SO.7 Registrar y monitorear los eventos de los sistemas
Requisito SO.7 | Registrar y monitorear los eventos de los sistemas |
---|---|
Objetivo | Conocer los eventos relevantes que se suceden en una aplicación o sistema, por ejemplo, inicios de sesión, fallas en los sistemas, eventos de seguridad, etc. Asegurar la protección de los registros de eventos contra modificaciones y/o accesos no autorizados y asegurar los registros de auditoría. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Política de auditoría y registro de eventos y procedimiento asociado La política de auditoría y registro de eventos debe incluir lineamientos para registrar las actividades realizadas por los administradores y operadores del sistema y el control de éstas, por ejemplo, mediante la utilización de un sistema de detección de intrusos que se encuentre administrado fuera del control de administradores de sistemas y redes. Asimismo, dicho procedimiento debe contar con los pasos a seguir para la realización de actividades, responsabilidades, etc. Registro de eventos de sistemas y usuarios A nivel de usuario, se deben registrar los intentos de inicios de sesión fallidos, acceso y uso de Internet, y eventos relevantes que sucedan en sistemas o aplicaciones críticas. Asimismo, se debe evaluar la viabilidad de utilización de herramientas de apoyo para la gestión de los eventos y alarmas. Los registros de eventos o la auditoría de los sistemas informáticos deben estar habilitados en función de los requisitos de seguridad y deben centralizarse para facilitar su revisión y estar protegidos contra accesos no autorizados. Se debe establecer y gestionar una línea base de operaciones de red y flujos de datos esperados para los usuarios y sistemas. Los registros de eventos deben ser respaldados fuera de línea en forma periódica. Revisiones periódicas de los registros Sincronización de relojes |
Instituciones de salud | En relación con la generación de trazas o “logs”, se debe tener en cuenta lo mencionado en el artículo 13 del decreto 242/017: “Todos los accesos a la historia clínica electrónica deben quedar debidamente registrados y disponibles. La información no podrá ser alterada o eliminada sin que quede registrada la modificación de que se trate. En caso de ser necesaria su corrección, se agregará el nuevo dato con la fecha, hora y firma electrónica del que hizo la corrección, sin suprimir lo corregido." |
Instituciones Emisoras de Dinero Electrónico (IEDE) | Se tiene un procedimiento establecido para registrar, controlar, rastrear y restringir el acceso a los datos de pago sensibles. Se cuenta con mecanismos automatizados para aislar los activos de información afectados en caso de ciberataques, con el fin de minimizar y prevenir el contagio, especialmente en los procesos financieros interconectados. |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |