Professional Documents
Culture Documents
Informe UASL Gap Analysis CIS Controls 2023 V05
Informe UASL Gap Analysis CIS Controls 2023 V05
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 43
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Índice
1. Resumen Ejecutivo 3
2. Introducción 10
3. Objetivo del Análisis 11
4. Alcance y actores 12
5. Metodología 16
6. Escalas de medición 17
6.1 Niveles de Cumplimiento. 17
6.2 Proceso de la Evaluación 17
7. Resultados por Controles 19
8. Recomendaciones 45
9. Observaciones finales de consultoría 55
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 1
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Control de Cambios
Contacto
Entelgy
AV Alonso de Córdova 5670 Of. 402
Las Condes, Santiago - Chile
+56 224 802 800
info@entelgy.com
https://www.entelgy.com/paises-entelgy/entelgy-en-chile
Responsable del
Proyecto
María Isabel Cabrera B. isabel.cabrera@entelgy.com
Consultor del
Proyecto
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 2
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
1. Resumen Ejecutivo
El presente informe detalla el trabajo realizado en UASL, el cual corresponde a
un proceso de evaluación de seguridad llevado a cabo mediante la realización
de entrevistas con los responsables de UASL para conocer el nivel de
implementación de controles y procesos en la Organización, siguiendo como
referencia las buenas prácticas internacionales de seguridad.
Esta revisión, basada en entrevistas con los responsables designados por la
Subgerencia de Procesos y Proyecto TI para cada uno de los aspectos que cubre
el framework CIS TOP 20 Security Controls, permitió identificar las brechas de
seguridad existentes, con las que es posible visualizar aquellas áreas de mayor
criticidad en términos de Seguridad de la Información, sobre las cuales la
Organización dirigirá mayores recursos y gestiones, con el fin de aminorar las
debilidades y riesgos de exposición a eventos o incidentes de seguridad.
Este informe detalla los resultados del análisis de los controles de seguridad,
con el fin de evaluar el nivel actual de cumplimiento de los dominios indicados
anteriormente en los sistemas, redes y servicios de UASL.
Incluye cuadros resúmenes del estado de Familias de Controles y Controles
propiamente tal con la correspondiente gráfica, que permite una visión general
de la Organización, respecto del estado de los controles incluidos en cada una
de las familias de controles que contempla el framework CIS Top 20 Security
Controls.
A contar desde septiembre de 2022, UASL definió y validó una política de
seguridad en donde se insta no sólo a la implementación de controles y su
documentación, sino que además enfocarse en la implementación de procesos.
Razón esta, del por qué el informe 2023 tiene un criterio un tanto más riguroso,
en orden a cumplir con el mandato de la política creada.
Metodología
Nuestra metodología está orientada a evaluar, con base en la Norma CIS Top
20 Security Controls, cómo en UASL los controles existentes se ajustan a los
requerimientos de la Norma, exceptuando aquellos, que en 2021 Holding
Ultramar definió dejar fuera para la ejecución de este tipo de consultorías.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 3
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 4
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Resultados
Estado N° Controles %
Implementado y documentado 22 17
Implementado no documentado 71 53
No implementado 38 29
No aplica 2 1
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 5
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Recomendaciones
Como resultado del Gap Analysis realizado al interior de UASL, para determinar
su estado en términos de la Seguridad de la Información, observamos que la
Organización debe enfocarse y priorizar ciertos aspectos.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 6
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 7
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
La Organización debe contar con planes escritos y formales para dar respuesta
a incidentes de ciberseguridad, que establezcan claramente las
responsabilidades de los colaboradores y las etapas que se requieren para su
administración y gestión. Con dichos planes se estará en mejor condición para
enfrentar eventos/incidentes, responder de manera más rápida y eficaz, reducir
el impacto y mejorar su resiliencia general. (Sub-control CIS 19.1)
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 8
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Adicional a todo lo anterior, UASL debería definir su plan director o road map de
seguridad por implementar en los próximos cuatro a cinco años, dado que con
aquello se logra visualizar esfuerzos, inversiones y capacidades entre otros
aspectos.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 9
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
2. Introducción
Considerando este nuevo alcance es que las empresas han comenzado, desde
hace tiempo, el iniciar un approach concreto de negocio en relación con su
Seguridad de la Información, siendo así liderados estos esfuerzos, ya no por la
Gerencia TI en forma exclusiva, sino que, como mandato desde la Alta Dirección,
traduciéndose esto en la responsabilidad estratégica/táctica en la figura del
Oficial de Seguridad de la Información (Chief Information Security Officer -
CISO), como actor principal.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 10
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Así pues, este análisis de brechas le da a UASL el primer paso o primera visión
de su situación actual (dónde estamos), para luego poder definir cuáles mejoras
se irán implementando en el tiempo hasta llegar a un estado esperado por la
Alta Dirección (dónde queremos llegar).
