Establecer y Mantener un Proceso de Configuración Segura para Infraestructura de Red
Descripción
Establecer y mantener un proceso de configuración segura para dispositivos de red. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Herramienta automatizada de evaluación de CIS Benchmark para escaneo de cumplimiento de configuración en sistemas operativos, aplicaciones y nube
Center for Internet Security · Membresía CIS SecureSuite
Plataforma de evaluación de configuración y cumplimiento basada en la nube con soporte de CIS Benchmark y monitoreo continuo
Qualys · Suscripción por activo
Plataforma de gestión de configuración de seguridad y monitoreo de integridad de archivos con cumplimiento de políticas y detección de desviaciones
Fortra (Tripwire) · Suscripción por nodo
Plataforma unificada de gestión de endpoints para inscripción de dispositivos, implementación de software, configuración y cumplimiento en Windows, macOS, iOS y Android
Microsoft · Suscripción por usuario/por dispositivo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Compromiso de Dispositivos de Red mediante Credenciales Predeterminadas
ConfidencialidadLos atacantes obtienen acceso administrativo a routers, switches y firewalls usando credenciales predeterminadas bien conocidas o cadenas de comunidad SNMP que nunca fueron cambiadas de los valores del proveedor.
Mala Configuración de Router/Switch que Permite Interceptación de Tráfico
ConfidencialidadLos dispositivos de red configurados sin refuerzo de seguridad permiten la duplicación de tráfico, acceso no autorizado a VLAN o manipulación de enrutamiento que permite ataques de hombre en el medio.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Dispositivos de Infraestructura de Red No Reforzados
Sin un proceso de configuración segura para dispositivos de red, los routers, switches y firewalls ejecutan con configuraciones predeterminadas que exponen interfaces de gestión y servicios innecesarios.
Sin Verificación de Cumplimiento contra Estándares de Refuerzo de Red
Sin procesos de configuración documentados que hagan referencia a estándares como CIS Benchmarks o DISA STIGs, no hay forma de verificar que los dispositivos de red cumplan con los requisitos de seguridad.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |