Informe UASL Gap Analysis CIS Controls 2023 V05

Gap Analysis CIS Top 20 Security Controls
UASL
Informe Gap Analysis CIS Top 20 Security Controls

Informe Técnico
▪ Referencia: Gap Analysis CIS Top 20 Security Controls

▪ Versión: 2.0
▪ Fecha: 24/05/2023
▪ Cliente: UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 43
salvo autorización expresa.
UASL
Índice
1. Resumen Ejecutivo 3
2. Introducción 10
3. Objetivo del Análisis 11
4. Alcance y actores 12
5. Metodología 16
6. Escalas de medición 17
6.1 Niveles de Cumplimiento. 17
6.2 Proceso de la Evaluación 17
7. Resultados por Controles 19
8. Recomendaciones 45
9. Observaciones finales de consultoría 55
UASL
Control de Cambios
Versión Fecha Cambios Observaciones

0.1 15.05.2023 Versión Inicial
0.2 24.05.2023 Corrección recomendaciones
Contacto
Entelgy
AV Alonso de Córdova 5670 Of. 402
Las Condes, Santiago - Chile
+56 224 802 800
info@entelgy.com
https://www.entelgy.com/paises-entelgy/entelgy-en-chile
Responsable del
Proyecto
María Isabel Cabrera B. isabel.cabrera@entelgy.com
Consultor del
Proyecto
UASL
1. Resumen Ejecutivo
El presente informe detalla el trabajo realizado en UASL, el cual corresponde a
un proceso de evaluación de seguridad llevado a cabo mediante la realización
de entrevistas con los responsables de UASL para conocer el nivel de
implementación de controles y procesos en la Organización, siguiendo como
referencia las buenas prácticas internacionales de seguridad.
Esta revisión, basada en entrevistas con los responsables designados por la
Subgerencia de Procesos y Proyecto TI para cada uno de los aspectos que cubre
el framework CIS TOP 20 Security Controls, permitió identificar las brechas de
seguridad existentes, con las que es posible visualizar aquellas áreas de mayor
criticidad en términos de Seguridad de la Información, sobre las cuales la
Organización dirigirá mayores recursos y gestiones, con el fin de aminorar las
debilidades y riesgos de exposición a eventos o incidentes de seguridad.
Este informe detalla los resultados del análisis de los controles de seguridad,
con el fin de evaluar el nivel actual de cumplimiento de los dominios indicados
anteriormente en los sistemas, redes y servicios de UASL.
Incluye cuadros resúmenes del estado de Familias de Controles y Controles
propiamente tal con la correspondiente gráfica, que permite una visión general
de la Organización, respecto del estado de los controles incluidos en cada una
de las familias de controles que contempla el framework CIS Top 20 Security
Controls.
A contar desde septiembre de 2022, UASL definió y validó una política de
seguridad en donde se insta no sólo a la implementación de controles y su
documentación, sino que además enfocarse en la implementación de procesos.
Razón esta, del por qué el informe 2023 tiene un criterio un tanto más riguroso,
en orden a cumplir con el mandato de la política creada.
Metodología
Nuestra metodología está orientada a evaluar, con base en la Norma CIS Top
20 Security Controls, cómo en UASL los controles existentes se ajustan a los
requerimientos de la Norma, exceptuando aquellos, que en 2021 Holding
Ultramar definió dejar fuera para la ejecución de este tipo de consultorías.
UASL
Para la revisión de cumplimiento documentada en el presente informe, se

exceptuó un set de treinta y ocho (38) controles.
De esta forma y con la claridad de dónde se presentan las debilidades más
riesgosas y con mayores posibilidades de ser remediadas, UASL contará con los
antecedentes para elaborar una hoja de ruta priorizada, que le permita alcanzar
los niveles requeridos de Seguridad de la Información.
La metodología ha considerado observar la identificación de procesos de
seguridad, no solo la implementación de controles, dado que la gestión de
procesos de seguridad es lo que finalmente da sustento y es evidencia de si los
controles están bien implementados, son gestionados, son medidos y se aplican
mejoras en el tiempo.
Por tanto, la evaluación de niveles de cumplimiento se ha aplicado al 100% con
respecto a los procesos, si los hay, ya que ese es el foco de este estándar.
Las respuestas obtenidas tras las entrevistas han sido valorizadas de acuerdo
con los siguientes criterios, considerando que un control puede estar en uno de
los siguientes estados:
Puntuación Estado Descripción
Implica la no existencia de implementación del

0 No Implementado
control.
Implementado no Implica la implementación del control, pero sin

1
documentado documentación acorde.
Implementado y Implica la implementación del control y con

2
documentado documentación relativamente estructurada.
Implica que el control no procede en su

N/A No aplica
implementación para la Organización.
Además de los resultados obtenidos de las entrevistas realizadas con los

responsables de UASL, se considerará la puntuación obtenida para los controles
de la Norma CIS Top 20 Security Controls en el Gap Analysis realizado en 2021,
aplicando los mismos criterios detallados en la tabla anterior.
UASL
Resultados
De acuerdo con las evaluaciones y criterios considerados, el resultado del

presente Gap Analysis para UASL es el siguiente:
Estado N° Controles %
Implementado y documentado 22 17
Implementado no documentado 71 53
No implementado 38 29
No aplica 2 1
La gráfica que representa los datos tabulados anteriores es la siguiente:
UASL
Recomendaciones
Como resultado del Gap Analysis realizado al interior de UASL, para determinar
su estado en términos de la Seguridad de la Información, observamos que la
Organización debe enfocarse y priorizar ciertos aspectos.
De las distintas entrevistas sostenidas en este Gap Analysis con personal de

operaciones y servicios de la Subgerencia de Procesos y Proyectos TI, se
entiende que UASL está iniciando el abordaje formal y concreto de Seguridad
de la Información y su derivado Ciberseguridad, razón por la cual es entendible
la cantidad de trabajo que aún falta por realizar para llegar a un estado más
propicio para la gestión de seguridad de la información.
Si bien un 57% de los sub-controles están implementados, su formalización

mediante la construcción de documentación que los sustente o establecer un
proceso que los formalice, son tareas que se estarían priorizando.
Adicional a lo anterior, se recomienda abordar con mayor preferencia aquellos

sub-controles CIS declarados en estado “No Implementado”. El detalle es el
siguiente:
Trabajar en la implementación de acciones relacionadas con inventariar el

software y aplicaciones instalados en dispositivos de la Organización, lo que
involucra identificarlos adecuadamente de acuerdo con el valor y la criticidad
que involucran. La trazabilidad del software un principio fundamental en esta
tarea. Su criticidad, establecer la relación con el activo de hardware que lo
soporta, estado de versiones y sus actualizaciones deberían gestionarse y
controlarse periódicamente. (Sub-controles CIS 2.1 .. 2.7)
Es relevante que se implementen máquinas dedicadas sólo para tareas

administrativas, en lo posible en segmentos de red aislados, con restricción de
acceso a funcionalidades como navegación Internet y gestión de correos, de
esta forma se minimiza la posibilidades de una vulneración de la instalación
generada por el acceso indebido a una máquina o cuenta con altos privilegios.
(Sub-controles CIS 4.6 y CIS 11.6)
La implementación de imágenes permitiría minimizar la presencia de software

o aplicaciones no autorizadas dentro de la instalación, mejorando la seguridad
en la configuración del hardware y software de dispositivos móviles, laptops,
Workstations y servidores. Para su implementación se recomienda utilizar la
UASL
herramienta CIS-Cat ya sea en su versión free/pago para la evaluación de las

posturas de seguridad de los dispositivos, tomando como referencia los
frameworks System Center Configuration Manager y Intune – AutoPilot. (Sub-
controles CIS 5.2 y CIS 5.3)
Es relevante, que aun cuando están activos los registros/logs de auditoría en la

instalación, se implementen revisiones periódicas de la información con el objeto
de identificar anomalías, fallos, tendencias o eventos críticos. Para lo anterior,
se recomienda implementar herramientas SIEM/SOAR que permitan análisis y
diagnóstico de los datos registrados. (Sub-controles CIS 6.2 y CIS 6.7)
Relevante también es agregar al inventario de activos de la Organización,

puertos, servicios y protocolos relacionados con cada uno de ellos y de esta
manera, tener certeza de lo que efectivamente se está ejecutando en dichos
activos. Aun cuando UASL tiene abordado el inventario de activos tecnológicos,
es necesario agregar este tipo de activos a dicho inventario. (Sub-controles CIS
9.1 y CIS 9.2)
Establecer escaneos periódicos desde el exterior del borde de cada red de la

instalación permitirá la detección de conexiones no autorizadas y la habilitación
del monitoreo sobre la información transferida en los bordes de red, evitará la
filtración de información, disminuyendo las posibilidades de ser víctimas de
ataques cibernéticos. (Sub-control CIS 12.2 y CIS 12.5)
Una clasificación correcta de la información de acuerdo con sus niveles de

sensibilidad, mantenida ordenada, actualizada y controlada en una estructura
de inventario permitirá una mejor gestión y control sobre ella.
Por otro lado, el cifrado de discos duros de dispositivos móviles es recomendable

de implementar, utilizando softwares de cifrado probados y conocidos, en lo
posible en sus versiones de pago. Con lo anterior se disminuyen las posibilidades
de ataques mediante el uso de la información contenida en dichos dispositivos
en caso de extravío/robo, dadas las altas ocurrencias de teletrabajo y accesos
a información de la Organización mediante smartphones y tablets. (Sub-
controles CIS 13.1 y CIS 13.6)
Por otro lado, se recomienda deshabilitar la comunicación entre estaciones de

trabajo que impida ataques de movimiento lateral entre sistemas vecinos. La
hardenización del Active Directory mediante políticas GPO controlaría este tipo
de ataques, además de implementar hardening en dispositivos de la
infraestructura y Workstations. (Sub-control CIS 14.3).
UASL
La no identificación de puntos de acceso no autorizados conectados a la red

cableada y que en la instalación sea posible crear redes punto a punto,
compromete la seguridad desde el punto de vista del control de accesos
inalámbricos. Una forma correcta de mejorar esta debilidad es mejorando el
control y monitoreo sobres los switches de redes, verificando además, si la
consola central de la red Wifi cuenta con las capacidades requeridas para
abordar este aspecto.
De acuerdo con lo que indica la norma, se debe utilizar el algoritmo de

encriptación AES para el protocolo de encriptación usado en el cifrado de datos
inalámbricos. (Sub-controles CIS 15.2, CIS 15.6 y CIS 15.7)
Es relevante inventariar los sistemas de autenticación de la organización y cada

una de las cuentas habilitadas en ellos, así como implementar la transmisión
cifrada de credenciales de autenticación y monitorear los cambios en el
comportamiento de los usuarios. Lo anterior se incluye dentro de los aspectos
relevantes para el monitoreo y control de cuentas. Se recomienda implementar
sistemas de cifrado RADIUS/NAC o similares para minimizar esta debilidad.
(Sub-controles CIS 16.1, CIS 16.5, CIS 16.6, CIS 16.12 y CIS 6.13)
En lo que se refiere a seguridad en los desarrollos, UASL debe asegurarse de

contemplar en sus acuerdos contractuales con el proveedor de desarrollo de
Software, todos los aspectos de seguridad planteados por la Norma.
Como un aspecto adicional, el proveedor debería establecer plantillas de

configuración de hardening para las pruebas de aplicaciones construidas
mediante base de datos. Se recomienda utilizar herramientas, métodos y
mejores prácticas de hardening para reducir la superficie de ataque. (Sub-
controles CIS 18.1, CIS 18.5, CIS 18.6, CIS 18.7 y CIS 18.11)
La Organización debe contar con planes escritos y formales para dar respuesta
a incidentes de ciberseguridad, que establezcan claramente las
responsabilidades de los colaboradores y las etapas que se requieren para su
administración y gestión. Con dichos planes se estará en mejor condición para
enfrentar eventos/incidentes, responder de manera más rápida y eficaz, reducir
el impacto y mejorar su resiliencia general. (Sub-control CIS 19.1)
Una vez que UASL incremente y estabilice sus niveles de seguridad en su

infraestructura y aplicaciones de uso interno/público será el momento de
UASL
realizar pruebas de penetración y ejercicios de Red Team. (Sub-controles CIS

