¿Cómo puedo almacenar de forma segura los registros de auditoría de la actividad de un sistema, como junto con los datos de origen o por separado fuera del sitio?
¿Cómo puedo almacenar de forma segura los registros de auditoría de la actividad de un sistema, como junto con los datos de origen o por separado fuera del sitio?
Como auditor de TI, permítame darle una respuesta de experiencia.
Segregación de funciones - SOD
Es una buena práctica y un principio fundamental para segregar a los empleados que operan o administran el sistema desde el cual se producen los registros de auditoría de los empleados como yo, con la responsabilidad de revisar estos registros para detectar vulnerabilidades de seguridad / fraude / actividad maliciosa. Si estas tareas no están segregadas, entonces una sola persona puede socavar el sistema al hacer un cambio malicioso y cubrir sus errores al modificar los registros de auditoría para ocultar sus acciones. Para ilustrar, las siguientes personas en general no deberían tener acceso a los datos de registro.
Para ampliar los ejemplos anteriores, si un administrador de seguridad tiene acceso a los datos de registros, puede escalar sus propios privilegios para permitir un acceso indebido superior al adecuado para sus tareas de trabajo, una violación del principio de seguridad de El menor privilegio . Para evitar o desalentar la detección, puede eliminar y / o falsificar valores para las entradas de registro de fecha, ID de usuario, etc. El mismo razonamiento se aplica a los artículos 2 y 3.
Para evitar lo anterior, los registros se pueden almacenar de forma centralizada en un servidor en el que el acceso está estrictamente controlado para personas con roles específicos: RBAC. Se debe realizar una revisión periódica de las personas que tienen acceso a los registros y se deben eliminar los derechos de acceso incorrectos inmediatamente después de su descubrimiento.
Almacenamiento seguro de registros
Los datos de registro deben ser respaldados regularmente y la copia de seguridad debe almacenarse fuera del sitio lejos de las operaciones principales de la compañía. Esto es para garantizar que si ocurriera un desastre (por ejemplo, un incendio o una inundación) en el sitio principal de la empresa, se mitigará la pérdida de datos. Si los registros contienen información confidencial, las copias de seguridad de los registros deben cifrarse con criptografía segura como AES 256. Se debe usar un método escrito, como recibos, para rastrear el envío y la recepción de estos registros. Periódicamente, debe tomarse una conciliación de los medios de copia de seguridad contra la documentación de seguimiento, con cualquier reconciliación fallida investigada de inmediato.
Deben documentarse los procedimientos de monitoreo relacionados con la seguridad y la confidencialidad del almacenamiento de respaldo. Si estas responsabilidades se delegan a un tercero para que se desempeñe, lo ideal sería que existieran SLA y un contrato, especificando explícitamente los deberes de cada parte (empresa y proveedor), e idealmente incluyan un derecho a auditar la cláusula En el contrato. El tiempo de retención de registro debe documentarse en una política de retención conocida por todos los individuos con un rol de trabajo de manejo de copias de seguridad.
Finalmente, para obtener más información, esta es una fuente autorizada de ISACA.