Registro y supervisión insuficientes

El registro y la supervisión son a menudo una idea tardía cuando algo ya ha ido mal, pero en realidad, no asegurarse de que hay un registro y supervisión adecuados puede ser muy costoso. 

En un extremo, cuando se produce un incidente (relacionado con la seguridad o no), tener pocos registros o ninguno hace imposible averiguar qué ha ocurrido realmente. En el otro extremo, registrar demasiados datos puede dar lugar a problemas de privacidad que, a su vez, pueden dar lugar a problemas con los reguladores.

A continuación, repasaremos algunas de las mejores prácticas que pueden ayudarle a mejorar el registro y la supervisión. 

Buenas prácticas

Veamos algunas de las mejores prácticas para un buen registro y supervisión.

Registro de auditoría para funciones sensibles

Es importante crear registros de auditoría para eventos sensibles como intentos de inicio de sesión (tanto si los intentos tuvieron éxito como si no), cambios de cuenta de usuario, acceso/cambio de datos sensibles y otros casos similares. Esto es válido tanto para el acceso de usuarios generales como para el de usuarios internos/administrativos. 

El registro de estas cosas adquiere una gran relevancia en los casos en los que se cree que se ha producido un acceso no autorizado, independientemente de si se trata de alguien de dentro o de fuera. 

Cuando se produce un suceso de este tipo, es fundamental poder contabilizar a qué datos accedió quién, para comprender la escala y el alcance del suceso.

Registro de errores

Disponer de registros de errores y advertencias no es sólo una buena práctica general de ingeniería para supervisar la salud de la aplicación, sino que también puede actuar como señal de advertencia. 

Cuando un atacante está en el proceso de descubrir una vulnerabilidad, a menudo generará un gran volumen de errores y advertencias que pueden darte una indicación de que un atacante puede haber encontrado una vulnerabilidad en tu aplicación.

Almacenar los registros en un lugar centralizado

Los registros siempre deben transmitirse y almacenarse en un lugar centralizado en tiempo real. Esto es tanto para asegurar que los registros están inmediatamente disponibles para su análisis por un SIEM, como para evitar que un atacante que pueda haber comprometido un servidor sea capaz de modificar o borrar los registros. 

Conservar los registros durante un periodo de tiempo determinado

La desafortunada realidad es que la mayoría de las violaciones tardan días en detectarse y, de hecho, el 20% de las violaciones tardan meses en detectarse. Cuando el tiempo que transcurre desde que se produce la violación hasta que se detecta es tan largo, los registros pueden ser a menudo la única fuente de datos a nuestra disposición para determinar lo que puede haber sucedido.

Por ello, es muy importante almacenar los registros durante un periodo de tiempo bien definido. Normas como la PCI exigen que los registros sean accesibles sin apenas demora, con una antigüedad de 3 meses, mientras que los registros con una antigüedad de 12 meses deben poder restaurarse cuando se soliciten. 

Este enfoque logra un buen equilibrio entre la posibilidad de empezar a investigar fácilmente un posible incidente y la gestión de los costes mediante el almacenamiento en frío de los registros. 

Auditoría periódica de los registros en busca de PII

Los registros son magníficos para investigar posibles incidentes, pero la realidad es que los propios registros también pueden provocar un incidente. 

Existe un delicado equilibrio entre incluir la información necesaria para poder investigar incidentes y registrar demasiada. Es bastante fácil incluir accidentalmente IIP en los registros, lo que puede causar problemas con la normativa sobre privacidad.

Es importante auditar periódicamente los registros en busca de IIP y asegurarse de que se eliminan.

‍