Tecnología de protección (PR.TP)
Las soluciones técnicas de seguridad se gestionan para garantizar la seguridad y resistencia de los sistemas y activos de la organización, en consonancia con las políticas, procedimientos y acuerdos.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
PR.TP-1. Los registros de auditoría (logs) se documentan, implementan y son revisados de conformidad con la política.
| Se configuran los registros de auditoría para todos los sistemas definidos como críticos. Los registros son utilizados para tratar situaciones puntuales. | Los registros de auditoría se centralizan. La revisión de los registros se realiza en forma ad-hoc. Los registros están protegidos contra accesos no autorizados y posibles alteraciones. Se tiene en cuenta los requisitos de confidencialidad de la información y protección de la privacidad de los datos contenidos en los registros. | Se define una política y procedimientos de auditoría y registro de eventos. Los registros de auditoría se respaldan fuera de línea en forma periódica y se revisan periódicamente con herramientas de apoyo automatizadas. Los relojes de todos los sistemas deben estar sincronizados (servidores, aplicaciones, etc.). | Se establecen los requisitos de retención de los registros y se implementan. Se toman medidas para facilitar el análisis de grandes volúmenes de información. Se cuenta con mecanismos para revisar las actividades de los administradores. Se realizan actividades de control interno para verificar el cumplimiento con la política y los procedimientos. El resultado de las revisiones se comunica al RSI y demás partes interesadas. |
PR.TP-2. Los medios extraíbles se encuentran protegidos y su uso se encuentra restringido de acuerdo con las políticas. | Existe difusión sobre la importancia de la protección y uso de los medios extraíbles. | Se identifican los tipos de medios extraíbles autorizados. Se establecen pautas para el uso de medios extraíbles y son comunicadas a todo el personal. | Se realiza el reporte de hurto, pérdida o daño del medio y su eliminación al final de su vida útil.
| Se realizan revisiones de control interno sobre el cumplimiento de las pautas de uso de medios extraíbles y del procedimiento. Los resultados de las revisiones son utilizados para la mejora del procedimiento y se comunican al RSI y demás partes interesadas. |
PR.TP-3. El acceso a los sistemas y activos se controla, incorporando el principio de menor privilegio. | Ver PR.CA-4 (nivel 1) | Ver PR.CA-4 (nivel 2) | Ver PR.CA-4 (nivel 3) | Ver PR.CA-4 (nivel 4) |
PR.TP-4. Las redes y comunicaciones se encuentran protegidas.
| [AC]Los servicios del organismo son prestados con infraestructura dentro del territorio nacional, o al menos se cuenta con una planificación para la migración de todos los servicios que están fuera de él.
La comunicación entre MTAs se encuentra cifrada como método preferido de comunicación. Los servicios de Webmail se encuentran implementados sobre el protocolo HTTPS utilizando un certificado válido. | [AC]La mayoría de los servicios se encuentran en territorio nacional, y los restantes están en proceso de migración conforme a la planificación realizada.
Todas las aplicaciones Web disponibles en Internet se encuentran protegidas mediante el uso de WAF, al menos configurados en modo “detección”. | [AC]Todos los servicios se encuentran en territorio nacional.
El WAF de producción ha evolucionado de modo detección a modo bloqueo. Se cuenta con un WAF instalado en ambiente de prueba para la realización de pruebas funcionales y otro WAF en ambiente de producción donde se impactan las reglas actualizadas luego de ser probadas. Los registros de los WAF se encuentran centralizados. | [AC]La comunicación entre MTAs de dominios gubernamentales se encuentra cifrada en forma mandatoria. El organismo envía un reporte mensual al CERTuy sobre estadísticas de la actividad detectada en el WAF. El organismo colabora con el CERTuy en la centralización de registros de WAF a nivel nacional.
El análisis de los registros del WAF incluye automatismos que favorecen las actividades de revisión. Se establece un procedimiento para la preservación y gestión de los registros del WAF. |
PR.TP-5. Se implementan mecanismos (por ejemplo, a prueba de fallas, equilibrio de carga, cambio en caliente o “hot swap”) para lograr los requisitos de resiliencia en situaciones normales y adversas. | Los componentes críticos del centro de datos cuentan con redundancia para la entrega de servicios y para tolerar los fallos en situaciones adversas, según los requisitos de resiliencia establecidas por el negocio. | Se cuenta con un centro de datos alterno donde los componentes y activos que soportan los servicios críticos pueden alcanzar los requisitos de resiliencia del negocio para la prolongación operativa. | Se documenta la implementación y pruebas de los mecanismos para tolerar fallos en sistemas y activos de información críticos del centro de datos principal. También se cuenta con una estructura de pruebas periódicas sobre el centro de datos alterno para constatar que los sistemas se encuentran configurado de forma correcta. | Se cuenta con redundancia en todos los componentes que dan soporte a los servicios críticos. Se trabaja en la mejora continua de los procesos basado en las pruebas periódicas, lo que permite calibrar los activos en base a la necesidad del negocio. |