20.1, CIS 20.2, CIS 2.6, CIS 20.8)
Cada uno de estos aspectos requiere de múltiples acciones y aplicación de

controles en sí mismos, tanto de CIS Top 20 Security Controls como de otros
frameworks de seguridad.
Adicional a todo lo anterior, UASL debería definir su plan director o road map de
seguridad por implementar en los próximos cuatro a cinco años, dado que con
aquello se logra visualizar esfuerzos, inversiones y capacidades entre otros
aspectos.
UASL
2. Introducción
Seguridad de la información y ciberseguridad, como parte de aquella disciplina,

hoy en día es una necesidad relevante en todos los negocios, cualquiera sea su
naturaleza.
Si bien en los tiempos de inicio de esta disciplina, décadas atrás, el foco

principalmente estaba sólo en los aspectos tecnológicos, por tanto, aplicado
sobre la Gerencia de TI, en los tiempos actuales, la demanda de Seguridad de
la Información trasciende por mucho al riesgo tecnológico, con el objetivo último
de convertir la Seguridad de la Información en una herramienta más para la
toma de decisiones de la Alta Dirección de una compañía.
Considerando este nuevo alcance es que las empresas han comenzado, desde
hace tiempo, el iniciar un approach concreto de negocio en relación con su
Seguridad de la Información, siendo así liderados estos esfuerzos, ya no por la
Gerencia TI en forma exclusiva, sino que, como mandato desde la Alta Dirección,
traduciéndose esto en la responsabilidad estratégica/táctica en la figura del
Oficial de Seguridad de la Información (Chief Information Security Officer -
CISO), como actor principal.
Entendiendo lo anterior y siguiendo las buenas prácticas de esta disciplina, es

que, el primer paso para el abordaje de la seguridad es la ejecución de un
análisis de brechas actuales (Gap Analysis) tomando como referencia algunos
de los frameworks o estándares mundiales de seguridad ampliamente conocidos
y aplicados. Entre ellos está el estándar internacional CIS Top 20 Security
Controls.
Este informe da cuenta, precisamente, del Gap Analysis que se ha realizado a

la empresa UASL, basándose en la Norma CIS Top 20 Security Controls, con
relación a su situación actual en comparativa con el estado de los controles en
el Gap Analysis realizado en 2021.
Las siguientes páginas desarrollan y muestran los hallazgos detectados en el

Gap Analysis.
UASL
3. Objetivo del Análisis
El objetivo principal de este análisis fue constatar el estado actual de las

medidas y controles de seguridad que UASL ha puesto en práctica actualmente,
en relación con actividades de negocio y tecnología y, a partir de aquello,
contrastar esas actividades y medidas respecto de cómo demanda y orienta
estos aspectos la norma internacional CIS Top 20 Security Controls.
Derivado de lo anterior y como segundo objetivo, es que este informe de

brechas pueda servir a UASL y, en particular a los responsables de Seguridad
de la Información, para la definición y puesta en marcha de planes de mejoras
en los distintos dominios que plantea la Norma.
El detalle y formas de cómo UASL definirá su ruta de mejoras, es

inherentemente una decisión interna, esto incluye el rango de tiempo en que el
negocio decida plantearse como meta la implementación de los controles y
formas que sugiere la normativa CIS Top 20 Security Controls.
Así pues, este análisis de brechas le da a UASL el primer paso o primera visión
de su situación actual (dónde estamos), para luego poder definir cuáles mejoras
se irán implementando en el tiempo hasta llegar a un estado esperado por la
Alta Dirección (dónde queremos llegar).
UASL
4. Alcance y actores
El alcance de este análisis ha sido la aplicación del estándar CIS Top 20 Security
Controls, vale decir, las veinte (20) familias de controles, además de cada uno
de los 133 controles definidos por la alta dirección del Holding para ser revisados
y evaluados de acuerdo con su actual estado de implementación. Esto, en
relación con la evaluación del estado de la seguridad en los sistemas, redes y
servicios bajo la responsabilidad de la Subgerencia de Procesos y Proyectos TI
de UASL, para determinar el estado actual de la Organización.
Lo anterior ha implicado entonces, la observación de actividades relacionadas

con la seguridad de la información y cómo, en la práctica, se han implementado
medidas que aseguren la disponibilidad, integridad y confidencialidad que deben
cumplir las redes y los sistemas en entornos productivos.
Cabe destacar que sólo el área mencionada ha sido la participante, no así el

total de áreas de negocio de UASL, puesto que la intención en este análisis es
obtener tener una visión representativa de la compañía respecto de su
seguridad, así también, se aplicó cierta profundidad de detalle en las entrevistas
y revisión de alguna documentación actual de UASL, pero aquello está lejos de
ser ciento por ciento exhaustivo y hasta llegar al más mínimo detalle a revisar.
No obstante lo anterior, creemos que se ha logrado el objetivo trazado al

observar la dinámica y participación, también la honestidad de las personas
entrevistadas para efectos de transparentar sus respuestas en relación con el
estado actual de seguridad en las distintas actividades a cargo de la Subgerencia
de Procesos y Proyectos TI de UASL.
Las personas que han participado de las entrevistas han sido las siguientes:
Nombre Cargo
Raúl Moya T. Gestor de Servicios TI
Jesús Barbosa BSM-Jefe de Proyecto
Tabla 1- Participantes en las entrevistas
UASL
Las familias de controles que aborda la Norma CIS Top 20 Security Controls son
las siguientes:
Familia Descripción
CIS Control # 1 Inventario y control de activos hardware.
CIS Control # 2 Inventario y control de activos software.
CIS Control # 3 Gestión continua de vulnerabilidades.
CIS Control # 4 Uso controlado de privilegios administrativos.
Configuración segura para hardware y software en dispositivos
CIS Control # 5 móviles, computadores portátiles, estaciones de trabajo y
servidores.
CIS Control # 6 Mantenimiento, monitoreo y análisis de logs de auditoría.
CIS Control # 7 Protección de correo electrónico y navegador web.
CIS Control # 8 Defensa contra malware.
CIS Control # 9 Limitación y control de puertos de red, protocolos y servicios.
CIS Control # 10 Capacidad de recuperación de datos.
Configuración segura de los equipos de red, tales como
CIS Control # 11
cortafuegos, enrutadores y conmutadores.
CIS Control # 12 Defensa de borde.
CIS Control # 13 Protección de datos.
Control de acceso basado en la necesidad de conocer Protección
CIS Control # 14 de datos.
CIS Control # 15 Control de acceso inalámbrico.
CIS Control # 16 Monitoreo y control de cuentas.
Implementar un programa de concienciación y entrenamiento de
CIS Control # 17
seguridad.
CIS Control # 18 Seguridad del software de aplicación.
CIS Control # 19 Respuesta y manejo de incidentes.
CIS Control # 20 Pruebas de penetración y ejercicios de equipo rojo.
Tabla 2- Familia de Controles CIS Top 20 Security Controls
A continuación y de acuerdo con lo definido por Holding, se detallan los sub-

controles excluidos de la presente evaluación:
#1: Inventario y control de activos hardware

1.3 Utilizar DHCP Logging para actualizar el inventario de activos
1.6 Gestionar los activos no autorizados
1.7 Implementar control de acceso a nivel de puerto
1.8 Utilizar certificados clientes para autenticar activos hardware
CIS Control #2: Inventario y control de activos software
2.8 Implementar lista blanca de librerías
2.9 Implementar lista blanca de scripts
CIS Control #3: Gestión continua de vulnerabilidades
3.2 Realizar análisis de vulnerabilidades autenticados
UASL
CIS Control #5: Configuración segura para hardware y software en

dispositivos móviles, computadoras portátiles, estaciones de trabajo y
servidores
5.4 Implementar herramientas de gestión de configuración de sistema
5.5 Implementar sistemas de monitoreo automatizado de configuración
CIS Control #6: Mantenimiento, monitoreo y análisis de logs de auditoría
6.5 Gestión centralizada de registros
6.6 Desplegar herramientas SIEM o de análisis de registros
6.8 Ajustar regularmente el SIEM
CIS Control #7: Protección de correo electrónico y navegador web
7.7 Utilizar servicios de filtrado DNS
7.10 Utilizar técnicas de sandbox para todos los adjuntos de correo electrónico
CIS Control #8: Defensa contra malware
Habilitar características anti-explotación de sistemas operativos /
8.3
implementar tecnologías anti-explotación
8.7 Habilitar registros de consultas DNS
8.8 Habilitar registros de auditoría de línea de comandos
CIS Control #11: Configuración segura de los equipos de red, tales como
cortafuegos, enrutadores y conmutadores
Utilizar herramientas automatizadas para verificar configuraciones de
11.3
equipos y detectar cambios
Gestionar equipos de red utilizando autenticación multi-factor y sesiones
11.5
cifradas
CIS Control #12: Defensa de borde
12.8 Desplegar colectores NetFlow en equipos de borde de la red
12.11 Requerir autenticación multi-factor en todos los inicios de sesión remotos
12.12 Gestionar todos los dispositivos remotos que se conectan a la red interna
CIS Control #13: Protección de datos
Remover datos o sistemas sensibles que no son accedidos regularmente
13.2
por la organización
13.3 Monitorear y bloquear el tráfico de red no autorizado
13.5 Monitorear y detectar cualquier uso no autorizado de cifrado
13.9 Cifrar los datos en dispositivos de almacenamiento USB
CIS Control #14: Control de acceso basado en la necesidad de conocer
Protección de datos
14.4 Cifrar toda la información sensible en tránsito
Utilizar una herramienta de descubrimiento activo para identificar datos
14.5
sensibles
14.7 Aplicar control de acceso a datos mediante herramientas automatizadas
14.8 Cifrar información sensible en reposo
CIS Control #15: Control de acceso inalámbrico
15.3 Usar un sistema de detección de intrusión inalámbrica
15.5 Limitar el acceso inalámbrico en dispositivos cliente
15.9 Deshabilitar el acceso periférico inalámbrico de dispositivos
CIS Control #16: Monitoreo y control de cuentas
16.3 Requerir Autenticación Multi-factor
CIS Control #20: Pruebas de penetración y ejercicios de equipo rojo
20.3 Realizar Ejercicios Periódicos del Equipo Rojo
Incluir pruebas de presencia de información y artefactos no protegidos de
20.4
sistema
UASL
Crear banco de pruebas para elementos que normalmente no se prueban

20.5
en producción
Asegurar que los resultados de la prueba de penetración estén
20.7
documentados usando estándares abiertos y legibles por máquina
UM #21: Control de Cambios
21.1 Documentar los procedimientos de Gestión de Cambios.
21.2 Formalizar la Gestión de Cambios.
21.3 Controlar la Gestión de Cambios.
UM #22: Seguridad en el ciclo de vida de las aplicaciones (implementación,
integraciones, evolutivos y decomisión)
22.1 Entrenamiento de seguridad a desarrolladores.
22.2 Definir los requerimientos de desarrollo seguro (sdl).
22.3 Auditar el uso de herramientas y aplicaciones de desarrollo.
UM #23: Control de modificaciones en aplicaciones
23.1 Seguridad en el desarrollo y en los procesos de soporte.
UM #24: Análisis de red y dispositivos
24.1 Gestión de las vulnerabilidades técnicas.
Tabla 3- Controles excluidos desde Gap Analysis CIS Top 20 Security Controls
UASL
5. Metodología
Considerando el aspecto de tiempos y alcance destinado a este proyecto, en

consenso entre las partes, la metodología de captura de datos se ha realizado
entrevistando al Gestor de Servicios TI y al Jefe de Proyectos – BSM de la
Subgerencia de Procesos y Proyectos TI.
Los datos recabados son analizados por el especialista de seguridad a cargo del
proyecto, plasmados en un sentido coherente en el informe, concluyendo las
definiciones que a partir de los datos infiere resultados y alcances, entre otros
aspectos de la Norma.
Con el objeto de brindar un enfoque evolutivo para UASL, en el presente informe

se incluye información resultante de los Gap Analysis realizados a la
Organización durante el año 2021 y 2023.
En apoyo a lo anterior, el informe es sometido a escrutinio de la totalidad del

equipo de ciberseguridad Entelgy, el cual cuenta con perfiles diversos entre
Personal Técnico, Analistas, Auditores y Oficiales de Seguridad de la
Información. Este equipo en conjunto discute los resultados iniciales y se afinan
las conclusiones que finalmente quedarán en el informe definitivo.
Entelgy considera importante la interacción de grupo para evitar la dependencia

de una sola persona, obteniendo criterios y condiciones objetivas que dan
cuenta del estado de un cliente.
UASL
6. Escalas de medición
El trabajo realizado para UASL se ha basado en el ámbito normativo, donde se

llevó a cabo la revisión de los niveles de cumplimiento de las veinte familias
controles sugeridas por la Norma CIS Top 20 Security Controls, exceptuando
aquellos que, en 2021 Holding definió dejar fuera de estas consultorías,
detallados en el capítulo 4. Alcance y Actores del presente informe.
La metodología ha considerado observar la identificación de procesos de

seguridad, no solo la implementación de controles, dado que la gestión de
procesos de seguridad es lo que finalmente da sustento y es evidencia de si los
controles están bien implementados, son gestionados, son medidos y se aplican
mejoras en el tiempo.
Por tanto, la evaluación de niveles de cumplimiento se ha aplicado al 100% con

respecto a los procesos, si los hay, dado que ese es el foco de este estándar.
6.1 Niveles de Cumplimiento.

