediante el acceso a documentos físicos.
  • Modificación no autorizada de información:
    • Ej: modificación por un atacante empleando credenciales sustraídas de un sistema o aplicación o encriptado de datos mediante ransomware.
Fraude
  • Pérdida de datos:
    • Ej: pérdida por fallo de disco duro o robo físico
  • Phishing.
Medio Contenido abusivo
  • Discurso de odio:
    • Ej: ciberacoso, racismo, amenazas a una persona o dirigida contra colectivos.
Obtención de información
  • Ingeniería social
    • Ej: mentiras, trucos, sobornos, amenazas.
  • Explotación de vulnerabilidades conocidas:
    • Ej: desbordamiento de buffer, puertas traseras, cross site scripting (XSS).
Intrusión
  • Intento de acceso con vulneración de credenciales:
    • Ej: intentos de ruptura de contraseñas,ataque por fuerza bruta.
  • Compromiso de cuentas sin privilegios.
Disponibilidad del servicio
  • Mala configuración:
    • Ej: Servidor DNS con el KSK de la zona raíz de DNSSEC obsoleto.
  • Uso no autorizado de recursos:
    • Ej: uso de correo electrónico para participar en estafas piramidales.
Fraude
  • Derechos de autor:
    • Ej: uso, instalación, distribución de software sin la correspondiente licencia.
  • Suplantación:
    • Ej: suplantación de una entidad por otra para obtener beneficios ilegítimos.
Vulnerable
  • Criptografía débil:
    • Ej: servidores web susceptibles de ataques POODLE/FREAK.
  • Amplificador DDoS:
    • Ej: DNS openresolvers o Servidores NTP con monitorización monlist.
  • Servicios con acceso potencial no deseado:
    • Ej: Telnet, RDP o VNC.
  • Revelación de información:
    • Ej: SNMP o Redis.
  • Sistema vulnerable:
    • Ej: mala configuración de proxy en cliente (WPAD), versiones desfasadas de sistema.
Bajo Contenido abusivo
  • Spam
  • Escaneo de redes:
    • Ej: peticiones DNS, ICMP, SMTP, escaneo de puertos.
Obtención de información
  • Análisis de paquetes (sniffing).
Otros
  • Otros:
    • Todo aquel incidente que no tenga cabida en ninguna categoría anterior.

3. Niveles de impacto

Niveles de impacto

Los posibles niveles de impacto de un ciberincidente se clasifican en Crítico, Muy Alto, Alto, Medio, Bajo o Sin Impacto. El nivel de impacto correspondiente, se asignará usando como referencia la siguiente tabla:

Niveles de impacto de ciberincidentes
Nivel Descripción
Crítico Afecta a sistemas clasificados como confidenciales o que contengan información calificada como datos sensibles de acuerdo a la ley.
Afecta a más del 50% de los procesos que soportan los sistemas del organismo administrador.
Interrupción de la prestación del servicio igual o superior a 12 horas o superior al 40% de los beneficiarios del seguro.
Afecta a más del 50% de sus agencias o centros de atención a nivel nacional.

Daños reputacionales de difícil reparación, con eco mediático (amplia cobertura en los medios de comunicación) afectando a la reputación de terceros.

Muy Alto Afecta a la seguridad ciudadana con potencial peligro para bienes materiales.
Afecta la vida privada y/o la honra de la persona y su familia, y asimismo, la protección de sus datos personales.
Afecta a más del 40% de los procesos que soportan los sistemas del organismo administrador.
Interrupción de la prestación del servicio igual o superior a 8 horas o superior al 30% de los beneficiarios del seguro.
Afecta a más del 40% de sus agencias o centros de atención a nivel nacional.
Daños reputacionales, con eco mediático (amplia cobertura en los medios de comunicación) afectando a la reputación de terceros.

Alto

Afecta a más del 30% de los procesos que soportan los sistemas del organismo administrador.