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 11
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
4. Alcance y actores
El alcance de este análisis ha sido la aplicación del estándar CIS Top 20 Security
Controls, vale decir, las veinte (20) familias de controles, además de cada uno
de los 133 controles definidos por la alta dirección del Holding para ser revisados
y evaluados de acuerdo con su actual estado de implementación. Esto, en
relación con la evaluación del estado de la seguridad en los sistemas, redes y
servicios bajo la responsabilidad de la Subgerencia de Procesos y Proyectos TI
de UASL, para determinar el estado actual de la Organización.
Las personas que han participado de las entrevistas han sido las siguientes:
Nombre Cargo
Raúl Moya T. Gestor de Servicios TI
Jesús Barbosa BSM-Jefe de Proyecto
Tabla 1- Participantes en las entrevistas
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 12
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Las familias de controles que aborda la Norma CIS Top 20 Security Controls son
las siguientes:
Familia Descripción
CIS Control # 1 Inventario y control de activos hardware.
CIS Control # 2 Inventario y control de activos software.
CIS Control # 3 Gestión continua de vulnerabilidades.
CIS Control # 4 Uso controlado de privilegios administrativos.
Configuración segura para hardware y software en dispositivos
CIS Control # 5 móviles, computadores portátiles, estaciones de trabajo y
servidores.
CIS Control # 6 Mantenimiento, monitoreo y análisis de logs de auditoría.
CIS Control # 7 Protección de correo electrónico y navegador web.
CIS Control # 8 Defensa contra malware.
CIS Control # 9 Limitación y control de puertos de red, protocolos y servicios.
CIS Control # 10 Capacidad de recuperación de datos.
Configuración segura de los equipos de red, tales como
CIS Control # 11
cortafuegos, enrutadores y conmutadores.
CIS Control # 12 Defensa de borde.
CIS Control # 13 Protección de datos.
Control de acceso basado en la necesidad de conocer Protección
CIS Control # 14 de datos.
CIS Control # 15 Control de acceso inalámbrico.
CIS Control # 16 Monitoreo y control de cuentas.
Implementar un programa de concienciación y entrenamiento de
CIS Control # 17
seguridad.
CIS Control # 18 Seguridad del software de aplicación.
CIS Control # 19 Respuesta y manejo de incidentes.
CIS Control # 20 Pruebas de penetración y ejercicios de equipo rojo.
Tabla 2- Familia de Controles CIS Top 20 Security Controls
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 13
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 14
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 15
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
5. Metodología
Los datos recabados son analizados por el especialista de seguridad a cargo del
proyecto, plasmados en un sentido coherente en el informe, concluyendo las
definiciones que a partir de los datos infiere resultados y alcances, entre otros
aspectos de la Norma.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 16
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
6. Escalas de medición
• Implementado y documentado
• Implementado sin documentar
• No implementado
• No aplica
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 17
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 18
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
La información recabada mediante entrevistas realizadas con el responsable de cada uno de los aspectos
relacionados con las familias de controles la Norma CIS Top 20 Security Controls y de acuerdo con las puntuaciones
detalladas en el capítulo anterior del presente informe, arroja los siguientes resultados:
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Se dispone de la herramienta Aranda Device Manager y la
consola Kaspersky para el inventario de HW.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 19
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Existe lista de SW (Excel) autorizados y actualizados. A
Mantener un inventario de software 2021 2 través de Kaspersky se puede ver a qué activo está
2.1 No implementado
autorizado 2023 0 relacionado, pero no existe un inventario como tal de todo
el SW.
Asegurar que el software tenga 2021 0 Se tiene conocimiento de las aplicaciones autorizadas en la
2.2 No implementado
soporte del fabricante. 2023 0 instalación, aun así no están inventariadas formalmente y
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 20
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 21
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 22
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
En el AD se tiene separadas las cuentas de Domain Users y
Mantener un inventario de Domain Admins.
Implementado no 2021 2
4.1 cuentas administrativas. Se genera un informe diario con las cuentas de altos
documentado 2023 1
privilegios, pero no existe un documento que formalice el
proceso.
Al ingreso de una nueva cuenta, el usuario debe cambiar la
Cambiar contraseñas por Implementado no 2021 1
4.2 contraseña asignada por defecto.
defecto. documentado 2023 1
No existe documentación que formalice el control.
Todas las cuentas administrativas son de uso restringido sin
Asegurar el uso de cuentas Implementado no 2021 1
4.3 acceso a internet ni correo.
administrativas dedicadas. documentado 2023 1
No existe documentación al respecto.
Implementado no 2021 1 Todas las cuentas de administrador tienen claves distintas.
4.4 Usar contraseñas únicas.
documentado 2023 1 No está documentado.
Lo que está implementado actualmente es lo siguiente:
Para VPN se requiere PSW + clave dinámica => 2FA para todas
las cuentas de usuario.
MFA se está utilizado en régimen de prueba para cuentas
Usar autenticación multifactor Implementado 2021 0
4.5 Microsoft para el área TI, proyectos y subgerencias.
para todo acceso administrativo documentado 2023 2
Por instalar a supervisores y encargados.
Existe 2FA para la conexión de usuarios presenciales?
El control no estaría implementado (MFA está en prueba, no
está implementado para todos los usuarios).
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 23
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
No se dispone de imágenes.
Se instala SO y se sigue un Check List para la configuración
Establecer configuraciones Implementado no 2021 0 estándar de computadores de usuarios.
5.1
seguras. documentado 2023 1 Dependiendo del perfil del usuario, se instalarán la aplicaciones
adicionales que requiere.
No existe documentación formal paralo anterior.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 24
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
2021 no validado
5.2 Mantener imágenes seguras No implementado No se dispone de imágenes.
2022 0
Almacenar las imágenes 2021 0
5.3 No implementado No se dispone de imágenes.
maestras de forma segura. 2023 0
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Las fuentes de tiempo implementadas en UASL son:
. Todos los PC están conectados a WSUS (controlador de
dominio).
. Para los dispositivos de red se conectan a NTP-server
Utilizar tres fuentes de tiempo Implementado no 2021 0
6.1 (servidor de uso público para sincronizar el horario).
sincronizadas. documentado 2023 1
. Lo equipos Linux están conectados al SHOA
Para el cambio de horario estacional se hace una verificación
manual para validar que todo esté OK.
Todo lo anterior no está documentado.
Están activos los logs de auditoría para servidores y firewalls.
No existe documentación.
Falta mencionar el tratamiento dado para otros tipos de
dispositivos (Switches, Routers, máquinas hipervisoras, etc.)
2021 0 No se está cumpliendo el control dado que el control indica que
6.2 Activar registros de auditoría. No implementado
2023 0 la activación de registros de auditoría debe hacerse en todos
los sistemas y equipos de red.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 25
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Control no implementado.
Los registros de auditoría sólo se revisan frente a eventos.
Revisar regularmente los 2021 0
6.7 No Implementado Sólo para los sistemas legados, se realiza una revisión mensual
registros. 2023 0
de usuarios eliminados. Los que no han ingresado, se dan de
baja.
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Asegurar el uso de navegadores Solo se cuenta con proveedores oficiales para navegadores y
Implementado no 2021 0
7.1 y clientes de correo electrónico servicios de correo electrónico.
documentado 2023 1
que cuenten con soporte. No existe documentación formal.
Por defecto están deshabilitados los plugins en la instalación.
Deshabilitar plugins innecesarios
Implementado no 2021 0 Están restringidas redes sociales excepto para el área de
7.2 de navegadores o clientes de
documentado 2023 1 Comunicaciones de la Subgerencia de Personas. No existe
correo electrónico.
documentación que formalice el control.
Limitar el uso de lenguajes de Los lenguajes de Scripting están restringidos y sólo se instalan
Implementado no 2021 0
7.3 scripting en navegadores web y a pedido y de acuerdo con el perfil del usuario. Sin
documentado 2023 1
clientes de correo electrónico. documentación formal.
Las URLs se filtran a través del Firewall. Existen listas blancas
Mantener y aplicar filtros de URL Implementado no 2021 1
7.4 de URLs dependiendo del área.
basados en red. documentado 2023 1
No está documentado.
Las categorías de URLs están definidas en el Firewall. Ejem.:
Los sitios nuevos.
Suscribirse a servicios de Implementado no 2021 1
7.5 Se avisa al proveedor específicamente para liberar alguna URL
categorización de URL. documentado 2023 1
específica.
Sin documentación que formalice el control.
En el firewall queda el registro de todas las peticiones de URLs,
Registrar todas las peticiones de Implementado no 2021 1
7.6 pero no existe revisión de dicha información.
URLs. documentado 2023 1
No existe documentación formal para este control.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 26
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Al momento de la entrevista no se tenía claridad del estado del
control, por lo que quedó pendiente de aclarar por parte del
entrevistado. A continuación su respuesta:
Utilizar software antimalware de Implementado no 2021 2
8.1
gestión centralizada. documentado 2023 1 Respuesta textual del entrevistado al 08.05.2023:
Se utiliza Kaspersky AV para las estaciones de trabajo y
Sophos para servidores.
Control Implementado, no hay documentación.
Asegurar que el software Al momento de la entrevista no se tenía claridad del estado del
Implementado no 2021 2
8.2 antimalware y las firmas estén control, por lo que quedó pendiente de aclarar por parte del
documentado 2023 1
actualizadas. entrevistado. A continuación su respuesta:
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 27
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 28
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Asociar puertos, servicios y
2021 0
9.1 protocolos activos al inventario No implementado Control no implementado.
2023 0
de activos
Asegurar que solo puertos,
2021 0
9.2 protocolos y servicios aprobados No implementado Control no implementado.
2023 0
se están ejecutando.
Control implementado mediante servicio de escaneos
Realizar regularmente escaneos Implementado no 2021 0 mensuales de vulnerabilidades técnicas brindado por Entelgy.
9.3
automatizados de puertos. documentado 2023 1 Pendiente el levantamiento del proceso, lo que formalizaría el
control.
El Firewall de Windows está desactivado, el filtrado lo hace
Aplicar firewalls basados en host Implementado no 2021 2 Kaspersky. En algunos equipos se hace doble bloqueo con una
9.4
o filtrado de puertos. documentado 2023 1 tabla de Host.
No existe documentación para este control
Sólo el proveedor IFX brinda el servicio de filtro de
aplicaciones.
Implementar firewalls de Implementado no 2021 2
9.5 Envía informe y UASL puede pedir bloqueo o liberación de
aplicación. documentado 2023 1
alguna URL o IP puntual.
Control sin documentación formal.
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
En la instalación se ejecutan respaldos automáticos locales.
Asegurar los respaldos Implementado y 2021 2
10.1 Los proveedores realizan respaldos de la información bajo su
regulares automatizado. documentado 2023 2
administración.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 29
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Asegurar la protección de las Implementado no 2021 1 Respuesta textual del entrevistado al 08.05.2023:
10.4
copias de respaldo. documentado 2023 1 Localmente se realiza un respaldo de las VMs y se respaldan
encriptados en un servido NAS. El proveedor IFX, para los
servidores, los respalda en un servidor dedicado, encriptados,
por 3 meses y luego se van a Cinta por un año.
No hay documentación para esto.
Control implementado, por confirmar si el proveedor lo tiene
documentado.
Las máquinas se respaldan en un servidor dedicado.
Las Bases de Datos se respaldan en una máquina virtual local.
La máquina completa se respalda en otro servidor dedicado.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 30
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Familia de controles 11: Configuración segura de los equipos de red, tales como cortafuegos,
enrutadores y conmutadores
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Mantener configuraciones de
Implementado no 2021 1
11.1 seguridad estandarizadas en Control implementado no documentado.
documentado 2023 1
equipos de red.
Documente las reglas de Implementado no 2021 no validado
11.2 Control implementado no documentado.
configuración de tráfico. documentado 2023 1
Instalar la última versión
Control no implementado.
estable de cualquier 2021 0
11.4 No implementado No existe un procedimiento que indique la revisión periódica
actualización de seguridad en 2023 0
del estado de las actualizaciones.
todos los equipos de red.
Utilizar máquinas dedicadas
2021 0 Control no implementado.
11.6 para todas las tareas No Implementado
2023 0 No existe una máquinas dedicadas, sólo cuentas dedicadas.
administrativas en la red.
Existe una red aparte para la infraestructura.
