Escuchando el lecciones de código seguro de Have I Been Pwned me hizo pensar realmente en el registro.
Parece que en el mundo real se descubren una gran cantidad de violaciones de datos mucho después de que sucedieron , lo que hace que la investigación y la recuperación sean mucho más difíciles debido a que muchas veces no hay registros que seguir e investigar. p>
¿Qué podemos hacer al respecto? ¿Deberíamos mantener todos los registros de la aplicación / sistema / servidor web para siempre?
Desafortunadamente, no hay una respuesta "correcta" a tu pregunta. Las políticas de retención de datos son específicas para las necesidades de una organización y, a menudo, se implementan por necesidad para cumplir con varios requisitos legales , que varían según la naturaleza de los datos que se almacenan, así como la jurisdicción a la que pertenecen los datos.
La retención de datos de registro puede permitir el análisis post mortem si se descubre una infracción, como alude a su pregunta. Sin embargo, los datos retenidos también pueden ser un riesgo de seguridad por derecho propio si los registros contienen información confidencial, por lo que se deben tomar medidas para proteger los archivos de registro si es necesario. El otro factor obvio en el juego es el costo de mantener los registros. Dependiendo de los requisitos de disponibilidad, las diferentes soluciones de copia de seguridad pueden ser más rentables que otras, como mantener los registros antiguos fuera del sitio en el almacenamiento en cinta en lugar de usar redundancia de disco.
10 años
El almacenamiento de registros es barato, más a menudo son ASCII / UNICODE y se comprimen fácilmente para archivarlos a largo plazo.
Mantener sus registros es mejor que purgar por las razones que no puede anticipar.
Pero un mínimo, una política de retención de diez años es una de las mejores prácticas de la industria para las empresas con sede en los EE. UU. desde el estatuto de limitaciones federales y en la mayoría de los estados es un máximo de una década con respecto a delitos no graves.
Los sectores específicos de la industria van más allá, los médicos clínicos, incluidos los hospitales, conservan los registros de salud y los datos del registro electrónico corolario de 50 años .
Los proveedores de telecomunicaciones como NYNEX (adquiridos por Verizon) y otros "Baby Bells" retuvieron sus Registros de bolígrafos , los registros de las llamadas telefónicas de sus suscriptores para siempre.
La retención de registros, la creación de reflejos y el archivado seguro fuera del sitio es una práctica que cada organización importante debe abordar pero que se convierte en rutina cuando se implementa.
Si usted es un proveedor de servicios, una empresa de alojamiento o un custodio de Datos de identificación personal , un 10 La política de retención de años le mantendrá en conformidad con todos los estándares de seguridad bien conocidos y aceptados en la industria, incluyendo PCI-DSS y el resto de la guía telefónica de las mejores prácticas de la industria.
Demostrar una política de retención de fundas uniformes ayuda a una empresa a detener rápidamente el tema en el proceso de selección de RFP y se definirán como "a la par".
El almacenamiento indefinido de estos archivos de registro PUEDE SER ilegal en la UE. Estoy diciendo que MAYO PUEDE, ya que la nueva ley de protección de datos entrará en vigencia en mayo de 2018 y todavía hay algunas áreas poco claras. Sin embargo, las reglas son las siguientes:
Si no tiene un consentimiento explícito (que, supongo, no tiene), se le permite guardar datos personales solo para los fines permitidos por la ley. Se permite mantener los archivos de registro con el fin de investigar las violaciones de datos, ya que se aplica la siguiente excepción: "el procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física".
Sin embargo, todavía está obligado por el principio de proporcionalidad, por lo que puede almacenar datos de registro solo en la medida en que sea "necesario". En algún momento, la utilidad de los datos es solo teórica, por lo que el fundamento legal para el procesamiento desaparece. No hay un límite definido, pero en cualquier caso, la carga de la prueba está en su lado: debe probar que es necesario almacenar archivos de registro para proteger la seguridad.
Debería preocuparse por esto, incluso si está operando en los EE. UU., ya que esta regulación se aplica de manera generalizada (por ejemplo, tiene clientes en la UE).
De todos modos, hay una forma de evitar este reglamento: si sus registros no contienen datos personales (por ejemplo, el usuario no puede ser identificado), el reglamento no se aplica. Sin embargo, dado que la dirección IP se considera información personal (hasta la fecha
Lea otras preguntas en las etiquetas attacks data-leakage incident-response logging data-recovery