Interrupción de la prestación del servicio igual o superior a 6 horas o superior al 20% de los beneficiarios del seguro.
Afecta a más del 30% de sus agencias o centros de atención a nivel nacional.
Daños reputacionales, con eco mediático (amplia cobertura en los medios de comunicación) que no afecta la reputación de terceros.
Medio Afecta a más del 20% de los procesos que soportan los sistemas del organismo administrador.
Interrupción de la prestación del servicio igual o superior a 4 horas y superior al 10% de los beneficiarios del seguro.
Afecta a más del 20% de sus agencias o centros de atención a nivel nacional.
Daños reputacionales sin eco mediático.
Bajo Afecta al 10% o más, de los sistemas del organismo administrador.
Interrupción de la prestación del servicio igual o superior a 2 horas y superior al 5% de los beneficiarios del seguro.
Afecta al 10% o más, de sus agencias o centros de atención a nivel nacional.
Sin impacto No hay ningún impacto apreciable.

4. Resolución de ciberincidentes

Resolución de ciberincidentes

Una vez detectado un ciberincidente que afecte a una red, equipo o sistema utilizado en el otorgamiento de las prestaciones del Seguro de la Ley N° 16.744, el organismo administrador deberá efectuar, de manera oportuna, todas las gestiones que sean necesarias para su resolución y restaurar la normal provisión de los servicios afectados, dando primera prioridad a aquellas medidas que permitan evitar o, en su defecto, minimizar el impacto a los grupos de interés.

En caso que el organismo administrador afectado lo considere necesario, podrá solicitar la colaboración de la Superintendencia de Seguridad Social u otras entidades competentes en materia de ciberseguridad, para la resolución de un ciberincidente.

Los organismos administradores deberán proporcionar la información adicional que les sea requerida para analizar la naturaleza, causas y efectos de los incidentes notificados, así como para elaborar estadísticas y reunir los datos necesarios para elaborar informes de resultados.

Asimismo, sin perjuicio de las medidas inmediatas conducentes a la mitigación de los efectos y al restablecimiento de los servicios afectados por un ciberincidente, los organismos administradores deberán subsanar, en la medida que sea técnicamente posible, las vulnerabilidades de sus sistemas, equipos y redes que hubieren permitido o facilitado el ciberincidente.

En caso que un organismo administrador detecte que sus redes, equipos y sistemas fueron utilizados como medio para la comisión de algún delito informático, éste deberá efectuar las denuncias ante los órganos competentes, ejercer las acciones judiciales pertinentes e informar a la Superintendencia de Seguridad Social.

Los organismos administradores deberán establecer los protocolos de recuperación de la información, en caso de pérdida de ésta por manipulación, ciberincidentes u otras causas de su responsabilidad.

5. Contenido de los reportes de ciberincidentes

Contenido de los reportes de ciberincidentes

Los organismos administradores deberán reportar toda aquella información relativa al ciberincidente, cuyo nivel de impacto o peligrosidad, se encuentra definido en los niveles Alto, Muy Alto o Crítico, según lo establecido en el número 2. Niveles de peligrosidad y en el número 3. Niveles de impacto, ambos del presente Capítulo II.

Esta información deberá ser recopilada con la rapidez que amerita, sin afectar la estrategia de contención del incidente y los mecanismos desplegados para evitar la propagación del mismo en la red interna, en la red externa y la interoperación con los beneficiarios y grupos de interés.

Además de la rapidez para obtener la información, se recomienda seguir las buenas prácticas de primera respuesta forense internacionalmente aceptadas o que hayan sido validadas nacionalmente por el Instituto Nacional de Normalización, con el objetivo de contaminar lo menos posible las evidencias que permitan investigaciones avanzadas por parte de equipos de ciberseguridad altamente especializados o los entes persecutores que correspondan.

