Alcance

Estas políticas aplican para todas las redes, los servicios de red y los controles
utilizados para proteger la información en la transferencia de información de la
organización.

10. Política de seguridad de redes inalámbricas

Normas generales

Gestión de la seguridad de las redes

Establecer los controles lógicos para el acceso a los diferentes recursos

informáticos, con el fin de mantener los niveles de seguridad apropiados.
Proporcionar a los colaboradores y terceros todos los recursos tecnológicos de
conectividad necesarios para que puedan desempeñar las funciones y
actividades laborales.

Monitorear la funcionalidad de las redes a través del uso de analizadores de

red.

Seguridad de los servicios de red

Dar el acceso a internet exclusivamente a través de la red establecida para

ello, es decir, por medio del sistema de seguridad con Firewall incorporado en
la misma.

Separación en las redes

Identificar los mecanismos de seguridad, los niveles de servicio y los requisitos

de gestión de todos los servicios de red, e incluirlos en los acuerdos de
servicios de red, ya sea que los servicios se presten internamente o se
contraten externamente.

Establecer un esquema de segregación de redes, con el fin de controlar el

acceso a los diferentes segmentos de red y buscar que se preserve la
confidencialidad, integridad y disponibilidad de la información de la
organización.

Establecer mecanismos de autenticación seguros para el acceso a la red.

Separar las redes inalámbricas públicas de las redes internas, para preservar
los principios de la seguridad de la información.

A continuación se incluyen una serie de controles para revisar el cumplimiento

de la política de seguridad en lo relativo al uso de wifi y redes externas.

Uso de la VPN

Los empleados que tengan autorizado el acceso vía VPN conocerán cómo
hacerlo y cuándo está permitido:

 Cuando utilicemos redes públicas o no seguras.

 Para acceder a los recursos corporativos como impresoras, documentos,
servidores de base de datos, aplicaciones específicas, etc.
 Cuando necesitemos hacer operaciones confidenciales: acceso a bases
de datos, banca online o facturación, que impliquen la transmisión de
usuarios, contraseñas, o cualquier otra información confidencial.
 Cuando queramos interconectar redes separadas de forma segura:
distintos edificios u oficinas separadas geográficamente, equipos
utilizados en teletrabajo con la oficina, etc.
 Cuando hagamos uso del teletrabajo.

Configuración de wifi doméstica

En el caso de usar una wifi doméstica, hay que configurarla para: activar el
protocolo WPA2, cambiar el nombre por defecto del SSID y cambiar las
credenciales por defecto.

Redes inalámbricas de los dispositivos móviles

Activar la conexión wifi, bluetooth o el GPS únicamente en los momentos que

se vayan a utilizar y con las convenientes medidas de seguridad.
Uso de dispositivos móviles

Si se utilizan dispositivos móviles para trabajar fuera de la empresa, se han de

tomar las medidas de seguridad indicadas en las Políticas de uso de
dispositivos móviles corporativos y en la de uso de dispositivos móviles no
corporativos.

Uso de ordenadores no corporativos

Si se utilizan ordenadores de uso público hay que evitar realizar actividades de

alto riesgo (uso de email corporativo, trabajar con documentos online, redes
sociales, banca online o compras online). Desconfiar de la seguridad del equipo
y sus conexiones. En cualquier caso si se tiene la necesidad de utilizarlos para
hacer login en algún servicio corporativo siempre que esté permitido y no se
pueda hacer uso de una VPN:

 revisar el entorno para evitar la mirada de observadores o de cámaras

 utilizar el modo de navegación privada del navegador;
 teclear la URL o dirección web, en lugar de utilizar el buscador;
 verificar que la página a la que se accede es auténtica y que utiliza
protocolo https:// y que tiene certificado y está vigente;
 evitar que el navegador guarde las contraseñas;
 al finalizar la sesión borra el historial de navegación y las cookies en el
navegador;
 no conectar pendrives ni otros dispositivos externos;
 revisar que no se deja ningún archivo personal en el equipo.
 12. Política de acceso y configuración remotos

La administración remota de equipos o de la infraestructura de cómputo debe

dejar evidencia escrita de la justificación por las que se asigna, al igual que de
la responsabilidad que tiene el funcionario a quien se otorga este permiso,
dicha solicitud debe ser realizada por el jefe del Área correspondiente y debe
ser avalada por la Oficina de Tecnologías de la Información y las
Comunicaciones - OTIC.
La conexión de acceso remoto debe ser mediante VPN - Virtual Private
Network, la cual debe ser solicitada, indicando la necesidad a la Oficina de
Tecnologías de la Información y las Comunicaciones - OTIC, quien será la
responsable de aprobar, configurar y controlar dicho acceso.

Se deben realizar los esfuerzos necesarios para que la información de La

organización no se vea comprometida. Para ello, es necesario el cumplimiento
de los siguientes puntos: 

 Definir controles de confidencialidad, integridad y disponibilidad para los

usuarios de acceso remoto.
 Definir una lista de servicios, redes y sistemas de información que
puedan ser utilizados remotamente por el personal que realiza el
acceso.
 Se debe contar con un inventario de accesos remotos otorgados,
identificando a la persona que cuenta con el acceso, el motivo por el
cual se le otorgó y el plazo por el cual está autorizado.
 Los equipos utilizados para el acceso remoto deben contar con
protección ante software malicioso.
 Los equipos utilizados para el acceso remoto deben estar cifrados.
 Definir un procedimiento de revisión periódica de las condiciones de uso
del acceso remoto y de los usuarios que hacen uso de éste.
 Monitorear y analizar el tráfico de datos de acceso remoto para
identificar posibles anomalías de seguridad.
  Planificar e impartir capacitaciones de concientización para empleados y
miembros del equipo en temas de ciber seguridad y seguridad de la
información.
 Redactar un documento donde se contemplen todas las acciones
realizadas en acceso remoto (duración, dispositivos facilitados, entre
otros), el cual debe ser firmado por cada usuario.
 Valorar diferentes escenarios y configuraciones antes de habilitar el
acceso remoto, contemplando todos los riesgos de seguridad digital.
 Gestionar las credenciales de acceso de los usuarios forzando el uso de
contraseñas robustas y su cambio periódico, además de incluir el doble
factor de autenticación.
 Configurar los dispositivos utilizados por el usuario para el trabajo en
acceso remoto (sistema operativo, antivirus, control de actualizaciones,
entre otros) tanto si son corporativos o aportados por el usuario.

 Llevar a cabo auditorías periódicas para asegurar el cumplimiento de la

política.

Es responsabilidad de la dirección de la organización, planificar acciones de

sensibilización a su personal respecto a la importancia de esta política,
destacando que el no cumplimiento aumenta la exposición de la información y
el riesgo de tener un incidente de seguridad de la información. Por tanto, es
responsabilidad última del personal el cumplimiento de la misma.

Cumplimiento de políticas
 Medición del cumplimiento.
Se verificará el cumplimiento de esta política a través de varios métodos,
incluidos, entre otros, recorridos periódicos, monitoreo de video,
informes de herramientas comerciales, auditorías internas y externas y
comentarios al propietario de la póliza.
 Excepciones.
Cualquier excepción a la política debe ser aprobada con anticipación.
 Incumplimiento.
Un empleado que haya violado esta política puede estar sujeto a
medidas disciplinarias, hasta e incluyendo la terminación del empleo.