Política Anti-Malware

El software anti-malware deberá implementarse en todos los activos empresariales que lo soporten, incluyendo: estaciones de trabajo y computadoras portátiles de usuarios finales, servidores (archivos, aplicaciones, correo electrónico, web) y dispositivos móviles donde la plataforma lo soporte.

Las soluciones anti-malware deberán proporcionar: escaneo en tiempo real/al acceder, escaneos completos del sistema programados (al menos [PERSONALIZAR: semanalmente]), actualizaciones automáticas de firmas/definiciones (al menos [PERSONALIZAR: diariamente/cada 4 horas]) y capacidades de análisis de comportamiento/detección heurística.

El software anti-malware deberá gestionarse centralmente a través de una consola unificada con visibilidad del estado de implementación, eventos de detección y cumplimiento de actualizaciones.

Los usuarios no deberán poder desactivar, desinstalar o modificar las configuraciones del software anti-malware.

Las soluciones anti-malware deberán configurarse para poner en cuarentena automáticamente las amenazas detectadas y alertar a [PERSONALIZAR: Seguridad de TI/SOC].

Las exclusiones de escaneo deberán minimizarse y requerir aprobación de [PERSONALIZAR: CISO/Seguridad de TI] con justificación documentada.

Para entornos IG2/IG3: Se deberán implementar capacidades de Detección y Respuesta en Endpoints (EDR) además del anti-malware tradicional, proporcionando: monitoreo de procesos, capacidades de caza de amenazas, acciones de respuesta automatizadas y recopilación de datos forenses.

Todos los medios extraíbles (unidades USB, discos duros externos, tarjetas SD) deberán escanearse automáticamente en busca de malware al conectarse a activos empresariales.

El uso de medios extraíbles en activos empresariales deberá [PERSONALIZAR: restringirse a dispositivos aprobados/bloquearse de forma predeterminada/permitirse con escaneo].

Las funciones de ejecución automática y reproducción automática deberán desactivarse para todos los medios extraíbles en activos empresariales.