Configuración Segura de Activos y Software Empresarial
Establecer y mantener la configuración segura de los activos empresariales (dispositivos de usuario final, incluidos portátiles y móviles; dispositivos de red; dispositivos no informáticos/IoT; y servidores) y software (sistemas operativos y aplicaciones).
Plantillas de Políticas Relacionadas
Salvaguardas (12)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 4.1 | Establecer y Mantener un Proceso de Configuración Segura | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 4.2 | Establecer y Mantener un Proceso de Configuración Segura para Infraestructura de Red | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 4.3 | Configurar Bloqueo Automático de Sesión en Activos Empresariales | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 4.4 | Implementar y Gestionar un Firewall en Servidores | Proteger |
IG1
IG2
IG3
|
7 | 5 |
| 4.5 | Implementar y Gestionar un Firewall en Dispositivos de Usuario Final | Proteger |
IG1
IG2
IG3
|
7 | 5 |
| 4.6 | Gestionar de Forma Segura los Activos Empresariales y el Software | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 4.7 | Gestionar Cuentas Predeterminadas en Activos Empresariales y Software | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 4.8 | Desinstalar o Deshabilitar Servicios Innecesarios en Activos Empresariales y Software | Proteger |
IG2
IG3
|
5 | 3 |
| 4.9 | Configurar Servidores DNS de Confianza en Activos Empresariales | Proteger |
IG2
IG3
|
6 | 4 |
| 4.10 | Aplicar Bloqueo Automático de Dispositivo en Dispositivos Portátiles de Usuario Final | Responder |
IG2
IG3
|
7 | 5 |
| 4.11 | Aplicar Capacidad de Borrado Remoto en Dispositivos Portátiles de Usuario Final | Proteger |
IG2
IG3
|
5 | 3 |
| 4.12 | Separar Espacios de Trabajo Empresariales en Dispositivos Móviles de Usuario Final | Proteger |
IG3
|
7 | 5 |
Detalles de Verificación de Auditoría
Establecer y mantener un proceso de configuración segura para activos empresariales (dispositivos de usuario final, incluyendo portátiles y móviles, dispositivos no informáticos/IoT y servidores) y software (sistemas operativos y aplicaciones). Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener un proceso de configuración segura para dispositivos de red. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Configurar el bloqueo automático de sesión en activos empresariales después de un período definido de inactividad. Para sistemas operativos de propósito general, el período no debe exceder 15 minutos. Para dispositivos móviles de usuario final, el período no debe exceder 2 minutos.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Implementar y gestionar un firewall en servidores, donde sea soportado. Los ejemplos de implementación incluyen un firewall virtual, firewall del sistema operativo o un agente de firewall de terceros.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Las reglas de firewall cumplen con una línea base documentada y la política de denegación por defecto.
Exportación de reglas de firewall, informe de comparación con la línea base
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las reglas de firewall se revisan según el calendario y las reglas no utilizadas se eliminan.
Registros de revisión de reglas, tickets de cambio para limpieza de reglas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Exportación del conjunto de reglas de firewall y documentación de revisión | Revisado trimestralmente |
| Registro | Registros de solicitudes de cambio y aprobación de firewall | Por cambio |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Implementar y gestionar un firewall basado en host o herramienta de filtrado de puertos en dispositivos de usuario final, con una regla de denegación predeterminada que descarte todo el tráfico excepto aquellos servicios y puertos que estén explícitamente permitidos.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Las reglas de firewall cumplen con una línea base documentada y la política de denegación por defecto.
Exportación de reglas de firewall, informe de comparación con la línea base
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las reglas de firewall se revisan según el calendario y las reglas no utilizadas se eliminan.
Registros de revisión de reglas, tickets de cambio para limpieza de reglas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Exportación del conjunto de reglas de firewall y documentación de revisión | Revisado trimestralmente |
| Registro | Registros de solicitudes de cambio y aprobación de firewall | Por cambio |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Gestionar de forma segura los activos empresariales y el software. Los ejemplos de implementación incluyen la gestión de configuración mediante infraestructura como código con control de versiones y el acceso a interfaces administrativas a través de protocolos de red seguros, como Secure Shell (SSH) y Protocolo de Transferencia de Hipertexto Seguro (HTTPS). No usar protocolos de gestión inseguros, como Telnet (Red de Teletipos) y HTTP, a menos que sea operacionalmente esencial.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Gestionar cuentas predeterminadas en activos empresariales y software, como root, administrator y otras cuentas preconfiguradas del proveedor. Los ejemplos de implementación pueden incluir: deshabilitar cuentas predeterminadas o hacerlas inutilizables.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Desinstalar o deshabilitar servicios innecesarios en activos empresariales y software, como un servicio de compartición de archivos no utilizado, módulo de aplicación web o función de servicio.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Configurar servidores DNS de confianza en activos empresariales. Los ejemplos de implementación incluyen: configurar activos para usar servidores DNS controlados por la empresa y/o servidores DNS externamente accesibles de buena reputación.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El filtrado DNS está activo y bloqueando dominios maliciosos conocidos.
Configuración de filtrado DNS, estadísticas de bloqueo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Configuración de filtrado DNS y estadísticas de bloqueo | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Aplicar el bloqueo automático del dispositivo tras un umbral predeterminado de intentos fallidos de autenticación local en dispositivos portátiles de usuario final, donde sea soportado. Para laptops, no permitir más de 20 intentos fallidos de autenticación; para tabletas y smartphones, no más de 10 intentos fallidos de autenticación. Los ejemplos de implementación incluyen Microsoft® InTune Device Lock y Apple® Configuration Profile maxFailedAttempts.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
Los sistemas están configurados según una línea base de endurecimiento aprobada (CIS Benchmarks, DISA STIGs).
Resultados de escaneo de cumplimiento contra la línea base aprobada
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
Las desviaciones de configuración se detectan y remedian dentro de los plazos definidos.
Informes de detección de desviaciones, tickets de remediación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Técnico | Resultados de escaneo de cumplimiento de configuración contra la línea base aprobada | Escaneado mensualmente |
| Documento | Documentación de la configuración de línea base aprobada | Revisado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Borrar remotamente los datos empresariales de dispositivos portátiles de usuario final propiedad de la empresa cuando se considere apropiado, como dispositivos perdidos o robados, o cuando un individuo ya no apoya a la empresa.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asegurar que se utilicen espacios de trabajo empresariales separados en dispositivos móviles de usuario final, donde sea soportado. Los ejemplos de implementación incluyen el uso de un Apple® Configuration Profile o Android™ Work Profile para separar aplicaciones y datos empresariales de aplicaciones y datos personales.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los sistemas están configurados según una línea base de endurecimiento aprobada (CIS Benchmarks, DISA STIGs).
Resultados de escaneo de cumplimiento contra la línea base aprobada
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las desviaciones de configuración se detectan y remedian dentro de los plazos definidos.
Informes de detección de desviaciones, tickets de remediación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Resultados de escaneo de cumplimiento de configuración contra la línea base aprobada | Escaneado mensualmente |
| Documento | Documentación de la configuración de línea base aprobada | Revisado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |