Administración de la seguridad de redes

Objetivo: garantizar la protección de la información en las redes y sus instalaciones de procesamiento de información de apoyo.

13.1.1 Controles de red Control

Se deberían administrar y controlar las redes para proteger la información en los sistemas y aplicaciones. Orientación sobre la implementación

Se deberían implementar controles para garantizar la seguridad de la información en las redes y la protección de los servicios conectados del acceso no autorizado. En particular, se deberían considerar los siguientes elementos:

a) se deberían establecer las responsabilidades y procedimientos para la administración de los equipos de redes;

b) se debería separar la responsabilidad operacional para la redes de las operaciones informáticas donde corresponda (ver 6.1.2);

c) se deberían establecer controles especiales para resguardar la confidencialidad y la integridad de los datos que se pasan a redes públicas o a través de redes inalámbricas y para proteger a los sistemas y aplicaciones conectados (ver cláusula 10 y 13.2); es posible que se requieran controles especiales para mantener la disponibilidad de los servicios de red y los computadores conectados;

d) se deberían aplicar los registros y monitoreos adecuados para permitir el registro y la detección de acciones que pueden afectar o que son pertinentes a la información de seguridad;

e) las actividades de administración se deberían coordinar de cerca tanto para optimizar el servicio a la organización como para garantizar que los controles se aplican de manera coherente a través de toda la infraestructura de procesamiento;

f) se deberían autenticar los sistemas de la red;

g) se debería restringir la conexión de los sistemas a la red. Otra información

13.1.2 Seguridad de los servicios de redes Control

Se deberían identificar e incluir en los acuerdos de servicio los mecanismos de seguridad, los niveles de servicios y los requisitos de administración de todos los servicios de redes, ya sea que estos servicios se entreguen de manera interna o se externalicen.

Orientación sobre la implementación

Se debería determinar y monitorear de manera regular la capacidad del proveedor de servicios de red para administrar los servicios de manera segura y, se debería acordar el derecho a la auditoría.

Se deberían identificar las disposiciones de seguridad necesarias para ciertos servicios, como las funciones de seguridad, los niveles de servicio y los requisitos de administración. La organización debería garantizar que los proveedores de servicios de red implementen estas medidas.

Otra información

Los servicios de red incluyen la provisión de conexiones, servicios de redes privadas y redes con valor agregado y, soluciones de seguridad de redes administradas como firewalls y sistemas de detección de intrusión. Estos servicios abarcan desde la banda ancha no administrada simple a las ofertas complejas con valor agregado.

Las funciones de seguridad de los servicios de red pueden ser:

a) con aplicación de tecnología para la seguridad de los servicios de redes, como la autenticación, el cifrado y los controles de conexión de redes;

b) parámetros técnicos necesarios para la conexión segura con los servicios de red de acuerdo con la seguridad y las reglas de conexión de redes;

c) los procedimientos para el uso de servicios de redes para restringir el acceso a los servicios de red o aplicaciones, donde corresponda;

13.1.3 Segregación en las redes Control

Se deberían segregar los grupos de servicios de información, usuarios y sistemas de información en las redes. Orientación sobre la implementación

Un método para administrar la seguridad de redes de gran tamaño es dividirlas en distintos dominios de red. Los dominios se pueden seleccionar en base a niveles de confianza (es decir, dominio de acceso público, dominio de escritorio, dominio de servidor), junto con unidades organizacionales (es decir, recursos humanos, finanzas, marketing) o alguna combinación (es decir, el dominio del servidor que se conecta a varias unidades organizacionales). La segregación se puede realizar mediante redes con diferencias físicas o mediante el uso de distintas redes lógicas (es decir, conexión de redes privadas virtuales).

Se debería definir correctamente el perímetro de cada dominio. Se permite el acceso entre dominios de red, pero se debería controlar en el perímetro mediante una puerta de enlace (es decir, firewall, enrutador de filtrado). Los criterios para la segregación de redes en los dominios y el acceso que se permite a través de las puertas de enlace se deberían basar en una evaluación de los requisitos de seguridad de cada dominio. La evaluación se debería realizar de acuerdo a la política de control de acceso (ver 9.1.1), los requisitos de acceso, el valor y la clasificación de la información procesada y también se debería considerar el costo relativo y el impacto en el rendimiento al incorporar tecnología de puerta de enlace adecuada.

Las redes inalámbricas requieren un tratamiento especial debido al perímetro de red definido deficientemente. Para los entornos sensibles, se debería tener consideración de tratar a todos los accesos inalámbricos como conexiones externas y segregar este acceso desde las redes internas hasta que el acceso haya pasado a través de una puerta de enlace de acuerdo con la política de controles de red (ver 13.1.1) antes de otorgar acceso a los sistemas internos.

Las tecnologías de autenticación, cifrado y de control de acceso a redes de nivel de usuario de las redes moderas y basadas en normas inalámbricas puede ser suficiente para dirigir la conexión a la red interna de la organización cuando se implementen adecuadamente.

Otra información

Las redes a menudo se extienden más allá de los límites organizacionales, debido a que se forman sociedades comerciales que requieren la interconexión o que comparten la información de instalaciones de redes y procesamiento de información. Tales extensiones pueden aumentar el riesgo del acceso no autorizado a los sistemas de información de la organización que utilizan la red, algunos de los cuales requieren protección de otros usuarios de red debido a su sensibilidad o criticidad.