El actual enfoque que UASL está impulsando, es lograr gestionar la
ciberseguridad como un elemento transversal, medible y sustentable en el
tiempo, en términos de aplicar mejora continua. Esto no se logra sin la aplicación
de procesos de seguridad, dicho de otra forma, no basta la simple
implementación de controles del framework que sea para lograr los actuales
objetivos propuestos.
Dicho lo anterior, es que este informe además de hacer hincapié en la aplicación

de niveles de cumplimiento de los controles CIS, se identifica la existencia de
procesos, si es que estos existen.
6.2 Proceso de la Evaluación

Las respuestas obtenidas tras las entrevistas han sido valorizadas de acuerdo
con los siguientes criterios:
• Implementado y documentado
• Implementado sin documentar
• No implementado
• No aplica
UASL
Por tanto cada control estará en uno de estos tres niveles:
• Nivel 2: implementación del control con documentación relativamente

estructurada.
• Nivel 1: implementación del control sin documentación acorde.
• Nivel 0: no existencia de implementación del control.
• No Aplica: el control no procede en su implementación para la
Organización.
Lo anterior se resume y visualiza de mejor manera en la siguiente tabla:
Puntuación Estado Descripción
0 No Implementado Implica la no existencia de implementación del

control.
Implementado no Implica la implementación del control, pero sin

1
documentado documentación acorde.
Implementado y Implica la implementación del control y con

2
documentado documentación relativamente estructurada.
Implica que el control no procede en su

N/A No aplica
implementación para la Organización.
Tabla 4 – Criterios de evaluación para controles CIS
Considerar que un control determinado, aun cuando esté en estado

“Implementado y documentado”, todavía no nos dice qué tan bien ha sido
implementado, si existe una documentación totalmente certera y completa y si
están identificados y formalizados el o los dueños responsables de ese control.
Menos aún nos dice si hay gestión sobre la aplicación del control y del
ecosistema que los otros controles relacionados forman en su conjunto.
Todo lo anterior sólo se logra mediante la aplicación de procesos de seguridad

y este es entonces, el objetivo final de la implementación de ciberseguridad:
Gestión integral del ecosistema (controles, procesos, personas, actividades).
UALS
7. Resultados por Controles
La información recabada mediante entrevistas realizadas con el responsable de cada uno de los aspectos
relacionados con las familias de controles la Norma CIS Top 20 Security Controls y de acuerdo con las puntuaciones
detalladas en el capítulo anterior del presente informe, arroja los siguientes resultados:
Familia de controles 1: Inventario y control de activos hardware
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Se dispone de la herramienta Aranda Device Manager y la
consola Kaspersky para el inventario de HW.
Información adicionada por el entrevistado el 05.06.2022:

Los dispositivos inventariados son:
• Dispositivos móviles
• Laptops
• Desktop
• Impresoras
Utilizar una herramienta de Implementado 2021 1
1.1 • Pantallas profesionales
descubrimiento activo. documentado 2023 2
• PDA
• Teléfonos IP
• Cámaras CCTV
• UPS
• Switches
• Routers
• Firewalls
• Servidores físicos.
Se dispone de un procedimiento formalizado.
UALS
En la herramienta Aranda CMDB se ingresan los activos

Utilizar una herramienta de Implementado 2021 no validado manualmente a medida que se van agregando a la
1.2
descubrimiento pasivo de activos no documentado 2023 1 infraestructura.
Control no documentado.
Se utiliza la herramienta Aranda CMDB para cubrir este
Mantener un inventario de activos Implementado 2021 1
1.4 control.
detallado no documentado 2023 1
No existe documentación
Se registran los siguientes atributos de los activos
inventariados:
• Nombre/identificador único
• Responsable
• Tipo / Categoría
• Características / Descripción
• Nivel de Criticidad
Mantener la información del Implementado 2021 1
1.5 Recomendación:
inventario de activos. documentado 2022 2
Se requeriría ampliar el número de atributos para cada
activo registrado en inventario de activos tecnológicos o
entregar mayor detalle de ellos.

No se registran más atributos en el inventario de activos.
Se cuenta con un procedimiento.
Familia de controles 2: Inventario de Software autorizados y no autorizados
Estado Control
2021-2023
Existe lista de SW (Excel) autorizados y actualizados. A
Mantener un inventario de software 2021 2 través de Kaspersky se puede ver a qué activo está
2.1 No implementado
autorizado 2023 0 relacionado, pero no existe un inventario como tal de todo
el SW.
Asegurar que el software tenga 2021 0 Se tiene conocimiento de las aplicaciones autorizadas en la
2.2 No implementado
soporte del fabricante. 2023 0 instalación, aun así no están inventariadas formalmente y
UALS
tampoco se dispone del registro correspondiente para el

soporte del fabricante.
Algunas de tales aplicaciones son las siguientes:
. Existen 8 equipos sin soporte del fabricante (Adobe). Está
en aprobación el comprar nuevas licencias, pero no se sabe
para cuándo.
. Existe un servidor con SQL 2012 (expiró julio 2022. La
semana del 13 de marzo se inició un proyecto de migración
a la nube).
. 120 máquinas con office 2013 por vencer en abril 2023.
. 24 equipos con VLC instalado.
. 7zip uso corporativo.
. Bizagi instalado en algunos usuarios, aplicación Visio es la
herramienta oficial.
. Zoom está bloqueado a nivel corporativo. Se utiliza vía
Web.
. WhatsApp instalado en 6 computadores
. Las redes sociales están bloqueadas excepto para área de
comunicaciones de la Subgerencia de Personas.
Utilizar herramientas de inventario 2021 no validado
2.3 No implementado Control no implementado
de software. 2023 0
Rastrear información del inventario 2021 1
de software. 2023 0
Integrar los inventarios de activos 2021 0
de hardware y software. 2023 0
Control no implementado.
2021 2 No se dispone de un inventario, ni se gestionan las
2.6 Gestionar el software no aprobado. No implementado
2023 0 aplicaciones no aprobadas que están instaladas en algunas
estaciones de trabajo.
En UASL, la instalación de aplicaciones no permitidas se
impide dado que no existe perfil de administrador en las
2021 2
2.7 Utilizar lista blanca de aplicaciones. No implementado estaciones de trabajo de los colaboradores.
2023 0
Existe además una política de lista negra para Zoom y se
bloquean los archivos adjuntos para correos.
UALS
Al no existir implementación de Listas Blancas de

aplicaciones en UASL, que es lo que mandata el control, se
considera “No implementado”.
Los portales Teisa y UASL están el red DMZ separados de
la red local.
Existen otras aplicaciones de alto riesgo?
Separar física o lógicamente las Implementado 2021 2
2.10
aplicaciones de alto riesgo. documentado 2022 2 Información adicionada por el entrevistado el 05.06.2022:
Sólo los portales Teisa y UAS están considerados de alto
riesgo y para su protección están fuera de la red local.
Se dispone de un procedimiento que formaliza el control.
Familia de controles 3: Gestión continua de vulnerabilidades
Estado Estado Control

Control Descripción Comentarios
Control 2021-2023
Se cuenta con información respecto de los escaneos
Ejecutar herramientas de
Implementado 2021 0 automatizados de vulnerabilidades para auditorías, faltaría la
3.1 escaneo automatizados de
no documentado 2023 1 documentación que formalice el proceso (Levantamiento de
vulnerabilidades
procesos).
Están definidas las cuentas dedicadas para el escaneo de
Proteger las cuentas dedicadas a Implementado 2021 0
3.3 vulnerabilidades, pero no existe documentación que lo
auditorías. no documentado 2023 1
formalice.
Para Microsoft están habilitadas las actualizaciones
automáticas.
Implementar herramientas de
Implementado y 2021 2 Para servidores existe procedimiento documentado de
3.4 gestión automatizada de
documentado 2023 2 parchado mensual:
parches del sistema operativo.
"P.TI.06_Procedimiento_de_actualizaciones,_Parches,_Cambios
_servidores"
Implementar herramientas de
Implementado 2021 1 Están implementadas las actualizaciones automáticas para SW
3.5 gestión automatizada de
no documentado 2023 1 con licencia. No está documentado.
parches de software.
UALS
Comparar escaneos de Implementado 2021 0

3.6 Proceso implementado, no documentado.
vulnerabilidades consecutivos. no documentado 2023 1
Existe clasificación de riesgo para vulnerabilidades detectadas,
Utilizar un proceso de Implementado 2021 0 se entrega en informes técnicos.
3.7
calificación de riesgo. no documentado 2022 1 Falta formalizar proceso de Gestión de Vulnerabilidades
(Levantamiento de proceso).
Familia de controles 4: Uso controlado de privilegios administrativos
Estado Control
2021-2023
En el AD se tiene separadas las cuentas de Domain Users y
Mantener un inventario de Domain Admins.
Implementado no 2021 2
4.1 cuentas administrativas. Se genera un informe diario con las cuentas de altos
documentado 2023 1
privilegios, pero no existe un documento que formalice el
proceso.
Al ingreso de una nueva cuenta, el usuario debe cambiar la
Cambiar contraseñas por Implementado no 2021 1
4.2 contraseña asignada por defecto.
defecto. documentado 2023 1
No existe documentación que formalice el control.
Todas las cuentas administrativas son de uso restringido sin
Asegurar el uso de cuentas Implementado no 2021 1
4.3 acceso a internet ni correo.
administrativas dedicadas. documentado 2023 1
No existe documentación al respecto.
Implementado no 2021 1 Todas las cuentas de administrador tienen claves distintas.
4.4 Usar contraseñas únicas.
documentado 2023 1 No está documentado.
Lo que está implementado actualmente es lo siguiente:
Para VPN se requiere PSW + clave dinámica => 2FA para todas
las cuentas de usuario.
MFA se está utilizado en régimen de prueba para cuentas
Usar autenticación multifactor Implementado 2021 0
4.5 Microsoft para el área TI, proyectos y subgerencias.
para todo acceso administrativo documentado 2023 2
Por instalar a supervisores y encargados.
Existe 2FA para la conexión de usuarios presenciales?
El control no estaría implementado (MFA está en prueba, no
está implementado para todos los usuarios).
UALS