Sin perjuicio de lo anterior, los organismos administradores deberán mantener una bitácora con el registro de todos los ciberincidentes identificados:

  1. Reporte de alerta de ciberincidente

    Dentro del plazo de 1 hora, contado desde la toma de conocimiento del ciberincidente, los organismos administradores deberán reportar al sistema GRIS, a través del documento D.14 "Reporte de alerta de ciberincidente", conforme a lo establecido en el Anexo N°21 "Reportes de Ciberincidentes", de la Letra F. Anexos, del presente Título V, la siguiente información:
    1. Identificación del organismo administrador;
    2. Resumen ejecutivo del ciberincidente;
    3. Fecha y hora precisas de detección del ciberincidente;
    4. Recursos tecnológicos afectados, y
    5. Tipo de ciberincidente.
  2. Informe parcial de ciberincidente

    Posteriormente, a las 6 horas desde la toma de conocimiento del ciberincidente, los organismos administradores deberán reportar al sistema GRIS, a través del documento D͘.15 "Informe parcial de ciberincidente", conforme a lo establecido en el Anexo N°21 "Reportes de Ciberincidentes", de la Letra F. Anexos, del presente Título V, la siguiente información:
    1. Identificación del organismo administrador;
    2. Resumen ejecutivo del ciberincidente;
    3. Fecha y hora estimada de ocurrencia del ciberincidente;
    4. Fecha y hora estimada de detección del ciberincidente;
    5. Descripción detallada de lo sucedido, señalando los activos de información afectados y su nivel de sensibilidad y afectación (confidencialidad/integridad/disponibilidad);
    6. Recursos tecnológicos afectados;
    7. Tipo de ciberincidente;
    8. Extensión geográfica, si se conoce;
    9. Sistemas de información afectados actuales y potenciales, y
    10. Grupos de interés afectados actuales y potenciales.
  3. Informe de Informe de resolución de ciberincidente

    Finalmente, a los 10 días hábiles desde la toma de conocimiento del ciberincidente, los organismos administradores deberán reportar al sistema GRIS, a través del documento D.16 "Informe de resolución de ciberincidente", conforme a lo establecido en el Anexo N°21 "Reportes de Ciberincidentes", de la Letra F. Anexos, del presente Título V, la siguiente información:
    1. Identificación del organismo administrador;
    2. Resumen ejecutivo del ciberincidente;
    3. Origen o causa identificable del ciberincidente;
    4. Total de sistemas de información afectados;
    5. Total de grupos de interés afectados;
    6. Infraestructura crítica afectada;
    7. Descripción de los niveles de compromiso: indicadores de compromiso de nivel IP, indicadores de compromiso de nivel de dominios y subdominios, indicadores de compromiso de correos, indicadores de compromiso a nivel HASH (MD5/SHA1/SHA256 o el que los reemplace), vulnerabilidades facilitadoras del incidente y posibles vectores de ingreso/egreso de los artefactos, y en general los datos técnicos del incidente, entre otros
      similares;
    8. Descripción del plan de acción y medidas de resolución y mitigación;
    9. Medios necesarios para la resolución calculados en horas hombre (HH) / persona;
    10. Impacto económico estimado, si procede y es conocido;
    11. Daños reputacionales, aun cuando sean eventuales, y
    12. Descripción cronológica de los hechos asociados del ciberincidente.

E. Reporte de autoevaluación

Reporte de Autoevaluación

Los organismos administradores deberán realizar anualmente una autoevaluación del estado de la seguridad de la información y ciberseguridad al interior de la organización.

Para esto, se deberá elaborar un informe de autoevaluación de gestión de seguridad de la información y ciberseguridad, conforme a lo establecido en el Anexo N°20: "Informe de autoevaluación de la seguridad de la información", de la Letra F. Anexos del presente Título V.

El informe de autoevaluación deberá ser conocido por el directorio y remitido al sistema GRIS de la Superintendencia de Seguridad Social, a través del archivo D.17 "Informe de autoevaluación de Seguridad de la Información", a más tardar el último día de enero de cada año, referido a la evaluación del año calendario anterior.

F. Anexos

Anexos

Anexo N°20:Informe de autoevaluación de la seguridad de la información
Anexo N°21: Reportes de Ciberincidentes