Existe un diagrama para toda la instalación actualizado a la
Administrar la infraestructura
Implementado no 2021 1 semana del 20.03.2023 (Revisión anual).
11.7 de red mediante una red
documentado 2023 1 Existe inventario de IPs de red en una aplicación de la WEB
dedicada.
(en la intranet) que entrega los segmentos disponibles.
Lo anterior no está documentado formalmente.
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Mantener un inventario de los Implementado no 2021 1 El control está implementado, dado que están registrados los
12.1
bordes de la red. documentado 2023 1 dispositivos de borde en la herramienta Aranda.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 31
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
No existe documentación.
El servicio de escaneos de vulnerabilidades técnicas brindado
Escanear de conexiones no por Entelgy no cubre lo mandatado por este control, es decir no
2021 0
12.2 autorizadas en los bordes No implementado realiza escaneos desde el exterior del borde de red de
2023 0
confiables de la red. confianza para la detección de conexiones no autorizadas.
El Sub-control no está implementado.
Denegar comunicaciones con La denegación de comunicaciones con IPs maliciosas están
Implementado no 2021 1
12.3 direcciones IPs maliciosas automatizadas en cada uno de los dispositivos (IPS, IDR,
documentado 2023 1
conocida. SIEM), IP y Puertos, pero no está documentado.
La filtración de puertos está automatizada en cada uno de los
Denegar comunicaciones sobre Implementado no 2021 1
12.4 dispositivos (IPS, IDR, SIEM), IP, Puertos. No existe
puertos no autorizados. documentado 2023 1
documentación.
Declaración de entrevistado para el estado del Sub-control:
Implementado no documentado.
Configurar sistemas de
2021 1 Se requiere mayor detalle para este Sub-control.
12.5 monitoreo para registro No implementado
2023 0
paquetes de red.
Información adicionada por el entrevistado el 05.06.2022:
Sub-control No implementado.
Desplegar sensores IDS Implementado no 2021 0
12.6 Tercerizado el servicio con Novared e IFX.
basados en red. documentado 2023 1
Implementado no 2021 0
12.7 Desplegar IPS basado en red. Tercerizado el servicio con Novared e IFX.
documentado 2023 1
Desplegar servidor proxy de 2021 0
12.9 No aplica No Aplica uso de tecnología Proxy para UASL.
filtrado de capa de aplicación. 2023 No aplica
Descifrar el tráfico de red en el 2021 0
12.10 No aplica No Aplica uso de tecnología Proxy para UASL.
proxy. 2023 No aplica
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 32
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
En SharePoint está estratificado el acceso a la información de
Mantener un inventario de 2021 0
13.1 No implementado acuerdo con su nivel de criticidad, pero esto no está
información sensible. 2023 0
documentado. La información sensible no está inventariada.
Permitir solamente el acceso a Para proveedores existe acceso restringido a SharePoint y a
Implementado no 2021 2
13.4 proveedores de servicios de información de servidores en la instalación. No existe
documentado 2023 1
nube o correo autorizados. documentación para esto.
Cifrar el disco duro de todos 2021 0 Para los equipos entregados a los colaboradores no existe
13.6 No implementado
los dispositivos móviles. 2023 0 cifrado de información.
Comentarios del entrevistado:
Los puertos están bloqueados por defecto en las estaciones de
trabajo. Se pueden autorizar accesos a petición exclusiva, pero
no existe procedimiento escrito para aquello, sólo existe una
imagen que permite visualizar cómo se bloquea un puerto.
Implementado 2021 1 Está restrictivo solo a Workstations.
13.7 Gestionar dispositivos USB.
documentado 2023 2 Qué pasa con el resto de los dispositivos?
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 33
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Familia de controles 14: Control de acceso basado en la necesidad de conocer Protección de datos
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Las redes están segmentadas de acuerdo con el tipo de
Segmentar la red basado en Implementado no 2021 1 actividad que requieren (red operaciones Bodega, red oficinas,
14.1
sensibilidad. documentado 2023 1 etc.) Led de impresoras es visible para todos.
No existe documentación.
Declaración del entrevistado:
Implementados Firewalls en la instalación.
No existe documentación que formalice el Sub-control.
Se requiere mayor detalle para este Sub-control.
Habilitar filtrado de firewall Implementado no 2021 0
14.2
entre VLANs. documentado 2023 1 Información adicionada por el entrevistado el 05.06.2022:
Aun cuando existe diagrama para las redes segmentadas de la
instalación donde se visualizan los firewall habilitados se
confirma el Sub-control en estado implementado no
documentado.
Deshabilitar comunicaciones 2021 0
14.3 No implementado Control no implementado.
entre estaciones de trabajo. 2023 0
Proteger la información Existen ACL en la infraestructura UASL que proveen esta
Implementado no 2021 1
14.6 mediante lista de control de funcionalidad.
documentado 2023 1
acceso. No existe documentación relacionada.
Imponer el registro detallado
Implementado no 2021 0 Existe SIEM en la instalación que proporciona la funcionalidad,
14.9 para acceso o cambios en
documentado 2023 1 pero no existe documentación que formalice el control.
datos sensibles.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 34
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Declaración de entrevistado:
Mediante CMDB de Aranda y Orion (SolarWinds) se alertan y
monitorean los puntos de acceso inalámbrico. No existe
documentación.
Mantener un inventario de
Implementado no 2021 1 Aclarar si efectivamente están inventariados los puntos de
15.1 puntos de acceso inalámbrico
documentado 2023 1 acceso inalámbricos autorizados conectados a la red.
autorizados.
Información adicionada por el entrevistado el 05.06.2022:
Están identificados los puntos de acceso inalámbrico.
Sub-control está implementado no documentado.
Detectar puntos de acceso 2021 0
15.2 No Implementado Control no implementado.
inalámbricos. 2023 0
La política indica que, por defecto, todo dispositivo debe
Deshabilitar el acceso
Implementado no 2021 no aplica conectarse físicamente a la red y se tienen identificados
15.4 inalámbrico en dispositivos si
documentado 2023 1 aquellos que se pueden conectar de manera inalámbrica.
no se requiere.
No existe documentación
Al momento de la entrevista no se tenía claridad del estado del
control, por lo que quedó pendiente de aclarar por parte del
Inhabilitar las capacidades de
2021 0 entrevistado. A continuación su respuesta:
15.6 red inalámbrica punto a punto No Implementado
2023 0 Respuesta textual del entrevistado al 08.05.2023:
en clientes inalámbricos
Redes segmentadas implementado.
No implementado.
Se utiliza el protocolo de cifrado se seguridad WPA2 para
proteger el tráfico de Internet en redes inalámbricas.
Usar estándar de cifrado
2021 1 No existe documentación.
15.7 avanzado (AES) para cifrar No implementado
2023 0 Se está usando el algoritmo de encriptación AES con CCMP? Si
datos inalámbricos.
no es así indicar el algoritmo de encriptación que se está
usando.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 35
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Mantener un inventario de 2021 0
16.1 No implementado Control no implementado.
sistemas de autenticación. 2023 0
El punto de autenticación centralizado es a través del control
Configurar un punto de Implementado no 2021 2
16.2 de dominio.
autenticación centralizado. documentado 2023 1
No está documentado
La aplicación KeePass almacena todas las credenciales críticas.
Cifrar o hashear todas las Implementado no 2021 0
16.4 Dichas credenciales están encriptadas.
credenciales de autenticación. documentado 2023 1
No existe documentación.
Cifrar la transmisión de
2021 0
16.5 nombres de usuario y No implementado Control no implementado.
2023 0
credenciales de autenticación.
Mantener un inventario de 2021 2 Control no implementado.
16.6 No implementado
cuentas. 2023 0 Las cuentas están en AD pero no existe un inventario de ellas.
El proceso involucra la Subgerencia de Personas y TI para
Establecer un proceso para Implementado y 2021 2
16.7 usuarios que abandonan la empresa y está normado mediante
revocar el acceso. documentado 2023 2
el Procedimiento de desvinculación.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 36
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Al tener establecido un Plan de Concientización que contemple
ejercicios de ingeniería social y entrega de contenidos para
Realizar un análisis de brecha Implementado no 2021 no validado
17.1 incrementar conocimientos acerca de la ciberseguridad, se
de habilidades. documentado 2023 1
aborda el tratamiento de brechas de habilidades existentes en
los colaboradores de UASL.
Sub-control implementado no documentado.
Realizar capacitación para Implementado no 2021 no validado
17.2 Faltaría indicar los mecanismos de verificación de acceso y
llenar la brecha de habilidades documentado 2023 1
conocimiento de los contenidos compartidos.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 37
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 38
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Establecer prácticas seguras de 2021 0
18.1 No implementado Control no implementado.
codificación. 2023 0
Al momento de la entrevista no se tenía claridad del estado del
Asegurar que la verificación control, por lo que quedó pendiente de aclarar por parte del
explícita de errores se realice Implementado no 2021 0 entrevistado. A continuación su respuesta:
18.2
para todo el software documentado 2023 1
desarrollado internamente. Respuesta textual del entrevistado al 25.05.2022:
Se encuentra implementado no documentado.
Verificar que el software Implementado y 2021 0 Existen los contratos con los proveedores que respaldan este
18.3
adquirido aún tiene soporte documentado 2023 2 control.
Sólo existen aplicaciones licenciadas y con soporte de parte del
Usar sólo componentes de
Implementado y 2021 no validado proveedor. Está contenido en la Estrategia Tecnológica,
18.4 terceros actualizados y de
documentado 2023 2 documento oficial para UASL, la cual está publicada y
confianza .
divulgada.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 39
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Usar únicamente algoritmos de No están agregadas este tipo de definiciones en los contratos
2021 no validado
18.5 cifrado revisados y No implementado con proveedores.
2023 1
estandarizados. Control no implementado.
Asegurar que el personal de
Los contratos con proveedores de desarrollo no contemplan
desarrollo de software esté 2021 0
18.6 No implementado este tipo de aspectos.
capacitado en programación 2023 0
Control no implementado
segura.
Los desarrolladores externos utilizan herramientas de análisis
de código estático y dinámico.
Aplicar herramientas de
2021 0 Al verificar si las auditorías de EH que realiza Entelgy validan a
18.7 análisis de código estático y No implementado
2023 0 nivel de código: estas auditorías no incluyen el análisis de
dinámico.
código estático y dinámico, pero podría agregarse este tipo de
validaciones.
No existe un proceso implementado para los desarrollos.
Establecer un proceso para Lo que se está implementando es el EH a los sitios
Implementado no 2021 0
18.8 aceptar y tratar los reportes de desarrollados y según el informe se van resolviendo las
documentado 2023 1
vulnerabilidades del software. vulnerabilidades que se detecten.
Control implementado no documentado.
Al momento de la entrevista no se tenía claridad del estado del
control, por lo que quedó pendiente de aclarar por parte del
entrevistado. A continuación su respuesta:
Sistemas separados de Implementado no 2021 2
18.9 Comentarios del entrevistado al 11.05.2023:
producción y no producción. documentado 2023 1
Hoy día se cuenta con entornos separados para los ambientes
productivo y no productivo.
No existe documentación formal para este control.
Implementar Firewall de Implementado y 2021 0
18.10 Control implementado y documentado.
aplicación Web (WAFs) documentado 2023 2
Usar plantillas de configuración
2021 0
18.11 de hardening estándar para No implementado Control no implementado.
2023 0
bases de datos.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 40
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Sólo existen buenas prácticas.
Existen fichas para cada sistema, pero no un documento formal
para este Sub-control.
Documentar los procedimientos 2021 0 Para que este control se considere en cumplimiento se
19.1 No implementado
de respuesta de incidentes. 2023 0 requieren planes escritos de respuesta a incidentes que
incluyan funciones de los colaboradores, fases de
manejo/gestión de incidentes.
Por lo anterior el control no está implementado.
Asignar cargos y
Implementado no 2021 0 El responsable está predefinido (Responsable de Red y
19.2 responsabilidades para la
documentado 2023 1 Plataforma), pero no está documentado formalmente.
respuesta a incidentes.
Designar personal de gestión Están designados los responsable y los reemplazantes para
Implementado no 2021 0
19.3 para apoyar el manejo de apoyar el manejo de incidentes, pero no está formalizado con
documentado 2023 1
incidentes. un documento.
Idear estándares para toda la Existe un sistema de administración y reporte de incidentes.
Implementado y 2021 2
19.4 organización para reporte de Documento que formaliza el control: HSEQ 08 Gestión de
documentado 2023 2
incidentes. incidentes.
Mantener información de Existe un sistema de administración y reporte de incidentes.
Implementado y 2021 2
19.5 contacto para reportar Documento que formaliza el control: HSEQ 08 Gestión de
documentado 2023 2
incidentes de seguridad. incidentes.
Publicar información Se comunica a los usuarios toda vez que se presenta un
relacionada con la notificación Implementado y 2021 1 incidente de seguridad.
