Política de Acceso Remoto
1. Propósito
Establecer requisitos para el acceso remoto seguro a los sistemas de información y recursos de red de [ORGANIZATION] para proteger contra el acceso no autorizado mientras se permite la productividad empresarial.
2. Alcance
Esta política se aplica a todas las conexiones de acceso remoto a la red y sistemas de información de [ORGANIZATION] por parte de empleados, contratistas y terceros autorizados.
3. Política
3.1 Métodos de Acceso Remoto Aprobados
El acceso remoto a la red de [ORGANIZACION] solo deberá realizarse a través de métodos aprobados: cliente VPN proporcionado por [ORGANIZACION] con MFA, solución aprobada de acceso a la red de confianza cero (ZTNA), infraestructura de escritorio virtual (VDI) aprobada o portales de aplicaciones en la nube aprobados con MFA.
Las conexiones directas (RDP, SSH, conexiones a bases de datos) a sistemas internos desde Internet están prohibidas sin VPN o puerta de enlace segura aprobada.
El túnel dividido en conexiones VPN está [PERSONALIZAR: prohibido / permitido solo con DNS y controles de seguridad de endpoints activos].
3.2 Requisitos del Dispositivo
Los dispositivos utilizados para acceso remoto deberán cumplir con los requisitos mínimos de seguridad: sistema operativo actual y con soporte con actualizaciones automáticas habilitadas, protección activa de endpoints (antivirus/EDR), firewall basado en host habilitado, cifrado de disco completo habilitado y bloqueo de pantalla configurado con tiempo de espera de [PERSONALIZAR: 5/10] minutos.
Los dispositivos personales (BYOD) utilizados para acceso remoto deberán estar registrados en la solución de gestión de dispositivos de [ORGANIZACION] y deberán cumplir los mismos requisitos de seguridad que los dispositivos propiedad de la organización.
Las computadoras públicas o compartidas no deberán utilizarse para acceder a los sistemas internos de [ORGANIZACION].
3.3 Gestión de Sesiones
Las sesiones de acceso remoto deberán tener un tiempo de espera por inactividad de [PERSONALIZAR: 30/60] minutos y una duración máxima de sesión de [PERSONALIZAR: 10/12/24] horas.
Los usuarios deberán bloquear su estación de trabajo al ausentarse durante una sesión remota.
La actividad de acceso remoto deberá registrarse y monitorearse. Los patrones anómalos de acceso remoto deberán generar alertas.
3.4 Acceso Remoto de Terceros
El acceso remoto de terceros deberá ser preautorizado, con tiempo limitado y documentado con: justificación empresarial, sistemas autorizados, duración del acceso y contacto responsable de [ORGANIZACION].
El acceso remoto de terceros deberá monitorearse en tiempo real o grabarse cuando sea técnicamente factible.
Las conexiones de acceso remoto permanentes (persistentes) de terceros están prohibidas a menos que sean específicamente aprobadas por [PERSONALIZAR: CISO] con controles compensatorios documentados.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos