1. Propósito
Establecer requisitos para la configuración y gestión de los controles de firewall para proteger la infraestructura de red y los activos de [ORGANIZATION].
2. Alcance
Esta política se aplica a todos los firewalls de red (hardware y software), firewalls basados en host, grupos de seguridad en la nube y listas de control de acceso de red gestionados por [ORGANIZATION].
3. Política
3.1 Configuración de Firewall
Todos los firewalls deberán configurarse con una política de denegación predeterminada, permitiendo solo el tráfico explícitamente autorizado.
Las reglas de firewall deberán especificar: dirección/red de origen, dirección/red de destino, puerto/protocolo, dirección (entrante/saliente), acción (permitir/denegar), justificación empresarial, propietario de la regla y fecha de revisión.
Las reglas de cualquiera-a-cualquiera-permitir están prohibidas. Todas las reglas deberán ser lo más específicas posible.
Los firewalls basados en host deberán habilitarse y configurarse en todos los activos empresariales, incluyendo servidores y dispositivos de usuario final.
3.2 Gestión de Reglas de Firewall
Todos los cambios en las reglas de firewall deberán seguir el proceso de gestión de cambios de [ORGANIZACION] y requerir aprobación de [PERSONALIZAR: Equipo de Seguridad de Red/CISO].
Las reglas de firewall deberán revisarse al menos [PERSONALIZAR: trimestral/semestralmente] para identificar y eliminar reglas que ya no sean necesarias.
Las reglas temporales de firewall deberán incluir una fecha de vencimiento que no exceda [PERSONALIZAR: 30/90] días y deberán desactivarse automáticamente o eliminarse manualmente al vencer.
Los registros de firewall deberán habilitarse para todo el tráfico denegado y para el tráfico permitido hacia segmentos de red sensibles, con los registros reenviados al sistema centralizado de registro de [ORGANIZACION].
3.3 Segmentación de Red
Los firewalls deberán aplicar la segmentación de red entre: entornos de producción y no producción, redes de usuarios y redes de servidores, DMZ y redes internas, zonas de datos PCI/regulados y redes generales, y redes de invitados/visitantes y redes corporativas.
El tráfico entre segmentos de red deberá filtrarse para permitir solo las comunicaciones empresariales requeridas.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos