Registro y monitoreo

Objetivo: registrar eventos y generar evidencia. 12.4.1 Registro de eventos

Control

Se deberían producir, mantener y revisar de manera periódica los registros de eventos del usuario, las excepciones, las fallas y los eventos de seguridad de la información.

Orientación sobre la implementación

Los registros de eventos deberían incluir, cuando corresponda: a) IDs de usuarios;

b) actividades del sistema;

c) fechas, horas y detalles de los eventos clave, es decir el inicio y la finalización de la sesión; d) la identidad del dispositivo y su ubicación si es posible, junto con el identificador del sistema; e) los registros de los intentos de acceso al sistema exitosos y rechazados;

f) los registros de los datos exitosos y rechazados y otros intentos de acceso a los recursos; g) los cambios a la configuración del sistema;

h) el uso de privilegios;

i) el uso de utilidades y aplicaciones del sistema; j) los archivos y el tipo de acceso;

k) las direcciones y protocolos de redes;

l) las alarmas que se activaron con el sistema de control de acceso;

m) la activación y la desactivación de los sistemas de protección, como los sistemas de antivirus y los sistemas de detección de intrusos;

n) los registros de las transacciones ejecutadas por los usuarios en las aplicaciones.

El registro de eventos establece las bases para los sistemas de monitoreo automatizado que son capaces de generar informes y alertas consolidadas sobre la seguridad del sistema.

Otra información

Los registros de eventos pueden contener datos sensibles e información de identificación personal. Se deberían tomar medidas de protección adecuadas para la privacidad (ver 18.1.4).

Donde sea posible, los administradores del sistema no deberían tener permisos para borrar o desactivar los registros de sus actividades (ver 12.4.3).

12.4.2 Protección del registro de información Control

Las instalaciones de registros y la información de registro deberían estar protegidas contra la adulteración y el acceso no autorizado.

Orientación sobre la implementación

Los controles deberían apuntar a proteger contra los cambios no autorizados para registrar información y problemas operaciones con la instalación de registros incluidos:

a) alteraciones a los tipos de mensajes que se registran; b) archivos de registro editados o eliminados;

c) capacidad de almacenamiento de los medios de archivos de registro que exceden en tamaño, lo que resulta en su incapacidad de registrar eventos o de sobrescribir los eventos registrados anteriores. Algunos registros de auditoría pueden ser necesarios como parte de la política de retención de registros o debido a los requisitos para recopilar y retener evidencia (ver 16.1.7).

Otra información

Los registros del sistema a menudo contienen un gran volumen de información, la mayor parte de la cual es ajena al monitoreo de seguridad de la información. Para ayudar a identificar los eventos significativos con fines de seguridad de información, se debería considerar la copia automática de los tipos de mensajes adecuados a un segundo registro o el uso de utilidades adecuadas del sistema o bien herramientas de auditoría para realizar la interrogación y la racionalización de archivos.

Se debería proteger a los registros del sistema, pues si se pueden modificar o eliminar sus datos, su existencia puede crear una falsa sensación de seguridad. Se puede utilizar el copiado en tiempo real de los registros a un sistema fuera del control de un administrador u operador del sistema para resguardar los registros.

12.4.3 Registros del administrador y del operador Control

Las actividades del administrador y del operador del sistema se deberían registrar y los registros se deberían proteger y revisar de manera regular.

Orientación sobre la implementación

Los propietarios de cuentas de usuario con privilegios pueden manipular los registros en las instalaciones de procesamiento de información bajo su control directo y, por lo tanto, puede ser necesario proteger y revisar los registros para mantener la responsabilidad de los usuarios con privilegios.

Otra información

Se puede utilizar un sistema de detección de intrusión que se administre fuera del control de los administradores del sistema y de la red para monitorear el cumplimiento de las actividades de administración de redes.

12.4.4 Sincronización con relojes Control

Se deberían sincronizar los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o de un dominio de seguridad con una fuente de tiempo de referencia única.

Orientación sobre la implementación

Se deberían documentar los requisitos externos e internos para la representación, la sincronización y la precisión del tiempo. Dichos requisitos pueden ser legales, normativos, contractuales, de cumplimiento con normas o para el monitoreo interno. Se debería definir una hora de referencia estándar para utilizar dentro de la organización.

Se debería documentar e implementar el enfoque de la organización para obtener una hora de referencia de fuentes externas y la manera de sincronizar los relojes internos de manera confiable.

Otra información

Para corregir la configuración de los relojes de los computadores es importante garantizar la precisión de los registros de auditoría, que pueden ser necesarios para las investigaciones o como evidencia en casos legales o disciplinarios. Los registros de auditoría imprecisos pueden obstaculizar dichas investigaciones y dañar la credibilidad de dicha evidencia. Se puede utilizar un reloj vinculado a una transmisión de tiempo de radio de un reloj atómico nacional como el reloj maestro para los sistemas de registro. Se puede utilizar un protocolo de tiempo para mantener a todos los servidores en sincronización con el reloj maestro.