Política de Adquisición de Activos de Información

Traducido del inglés al español - www.onlinedoctranslator.
com
Comunidad de recursos de políticas de

consenso
Política de evaluación de adquisiciones

Descargo de responsabilidad de uso gratuito:Esta política fue creada por o para el
Instituto SANS para la comunidad de Internet. Toda o parte de esta política se puede
utilizar libremente para su organización. No se requiere aprobación previa. Si desea
contribuir con una nueva política o una versión actualizada de esta política, envíe un
correo electrónico [email protected].
Cosas para considerar: Consulte las Preguntas frecuentes sobre cosas a considerar
para obtener pautas y sugerencias adicionales para personalizar las políticas de SANS
para su organización.
Estado de la última actualización: Actualizado y convertido a un nuevo formato en

junio de 2014
1. Visión general
El proceso de integración de una empresa recién adquirida puede tener un impacto drástico en el
cartel de seguridad de la empresa matriz o de la empresa secundaria. La red y la infraestructura
de seguridad de ambas entidades pueden variar mucho y la fuerza laboral de la nueva empresa
puede tener una cultura y tolerancia a la apertura drásticamente diferentes. El objetivo del
proceso de evaluación e integración de la adquisición de seguridad debe incluir:
 Evaluar el panorama, la postura y las políticas de seguridad de la empresa.

 Proteger a <Company Name> y a la empresa adquirida de mayores riesgos de seguridad.
 Educar a la empresa adquirida sobre las políticas y el estándar de <Nombre de la
empresa>
 Adopte e implemente políticas y estándares de seguridad de <Nombre de la empresa>
 Integrar empresa adquirida
 Seguimiento y auditoría continuos de la adquisición
2. Objetivo
El propósito de esta política es establecer las responsabilidades de Infosec con respecto a
adquisiciones corporativas y definir los requisitos mínimos de seguridad de una evaluación de
adquisición de Infosec.
3. Alcance
Esta política se aplica a todas las empresas adquiridas por <Company Name> y se aplica a todos
los sistemas, redes, laboratorios, equipos de prueba, hardware, software y firmware, propiedad
y / o operados por la empresa adquirida.
Instituto SANS 2014 - Todos los derechos reservados Pá gina 1

consenso
4. Política
4.1 General
Las evaluaciones de adquisiciones se llevan a cabo para garantizar que una empresa que está
siendo adquirida por <Company Name> no representa un riesgo de seguridad para las redes
corporativas, los sistemas internos y / o la información confidencial / sensible. El equipo de
Infosec proporcionará personal para servir como miembros activos del equipo de adquisición
durante todo el proceso de adquisición. La función de Infosec es detectar y evaluar el riesgo de
seguridad de la información, desarrollar un plan de remediación con las partes afectadas para el
riesgo identificado y trabajar con el equipo de adquisiciones para implementar soluciones para
cualquier riesgo de seguridad identificado, antes de permitir la conectividad a <Nombre de la
empresa> ' s redes. A continuación se detallan los requisitos mínimos que debe cumplir la
empresa adquirida antes de conectarse a la red <Nombre de la empresa>.
4.2 Requisitos
4.2.1 Hospedadores
4.2.1.1 Todos los hosts (servidores, computadoras de escritorio, computadoras portátiles)
serán reemplazados o rediseñados con una imagen estándar de <Nombre de la
empresa> o se les pedirá que adopten los estándares mínimos para los dispositivos
de los usuarios finales.
4.2.1.2 Los servidores de producción críticos para el negocio que no pueden ser
reemplazados o rediseñados deben ser auditados y una exención otorgada por
Infosec.
4.2.1.3 Todos los hosts basados en PC requerirán protección antivirus aprobada por
<Nombre de la empresa> antes de la conexión a la red.
4.2.2 Redes
4.2.2.1 Todos los dispositivos de red se reemplazarán o se volverán a crear imágenes con
una imagen estándar de <Nombre de la empresa>.
4.2.2.2 Los puntos de acceso a la red inalámbrica se configurarán según el estándar

<Nombre de la empresa>.
4.2.3 Internet
4.2.3.1 Se cancelarán todas las conexiones a Internet.
4.2.3.2 Cuando lo justifiquen los requisitos comerciales, las conexiones a Internet con
espacios abiertos requieren la revisión y aprobación de Infosec.
4.2.4 Acceso remoto
4.2.4.1 Se terminarán todas las conexiones de acceso remoto.
4.2.4.2 <Nombre de la empresa> proporcionará acceso remoto a la red de producción.
4.2.5 Laboratorios
4.2.5.1 El equipo de laboratorio debe estar físicamente separado y asegurado de las áreas
que no sean de laboratorio.

consenso
4.2.5.2 La red del laboratorio debe estar separada de la red de producción corporativa con
un firewall entre las dos redes.
4.2.5.3 Cualquier conexión de red directa (incluidas líneas analógicas, líneas ISDN, T1,
etc.) a clientes externos, socios, etc., debe ser revisada y aprobada por Lab
Security Group (LabSec).
4.2.5.4 Todos los laboratorios adquiridos deben cumplir con la política de laboratorio de
LabSec o recibir una exención de LabSec.
4.2.5.5 En caso de que las redes adquiridas y los sistemas informáticos que se conecten a
la red corporativa no cumplan con estos requisitos, el Director de Información
(CIO) de <Nombre de la empresa> debe reconocer y aprobar el riesgo para las
redes de <Nombre de la empresa>
5. Cumplimiento de la política
5.1 Medición de cumplimiento
El equipo de Infosec verificará el cumplimiento de esta política a través de varios métodos, que
incluyen, entre otros, informes de herramientas comerciales, auditorías internas y externas y
comentarios al propietario de la política.
5.2 Excepciones
Cualquier excepción a la política debe ser aprobada por el equipo de Infosec con anticipación.
5.3 Incumplimiento
Un empleado que se descubra que ha violado esta política puede estar sujeto a medidas
disciplinarias, hasta e incluyendo el despido.
6 Estándares, políticas y procesos relacionados

Ninguno.
7 Definiciones y términos
La siguiente definición y términos se pueden encontrar en el Glosario de SANS ubicado en:
https://www.sans.org/security-resources/glossary-of-terms/
 Servidor de producción crítico para el negocio

consenso
8 Revisión histórica
Fecha de Responsable Resumen de cambio

cambio
Junio de 2014 Equipo de políticas Actualizado y convertido a nuevo formato.

de SANS

Política de Adquisición de Activos de Información

Cargado por

Copyright:

Formatos disponibles

Política de Adquisición de Activos de Información

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Política de Adquisición de Activos de Información

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

Comunidad de recursos de políticas de

Política de evaluación de adquisiciones

Estado de la última actualización: Actualizado y convertido a un nuevo formato en

 Evaluar el panorama, la postura y las políticas de seguridad de la empresa.

Instituto SANS 2014 - Todos los derechos reservados Pá gina 1

4.2.2.2 Los puntos de acceso a la red inalámbrica se configurarán según el estándar

4.2.4.2 <Nombre de la empresa> proporcionará acceso remoto a la red de producción.

Instituto SANS 2014 - Todos los derechos reservados Pá gina 2

6 Estándares, políticas y procesos relacionados

 Servidor de producción crítico para el negocio

Instituto SANS 2014 - Todos los derechos reservados Pá gina 3

Fecha de Responsable Resumen de cambio

Junio de 2014 Equipo de políticas Actualizado y convertido a nuevo formato.

Instituto SANS 2014 - Todos los derechos reservados Pá gina 4

También podría gustarte