¿Cómo definir la responsabilidad de los controles de auditoría? @ SIEM

1

Estoy asignado a escribir documentación de procedimientos para los casos de uso de SIEM para los propietarios de activos de TI. Por ejemplo, los procedimientos para seleccionar eventos que indiquen acceso no autorizado al buzón de correo del usuario. He investigado el problema y encontré el Id. De eventos correspondiente asociado con este evento.

Esta es la parte fácil, pero mis amigos en mi equipo argumentan que yo también sería responsable de garantizar los requisitos de seguimiento de auditoría, por ejemplo, el cambio en la política de auditoría de seguridad (eliminación de la auditoría) por parte de administradores descontentos para cubrir las pistas de acciones ilegales / no autorizadas.

Creo que los propietarios del sistema son responsables de la implementación del control de auditoría y la revisión de los registros de auditoría resultantes. Los auditores son responsables de identificar las brechas en la implementación.

Lo más que puedo hacer es especificar los requisitos (por ejemplo, registrar todos los eventos con un ID de evento entre 1001-5 para la fuente ms-exchange store , categoría (inicio de sesión, solicitud de acceso, objeto movido, etc.) y el nivel de registro requerido.

Quiero saber quién es responsable de que la configuración de la auditoría sea según el requisito establecido por nosotros (el equipo de operaciones)?

UPDATE

If i rephrase my question I would ask something like this..."who is best suited to maintain audit trails of user action?" Auditors or owners

    
pregunta Saladin 09.01.2013 - 14:46
fuente

1 respuesta

3

En el pasado realicé la función de un auditor. (Por razones legales, no puedo llamarme auditor, pero la función fundamental de un auditor es comparar el comportamiento esperado con el comportamiento real, y eso es lo que hice). @Iszi tiene razón en que diferentes instituciones tendrán diferentes entendimientos de RACI. Si yo fuera un auditor que visitara sus instalaciones, el primer descubrimiento sería que su gerencia no ha descrito esa matriz de responsabilidad. En la auditoría tradicional, uno no hace responsables a las personas donde no hay una política. (La auditoría moderna basada en el riesgo puede funcionar de manera un poco diferente, pero creo que está fuera del alcance de esta pregunta).

Basado en la evidencia presentada, creo que estás en lo correcto. El documento de procedimiento debe describir el procedimiento para la auditoría del sistema, incluidos los eventos a auditar y el procedimiento para revisar los registros de auditoría. Si el objetivo es simplemente cumplir con un régimen de auditoría, eso es suficiente.

Si el objetivo es mejorar la seguridad, reducir la exposición de la organización al riesgo, disminuir el número de incidentes y disminuir el daño causado en cualquier incidente individual, entonces su organización debe ir más allá. Los procedimientos de auditoría de su sistema se basan en suposiciones sobre los activos que protege y las amenazas para ese activo. Las amenazas y los activos cambian con mayor frecuencia que los eventos. Su administración debe tener un mecanismo para actualizar los procedimientos de auditoría. La revisión de la auditoría no es un fin; Es una herramienta para reducir el riesgo, reducir la frecuencia y la gravedad de los incidentes. La gerencia debe establecer una revisión periódica de las actividades de auditoría y ajustar dichas actividades para respaldar mejor los objetivos comerciales de la organización.

(Reconozco que he usado el término "auditoría" en dos contextos y que podría ser confuso. Supongo que está escribiendo procedimientos para capturar y analizar los registros de eventos del sistema (auditoría del sistema). Esto es aparte de la auditoría externa y la revisión, que podría denominarse auditoría independiente)

Como dice @Iszi, cada organización será diferente, pero creo que en el caso general: El personal de los administradores de sistemas / SOC es responsable de la revisión diaria / continua de los registros de auditoría tal como se describe en el documento de procedimiento que está escribiendo.

Los propietarios del sistema / la administración del sistema es responsable de los resultados de la auditoría (generalmente se mide como el tiempo para detectar un incidente, el% de incidentes detectados en la evidencia interna frente a la externa y el tiempo promedio para resolver un incidente). La administración también es responsable y responsable de administrar el proceso de auditoría, lo que incluye garantizar que los procedimientos de auditoría se actualicen para que coincidan con las necesidades comerciales.

Esto se complica un poco más si subcontratamos el monitoreo de seguridad a un SOC; El administrador / propietario del sistema aún debe ser responsable, pero tienen responsabilidad delegada. Si estuviera revisando un acuerdo de este tipo, buscaría un SLA para seguridad que incluyera el RACI que está buscando.

    
respondido por el Mark C. Wallace 09.01.2013 - 18:09
fuente

Lea otras preguntas en las etiquetas