Política de Gestión de Configuración Segura

[ORGANIZACION] deberá establecer y mantener configuraciones documentadas de línea base segura para todos los tipos de activos empresariales, basadas en estándares de endurecimiento reconocidos por la industria (CIS Benchmarks, DISA STIGs o guías de seguridad del proveedor).

Las líneas base seguras deberán abordar: la eliminación o desactivación de servicios, puertos y protocolos innecesarios; la configuración de ajustes relevantes para la seguridad; la eliminación de cuentas y contraseñas predeterminadas; y la habilitación de registro y auditoría.

Las configuraciones de línea base deberán revisarse y actualizarse al menos [PERSONALIZAR: trimestral/semestralmente] o cuando se divulguen vulnerabilidades significativas nuevas.

Todos los nuevos activos deberán configurarse según la línea base aprobada antes de su implementación en la red de producción.

Se deberán utilizar herramientas automatizadas de gestión de configuración para aplicar las líneas base seguras en los activos empresariales cuando sea técnicamente factible.

Los escaneos de cumplimiento de configuración deberán realizarse al menos [PERSONALIZAR: mensual/semanalmente] para identificar desviaciones de las líneas base aprobadas.

Las desviaciones de configuración deberán remediarse dentro de [PERSONALIZAR: 14/30] días de su detección, o deberá aprobarse una excepción documentada por [PERSONALIZAR: CISO/Seguridad de TI].

Los privilegios administrativos para realizar cambios de configuración deberán restringirse al personal autorizado y registrarse.

Los dispositivos de infraestructura de red (enrutadores, switches, firewalls, puntos de acceso inalámbrico) deberán configurarse según las líneas base seguras documentadas.

Se deberá mantener la versión estable más reciente del firmware o sistema operativo en todos los dispositivos de red.

Las configuraciones de dispositivos de red deberán almacenarse en un repositorio seguro con control de versiones, con acceso restringido a administradores de red autorizados.

Se deberán realizar respaldos de configuración antes y después de cualquier cambio, y retenerlos durante al menos [PERSONALIZAR: 90 días/1 año].

Los navegadores web deberán configurarse para bloquear o restringir: complementos y extensiones innecesarios, la ejecución automática de scripts de fuentes no confiables y el acceso a dominios maliciosos conocidos.

Solo los navegadores web aprobados que reciban actualizaciones de seguridad regulares estarán autorizados para su uso en activos empresariales.

Las configuraciones del cliente de correo electrónico deberán incluir: bloqueo de archivos adjuntos ejecutables, habilitación de autenticación de correo electrónico (SPF, DKIM, DMARC) e integración con el filtrado de la puerta de enlace de seguridad de correo electrónico.