SC.15 Sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (WAF) | Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Pasar al contenido principal

SC.15 Sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (WAF)

Requisito SC.15	Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF)
Objetivo	Aumentar los niveles de seguridad de las aplicaciones y/o portales expuestos a Internet.
Controles	Nivel 1 SC.15-1: existe un inventario de sitios Web institucionales. SC.15-2: todas las aplicaciones Web disponibles en Internet se encuentran protegidas mediante el uso de WAF, al menos configurados en modo “detección”. Nivel 2 SC.15-3: el WAF de producción ha evolucionado de modo detección a modo bloqueo. Nivel 3 SC.15-4: se cuenta con un WAF instalado en ambiente de prueba para la realización de pruebas funcionales. SC.15-5: en el ambiente de producción se impactan las reglas actualizadas luego de ser probadas. SC.15-6: los registros de los WAF se encuentran centralizados. Nivel 4 SC.15-7: el análisis de los registros del WAF incluye automatismos que favorecen las actividades de revisión.
Guía de implementación	Instalar un WAF delante del sitio Web (por ejemplo, el módulo de Apache mod_security, F5, Coraza, pudiendo ser cualquier otro WAF). Se recomienda instalar un WAF en producción y otro en pruebas para evitar problemas a la hora del pasaje de la aplicación a producción. En los momentos iniciales, luego de su instalación, se recomienda dejarlo en modo “escucha” para aprender del tráfico y poder ajustar el WAF a las necesidades del sitio Web; para luego pasarlo a modo “bloqueo”. En producción siempre debe estar en modo “boqueo” para que éste cumpla su objetivo.
Instituciones de salud	Se recomienda contar con un procedimiento de reporte mensual al CERTuy o equipo de respuesta que corresponda, sobre estadísticas de la actividad detectada en el WAF. Se sugiere que la institución colabore con el CERTuy o equipo de respuesta que corresponda, en la centralización de registros de WAF a nivel nacional.
Instituciones Emisoras de Dinero Electrónico (IEDE)	No aplica
Guía de evidencia para auditoría	Configuración de WAF. Reportes realizados al CERTuy o equipo de respuesta correspondiente. Inventario de los sitios web institucionales, incluyendo el nivel de protección configurado en los WAF.
Normativa asociada	No aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay