SC.15 Sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (WAF)
Requisito SC.15 | Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF) |
---|---|
Objetivo | Aumentar los niveles de seguridad de las aplicaciones y/o portales expuestos a Internet. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Instalar un WAF delante del sitio Web (por ejemplo, el módulo de Apache mod_security, F5, Coraza, pudiendo ser cualquier otro WAF). Se recomienda instalar un WAF en producción y otro en pruebas para evitar problemas a la hora del pasaje de la aplicación a producción. En los momentos iniciales, luego de su instalación, se recomienda dejarlo en modo “escucha” para aprender del tráfico y poder ajustar el WAF a las necesidades del sitio Web; para luego pasarlo a modo “bloqueo”. En producción siempre debe estar en modo “boqueo” para que éste cumpla su objetivo. |
Instituciones de salud | Se recomienda contar con un procedimiento de reporte mensual al CERTuy o equipo de respuesta que corresponda, sobre estadísticas de la actividad detectada en el WAF. Se sugiere que la institución colabore con el CERTuy o equipo de respuesta que corresponda, en la centralización de registros de WAF a nivel nacional. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |