Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Política de auditoría y registro de eventos y procedimiento asociado

Se debe definir una política de auditoría y registro de eventos que incorpore procedimientos para la gestión y protección de los registros de eventos. Se debería contar con un procedimiento asociado a la política donde se identifiquen los eventos de los activos a monitorear y se establezcan umbrales tolerables para estos (por ejemplo, tiempo de espera para una aplicación Web, etc.). Se deben identificar las herramientas que se utilizarán para realizar el monitoreo. 
La política de auditoría y registro de eventos debe incluir lineamientos para registrar las actividades realizadas por los administradores y operadores del sistema y el control de éstas, por ejemplo, mediante la utilización de un sistema de detección de intrusos que se encuentre administrado fuera del control de administradores de sistemas y redes. 
Asimismo, dicho procedimiento debe contar con los pasos a seguir para la realización de actividades, responsabilidades, etc.

Registro de eventos de sistemas y usuarios

Es recomendable habilitar el registro de eventos a nivel de sistema operativo con el enfoque que la organización determine en función de sus requisitos de seguridad. 
A nivel de usuario, se deberían registrar los intentos de inicios de sesión fallidos, acceso y uso de Internet, y eventos relevantes que sucedan en sistemas o aplicaciones críticas. Asimismo, se debería evaluar la viabilidad de utilización de herramientas de apoyo para la gestión de los eventos y alarmas.
Los registros de eventos o la auditoría de los sistemas informáticos deben estar habilitados en función de los requisitos de seguridad y deberían centralizarse para facilitar su revisión y estar protegidos contra accesos no autorizados. 
Se debería establecer y gestionar una línea base de operaciones de red y flujos de datos esperados para los usuarios y sistemas.
Los registros de eventos deben ser respaldados fuera de línea en forma periódica.

Revisiones periódicas de los registros

Se debe establecer un procedimiento de revisión periódica de los registros generados y definir los responsables de la realización y periodicidad de las revisiones. 

Sincronización de relojes

Los relojes de todos los sistemas de procesamiento de información se pueden sincronizar con una fuente de tiempo exacta (por ejemplo, servidores NTP), esto permite, por ejemplo, el seguimiento y la reconstrucción de las actividades.

En relación con la generación de trazas o “logs”, se debe tener en cuenta lo mencionado en el artículo 13 del decreto 242/017: “Todos los accesos a la historia clínica electrónica deben quedar debidamente registrados y disponibles. La información no podrá ser alterada o eliminada sin que quede registrada la modificación de que se trate. En caso de ser necesaria su corrección, se agregará el nuevo dato con la fecha, hora y firma electrónica del que hizo la corrección, sin suprimir lo corregido.”

• Política de auditoria y registro de eventos.
• Configuración del registro de eventos. 
• Herramientas utilizadas para el monitoreo de los eventos, excepciones y fallas utilizadas y su configuración.
• Procedimiento de revisión periódica de los registros generados.
• Procedimiento de detección y monitoreo.
• Muestra de las revisiones periódicas realizadas durante el período auditado.
• Muestra de las revisiones realizadas sobre las actividades de los administradores de sistemas y redes en el período auditado.