👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 2.2
PCI DSS v4.0: 2.1.1, 2.2.1, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.7, 10.7.1, 10.7.2, 10.7.3, 11.5.1.1, 11.5.2, 11.6.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a identificar y establecer los lineamientos necesarios para la configuración adecuada de los sistemas operativos alcanzados por tu certificación PCI DSS, como por ejemplo Linux, Microsoft Windows, Amazon Linux, Google Cloud Computing Platform, Microsoft Azure, etcétera, con el objetivo de robustecer la seguridad en ellos.
💡 Los documentos de hardening también sirven como checklist de revisión para asegurarte de que las configuraciones se mantienen habilitadas correctamente, según las necesidades de seguridad de la empresa.
¿Qué tengo que hacer? 🚀
Antes de comenzar, es importante saber que los estándares de configuración de hardening se deben desarrollar, implementar y mantener para lo siguiente:
Cubrir todos los componentes del sistema.
Cubrir todas las vulnerabilidades de seguridad conocidas.
Brindar coherencia con el estándar de hardening del sistema aceptadas por el sector, o con las recomendaciones de hardening del proveedor.
Ser actualizados a medida que se identifican nuevos problemas de vulnerabilidad.
Ser aplicados cuando los nuevos sistemas sean configurados.
Ser verificados antes o inmediatamente después de que un componente del sistema se conecte a un entorno de producción.
Ahora bien, para lograr esta actividad te recomendamos realizar los siguientes pasos:
Primero debes identificar todos los sistemas operativos con los que trabaja tu organización y que están dentro de tu alcance de certificación.
Luego, debes seleccionar el estándar o norma de seguridad que tomarás como base para crear tus lineamientos de hardening.
💡 Recuerda que este estándar debe ser aceptado por la industria, y contener las mejores prácticas, como por ejemplo: CIS, SANS, NIST, ISO, etcétera. La guía que elijas y la versión utilizada deben quedar indicadas dentro de este documento.
Una vez conociendo las mejores prácticas que hay, y teniendo más claro lo que necesitas implementar, te recomendamos que consideres también los siguientes puntos a la hora de documentar tus lineamientos de hardening:
Políticas de accesos de usuario.
Es decir, que debes asegurarte que la generación de contraseñas cumpla con la longitud adecuada (mínimo 12 caracteres para cumplimiento de PCI DSS), composición (debe ser alfanumérica), vigencia y periodicidad de cambio (cada 90 días para cumplimiento de PCI DSS), etcétera.
Panel de control.
Es decir que debes considerar la activación del bloqueo de sistema, bloqueo de pantalla, contar con un mínimo de cuentas de administradores y cuentas de invitados, inicio de sesión con usuario y contraseña, cierre de sesión por inactividad, etcétera.
Logs de auditoría.
Es decir que se debe configurar la generación de pistas de auditoría, definiendo su tamaño, su periodo de retención, los tipos de eventos a registrar, etcétera.
Seguridad en los dispositivos.
Es decir que debes configurar los dispositivos para evitar que los usuarios instalen controladores de impresora, USB, o algún tipo de elemento que exponga o ponga en riesgo el dispositivo.
Además, considerar la desactivación de los servicios de bluetooth, geolocalización, FTP, etcétera, si no son necesarios.
Criptografía.
Es decir que debes aplicar una configuración para forzar una protección robusta de las claves de usuario almacenadas en la computadora.
Firewall.
Es decir que debes instalar un firewall y configurar sus componentes de ayuda, considerando la restricción de modificación no autorizada a cualquiera de sus configuraciones por parte del usuario, la habilitación de alertas, etcétera.
Búsquedas.
Es decir que debes considerar la desactivación de Cortana, Siri o cualquier otro asistente virtual, así como también la desactivación de la búsqueda en internet si no es necesario, etcétera.
Store.
Es decir que debes considerar la desactivación de la tienda de aplicaciones del sistema si no es necesaria, para prevenir la instalación de software no permitido, la infección por virus o malware, el uso indebido del equipo de trabajo, etcétera.
Actualizaciones y parches de seguridad.
Debes instalar las actualizaciones que proporcionan los proveedores de los sistemas operativos para garantizar que se encuentran protegidos de las vulnerabilidades más recientes.
Instalaciones.
Asegurar la instalación adecuada de FIM (hace referencia a procesos o controles de seguridad que validan la integridad de los archivos en un sistema operativo) y un antivirus.
Las configuraciones de hardening que desees implementar deben estar alineadas al cumplimiento de los requisitos de PCI DSS, como por ejemplo que las contraseñas deben tener una longitud mínima de 12 caracteres, deben ser cambiadas cada 90 días, etcétera 🙌🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Considera e involucra todas los sistemas operativos con los que trabaja tu organización y que estén dentro de tu alcance de PCI DSS.
Si tienes el servicio en la nube, verifica si es responsabilidad de tu proveedor la aplicación de hardening. De no ser así, tu empresa debe tomar esa responsabilidad y aplicar las configuraciones pertinentes.
Identifica los requisitos de PCI DSS aplicables para que puedas alinearte a ellos correctamente.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.