seGuriDad.mOpLin

Una de las preguntas más comunes que he escuchado respecto a la configuración segura que exige la norma es, "De que se trata y donde consigo las Plantillas de configuración que me pide PCI".

En la norma, el punto de control 2.2, pide que se desarrollen normas de configuración para los componentes del sistema, que en estas se contemplen la resolución de vulnerabilidades de seguridad conocidas y por último que estas normas elaboradas concuerden o estén basadas en los documentos emitidos como normas de alta seguridad y que sean aceptadas por la industria.

Como parte del punto de control se aclara en 2.2.a, que estas normas de configuración de sistemas de la organización incluyan a todos los equipos y que estén elaboradas en base y contemplando las mejores prácticas y recomendaciones aceptadas por la industria, en este caso ya haciendo referencia a entidades como: SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS) [Ver referencia].

El problema de esta exigencia radica en el desconocimiento de las fuentes a las que se puede acceder para tomar los referentes necesarios para esta documentación requerida y adicionalmente el significado de que comprende el cumplimiento del mismo.

 Una vista de pájaro

En pocas palabras, el PCI busca que se establezca una norma clara para loa configuración de los sistemas, tanto nuevos como aquellos en producción, en la que se contemplen los puntos de la norma referentes al tema. Adicionalmente se deberá establecer la documentación necesaria para realizar una configuración y endurecimiento de los sistemas y la forma en la que se revisara el cumplimiento de la misma y la documentación y generación de entregables para el QSA.

Han pasado ya varias semanas desde el ultimo post, y a mi se me esta cayendo la cara de vergüenza.

Bueno hasta encontrar el tiempo para escribir artículos mas extensos, seguiré escribiendo una seria de artículos chicos con novedades que les pueden ser de interés.

Hoy una recomendación para quienes buscan probar productos de primera.

Como es de conocimiento de muchos la empresa Qualys, se dedica a productos para la gestión de vulnerabilidades, cumplimiento de políticas y otros similares.

Esta empresa ya desde hace unos meses como parte de la promoción y crecimiento normal de su catalogo de productos, nos ofrece tres paquetes gratuitos que nos pueden ayuda a mantener nuestra página segura, libre de vulnerabilidades y a probar sus productos que la verdad a mi me parecen de los mejores del mercado.

1. Qualys Guard gratis por 15 días. Si este es el producto estrella de la compañía, que además de ofrecernos un producto estrella para la detección y control de vulnerabuilidades, nos ofrece una suite completa para el seguimiento y gestión de implemento de la norma PCI-DSS.

Descripción del producto: http://www.qualys.com/products/qg_suite/

15 días gratis: http://www.qualys.com/forms/trials/qualysguard/

2. Un Scan Completo gratuito para un IP. Con el que puedes comparar y comprobar las bondades más básicas del producto completo o para quienes les es útil una herramienta para una sola IP publica.

http://www.qualys.com/forms/trials/qualysguard_free_scan/

3. GOSecure. Una herramienta que te permite analizar tu pagina, blog o sitio web para saber si en el están sembrados distintos tipos de amenazas. Cosa que permite saber que neutro sitio no es una amenaza para el resto.

http://www.qualys.com/products/qg_suite/GO_SECURE/

Pruebenlos, si les gustan contacten a la compañía para que un especialista los visite, seguro les ofrecera la suite completa de sus productos de forma gratuita para una evaluación, incluyendo el apliance que permitirá revisar su red interna (Sin costo alguno, ellos corren incluso con el costo de envio y devolución). Si todo esto sin costo.

Si necesitan, escriban en la hoja de contactos de esta pagina y les envío el nombre y dirección completa del representante de Qualys para que lo contacten directamente.