Ir al contenido principal

12. Política de Configuración de Sistemas

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 2.2

  • PCI DSS v4.0: 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.7, 3.4.2, 10.7.1, 10.7.2, 10.7.3, 11.5.1, 11.5.1.1, 11.5.2, 11.6.1

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a establecer los lineamientos de seguridad necesarios que te permitan realizar una configuración segura de los componentes de los sistemas que se encuentran dentro del entorno de PCI DSS.

💡 Esta configuración es muy importante para robustecer tus controles de seguridad, y estar en cumplimiento con los requisitos normativos.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad y documentar una política adecuadamente, te recomendamos establecer lineamientos, por lo menos para los siguientes aspectos:

  • Cambio en los valores y cuentas predeterminados por el proveedor, para garantizar que los accesos a los sistemas de la empresa son seguros y cumplen con los lineamientos de la Política de Accesos y Contraseñas.

  • La configuración de los componentes de los sistemas, siguiendo los estándares de seguridad aceptados por la industria definidos en la documentación de hardening de la empresa.

    • Será importante también establecer cómo y quién debe llevar la administración de estas configuraciones de los componentes de sistemas.

  • Los accesos privilegiados y de administración deben tener considerar la restricción de ciertas funciones, el uso de protocolos y/o comandos adecuados, métodos de cifrado, etcétera de manera que sean configurados para cubrir las necesidades de seguridad de la empresa.

  • Generación y mantenimiento de un inventario de los componentes del sistema, para su revisión y seguimiento periódico.

  • Registro de los estándares de configuración utilizados en los equipos, con su versión y referencia de aplicación, para garantizar que se están aplicando las configuraciones y mejores prácticas más actuales.

Algunos ejemplos de lineamientos que que puedes incluir dentro de esta política son los siguientes:

  • Asegurar que las cuentas y parámetros predeterminados que son configurados por defecto por el proveedor de dispositivos, sistemas y aplicaciones se cambien.

  • Si las cuentas predeterminadas por el proveedor no se van a utilizar se deben de eliminar o desactivar.

  • Asegurar que las políticas y procedimientos operativos para administrar los parámetros de seguridad estén documentados, implementados y sean conocidos por todos los involucrados.

  • Aplicar estándares de configuración de seguridad actualizados para todos los tipos de componentes de sistemas.

  • Asegurar todo el acceso administrativo que no sea de consola, utilizando un cifrado sólido.

  • Contar con un inventario actualizado de los componentes de sistemas, entre otros.

  • Habilitar funciones de seguridad adicionales antes de implementar nuevos componentes de sistema para evitar su instalación con configuraciones inseguras.

  • Todo el acceso administrativo sin consola está cifrado utilizando criptografía sólida.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Revisa y actualiza estos lineamientos por lo menos una vez al año, siempre que sea necesario y cuando haya cambios significativos que puedan impactar en su funcionamiento.

  • Comunica estos lineamientos a todos tus colaboradores y valida que sean implementados correctamente.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
22. Política de Antivirus
28. Política de Tecnología y Operaciones de TI
42. Política de Gestión de Logs
55. Política de Relación con Proveedores
57. Política de Seguridad de la Información 
¿Ha quedado contestada tu pregunta?