Guía de Implementación del Marco de Ciberseguridad 5.0

SO.7 Registrar y monitorear los eventos de los sistemas

Requisito SO.7Registrar y monitorear los eventos de los sistemas
ObjetivoConocer los eventos relevantes que se suceden en una aplicación o sistema, por ejemplo, inicios de sesión, fallas en los sistemas, eventos de seguridad, etc. Asegurar la protección de los registros de eventos contra modificaciones y/o accesos no autorizados y asegurar los registros de auditoría.
Controles

Nivel 1

  • SO.7-1: están configurados los registros de auditoría y eventos para todos los sistemas definidos como críticos.
  • SO.7-2: se analiza el impacto de los eventos que afectan a los sistemas y servicios más críticos, dentro o fuera del centro de procesamiento de datos.
  • SO.7-3: existe personal con tareas asignadas para la detección de eventos a nivel de sistemas base y de protección perimetral.

Nivel 2

  • SO.7-4: se cuenta con herramientas para la centralización de logs.
  • SO.7-5: los registros están protegidos contra accesos no autorizados y posibles alteraciones.
  • SO.7-6: se establecen los umbrales tolerables de los activos (por ejemplo, tiempo de espera tolerable para una aplicación Web).
  • SO.7-7: los sistemas que soportan los servicios críticos emiten alertas de eventos de forma independiente, basados en las pautas establecidas por el apetito de riesgo de la organización.
  • SO.7-8: se automatizan alertas ante eventos de seguridad de la información. Por ejemplo, permiten alertar cuando los usuarios realizan conexiones fuera de la organización, y la conexión e instalación de dispositivos o software no autorizado en equipos de la organización.
  • SO.7-9: se han definido las responsabilidades y la participación de los roles de TI en las actividades de monitoreo, incluyendo aquellas basadas en herramientas automatizadas.
  • SO.7-10: se establecen los requisitos de retención de los registros de auditoría.
  • SO.7-11: los relojes de todos los sistemas deben estar sincronizados (servidores, aplicaciones, etc.)

Nivel 3

  • SO.7-12: se tiene en cuenta los requisitos de confidencialidad de la información y protección de la privacidad de los datos contenidos en los registros.
  • SO.7-13: se define una política de auditoría y registro de eventos, como por ej. de los sistemas y redes y de configuración y uso de WAF.
  • SO.7-14: están establecidos procedimientos de auditoría y registro de eventos.
  • SO.7-15: se cuenta con herramientas que permitan la correlación de eventos de seguridad de la información.
  • SO.7-16: están establecidos procedimientos de detección y monitoreo.
  • SO.7-17: las actividades de identificación de impacto y determinación de umbrales están contenidas en el procedimiento de detección y monitoreo.
  • SO.7-18: se realizan pruebas periódicas al procedimiento de monitoreo.
  • SO.7-19: se cuenta con mecanismos para revisar las actividades de los administradores.

Nivel 4

  • SO.7-20: se cuenta con herramientas que permitan respuesta automatizada ante incidentes de seguridad de la información.
  • SO.7-21: se realizan actividades de control interno para verificar el cumplimiento con la política y los procedimientos.
  • SO.7-22: el resultado de las revisiones se comunica al RSI y demás partes interesadas.
Guía de implementación

Política de auditoría y registro de eventos y procedimiento asociado
Se debe definir una política de auditoría y registro de eventos que incorpore procedimientos para la gestión y protección de los registros de eventos. Se deberá contar con un procedimiento asociado a la política donde se identifiquen los eventos de los activos a monitorear y se establezcan umbrales tolerables para estos (por ejemplo, tiempo de espera para una aplicación Web, etc.). Se deben identificar las herramientas que se utilizarán para realizar el monitoreo.

La política de auditoría y registro de eventos debe incluir lineamientos para registrar las actividades realizadas por los administradores y operadores del sistema y el control de éstas, por ejemplo, mediante la utilización de un sistema de detección de intrusos que se encuentre administrado fuera del control de administradores de sistemas y redes. 

Asimismo, dicho procedimiento debe contar con los pasos a seguir para la realización de actividades, responsabilidades, etc.

Registro de eventos de sistemas y usuarios
Es recomendable habilitar el registro de eventos a nivel de sistema operativo con el enfoque que la organización determine en función de sus requisitos de seguridad. 

A nivel de usuario, se deben registrar los intentos de inicios de sesión fallidos, acceso y uso de Internet, y eventos relevantes que sucedan en sistemas o aplicaciones críticas. Asimismo, se debe evaluar la viabilidad de utilización de herramientas de apoyo para la gestión de los eventos y alarmas.

Los registros de eventos o la auditoría de los sistemas informáticos deben estar habilitados en función de los requisitos de seguridad y deben centralizarse para facilitar su revisión y estar protegidos contra accesos no autorizados. 

Se debe establecer y gestionar una línea base de operaciones de red y flujos de datos esperados para los usuarios y sistemas.

Los registros de eventos deben ser respaldados fuera de línea en forma periódica.

Revisiones periódicas de los registros
Se debe establecer un procedimiento de revisión periódica de los registros generados y definir los responsables de la realización y periodicidad de las revisiones.

Sincronización de relojes
Los relojes de todos los sistemas de procesamiento de información se pueden sincronizar con una fuente de tiempo exacta (por ejemplo, servidores NTP), esto permite, por ejemplo, el seguimiento y la reconstrucción de las actividades.

Instituciones de saludEn relación con la generación de trazas o “logs”, se debe tener en cuenta lo mencionado en el artículo 13 del decreto 242/017: “Todos los accesos a la historia clínica electrónica deben quedar debidamente registrados y disponibles. La información no podrá ser alterada o eliminada sin que quede registrada la modificación de que se trate. En caso de ser necesaria su corrección, se agregará el nuevo dato con la fecha, hora y firma electrónica del que hizo la corrección, sin suprimir lo corregido."
Instituciones Emisoras de Dinero Electrónico (IEDE)

Se tiene un procedimiento establecido para registrar, controlar, rastrear y restringir el acceso a los datos de pago sensibles.

Se cuenta con mecanismos automatizados para aislar los activos de información afectados en caso de ciberataques, con el fin de minimizar y prevenir el contagio, especialmente en los procesos financieros interconectados.

Guía de evidencia para auditoría
  • Política de auditoría y registro de eventos.
  • Configuración del registro de eventos.
  • Herramientas utilizadas para el monitoreo de los eventos, excepciones y fallas utilizadas y su configuración.
  • Procedimiento de revisión periódica de los registros generados.
  • Procedimiento de detección y monitoreo.
  • Muestra de las revisiones periódicas realizadas durante el período auditado.
  • Muestra de las revisiones realizadas sobre las actividades de los administradores de sistemas y redes en el período auditado.
Normativa asociadaNo aplica

Etiquetas