19.6
de anomalías e incidentes documentado 2023 2 Documento que formaliza el control: HSEQ 08 Gestión de
informáticos. incidentes
Llevar a cabo sesiones El comité de gestión de incidentes realiza reuniones semanales
Implementado no 2021 0
19.7 periódicas de escenarios de para análisis y revisión de casos.
documentado 2023 1
incidentes para el personal. No se dispone de documentación.
Crear un esquema de El sistema de tickets clasifica los incidentes (alto, bajo o
Implementado no 2021 no validado
19.8 priorización y puntuación de crítico).
documentado 2023 1
incidentes. El Sub-control no está documentado.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 41
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UALS
Estado Control
Control Descripción Estado Control Comentarios
2021-2023
Establecer un programa de 2021 0
20.1 No implementado Control no Implementado.
prueba de penetración. 2023 0
Llevar a cabo pruebas
2021 0
20.2 periódicas de penetración No implementado Control no Implementado.
2023 0
externa e interna.
Usar herramientas de prueba
de penetración y exploración 2021 0
20.6 No implementado Control no Implementado.
de vulnerabilidades en 2022 0
conjunto.
Controlar y monitorear las
2021 no validado
20.8 cuentas asociadas con las No implementado Control no Implementado.
2022 0
pruebas de penetración.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 42
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Implementado y documentado 22 22
Implementado no documentado 33 71
No implementado 64 38
No aplica 1 2
No validado 13 0
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 43
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Respecto de los resultados del Gap Analysis realizado el presente año, el estado
de sub-controles CIS se despliega en la siguiente tabla:
Estado Controles %
Implementado y documentado 22 17
Implementado no documentado 71 53
No implementado 38 29
No aplica 2 1
Tabla 6 - Resumen estado de Controles CIS año 2023
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 44
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
8. Recomendaciones
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 45
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
inventario oportunamente.
Se recomienda que las cuentas con altos privilegios nunca deberían usarse para
la navegación diaria por Internet, ni para lectura de correos electrónicos,
utilizando siempre contraseñas de acceso robustas.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 46
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Se recomienda partir por definir perfiles o subgrupos de acuerdo con sus niveles
de responsabilidad como primer paso para la definición de líneas base de
instalación, de esta forma se estandarizan las diferentes variantes requeridas
por la instalación, sin perder de vista que dichas configuraciones deben
permanecer a resguardo y bajo la responsabilidad de un profesional idóneo.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 47
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
víctimas, por lo que a veces, los registros de auditoría son la única evidencia de
un ataque.
Es por lo anterior que, aun cuando se tienen activos los registros de auditoría,
es recomendado establecer un proceso destinado a su revisión periódica en el
cual queden claramente establecidos sus responsables y los períodos de
retención de la información, así como las acciones destinadas a su respaldo.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 48
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 49
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Tener presente plasmar todas las mejoras que han realizado en documentación
acorde, de modo que, pueda ser objeto de una auditoría. Esto bajo la forma de
política, estándar o procedimiento.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 50
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Sub-control 15.7: Usar estándar de cifrado avanzado (AES) para cifrar datos
inalámbricos.
Se recomienda utilizar el algoritmo AES (Advanced Encryption Standard) para
cifrar datos inalámbricos en tránsito.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 51
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Pero aún mayor control se debe implementar si estas actividades son llevadas
por terceros. Tanto es explicitarlo en políticas, estándares y procedimientos, así
como en los contratos pactados con proveedores.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 52
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Sub-control 20.8: Controlar y monitorear las cuentas asociadas con las pruebas
de penetración.
Es recomendable que las cuentas de usuario o de sistema utilizadas para realizar
las pruebas de penetración se monitoreen y controlen para garantizar que sólo
se utilicen para actividades autorizadas y se eliminen o restablezcan a la función
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 53
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 54
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 55
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 56
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 57
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Adicional a todo lo anterior, UASL debería definir su plan director o road map de
seguridad por implementar en los próximos cuatro a cinco años, dado que con
aquello se logra visualizar esfuerzos, inversiones y capacidades entre otros
aspectos.
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 58
salvo autorización expresa.
Gap Analysis CIS Top 20 Security Controls
UASL
Propiedad de Entelgy
Prohibida cualquier reproducción, distribución o comunicación pública, Página 59
salvo autorización expresa.