SC 15 Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener firewall de aplicación Web (WAF)
| Objetivo | Aumentar los niveles de seguridad de las aplicaciones y/o portales expuestos a Internet. |
| Alcance | Cualquier organización. |
| Referencia ISO 27001 | N/A |
| Guía de implementación | Instalar un WAF delante del sitio Web (por ejemplo, el módulo de Apache mod_security, pudiendo ser cualquier otro WAF). Se recomienda instalar un WAF en producción y otro en pruebas para evitar problemas a la hora del pasaje de la aplicación a producción. En el caso de utilizar mod_security, en los momentos iniciales, luego de su instalación, se recomienda dejarlo en modo “detección” para aprender del tráfico y poder ajustar el WAF a las necesidades del sitio; para luego pasarlo a modo “bloqueo”. Se entiende que en producción siempre debería estar en modo “boqueo” para que este cumpla su objetivo. |
| Administración Central | Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF). Se debe crear un procedimiento de reporte mensual al CERTuy sobre estadísticas de la actividad detectada en el WAF. El organismo debe con el CERTuy en la centralización de registros de WAF a nivel nacional. |
| Instituciones de salud | Se recomienda contar con un procedimiento de reporte mensual al CERTuy o equipo de respuesta que corresponda, sobre estadísticas de la actividad detectada en el WAF. Se sugiere que la institución colabore con el CERTuy o equipo de respuesta que corresponda, en la centralización de registros de WAF a nivel nacional. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | N/A |