1. Propósito
Establecer requisitos para gestionar los cambios en la infraestructura de red de [ORGANIZATION] para mantener la estabilidad, seguridad y cumplimiento.
2. Alcance
Esta política se aplica a todos los cambios en la infraestructura de red incluyendo enrutadores, switches, firewalls, balanceadores de carga, puntos de acceso inalámbrico, concentradores VPN y configuraciones de red en la nube.
3. Política
3.1 Proceso de Cambios
Todos los cambios de red deberán seguir el proceso de gestión de cambios de [ORGANIZACION], incluyendo: solicitud de cambio documentada con justificación empresarial, evaluación de impacto y plan de reversión, aprobación de [PERSONALIZAR: Equipo de Seguridad de Red/Comité Asesor de Cambios], ventana de implementación programada y verificación posterior al cambio.
Los cambios de emergencia que eludan el proceso estándar deberán requerir aprobación verbal de [PERSONALIZAR: CISO/Director de TI] y deberán documentarse dentro de [PERSONALIZAR: 24/48] horas posteriores a la implementación.
Las configuraciones de dispositivos de red deberán tener control de versiones, con la capacidad de comparar las configuraciones actuales con las líneas base aprobadas.
3.2 Estándares de Configuración
Los dispositivos de red deberán configurarse según los estándares de línea base segura de [ORGANIZACION] (basados en CIS Benchmarks o guías de endurecimiento del proveedor).
Los puertos, protocolos y servicios no utilizados deberán desactivarse en todos los dispositivos de red.
Las cadenas de comunidad SNMP, si se utilizan, deberán usar SNMPv3 con autenticación y cifrado. SNMPv1 y SNMPv2c están prohibidos.
La gestión de dispositivos de red deberá realizarse exclusivamente a través de protocolos cifrados (SSH, HTTPS). Telnet y HTTP están prohibidos.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos