Machine Translated by Google

Comunidad de recursos de políticas de consenso

Política de equipos de comunicaciones

Descargo de responsabilidad de uso gratuito: esta política fue creada por o para el Instituto SANS para la comunidad
de Internet. La totalidad o parte de esta política se puede utilizar libremente para su organización.
No se requiere aprobación previa. Si desea contribuir con una nueva política o una versión actualizada de esta política,
envíe un correo electrónico a [email protected].

Aspectos a tener en cuenta: consulte las Preguntas frecuentes de Aspectos a tener en cuenta para obtener pautas
y sugerencias adicionales para personalizar la política para su organización.

Estado de la última actualización: Retirado

1. Información general

2.Proposito
Este documento describe los requisitos para las configuraciones de seguridad de los equipos de comunicación de <Nombre de
la empresa>.

3. Alcance
Esta política se aplica a todos los equipos de comunicación que forman parte de la red de datos de
<Nombre de la empresa>.

4. Política
4.1 Los elementos de seguridad necesarios para minimizar los riesgos de los equipos de comunicación deben estar
configurado en el equipo antes de ponerlo en servicio. Hay dos posibles
Roles del personal que maneja los equipos de comunicación: monitoreo y
administrador. El rol de supervisión tiene privilegios de solo lectura. El rol de administrador es capaz
para cambiar los parámetros de configuración. Todos los comandos emitidos por los usuarios serán registrados, como
así como cualquier otro evento de seguridad que pueda representar una amenaza para el equipo.
4.2 No se permiten usuarios locales en equipos de comunicación. Todos deben autenticarse
a través del repositorio central de usuarios utilizando un protocolo que reduce el riesgo de robo de identidad.

4.3 Toda la información transmitida desde el dispositivo debe estar encriptada mediante un cifrado fuerte
algoritmo para minimizar los riesgos de espionaje en las comunicaciones y ataques de intermediarios.

4.4 Los eventos registrados por los equipos de comunicación deben mantenerse en medios de almacenamiento
sujeto a un proceso de respaldo regular. El proceso de mantenimiento de estas copias de seguridad debe garantizar
que la información no sea modificada.

4.5 No se debe conocer la contraseña del usuario administrador del equipo de comunicación
por cualquier miembro del personal que maneja el equipo. Si, por cualquier motivo, es necesario
hacer uso de los privilegios administrativos más altos dentro del dispositivo, entonces el personal debe

Instituto SANS 2013 – Todos los derechos reservados Página 1

Comunidad de recursos de políticas de consenso

presentar una solicitud a la división de seguridad interna de la contraseña adjuntando la justificación de su uso y
completando los formularios requeridos. A continuación, la contraseña debe ser restablecida por el
máximo administrador para mantener la seguridad.

5. Cumplimiento de la política
5.1 Medición del cumplimiento
El equipo de Infosec verificará el cumplimiento de esta política a través de varios métodos, incluidos, entre otros, recorridos
periódicos, monitoreo de video, informes de herramientas comerciales, auditorías internas y externas y comentarios al
propietario de la política.

5.2 Excepciones
Cualquier excepción a la política debe ser aprobada por el equipo de Infosec por adelantado.

5.3 Incumplimiento
Un empleado que haya violado esta política puede estar sujeto a medidas disciplinarias, que pueden incluir el despido.

6 Normas, políticas y procesos relacionados

7 Definiciones y Términos
La siguiente definición y términos se pueden encontrar en el Glosario SANS ubicado en:
https://www.sans.org/security-resources/glossary-of-terms/

• Escuchar a escondidas
• Ataque de intermediario

• Cifrado fuerte

8 Historial de revisiones

Fecha de Cambio Responsable Resumen de cambios

diciembre de 2013 Equipo de políticas de SANS Convertido al nuevo formato y retirado

Instituto SANS 2013 – Todos los derechos reservados Página 2