Política de seguridad de red

La Política de seguridad de red (Documento P21) se desarrolló para establecer controles rigurosos sobre las redes internas y externas de la organización, proporcionando protección frente a acceso no autorizado, interrupción del servicio, interceptación de datos y uso indebido. Sus objetivos principales incluyen salvaguardar la confidencialidad, integridad y disponibilidad (CID) de los datos en tránsito y en reposo, a la vez que se alinea estrechamente con requisitos regulatorios y normativos clave como ISO/IEC 27001:2022, el artículo 32 del GDPR, la Directiva NIS2, DORA y COBIT 2019. Esta política sólida se aplica globalmente a todas las infraestructuras de red, incluidas las de entornos físicos, virtuales, en la nube y entornos híbridos. Incluye en su alcance routers, switches, cortafuegos, redes basadas en la nube, sistemas de red privada virtual (VPN) e incluso servicios de soporte como DNS y servidores proxy. Tanto el personal interno como los proveedores terceros de servicios que interactúan con estas redes están sujetos a los requisitos establecidos. Entre las características destacadas de la política se incluyen la segmentación de red obligatoria, protocolos explícitos de configuración de seguridad del dispositivo para cortafuegos, normas de enrutamiento seguro y la monitorización central continua y el registro de auditoría de las actividades de red. La gobernanza está claramente estructurada, obligando a roles como el Director de Seguridad de la Información (CISO), el Responsable de Seguridad de Red, el Centro de operaciones de seguridad (SOC), Operaciones de TI e incluso proveedores terceros a cumplir responsabilidades definidas para el diseño seguro de la red, la monitorización operativa, la gestión de cambios y la respuesta a incidentes. La política establece expectativas no solo para la gestión rutinaria de la red, sino también para la gestión de excepciones, como dependencias de sistemas heredados, mediante un proceso controlado de aprobación basado en evaluación de riesgos. Todas las aprobaciones de excepciones se registran dentro del Sistema de gestión de la seguridad de la información (SGSI) con un ciclo estricto de revisión de 90 días, garantizando que no se pasen por alto vulnerabilidades a largo plazo. Para minimizar las superficies de ataque y cumplir las obligaciones de cumplimiento, la política estipula que todas las redes perimetrales deben protegerse mediante cortafuegos de nueva generación con inspección con estado, filtrado de aplicaciones y prevención de intrusiones. Las redes internas deben segmentarse entre áreas de producción, desarrollo, usuarios e invitados, utilizando cortafuegos y redes de área local virtuales (VLAN) para aplicar control de acceso estricto. Las soluciones de red privada virtual (VPN) y acceso remoto deben utilizar cifrado y autenticación multifactor, mientras que las redes inalámbricas deben adoptar protocolos de seguridad de nivel empresarial y segregación de invitados. Los entornos en la nube y entornos híbridos no están exentos: las reglas de grupos de seguridad, los enlaces de VPN auditados y los ajustes de cortafuegos nativos de la nube deben gestionarse estrictamente. En materia de monitorización y detección, el registro de auditoría continuo en un SIEM centralizado, la detección de anomalías mediante NDR y los periodos definidos de conservación de registros son requisitos integrales. Las revisiones periódicas de la política y las auditorías son obligatorias, y se activan por nuevas amenazas, cambios de red, actualizaciones regulatorias o hallazgos de auditoría. El incumplimiento, incluida la evasión deliberada de controles de seguridad, conlleva medidas disciplinarias, penalizaciones contractuales o notificación de incidentes conforme a la normativa. Por último, la Política de seguridad de red también especifica sus vínculos con otras políticas organizativas críticas, incluidas las políticas de seguridad fundacional, control de acceso, gestión de cambios, gestión de activos, registro de auditoría y respuesta a incidentes, para un enfoque por capas de defensa en profundidad.