Soy un estudiante que trabaja en mi proyecto semestral y se trata de desarrollar una solución SIEM con herramientas de Big Data para usar en un SOC (centro de operaciones de seguridad) y sé que la recopilación de registros se puede usar ya sea para Análisis, Auditoría o Cumplimiento . Buscando la diferencia entre el cumplimiento y la auditoría, todavía me parece algo vago.
La forma en que me explicaron esto en un nivel muy básico es la siguiente:
Auditoría se refiere a ver quién hizo qué, cuándo y dónde podría incluir sistemas y personas. Probablemente escuchará los términos "registros de auditoría" que se refieren a una serie de registros que indican quién trabajó en un sistema, cuándo y qué hicieron.
Cumplimiento se refiere a marcar (o no) una serie de casillas después de realizar su auditoría. Piense en el cumplimiento como la siguiente pregunta "¿Mis acciones marcan todas las casillas?" P.ej. ¿El acceso a los datos de sus clientes está restringido solo a usuarios privilegiados? A continuación, realiza una "auditoría" (investiga los registros de acceso) y, si ningún usuario no autorizado puede consultar los datos, cumple con los requisitos, por lo tanto, pasa algo de Cumplimiento.
¿Cómo se relacionan entre sí en un SIEM? Dependiendo de los datos que capture y de los Estándares de Cumplimiento, puede consultarlos y luego comenzar a marcar las casillas para verificar el cumplimiento.
Esta es una explicación muy básica desde un nivel técnico. El cumplimiento y la auditoría son ligeramente diferentes cuando hablamos de auditoría y cumplimiento legal y financiero.
@Florin Coada tiene una buena explicación. Me gusta pensar en esto como esto:
El cumplimiento trata con el estado de las cosas. La auditoría se ocupa de las acciones tomadas en cosas.
El cumplimiento mira hacia adelante, la auditoría mira hacia atrás.
Digamos que hay un problema de seguridad: la cuenta de un empleado cancelado no se elimina a tiempo y se accede a ella. Los datos están filtrados.
El cumplimiento lo analizaría y diría: "¿Tenemos procesos implementados para evitar esto? ¿Qué son estos procesos? ¿Cumplen con esta lista de requisitos? ¿Son nuestros requisitos precisos?"
La auditoría analizaría esto y diría: "¿Se siguió el proceso? ¿Cuál fue el resultado de esto? ¿Quién tenía la responsabilidad de la acción X y se realizó de manera oportuna?"
Otra forma de pensar esto, no desde la perspectiva del incidente de seguridad, es decir que el Cumplimiento establece las reglas y que Auditoría verifica el cumplimiento de las reglas. En virtud de esto, Cumplimiento diría: "Su documentación para este sistema debe almacenarse en este sistema, de esta manera". La auditoría diría "¿Está su documentación para este sistema almacenada de manera que el cumplimiento ha exigido?"
Cuando se habla de Cumplimiento y Auditoría , uno siempre tiene que definir el ámbito respectivo. Un sistema, un proceso o un control no pueden simplemente ser compatibles . Siempre es compatible con algo .
Para citar de Wikipedia :
El cumplimiento normativo describe el objetivo que las organizaciones aspiran a alcanzar en sus esfuerzos para garantizar que estén al tanto y tomen medidas para cumplir con las leyes, políticas y regulaciones pertinentes.
Una de las leyes más impactantes en los EE. UU. que es un ejemplo típico de cómo las compañías establecen políticas internas para Cumplimiento con ciertas secciones de dicha ley, es la Sarbanes–Oxley Act of 2002 . Si busca en el interwebz o en este sitio " conformidad sox " encontrará una gran cantidad de buenos ejemplos sobre cómo influye en las empresas y, especialmente, encontrará muchas recomendaciones para Políticas que ayudarán a lograr el cumplimiento de SOX.
¿Cómo puede ser útil un SIEM en este caso? Proporciona registros siguiendo las reglas especificadas, y por lo tanto, de alguna forma lo demuestra, si las políticas de cumplimiento escritas realmente se aplican y, por lo tanto, si los procesos en cuestión, de hecho, cumplen con la ley o el reglamento.
Esto normalmente se verifica con una auditoría . Una auditoría es una "prueba" si alguien o algo cumple con algo. Por ejemplo, una empresa desea obtener su SGSI ISO / IEC 27001 . La implementación y el cumplimiento con ISO / IEC 27001 muestra el compromiso de una empresa con la seguridad de la información para los clientes y gobiernos y recibe (preferiblemente) regularmente auditado por otra entidad externa e independiente. < br> Volviendo a su pregunta: un SIEM puede proporcionar datos para una auditoría como esa. Lo que es más importante, un SIEM hace que sea más fácil para determinar si está cumpliendo con las políticas o las leyes con las que afirma cumplir . El auditor puede verificar si hay solo una política interna que diga "Hacer X porque la ley Y así lo dice". o si realmente está hecho.
¿Por qué es más fácil determinar si tiene un SIEM? Debido a que muchos marcos le piden que implemente algún tipo de análisis de datos automatizado y / o registro de, por ejemplo. eventos de seguridad. Un SIEM hace exactamente eso.
TL; DR:
Un SIEM es un sistema que proporciona datos y los analiza automáticamente con un conjunto dado de reglas. Se necesita una auditoría para determinar si se cumplen todos los requisitos previos para el logro del cumplimiento . Un SIEM puede ayudar con esa determinación, porque facilita la verificación, si realmente se aplican las políticas internas.
Lea otras preguntas en las etiquetas terminology logging siem soc