Gestión de Infraestructura de Red
Establecer y mantener la configuración segura de los dispositivos de infraestructura de red, incluidos firewalls, routers y switches.
Plantillas de Políticas Relacionadas
Salvaguardas (8)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 12.1 | Asegurar que la Infraestructura de Red esté Actualizada | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 12.2 | Establecer y Mantener una Arquitectura de Red Segura | Proteger |
IG2
IG3
|
5 | 3 |
| 12.3 | Gestionar de Forma Segura la Infraestructura de Red | Proteger |
IG2
IG3
|
5 | 3 |
| 12.4 | Establecer y Mantener Diagrama(s) de Arquitectura | Identificar |
IG2
IG3
|
5 | 3 |
| 12.5 | Centralizar la Autenticación, Autorización y Auditoría de Red (AAA) | Proteger |
IG2
IG3
|
7 | 3 |
| 12.6 | Uso de Protocolos Seguros de Gestión y Comunicación de Red | Proteger |
IG2
IG3
|
5 | 3 |
| 12.7 | Asegurar que los Dispositivos Remotos Utilicen VPN y se Conecten a la Infraestructura AAA de la Empresa | Proteger |
IG2
IG3
|
5 | 3 |
| 12.8 | Establecer y Mantener Recursos Informáticos Dedicados para Todo el Trabajo Administrativo | Proteger |
IG3
|
5 | 3 |
Detalles de Verificación de Auditoría
Asegurar que la infraestructura de red se mantenga actualizada. Los ejemplos de implementación incluyen ejecutar la última versión estable del software y/o usar ofertas de red como servicio (NaaS) actualmente soportadas. Revisar las versiones del software mensualmente o con mayor frecuencia para verificar el soporte del software.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener una arquitectura de red segura. Una arquitectura de red segura debe abordar la segmentación, el mínimo privilegio y la disponibilidad, como mínimo.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Gestionar de forma segura la infraestructura de red. Los ejemplos de implementación incluyen la infraestructura como código con control de versiones y el uso de protocolos de red seguros, como SSH y HTTPS.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener diagrama(s) de arquitectura y/u otra documentación del sistema de red. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Centralizar la AAA de red.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar protocolos seguros de gestión y comunicación de red (por ejemplo, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise o superior).
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Requerir que los usuarios se autentiquen en la VPN gestionada por la empresa y los servicios de autenticación antes de acceder a los recursos empresariales en dispositivos de usuario final.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener recursos informáticos dedicados, separados física o lógicamente, para todas las tareas administrativas o tareas que requieran acceso administrativo. Los recursos informáticos deben estar segmentados de la red principal de la empresa y no se les debe permitir acceso a internet.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |