Guía de Implementación del Marco de Ciberseguridad 5.0

SC.15 Sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (WAF)

Requisito SC.15Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF)
ObjetivoAumentar los niveles de seguridad de las aplicaciones y/o portales expuestos a Internet.
Controles

Nivel 1

  • SC.15-1: existe un inventario de sitios Web institucionales.
  • SC.15-2: todas las aplicaciones Web disponibles en Internet se encuentran protegidas mediante el uso de WAF, al menos configurados en modo “detección”.

Nivel 2

  • SC.15-3: el WAF de producción ha evolucionado de modo detección a modo bloqueo.

Nivel 3

  • SC.15-4: se cuenta con un WAF instalado en ambiente de prueba para la realización de pruebas funcionales.
  • SC.15-5: en el ambiente de producción se impactan las reglas actualizadas luego de ser probadas.
  • SC.15-6: los registros de los WAF se encuentran centralizados.

Nivel 4

  • SC.15-7: el análisis de los registros del WAF incluye automatismos que favorecen las actividades de revisión.
Guía de implementación

Instalar un WAF delante del sitio Web (por ejemplo, el módulo de Apache mod_security, F5, Coraza, pudiendo ser cualquier otro WAF).

Se recomienda instalar un WAF en producción y otro en pruebas para evitar problemas a la hora del pasaje de la aplicación a producción.

En los momentos iniciales, luego de su instalación, se recomienda dejarlo en modo “escucha” para aprender del tráfico y poder ajustar el WAF a las necesidades del sitio Web; para luego pasarlo a modo “bloqueo”.

En producción siempre debe estar en modo “boqueo” para que éste cumpla su objetivo.

Instituciones de saludSe recomienda contar con un procedimiento de reporte mensual al CERTuy o equipo de respuesta que corresponda, sobre estadísticas de la actividad detectada en el WAF. Se sugiere que la institución colabore con el CERTuy o equipo de respuesta que corresponda, en la centralización de registros de WAF a nivel nacional.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Configuración de WAF.
  • Reportes realizados al CERTuy o equipo de respuesta correspondiente.
  • Inventario de los sitios web institucionales, incluyendo el nivel de protección configurado en los WAF.
Normativa asociadaNo aplica

Etiquetas