MFA está habilitado para la totalidad de los usuarios.
Se cuenta con procedimiento que formaliza el Sub-control.
Usar máquinas dedicadas para 2021 0 Control no implementado, dado que se utiliza un único PC para
4.6 No implementado
toda tarea administrativa. 2023 0 todas la tareas administrativas.
Implementado no Solo colaboradores del perfil idóneo tienen acceso a
Limitar el acceso a herramientas 2021 1
4.7 documentado herramientas scripting. No existe documentación al respecto.
de scripts. 2023 1
Control implementado manualmente.
Registrar y alertar cambios de
Implementado no 2021 0 Existe un informe diario con las cuentas de altos privilegios.
4.8 miembros en grupos
documentado 2023 1 No existe alerta, el informe se valida manualmente.
administrativos
Lo anterior no está documentado
Existe un informe semanal de bloqueo y desbloqueo de
cuentas.
El SIEM avisa por correo los intentos fallidos de acceso a un
Registrar y alertar los inicios de
Implementado no 2021 0 servidor.
4.9 sesión fallidos a cuentas
documentado 2022 1 Se alertan también los accesos a consola Kaspersky fuera de
administrativas.
horario.
Lo anterior también aplica para las cuentas de usuarios.
No existe documentación que formalice todo lo anterior.
Familia de controles 5: Configuración segura para hardware y software en dispositivos móviles,

computadoras portátiles, estaciones de trabajo y servidores
Estado Control
2021-2023
No se dispone de imágenes.
Se instala SO y se sigue un Check List para la configuración
Establecer configuraciones Implementado no 2021 0 estándar de computadores de usuarios.
5.1
seguras. documentado 2023 1 Dependiendo del perfil del usuario, se instalarán la aplicaciones
adicionales que requiere.
No existe documentación formal paralo anterior.
UALS
2021 no validado
5.2 Mantener imágenes seguras No implementado No se dispone de imágenes.
2022 0
Almacenar las imágenes 2021 0
5.3 No implementado No se dispone de imágenes.
maestras de forma segura. 2023 0
Familia de controles 6: Mantenimiento, monitoreo y análisis de logs de auditoría
Estado Control
2021-2023
Las fuentes de tiempo implementadas en UASL son:
. Todos los PC están conectados a WSUS (controlador de
dominio).
. Para los dispositivos de red se conectan a NTP-server
Utilizar tres fuentes de tiempo Implementado no 2021 0
6.1 (servidor de uso público para sincronizar el horario).
sincronizadas. documentado 2023 1
. Lo equipos Linux están conectados al SHOA
Para el cambio de horario estacional se hace una verificación
manual para validar que todo esté OK.
Todo lo anterior no está documentado.
Están activos los logs de auditoría para servidores y firewalls.
No existe documentación.
Falta mencionar el tratamiento dado para otros tipos de
dispositivos (Switches, Routers, máquinas hipervisoras, etc.)
2021 0 No se está cumpliendo el control dado que el control indica que
6.2 Activar registros de auditoría. No implementado
2023 0 la activación de registros de auditoría debe hacerse en todos
los sistemas y equipos de red.

El Sub-control no está implementado.
Implementado no 2021 0 Está habilitada información detallada para los logs.
6.3 Habilitar registros detallados.
documentado 2023 1 No está documentado.
Se hace capacity Planning semanalmente para alertar posibles
Asegurar almacenamiento Implementado no 2021 0
6.4 problemas de espacio.
adecuado para registros. documentado 2023 1
No está documentado.
UALS
Los registros de auditoría sólo se revisan frente a eventos.
Revisar regularmente los 2021 0
6.7 No Implementado Sólo para los sistemas legados, se realiza una revisión mensual
registros. 2023 0
de usuarios eliminados. Los que no han ingresado, se dan de
baja.
Familia de controles 7: Protección de correo electrónico y navegador web
Estado Control
2021-2023
Asegurar el uso de navegadores Solo se cuenta con proveedores oficiales para navegadores y
7.1 y clientes de correo electrónico servicios de correo electrónico.
documentado 2023 1
que cuenten con soporte. No existe documentación formal.
Por defecto están deshabilitados los plugins en la instalación.
Deshabilitar plugins innecesarios
Implementado no 2021 0 Están restringidas redes sociales excepto para el área de
7.2 de navegadores o clientes de
documentado 2023 1 Comunicaciones de la Subgerencia de Personas. No existe
correo electrónico.
documentación que formalice el control.
Limitar el uso de lenguajes de Los lenguajes de Scripting están restringidos y sólo se instalan
7.3 scripting en navegadores web y a pedido y de acuerdo con el perfil del usuario. Sin
documentado 2023 1
clientes de correo electrónico. documentación formal.
Las URLs se filtran a través del Firewall. Existen listas blancas
Mantener y aplicar filtros de URL Implementado no 2021 1
7.4 de URLs dependiendo del área.
basados en red. documentado 2023 1
No está documentado.
Las categorías de URLs están definidas en el Firewall. Ejem.:
Los sitios nuevos.
Suscribirse a servicios de Implementado no 2021 1
7.5 Se avisa al proveedor específicamente para liberar alguna URL
categorización de URL. documentado 2023 1
específica.
Sin documentación que formalice el control.
En el firewall queda el registro de todas las peticiones de URLs,
Registrar todas las peticiones de Implementado no 2021 1
7.6 pero no existe revisión de dicha información.
URLs. documentado 2023 1
No existe documentación formal para este control.
UALS
Al momento de la entrevista no se tenía claridad del estado del

control, por lo que quedó pendiente de aclarar por parte del
entrevistado. A continuación su respuesta:
Respuesta textual del entrevistado al 08.05.2023:

No se cuenta - Se envía consulta para aplicar configuración (si
Implementar DMARC y habilitar
Implementado no 2021 1 aplica) a proveedor de Microsoft XMS.
7.8 verificación del lado del
documentado 2023 1 Aclaración textual del entrevistado al 09.05.2023:
receptor.
Actualmente se encuentran habilitadas las firmas DKIM y
Dmarc para los registros (sitios Uasl.cl, Depocargo.cl y
Teisa.cl).
Así mismo se validó que a nivel de SPF existen registros
publicados para nuestros dominios.
Control Implementado no documentado.
Están filtrados los archivos adjuntos a correo (.bat, .exe,
Bloquear tipos de archivos Implementado no 2021 1
7.9 .HTML, .HTM).
innecesarios. documentado 2023 1
Control no documentado.
Familia de controles 8: Defensa contra malware
Estado Control
2021-2023
Utilizar software antimalware de Implementado no 2021 2
8.1
gestión centralizada. documentado 2023 1 Respuesta textual del entrevistado al 08.05.2023:
Se utiliza Kaspersky AV para las estaciones de trabajo y
Sophos para servidores.
Control Implementado, no hay documentación.
Asegurar que el software Al momento de la entrevista no se tenía claridad del estado del
8.2 antimalware y las firmas estén control, por lo que quedó pendiente de aclarar por parte del
documentado 2023 1
actualizadas. entrevistado. A continuación su respuesta:
UALS

Sophos para servidores.
Configurar escaneo antimalware Implementado no 2021 2
8.4
de dispositivos removibles. documentado 2022 1
Se utiliza Kaspersky AV para las estaciones de trabajo.
Configurar equipos para no Implementado no 2021 2
8.5
autoejecutar contenido. documentado 2023 1 Respuesta textual del entrevistado al 08.05.2023:
Se utiliza Kaspersky AV para las estaciones de trabajo y el
bloqueo para no autoejecutar contenido.
Control implementado, no hay documentación.
Centralizar los registros Implementado no 2021 2
8.6 Respuesta textual del entrevistado al 08.05.2023:
antimalware. documentado 2023 1
Sophos para los servidores donde se cuenta con una central o
un servidor donde se alojan los registros.
Control implementado, no hay documentación.
UALS
Familia de controles 9: Limitación y control de puertos de red, protocolos y servicios
Estado Control
2021-2023
Asociar puertos, servicios y
2021 0
9.1 protocolos activos al inventario No implementado Control no implementado.
2023 0
de activos
Asegurar que solo puertos,
2021 0
9.2 protocolos y servicios aprobados No implementado Control no implementado.
2023 0
se están ejecutando.
Control implementado mediante servicio de escaneos
Realizar regularmente escaneos Implementado no 2021 0 mensuales de vulnerabilidades técnicas brindado por Entelgy.
9.3
automatizados de puertos. documentado 2023 1 Pendiente el levantamiento del proceso, lo que formalizaría el
control.
El Firewall de Windows está desactivado, el filtrado lo hace
Aplicar firewalls basados en host Implementado no 2021 2 Kaspersky. En algunos equipos se hace doble bloqueo con una
9.4
o filtrado de puertos. documentado 2023 1 tabla de Host.
No existe documentación para este control
Sólo el proveedor IFX brinda el servicio de filtro de
aplicaciones.
Implementar firewalls de Implementado no 2021 2
9.5 Envía informe y UASL puede pedir bloqueo o liberación de
aplicación. documentado 2023 1
alguna URL o IP puntual.
Control sin documentación formal.
Familia de controles 10: Capacidad de recuperación de datos
Estado Control
2021-2023
En la instalación se ejecutan respaldos automáticos locales.
Asegurar los respaldos Implementado y 2021 2
10.1 Los proveedores realizan respaldos de la información bajo su
regulares automatizado. documentado 2023 2
administración.
UALS
En ambos casos, existe documentación.

Además de los respaldos de sistemas completos, se realizan
Realizar respaldos de sistemas Implementado y 2021 1
10.2 pruebas de recuperación de información.
completos. documentado 2023 2
Lo anterior está documentado con un procedimiento.
Probar los datos en los medios Implementado y 2021 2 Cada tres meses se hacen pruebas de restauración en la
10.3
de respaldo. documentado 2023 2 instalación, lo cual está documentado.
Los respaldos locales están encriptados y se traspasan a otro
proveedor para mantenerlos.
No se sabe si el proveedor lo hace. Por confirmar.
Asegurar la protección de las Implementado no 2021 1 Respuesta textual del entrevistado al 08.05.2023:
10.4
copias de respaldo. documentado 2023 1 Localmente se realiza un respaldo de las VMs y se respaldan
encriptados en un servido NAS. El proveedor IFX, para los
servidores, los respalda en un servidor dedicado, encriptados,
por 3 meses y luego se van a Cinta por un año.
No hay documentación para esto.
Control implementado, por confirmar si el proveedor lo tiene
documentado.
Las máquinas se respaldan en un servidor dedicado.
Las Bases de Datos se respaldan en una máquina virtual local.
La máquina completa se respalda en otro servidor dedicado.

Asegurar que las copias de control, por lo que quedó pendiente de aclarar por parte del
10.5 respaldo tengan al menos un entrevistado.
documentado 2023 1
destino discontinuo. A continuación su respuesta:

Localmente se realiza un respaldo de las VMs y se respaldan
encriptados en un servido NAS. El proveedor IFX, para los
servidores, los respalda en un servidor dedicado, encriptados,
por 3 meses y luego se van a Cinta por un año.
No hay documentación.
UALS
Familia de controles 11: Configuración segura de los equipos de red, tales como cortafuegos,
enrutadores y conmutadores
Estado Control
2021-2023
Mantener configuraciones de
11.1 seguridad estandarizadas en Control implementado no documentado.
documentado 2023 1
equipos de red.
Documente las reglas de Implementado no 2021 no validado
11.2 Control implementado no documentado.
configuración de tráfico. documentado 2023 1
Instalar la última versión
estable de cualquier 2021 0
11.4 No implementado No existe un procedimiento que indique la revisión periódica
actualización de seguridad en 2023 0
del estado de las actualizaciones.
todos los equipos de red.
Utilizar máquinas dedicadas
2021 0 Control no implementado.
11.6 para todas las tareas No Implementado
2023 0 No existe una máquinas dedicadas, sólo cuentas dedicadas.
administrativas en la red.
Existe una red aparte para la infraestructura.
Existe un diagrama para toda la instalación actualizado a la
Administrar la infraestructura
Implementado no 2021 1 semana del 20.03.2023 (Revisión anual).
11.7 de red mediante una red
documentado 2023 1 Existe inventario de IPs de red en una aplicación de la WEB
dedicada.
(en la intranet) que entrega los segmentos disponibles.
Lo anterior no está documentado formalmente.
Familia de controles 12: Defensa de borde
Estado Control
2021-2023
Mantener un inventario de los Implementado no 2021 1 El control está implementado, dado que están registrados los
12.1
bordes de la red. documentado 2023 1 dispositivos de borde en la herramienta Aranda.
UALS
El servicio de escaneos de vulnerabilidades técnicas brindado
Escanear de conexiones no por Entelgy no cubre lo mandatado por este control, es decir no
2021 0
12.2 autorizadas en los bordes No implementado realiza escaneos desde el exterior del borde de red de
2023 0
confiables de la red. confianza para la detección de conexiones no autorizadas.
El Sub-control no está implementado.
Denegar comunicaciones con La denegación de comunicaciones con IPs maliciosas están
12.3 direcciones IPs maliciosas automatizadas en cada uno de los dispositivos (IPS, IDR,
documentado 2023 1
conocida. SIEM), IP y Puertos, pero no está documentado.
La filtración de puertos está automatizada en cada uno de los
Denegar comunicaciones sobre Implementado no 2021 1
12.4 dispositivos (IPS, IDR, SIEM), IP, Puertos. No existe
puertos no autorizados. documentado 2023 1
documentación.
Declaración de entrevistado para el estado del Sub-control:
Implementado no documentado.
Configurar sistemas de
2021 1 Se requiere mayor detalle para este Sub-control.
12.5 monitoreo para registro No implementado
2023 0
paquetes de red.
Sub-control No implementado.
Desplegar sensores IDS Implementado no 2021 0
12.6 Tercerizado el servicio con Novared e IFX.
basados en red. documentado 2023 1
12.7 Desplegar IPS basado en red. Tercerizado el servicio con Novared e IFX.
documentado 2023 1
Desplegar servidor proxy de 2021 0
12.9 No aplica No Aplica uso de tecnología Proxy para UASL.
filtrado de capa de aplicación. 2023 No aplica
Descifrar el tráfico de red en el 2021 0
12.10 No aplica No Aplica uso de tecnología Proxy para UASL.
proxy. 2023 No aplica
UALS
Familia de controles 13: Protección de datos
Estado Control
2021-2023
En SharePoint está estratificado el acceso a la información de
Mantener un inventario de 2021 0
13.1 No implementado acuerdo con su nivel de criticidad, pero esto no está
información sensible. 2023 0
documentado. La información sensible no está inventariada.
Permitir solamente el acceso a Para proveedores existe acceso restringido a SharePoint y a
13.4 proveedores de servicios de información de servidores en la instalación. No existe
documentado 2023 1
nube o correo autorizados. documentación para esto.
Cifrar el disco duro de todos 2021 0 Para los equipos entregados a los colaboradores no existe
13.6 No implementado
los dispositivos móviles. 2023 0 cifrado de información.
Comentarios del entrevistado:
Los puertos están bloqueados por defecto en las estaciones de
trabajo. Se pueden autorizar accesos a petición exclusiva, pero
no existe procedimiento escrito para aquello, sólo existe una
imagen que permite visualizar cómo se bloquea un puerto.
Implementado 2021 1 Está restrictivo solo a Workstations.
13.7 Gestionar dispositivos USB.
documentado 2023 2 Qué pasa con el resto de los dispositivos?

La restricción de uso de puertos USB aplica para todos los
EndPoints con antivirus instalado: desktops, laptops, tablets.
Se cuenta con un procedimiento que formaliza el Sub-control.
Los puertos están bloqueados por defecto en las estaciones de
trabajo. Se pueden autorizar accesos a petición exclusiva, pero
no existe procedimiento escrito para aquello, sólo existe una
Gestionar las configuraciones imagen que permite visualizar cómo se bloquea un puerto.
de lectura/escritura Implementado 2021 no validado Está restrictivo solo a Workstations.
13.8
de sistemas para medios documentado 2023 2 Qué pasa con el resto de los dispositivos?
removibles externos
Los dispositivos de lectura/escritura están bloqueados para
todos los activos.
UALS
Se cuenta con un procedimiento que formaliza el Sub-control.
Familia de controles 14: Control de acceso basado en la necesidad de conocer Protección de datos
Estado Control
2021-2023
Las redes están segmentadas de acuerdo con el tipo de
Segmentar la red basado en Implementado no 2021 1 actividad que requieren (red operaciones Bodega, red oficinas,
14.1
sensibilidad. documentado 2023 1 etc.) Led de impresoras es visible para todos.
Declaración del entrevistado:
Implementados Firewalls en la instalación.
No existe documentación que formalice el Sub-control.
Se requiere mayor detalle para este Sub-control.
Habilitar filtrado de firewall Implementado no 2021 0
14.2
entre VLANs. documentado 2023 1 Información adicionada por el entrevistado el 05.06.2022:
Aun cuando existe diagrama para las redes segmentadas de la
instalación donde se visualizan los firewall habilitados se
confirma el Sub-control en estado implementado no
documentado.
Deshabilitar comunicaciones 2021 0
14.3 No implementado Control no implementado.
entre estaciones de trabajo. 2023 0
Proteger la información Existen ACL en la infraestructura UASL que proveen esta
14.6 mediante lista de control de funcionalidad.
documentado 2023 1
acceso. No existe documentación relacionada.
Imponer el registro detallado
Implementado no 2021 0 Existe SIEM en la instalación que proporciona la funcionalidad,
14.9 para acceso o cambios en
documentado 2023 1 pero no existe documentación que formalice el control.
datos sensibles.
UALS
Familia de controles 15: Control de acceso inalámbrico
Estado Control
2021-2023
Declaración de entrevistado:
Mediante CMDB de Aranda y Orion (SolarWinds) se alertan y
monitorean los puntos de acceso inalámbrico. No existe
documentación.
Mantener un inventario de
Implementado no 2021 1 Aclarar si efectivamente están inventariados los puntos de
15.1 puntos de acceso inalámbrico
documentado 2023 1 acceso inalámbricos autorizados conectados a la red.
autorizados.
Están identificados los puntos de acceso inalámbrico.
Sub-control está implementado no documentado.
Detectar puntos de acceso 2021 0
15.2 No Implementado Control no implementado.
inalámbricos. 2023 0
La política indica que, por defecto, todo dispositivo debe
Deshabilitar el acceso
Implementado no 2021 no aplica conectarse físicamente a la red y se tienen identificados
15.4 inalámbrico en dispositivos si
documentado 2023 1 aquellos que se pueden conectar de manera inalámbrica.
no se requiere.
No existe documentación
Inhabilitar las capacidades de
2021 0 entrevistado. A continuación su respuesta:
15.6 red inalámbrica punto a punto No Implementado
2023 0 Respuesta textual del entrevistado al 08.05.2023:
en clientes inalámbricos
Redes segmentadas implementado.
No implementado.
Se utiliza el protocolo de cifrado se seguridad WPA2 para
proteger el tráfico de Internet en redes inalámbricas.
Usar estándar de cifrado
2021 1 No existe documentación.
15.7 avanzado (AES) para cifrar No implementado
2023 0 Se está usando el algoritmo de encriptación AES con CCMP? Si
datos inalámbricos.
no es así indicar el algoritmo de encriptación que se está
usando.
UALS

Desde el controlador de Dominio no se visualiza el algoritmo de
encriptación AES, por lo que según lo solicitado en el Sub-
control no se cumple.
Usar protocolos de La red Wifi principal autentica a través del AD.
autenticación inalámbrica que Implementado no 2021 1 Para la red de visitas en el controlador asigna un código que
15.8
requieran autenticación mutua documentado 2023 1 tiene un período de duración para asignar el acceso.
multi‐factor. Lo anterior no está documentado.
Crear una red inalámbrica
Implementado no 2021 1 Existe una red para visitas disponible para estos fines.
15.10 separada para dispositivos
documentado 2023 1 No existe documentación relacionada.
personales y no confiables.
Familia de controles 16: Monitoreo y control de cuentas
Estado Control
2021-2023
Mantener un inventario de 2021 0
sistemas de autenticación. 2023 0
El punto de autenticación centralizado es a través del control
Configurar un punto de Implementado no 2021 2
16.2 de dominio.
autenticación centralizado. documentado 2023 1
No está documentado
La aplicación KeePass almacena todas las credenciales críticas.
Cifrar o hashear todas las Implementado no 2021 0
16.4 Dichas credenciales están encriptadas.
credenciales de autenticación. documentado 2023 1
Cifrar la transmisión de
2021 0
16.5 nombres de usuario y No implementado Control no implementado.
2023 0
credenciales de autenticación.
Mantener un inventario de 2021 2 Control no implementado.
cuentas. 2023 0 Las cuentas están en AD pero no existe un inventario de ellas.
El proceso involucra la Subgerencia de Personas y TI para
Establecer un proceso para Implementado y 2021 2
16.7 usuarios que abandonan la empresa y está normado mediante
revocar el acceso. documentado 2023 2
el Procedimiento de desvinculación.
UALS
Todas las cuentas asignadas a algún usuario cuentan con fecha

Deshabilitar cualquier cuenta Implementado y 2021 1
16.8 de expiración. Existe documentación que formaliza este
no asociada. documentado 2023 2
control.
Está implementado que luego de 45 días de inactividad las
Implementado y 2021 1
16.9 Desactivar cuentas inactivas. cuentas se dan de baja.
documentado 2023 2
Control documentado.
Todas las cuentas asignadas a algún usuario cuentan con fecha
Asegurar que todas las cuentas Implementado y 2021 0
16.10 de expiración. Existe documentación que formaliza este
tengan fecha de caducidad. documentado 2023 2
control.
Bloquear sesiones de
Implementado y 2021 0 Las sesiones se bloquean después de 5 minutos de inactividad.
16.11 estaciones de trabajo tras
documentado 2023 2 Control documentado.
inactividad.
Las cuentas se bloquean después de 3 intentos fallidos, pero no
Monitorear los intentos de 2021 0
16.12 No implementado se monitorea el acceso a cuentas desactivadas mediante los
acceso a cuentas desactivadas. 2023 0
registros de auditoría.
La detección de accesos fuera de horario está implementado a
Alertar sobre desviación de través de Novared lo cual no está documentado.
2021 0
16.13 comportamiento de inicio de No implementado La geolocalización y control sobre la duración de las sesiones
2023 0
sesión de cuentas. no están implementados, por lo que el control no está en
cumplimiento.
Familia de controles 17: Implementar un programa de concienciación y entrenamiento de seguridad
Estado Control
2021-2023
Al tener establecido un Plan de Concientización que contemple
ejercicios de ingeniería social y entrega de contenidos para
Realizar un análisis de brecha Implementado no 2021 no validado
17.1 incrementar conocimientos acerca de la ciberseguridad, se
de habilidades. documentado 2023 1
aborda el tratamiento de brechas de habilidades existentes en
los colaboradores de UASL.
Sub-control implementado no documentado.
Realizar capacitación para Implementado no 2021 no validado
17.2 Faltaría indicar los mecanismos de verificación de acceso y
llenar la brecha de habilidades documentado 2023 1
conocimiento de los contenidos compartidos.
UALS

La confirmación se da en los talleres de la campaña donde se
guarda registro de los participantes. Lo mismo para un curso
ciberseguridad que se dictará para todos los colaboradores.
Implementar un programa de Implementado no 2021 0
concienciación de seguridad. documentado 2023 1
Actualice el contenido de Implementado no 2021 0
concienciación con frecuencia. documentado 2023 1
Sólo existe un manual para VPN que no está formalizado.
Faltaría detallar el tratamiento para conexiones presenciales.
Entrenar a la fuerza laboral en Implementado no 2021 no validado
17.5
la autenticación segura. documentado 2023 1 Información adicionada por el entrevistado el 05.06.2022:
Se ha capacitado a los usuarios que se conectan por VPN y
presencialmente para el doble factor de autenticación.
Control implementado no documentado.
Capacitar a la fuerza laboral en
Implementado no 2021 0 Se han realizado exposiciones con contenidos relacionados,
17.6 la identificación de ataques de
documentado 2023 1 además de dos ejercicios Phishing para validar los
ingeniería social.
conocimientos y comportamiento de los colaboradores.
Existe SharePoint cuyo uso está normado y publicado.
Con lo anterior no se da cumplimiento a lo que mandata el
control.
Capacitar a la fuerza laboral en Implementado 2021 no validado
17.7 Información adicionada por el entrevistado el 05.06.2022:
manejo de datos sensibles. documentado 2023 2
Se ha informado y capacitado en reuniones generales en el
manejo de información sensible.
Se cuenta con procedimiento y control aplicado.
No se ha capacitado a los colaboradores acerca de la exposición
Capacitar a la fuerza laboral
involuntaria de datos (pérdida de sus dispositivos móviles o
sobre las causas de la Implementado no 2021 0
17.8 envío de correos a personas equivocadas debido al
exposición involuntaria a los documentado 2023 1
autocompletado de direcciones de correo).
datos.
Sub-control no implementado.
UALS

Existe un documento que está en revisión, pero no está
publicado aún.
Al no estar publicado el documento, los colaboradores
Capacite a la fuerza laboral desconocen formalmente los protocolos asociados a la
17.9 sobre cómo identificar y identificación y reporte de incidentes.
documentado 2023 1
reportar incidentes. Sub-control no implementado.

Familia de controles 18: Seguridad del software de aplicación
Estado Control
2021-2023
Establecer prácticas seguras de 2021 0
codificación. 2023 0
Asegurar que la verificación control, por lo que quedó pendiente de aclarar por parte del
explícita de errores se realice Implementado no 2021 0 entrevistado. A continuación su respuesta:
18.2
para todo el software documentado 2023 1
desarrollado internamente. Respuesta textual del entrevistado al 25.05.2022:
Se encuentra implementado no documentado.
Verificar que el software Implementado y 2021 0 Existen los contratos con los proveedores que respaldan este
18.3
adquirido aún tiene soporte documentado 2023 2 control.
Sólo existen aplicaciones licenciadas y con soporte de parte del
Usar sólo componentes de
Implementado y 2021 no validado proveedor. Está contenido en la Estrategia Tecnológica,
18.4 terceros actualizados y de
documentado 2023 2 documento oficial para UASL, la cual está publicada y
confianza .
divulgada.
UALS
Usar únicamente algoritmos de No están agregadas este tipo de definiciones en los contratos
2021 no validado
18.5 cifrado revisados y No implementado con proveedores.
2023 1
estandarizados. Control no implementado.
Asegurar que el personal de
Los contratos con proveedores de desarrollo no contemplan
desarrollo de software esté 2021 0
18.6 No implementado este tipo de aspectos.
capacitado en programación 2023 0
Control no implementado
segura.
Los desarrolladores externos utilizan herramientas de análisis
de código estático y dinámico.
Aplicar herramientas de
2021 0 Al verificar si las auditorías de EH que realiza Entelgy validan a
18.7 análisis de código estático y No implementado
2023 0 nivel de código: estas auditorías no incluyen el análisis de
dinámico.
código estático y dinámico, pero podría agregarse este tipo de
validaciones.
No existe un proceso implementado para los desarrollos.
Establecer un proceso para Lo que se está implementando es el EH a los sitios
18.8 aceptar y tratar los reportes de desarrollados y según el informe se van resolviendo las
documentado 2023 1
vulnerabilidades del software. vulnerabilidades que se detecten.
Control implementado no documentado.
Sistemas separados de Implementado no 2021 2
18.9 Comentarios del entrevistado al 11.05.2023:
producción y no producción. documentado 2023 1
Hoy día se cuenta con entornos separados para los ambientes
productivo y no productivo.
No existe documentación formal para este control.
Implementar Firewall de Implementado y 2021 0
18.10 Control implementado y documentado.
aplicación Web (WAFs) documentado 2023 2
Usar plantillas de configuración
2021 0
18.11 de hardening estándar para No implementado Control no implementado.
2023 0
bases de datos.
UALS
Familia de controles 19: Respuesta y manejo de incidentes
Estado Control
2021-2023
Sólo existen buenas prácticas.
Existen fichas para cada sistema, pero no un documento formal
para este Sub-control.
Documentar los procedimientos 2021 0 Para que este control se considere en cumplimiento se
de respuesta de incidentes. 2023 0 requieren planes escritos de respuesta a incidentes que
incluyan funciones de los colaboradores, fases de
manejo/gestión de incidentes.
Por lo anterior el control no está implementado.
Asignar cargos y
Implementado no 2021 0 El responsable está predefinido (Responsable de Red y
19.2 responsabilidades para la
documentado 2023 1 Plataforma), pero no está documentado formalmente.
respuesta a incidentes.
Designar personal de gestión Están designados los responsable y los reemplazantes para
19.3 para apoyar el manejo de apoyar el manejo de incidentes, pero no está formalizado con
documentado 2023 1
incidentes. un documento.
Idear estándares para toda la Existe un sistema de administración y reporte de incidentes.
19.4 organización para reporte de Documento que formaliza el control: HSEQ 08 Gestión de
documentado 2023 2
incidentes. incidentes.
Mantener información de Existe un sistema de administración y reporte de incidentes.
19.5 contacto para reportar Documento que formaliza el control: HSEQ 08 Gestión de
documentado 2023 2
incidentes de seguridad. incidentes.
Publicar información Se comunica a los usuarios toda vez que se presenta un
relacionada con la notificación Implementado y 2021 1 incidente de seguridad.
19.6
de anomalías e incidentes documentado 2023 2 Documento que formaliza el control: HSEQ 08 Gestión de
informáticos. incidentes
Llevar a cabo sesiones El comité de gestión de incidentes realiza reuniones semanales
19.7 periódicas de escenarios de para análisis y revisión de casos.
documentado 2023 1
incidentes para el personal. No se dispone de documentación.
Crear un esquema de El sistema de tickets clasifica los incidentes (alto, bajo o
Implementado no 2021 no validado
19.8 priorización y puntuación de crítico).
documentado 2023 1
incidentes. El Sub-control no está documentado.
UALS
Familia de controles 20: Pruebas de penetración y ejercicios de equipo rojo
Estado Control
2021-2023
Establecer un programa de 2021 0
20.1 No implementado Control no Implementado.
prueba de penetración. 2023 0
Llevar a cabo pruebas
2021 0
20.2 periódicas de penetración No implementado Control no Implementado.
2023 0
externa e interna.
Usar herramientas de prueba
de penetración y exploración 2021 0
20.6 No implementado Control no Implementado.
de vulnerabilidades en 2022 0
conjunto.
Controlar y monitorear las
2021 no validado
20.8 cuentas asociadas con las No implementado Control no Implementado.
2022 0
pruebas de penetración.
UASL
Los resultados resumidos de los cuadros anteriores, visualizando la comparativa

entre los resultados del Gap Analysis realizado en 2021 versus los resultados
actualizados, se despliegan en la siguiente tabla:
Estado Controles 2021 Controles 2023
No aplica 1 2
No validado 13 0
La siguiente imagen refleja gráficamente los datos anteriores:
Figura 1 - Gráfica estado de controles CIS, años 2021 y 2023
Aun cuando se ha mantenido el número de sub-controles en estado

“Implementado y Documentado”, desde 2021 a 2023 se produjo un aumento
del 53% de controles en estado “Implementado no Documentado” y una
disminución del 41% de controles en estado “No Implementado”.
UASL
De acuerdo con lo anterior, se visualizan claras mejorías en el estado en el que

se encuentra la instalación en términos de seguridad y ciberseguridad, dado que
existe un importante porcentaje de sub-controles abordados, aun cuando esté
pendiente su formalización mediante documentación o instalación de un proceso
que los gestione, ordene y controle.
Se identifica además una disminución, también relevante, de los controles en

estado “No Implementado”, lo que refleja importantes esfuerzos invertidos
tanto en la implantación de nuevas tecnologías, como en establecer buenas
prácticas dentro de los encargados de cada una de las funciones que involucra
la implementación de sub-controles.
Respecto de los resultados del Gap Analysis realizado el presente año, el estado
de sub-controles CIS se despliega en la siguiente tabla:
Estado Controles %
No aplica 2 1
Tabla 6 - Resumen estado de Controles CIS año 2023
El detalle gráfico es el siguiente:
Figura 2 - Gráfica estado Controles CIS año 2023
UASL
8. Recomendaciones
El presente capítulo tiene por objetivo entregar una serie de recomendaciones

de forma genérica para cada familia de controles CIS, que bien podrían ayudar
en la mejora de estos, junto con su implementación.
Familia de Controles 2: Inventario de software autorizado y no

autorizado.
Sub-control 2.1: Mantener un inventario de software autorizado.

Se recomienda mantener una lista actualizada de todo el software autorizado
que es requerido en la Organización para todos los fines y los sistemas de
negocio.
Sub-control 2.2: Asegurar que el software tenga soporte del fabricante.

No se cuenta con la documentación explícita relacionada a este Sub-control. La
recomendación pasa por explicitar en los contratos con proveedores el acto de
salvaguardar que todos los productos de software que se entregan están, en
efecto, siendo actualizados con los parches y versiones correspondientes en
función del ciclo de vida de aquellos productos. No sería necesario un
procedimiento en este caso, sino estipular esta cláusula en las directrices que
dictan las políticas y estándares de seguridad que la empresa deba crear.
Sub-control 2.3: Utilizar herramientas de inventario de software.

Se recomienda utilizar herramientas de inventario de software en toda la
organización para automatizar la documentación de todo el software en los
sistemas de negocio.
Sub-control 2.4: Rastrear información del inventario de software.

Se recomienda que el sistema de inventario de software incluya el nombre, la
versión, el autor y la fecha de instalación de todo el software, incluidos los
sistemas operativos autorizados por la organización.
Sub-control 2.5: Integrar los inventarios de activos de hardware y software.

El inventario de activos de software debería estar vinculado al inventario de
activos de hardware para que todos los dispositivos y el software asociado sean
rastreados desde una sola ubicación.
Sub-control 2.6: Gestionar el software no aprobado.

Es recomendable que el software no autorizado se elimine o se incluya en el
UASL
inventario oportunamente.
Sub-control 2.7: Utilizar lista blanca de aplicaciones.

Se recomienda utilizar tecnología de lista blanca de aplicaciones en todos los
activos para asegurar que solo el software autorizado se pueda ejecutar,
previniendo la ejecución de softwares no autorizados en ellos.
Sin el conocimiento o control adecuado del software desplegado en los activos

de la organización, no es posible protegerlos adecuadamente, dado que al no
tener inventarios de software completos, no es posible identificar los sistemas
en los que se podría ejecutar software vulnerable o malicioso.
El control y gestión de todo el software también desempeña un papel

fundamental en la planificación y ejecución de copias de seguridad y
recuperación de sistemas.
La recomendación para una mejor implementación de estos controles se orienta

a la utilización de herramientas de inventario de activos y software disponibles
en el mercado y en uso de múltiples organizaciones.
Familia de Controles 4: Uso controlado de privilegios administrativos.
Sub-control 4.6: Usar máquinas dedicadas para toda tarea administrativa.

Se recomienda que los administradores utilicen una máquina dedicada para
realizar tareas administrativas o tareas que requieren acceso administrativo.
Dicha máquina debería estar en un segmento de red diferente al principal de la
Organización, sin acceso a Internet. Esta máquina debería usarse para leer
correos electrónicos, manipular documentos o navegar en Internet.
La importancia de la implementación de estos Sub-controles se debe a que el

uso indebido de privilegios administrativos es uno de los métodos que
principalmente utilizan los atacantes para introducirse dentro de una empresa
objetivo. Si los privilegios administrativos se distribuyen masiva y
descuidadamente, al atacante le resultará mucho más fácil obtener el control
total de los sistemas.
Se recomienda que las cuentas con altos privilegios nunca deberían usarse para
la navegación diaria por Internet, ni para lectura de correos electrónicos,
utilizando siempre contraseñas de acceso robustas.
UASL
Familia de Controles 5: Configuración segura para hardware y software

en dispositivos móviles, laptops y servidores.
Sub-control 5.2: Mantener imágenes seguras.

Se recomienda hacer uso de imágenes seguras para todos los sistemas de la
instalación según los estándares de configuración aprobados por la
Organización. Cualquier implementación de un sistema nuevo o sistema
existente que se vea comprometido, debería reconstruirse con una de esas
imágenes.
Sub-control 5.3: Almacenar las imágenes maestras de forma segura.

La Organización debería almacenar las imágenes maestras y las plantillas en
servidores configurados de forma segura, validados con herramientas de
monitoreo de integridad, para garantizar que sólo sean posibles los cambios
autorizados en las imágenes.
Una estrategia para no iniciar desde cero la implementación de imágenes

seguras, es comenzar desde referencias, guías o listas de verificación de
seguridad desarrolladas, aprobadas y respaldadas públicamente.
Se recomienda partir por definir perfiles o subgrupos de acuerdo con sus niveles
de responsabilidad como primer paso para la definición de líneas base de
instalación, de esta forma se estandarizan las diferentes variantes requeridas
por la instalación, sin perder de vista que dichas configuraciones deben
permanecer a resguardo y bajo la responsabilidad de un profesional idóneo.
Familia de Controles 6: Mantenimiento, monitoreo y análisis de logs de

auditoría.
Sub-control 6.2: Activar registros de auditoría.

