Política de Monitoreo de Red

[ORGANIZACION] deberá implementar capacidades de monitoreo de red que proporcionen visibilidad sobre: todo el tráfico que atraviese los perímetros de la red (norte-sur), tráfico entre segmentos de red internos (este-oeste), consultas y respuestas DNS, metadatos de tráfico cifrado (sin romper el cifrado cuando no sea requerido) y actividad de sesiones de acceso remoto.

La captura completa de paquetes (PCAP) deberá mantenerse para el tráfico del perímetro de red durante al menos [PERSONALIZAR: 72 horas/7 días] con fines forenses.

Los datos de flujo de red (NetFlow/IPFIX) deberán recopilarse y retenerse durante al menos [PERSONALIZAR: 30/90] días.

Se deberán configurar alertas automatizadas para: conexiones a indicadores de amenazas conocidos (IPs, dominios, URLs), patrones de exfiltración de datos (transferencias salientes grandes, protocolos inusuales), indicadores de movimiento lateral, servicios de red nuevos o no autorizados y desviaciones de las líneas base de red establecidas.

Las alertas de seguridad de red deberán triarse dentro de [PERSONALIZAR: 15 minutos/1 hora/4 horas] según la severidad.

Se deberá documentar un proceso de operaciones de seguridad de red que cubra: triaje y priorización de alertas, procedimientos de investigación, criterios de escalamiento y traspaso de incidentes al equipo de respuesta a incidentes.

El tráfico saliente deberá filtrarse para bloquear: conexiones a destinos maliciosos conocidos, protocolos no autorizados y transmisión sin cifrar de patrones de datos sensibles.

Se deberá implementar un proxy web o puerta de enlace web segura para todo el tráfico HTTP/HTTPS saliente con inspección SSL para [PERSONALIZAR: todo el tráfico / categorías no exentas].

El filtrado de URL/contenido deberá bloquear el acceso a categorías incluyendo: distribución de malware, phishing y dominios de comando y control.