El cumplimiento de este control requiere que los registros locales se activen en
todos los sistemas y equipos de red.
Sub-control 6.7: Revisar regularmente los registros.

Se recomienda revisar periódicamente los registros para identificar anomalías o
eventos anormales.
Las deficiencias en el registro y análisis de seguridad permiten a los atacantes

esconder su ubicación, software malicioso y actividades en las máquinas de las
UASL
víctimas, por lo que a veces, los registros de auditoría son la única evidencia de
un ataque.
Es por lo anterior que, aun cuando se tienen activos los registros de auditoría,
es recomendado establecer un proceso destinado a su revisión periódica en el
cual queden claramente establecidos sus responsables y los períodos de
retención de la información, así como las acciones destinadas a su respaldo.
Familia de Controles 9: Limitación y control de puertos de red,

protocolos y servicios.
Sub-control 9.1: Asociar puertos, servicios y protocolos activos al inventario de

activos.
Se recomienda asociar a los activos de hardware en el inventario de activos, los
puertos, servicios y protocolos activos.
Sub-control 9.2: Asegurar que sólo puertos, protocolos y servicios aprobados se

están ejecutando.
La Organización debería asegurarse de que en cada sistema se ejecuten sólo los
puertos de red, los protocolos y los servicios que se requieran para los fines del
negocio.
Las recomendaciones están orientadas a implementar firewalls de redes,

firewalls y aplicaciones relacionados en cada equipo computacional, incluidos
servidores, independiente de la plataforma (MS, Linux, otros). Además, se debe
explicitar en documentación el proceder de estas actividades, responsables,
formas y tiempos, de modo que sirva de evidencia para auditorías futuras.
Familia de Controles 11: Configuración segura de equipos de redes

(Firewalls, routers, switches, etc.).
Sub-control 11.6: Utilizar máquinas dedicadas para todas las tareas

administrativas en la red.
Se recomienda que los administradores de la red utilicen una máquina dedicada
para todas las tareas administrativas o actividades que requieren altos
privilegios. Dicha máquina debería segmentarse de la red principal de la
organización y no se debería tener acceso a Internet, ni usarse para leer correos
electrónicos o construir documentos.
UASL
Se recomienda también, crear la correspondiente documentación y

levantamiento de los cambios que han realizado, de la funcionalidad y propósito
que tienen las distintas redes, quiénes las administran, identificación de líderes
jerárquicos, tiempos en que se realizan las actividades y control del ciclo de vida
de aquella documentación.
Familia de Controles 12: defensa de borde.
Sub-control 12.2: Escanear las conexiones no autorizadas en los bordes

confiables de la red.
Se recomienda realizar periódicamente escaneos desde el exterior del borde de
cada red de confianza para detectar cualquier conexión no autorizada accesible
a través del borde.
Sub-control 12.5: Configurar sistemas de monitoreo para registro paquetes de

red.
Para dar cumplimiento a este Sub-control se requiere monitorear y registrar los
paquetes de información que transitan a través de los bordes de la red de la
instalación.
La implementación de estos Sub-controles es relevante dado que no controlar

los flujos de información transferidos entre redes con diversos niveles de
confianza, aumentan de manera importante los riesgos en ciberseguridad.
Por lo anterior el control del tráfico de información a través de los bordes de

red, supervisando el contenido, impiden a los atacantes acceder a las redes
internas, por lo que la implementación de defensas multicapas de las redes
perimetrales, reduce las posibilidades de sufrir ataques.
Familia de Controles 13: Protección de datos.
Sub-control 13.1: Mantener un inventario de información sensible.

Es recomendable mantener un inventario de toda la información sensible
almacenada, procesada o transmitida por los sistemas de la organización,
incluidos los ubicados localmente o en a cargo de proveedores.
UASL
Sub-control 13.6: Cifrar el disco duro de todos los dispositivos móviles.

Se recomienda utilizar software de cifrado de disco completo para cifrar el disco
duro de todos los dispositivos móviles, tanto de laptops como celulares y
equipos similares. Poner en práctica este control mejora de inmediato el aspecto
de seguridad ante situaciones de pérdida o robo de los equipos móviles,
protegiendo así, posible información crítica de la compañía.
Considerar además la importancia de disponer de la documentación apropiada

que dé los lineamientos adecuados al tratamiento de los aspectos abordados
por esta familia de controles.
Familia de Controles 14: Control de acceso basado en la necesidad de

conocer Protección de Datos.
Sub-control 14.3: Deshabilitar comunicaciones entre estaciones de trabajo.

Se recomienda inhabilitar todas las comunicaciones entre estaciones de trabajo
para limitar la capacidad de un atacante de moverse lateralmente y poner en
peligro los sistemas vecinos. Esto se puede implementar a través de tecnologías
como VLAN privadas o microsegmentación.
Tener presente plasmar todas las mejoras que han realizado en documentación
acorde, de modo que, pueda ser objeto de una auditoría. Esto bajo la forma de
política, estándar o procedimiento.
Familia de Controles 15: Control de acceso inalámbrico.
Sub-control 15.2: Detectar puntos de acceso inalámbricos conectados a la red

cableada.
Es recomendable configurar las herramientas de exploración de vulnerabilidades
de red para detectar y alertar sobre puntos de acceso inalámbrico no
autorizados conectados a la red cableada.
Sub-control 15.6: Inhabilitar las capacidades de red inalámbrica punto a punto

en clientes inalámbricos.
Se recomienda inhabilitar la funcionalidad de crear redes inalámbricas punto a
punto en clientes inalámbricos.
UASL
Sub-control 15.7: Usar estándar de cifrado avanzado (AES) para cifrar datos
inalámbricos.
Se recomienda utilizar el algoritmo AES (Advanced Encryption Standard) para
cifrar datos inalámbricos en tránsito.
Se debería hacer levantamiento y documentar tanto topologías, como quiénes

son los líderes, responsables y ejecutores de estas actividades. Aquello debe
quedar plasmado en políticas, estándares y procedimientos.
Familia de Controles 16: Monitoreo y control de cuentas.
Sub-control 16.1: Mantener un inventario de sistemas de autenticación.

Se recomienda mantener un inventario de cada uno de los sistemas de
autenticación de la Organización que incluya los ubicados localmente y los que
están a cargo de un proveedor externos.
Sub-control 16.5: Cifrar la transmisión de nombres de usuario y credenciales de

autenticación.
La Organización debería asegurar que todos los nombres de usuario y las
credenciales de autenticación de cuentas se transmitan a través de redes que
utilizan canales cifrados.
Sub-control 16.6: Mantener un inventario de cuentas.

Se recomienda mantener un inventario de todas las cuentas organizadas por un
sistema de autenticación.
Sub-control 16.12: Monitorear los intentos de acceso a cuentas desactivadas.

Es muy recomendable este tipo de monitoreo, dado que ciertamente el intentar
acceder a una cuenta inactiva, podría involucrar un evento/incidente de
seguridad.
Sub-control 16.13: Monitorear los intentos de acceso a cuentas desactivadas.

Se recomienda alertar cuando los usuarios modifican su comportamiento
habitual de inicio de sesión, como el horario, día de la semana, la ubicación
física de la estación de trabajo y el tiempo que permanece conectado.
Gobernar todo el universo de cuentas de accesos a los sistemas es un

componente fundamental de seguridad, identificando cada cuenta con un dueño
específico y único. Además de contar con el catastro de aquellas cuentas,
mantener el control del ciclo de vida (creación, modificación, eliminación y/o
UASL
desactivación). Todo aquello debe estar documentado para efectos de

demostrar evidencia ante auditorías.
Familia de Controles 18: Seguridad del software de aplicación.
Sub-control 18.1: Establecer prácticas seguras de codificación.

Se recomienda establecer prácticas seguras de codificación apropiadas para el
lenguaje de programación y el entorno de desarrollo que se está utilizando.
Sub-control 18.5: Usar únicamente algoritmos de cifrado revisados y

estandarizados.
Para los desarrollos de aplicaciones para la Organización se recomienda utilizar
sólo algoritmos de cifrado validados y estandarizados.
Sub-control 18.6 Asegurar que el personal de desarrollo de software esté

capacitado en programación segura.
UASL debería asegurarse de que todo el personal de desarrollo de software
reciba capacitación para escribir código seguro para su entorno de desarrollo.
Sub-control 18.7: Aplicar herramientas de análisis de código estático y

dinámico.
Se recomienda aplicar herramientas de análisis estático y dinámico para
verificar que se cumplan las prácticas de codificación segura para el
software desarrollado.
Sub-control 18.11: Usar plantillas de configuración de hardening estándar para

Bases de Datos.
Para aplicaciones diseñadas con estructuras de base de datos, se recomienda
utilizar plantillas de configuración de hardening estándar. Se debe tener
presente que todos los sistemas críticos también deberían probarse bajo estos
criterios.
Se debería gobernar por completo el concepto de desarrollo de software, que es

el foco de este grupo de controles, no importando si estas actividades son
realizadas por personal interno o por proveedores.
Pero aún mayor control se debe implementar si estas actividades son llevadas
por terceros. Tanto es explicitarlo en políticas, estándares y procedimientos, así
como en los contratos pactados con proveedores.
UASL
El no tener gobernabilidad en el desarrollo de software, abre la puerta a eventos

de seguridad particulares en donde generalmente no existirá soporte de las
casas matrices o fábricas del software al tratarse de un desarrollo custom.
Familia de Controles 19: Respuesta y manejo de incidentes.
Sub-control 19.1: Documentar los procedimientos de respuestas de incidentes.

Para el cumplimiento de este control deben existir planes escritos de respuesta
a incidentes que definan las funciones y responsabilidades de los colaboradores,
así como las fases de manejo y gestión de incidentes.
El contar con un plan de gestión de incidente proporciona a la Organización

capacidades de respuestas rápidas y eficaces a los incidentes de seguridad,
reducir el impacto del ataque y mejorar su resiliencia general.
Familia de Controles 20: Pruebas de penetración y ejercicios de equipo

rojo.
Sub-control 20.1: Establecer un programa de prueba de penetración.

Se recomienda establecer un programa para pruebas de penetración que incluya
un alcance completo de ataques combinados (ataques inalámbricos, basados en
cliente y aplicaciones web).
Sub-control 20.2: Llevar a cabo pruebas periódicas de penetración externa e

interna.
Es recomendable realizar pruebas periódicas de penetración externa e interna
para identificar vulnerabilidades y vectores de ataque que puedan utilizarse para
explotar con éxito los sistemas de la organización.
Sub-control 20.6: Usar herramientas de prueba de penetración y exploración de

vulnerabilidades en conjunto.
Se recomienda utilizar combinadamente herramientas de exploración de
vulnerabilidades y pruebas de penetración. Los resultados de las evaluaciones
de escaneo de vulnerabilidad deberían usarse base para guiar y enfocar los
esfuerzos de pruebas de penetración.
Sub-control 20.8: Controlar y monitorear las cuentas asociadas con las pruebas
de penetración.
Es recomendable que las cuentas de usuario o de sistema utilizadas para realizar
las pruebas de penetración se monitoreen y controlen para garantizar que sólo
se utilicen para actividades autorizadas y se eliminen o restablezcan a la función
UASL
normal una vez finalizadas las pruebas.
Este grupo de controles está relacionado con el proceso de Gestión de

Vulnerabilidades, asunto que es tratado en la Familia 3 de Controles CIS.
No desarrollar estas actividades impide verificar si las herramientas y equipos

implementados, así como las configuraciones, se están tratando correctamente
y si se están cerrando todas las brechas que se han descubierto.
La Organización debería implementar este tipo de acciones y mantenerlas de

manera periódica a lo menos tres veces al año, en función de las criticidades
que defina en sus sistemas.
Estas actividades bien pueden ser externalizadas o internas, sin embargo, lo

importante es la correcta aplicación de las mejoras y cambios que requerirá
cada hallazgo detectado en este tipo de análisis. Es decir, posterior al análisis,
se deben crear planes, responsables y tiempos en donde aquellas brechas
descubiertas serán cerradas, documentado cada aspecto y ligándolo a las
políticas, estándares y procedimientos que sean necesarios para gobernar todo
el concepto de Gestión de Vulnerabilidades.
UASL
9. Observaciones finales de consultoría
De las distintas entrevistas realizadas con los responsables designados desde la

Subgerencia de Procesos y Proyectos TI, se desprende que UASL está iniciando
el abordaje formal y concreto de Seguridad de la Información y Ciberseguridad.
Para lo anterior ha implementado acciones y actividades, así como inversiones

en herramientas y servicios, centrándose en el mejoramiento de sus actividades
en términos de estandarizar su operación, haciendo partícipe a la disciplina de
seguridad de la información como un aspecto relevante en el diseño e
implementación de procesos que robustezcan la efectividad de los controles
definidos al interior de la Organización, los cuales permiten observar si en el día
a día dichos controles de seguridad son administrados y son efectivos.
UASL está en el camino correcto, con el objetivo de mejorar sus operaciones

basadas en seguridad de la información.
Recomendaciones que esta consultoría quisiera plasmar en este informe como

una forma de orientación, considerando aquellos sub-controles que se han
declarado en estado “No Implementado”, son las siguientes:
• Trabajar en la implementación de acciones relacionadas con inventariar

el software y aplicaciones instalados en dispositivos de la Organización,
lo que involucra identificarlos adecuadamente de acuerdo con el valor y
la criticidad que involucran. La trazabilidad del software un principio
fundamental en esta tarea. Su criticidad, establecer la relación con el
activo de hardware que lo soporta, estado de versiones y sus
actualizaciones deberían gestionarse y controlarse periódicamente. (Sub-
controles CIS 2.1 .. 2.7)
• Es relevante que se implementen máquinas dedicadas sólo para tareas

administrativas, en lo posible en segmentos de red aislados, con
restricción de acceso a funcionalidades como navegación Internet y
gestión de correos, de esta forma se minimiza la posibilidades de una
vulneración de la instalación generada por el acceso indebido a una
máquina o cuenta con altos privilegios. (Sub-controles CIS 4.6 y CIS
11.6)
UASL
• La implementación de imágenes permitiría minimizar la presencia de

software o aplicaciones no autorizadas dentro de la instalación,
mejorando la seguridad en la configuración del hardware y software de
dispositivos móviles, laptops, Workstations y servidores. Para su
implementación se recomienda utilizar la herramienta CIS-Cat ya sea en
su versión free/pago para la evaluación de las posturas de seguridad de
los dispositivos, tomando como referencia los frameworks System Center
Configuration Manager y Intune – AutoPilot. (Sub-controles CIS 5.2 y CIS
5.3)
• Es relevante, que aun cuando están activos los registros/logs de auditoría

en la instalación, se implementen revisiones periódicas de la información
con el objeto de identificar anomalías, fallos, tendencias o eventos
críticos. Para lo anterior, se recomienda implementar herramientas
SIEM/SOAR que permitan análisis y diagnóstico de los datos registrados.
(Sub-controles CIS 6.2 y CIS 6.7)
• Relevante también es agregar al inventario de activos de la Organización,

puertos, servicios y protocolos relacionados con cada uno de ellos y de
esta manera, tener certeza de lo que efectivamente se está ejecutando
en dichos activos. Aun cuando UASL tiene abordado el inventario de
activos tecnológicos, es necesario agregar este tipo de activos a dicho
inventario. (Sub-controles CIS 9.1 y CIS 9.2)
• Establecer escaneos periódicos desde el exterior del borde de cada red

de la instalación permitirá la detección de conexiones no autorizadas y la
habilitación del monitoreo sobre la información transferida en los bordes
de red, evitará la filtración de información, disminuyendo las posibilidades
de ser víctimas de ataques cibernéticos. (Sub-control CIS 12.2 y CIS
12.5)
• Una clasificación correcta de la información de acuerdo con sus niveles

de sensibilidad, mantenida ordenada, actualizada y controlada en una
estructura de inventario permitirá una mejor gestión y control sobre ella.
Por otro lado, el cifrado de discos duros de dispositivos móviles es
recomendable de implementar, utilizando softwares de cifrado probados
y conocidos, en lo posible en sus versiones de pago. Con lo anterior se
disminuyen las posibilidades de ataques mediante el uso de la
información contenida en dichos dispositivos en caso de extravío/robo,
dadas las altas ocurrencias de teletrabajo y accesos a información de la
UASL
Organización mediante smartphones y tablets. (Sub-controles CIS 13.1 y

CIS 13.6)
• Por otro lado, se recomienda deshabilitar la comunicación entre

estaciones de trabajo que impida ataques de movimiento lateral entre
sistemas vecinos. La hardenización del Active Directory mediante políticas
GPO controlaría este tipo de ataques, además de implementar hardening
en dispositivos de la infraestructura y Workstations. (Sub-control CIS
14.3).
• La no identificación de puntos de acceso no autorizados conectados a la

red cableada y que en la instalación sea posible crear redes punto a
punto, compromete la seguridad desde el punto de vista del control de
accesos inalámbricos. Una forma correcta de mejorar esta debilidad es
mejorando el control y monitoreo sobres los switches de redes,
verificando además, si la consola central de la red Wifi cuenta con las
capacidades requeridas para abordar este aspecto.
De acuerdo con lo que indica la norma, se debe utilizar el algoritmo de
encriptación AES para el protocolo de encriptación usado en el cifrado de
datos inalámbricos. (Sub-controles CIS 15.2, CIS 15.6 y CIS 15.7)
• Es relevante inventariar los sistemas de autenticación de la organización

y cada una de las cuentas habilitadas en ellos, así como implementar la
transmisión cifrada de credenciales de autenticación y monitorear los
cambios en el comportamiento de los usuarios. Lo anterior se incluye
dentro de los aspectos relevantes para el monitoreo y control de cuentas.
Se recomienda implementar sistemas de cifrado RADIUS/NAC o similares
para minimizar esta debilidad. (Sub-controles CIS 16.1, CIS 16.5, CIS
16.6, CIS 16.12 y CIS 6.13)
• En lo que se refiere a seguridad en los desarrollos, UASL debe asegurarse

de contemplar en sus acuerdos contractuales con el proveedor de
desarrollo de Software, todos los aspectos de seguridad planteados por
la Norma.
Como un aspecto adicional, el proveedor debería establecer plantillas de
configuración de hardening para las pruebas de aplicaciones construidas
mediante base de datos. Se recomienda utilizar herramientas, métodos y
mejores prácticas de hardening para reducir la superficie de ataque.
(Sub-controles CIS 18.1, CIS 18.5, CIS 18.6, CIS 18.7 y CIS 18.11)
UASL
• La Organización debe contar con planes escritos y formales para dar

respuesta a incidentes de ciberseguridad, que establezcan claramente las
responsabilidades de los colaboradores y las etapas que se requieren para
su administración y gestión. Con dichos planes se estará en mejor
condición para enfrentar eventos/incidentes, responder de manera más
rápida y eficaz, reducir el impacto y mejorar su resiliencia general. (Sub-
control CIS 19.1)
• Una vez que UASL incremente y estabilice sus niveles de seguridad en su

infraestructura y aplicaciones de uso interno/público será el momento de
realizar pruebas de penetración y ejercicios de Red Team. (Sub-controles
CIS 20.1, CIS 20.2, CIS 20.6, CIS 20.8)
Cada uno de estos aspectos requiere de múltiples acciones y aplicación de

controles en sí mismos, tanto de CIS TOP 20 Security Controls como de otros
frameworks de seguridad.
Adicional a todo lo anterior, UASL debería definir su plan director o road map de
seguridad por implementar en los próximos cuatro a cinco años, dado que con
aquello se logra visualizar esfuerzos, inversiones y capacidades entre otros
aspectos.
UASL

Informe UASL Gap Analysis CIS Controls 2023 V05

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Informe UASL Gap Analysis CIS Controls 2023 V05

Uploaded by

Copyright:

Available Formats

Gap Analysis CIS Top 20 Security Controls

Informe Gap Analysis CIS Top 20 Security Controls

▪ Referencia: Gap Analysis CIS Top 20 Security Controls

Versión Fecha Cambios Observaciones

Para la revisión de cumplimiento documentada en el presente informe, se

Puntuación Estado Descripción

Implica la no existencia de implementación del

Implementado no Implica la implementación del control, pero sin

Implementado y Implica la implementación del control y con

Implica que el control no procede en su

Además de los resultados obtenidos de las entrevistas realizadas con los

De acuerdo con las evaluaciones y criterios considerados, el resultado del

La gráfica que representa los datos tabulados anteriores es la siguiente:

De las distintas entrevistas sostenidas en este Gap Analysis con personal de

Si bien un 57% de los sub-controles están implementados, su formalización

Adicional a lo anterior, se recomienda abordar con mayor preferencia aquellos

Trabajar en la implementación de acciones relacionadas con inventariar el

Es relevante que se implementen máquinas dedicadas sólo para tareas

La implementación de imágenes permitiría minimizar la presencia de software

herramienta CIS-Cat ya sea en su versión free/pago para la evaluación de las

Es relevante, que aun cuando están activos los registros/logs de auditoría en la

Relevante también es agregar al inventario de activos de la Organización,

Establecer escaneos periódicos desde el exterior del borde de cada red de la

Una clasificación correcta de la información de acuerdo con sus niveles de

Por otro lado, el cifrado de discos duros de dispositivos móviles es recomendable

Por otro lado, se recomienda deshabilitar la comunicación entre estaciones de

La no identificación de puntos de acceso no autorizados conectados a la red

De acuerdo con lo que indica la norma, se debe utilizar el algoritmo de

Es relevante inventariar los sistemas de autenticación de la organización y cada

En lo que se refiere a seguridad en los desarrollos, UASL debe asegurarse de

Como un aspecto adicional, el proveedor debería establecer plantillas de

Una vez que UASL incremente y estabilice sus niveles de seguridad en su

realizar pruebas de penetración y ejercicios de Red Team. (Sub-controles CIS

Cada uno de estos aspectos requiere de múltiples acciones y aplicación de

Seguridad de la información y ciberseguridad, como parte de aquella disciplina,

Si bien en los tiempos de inicio de esta disciplina, décadas atrás, el foco

Entendiendo lo anterior y siguiendo las buenas prácticas de esta disciplina, es

Este informe da cuenta, precisamente, del Gap Analysis que se ha realizado a

Las siguientes páginas desarrollan y muestran los hallazgos detectados en el

3. Objetivo del Análisis

El objetivo principal de este análisis fue constatar el estado actual de las

Derivado de lo anterior y como segundo objetivo, es que este informe de

El detalle y formas de cómo UASL definirá su ruta de mejoras, es

Lo anterior ha implicado entonces, la observación de actividades relacionadas

Cabe destacar que sólo el área mencionada ha sido la participante, no así el

No obstante lo anterior, creemos que se ha logrado el objetivo trazado al

A continuación y de acuerdo con lo definido por Holding, se detallan los sub-

#1: Inventario y control de activos hardware

CIS Control #5: Configuración segura para hardware y software en

Crear banco de pruebas para elementos que normalmente no se prueban

Considerando el aspecto de tiempos y alcance destinado a este proyecto, en

Con el objeto de brindar un enfoque evolutivo para UASL, en el presente informe

En apoyo a lo anterior, el informe es sometido a escrutinio de la totalidad del

Entelgy considera importante la interacción de grupo para evitar la dependencia

El trabajo realizado para UASL se ha basado en el ámbito normativo, donde se

La metodología ha considerado observar la identificación de procesos de

Por tanto, la evaluación de niveles de cumplimiento se ha aplicado al 100% con

6.1 Niveles de Cumplimiento.

Dicho lo anterior, es que este informe además de hacer hincapié en la aplicación

6.2 Proceso de la Evaluación

Por tanto cada control estará en uno de estos tres niveles:

• Nivel 2: implementación del control con documentación relativamente