ISO 27001:2022 Anexo A Control 8.15

Orientación sobre la información del registro de eventos

Un evento es cualquier actividad realizada por una entidad física o lógica en un sistema informático, como una solicitud de datos, inicio de sesión remoto, apagado automático del sistema o eliminación de un archivo.

ISO 27001:2022 Anexo A 8.15 establece que para que cada registro de eventos cumpla su propósito, debe contener cinco componentes principales:

• El ID de usuario asociado con la persona.
• La actividad del sistema se puede monitorear para identificar lo que sucedió.
• En una fecha y hora determinadas, ocurrió un evento.
• El evento tuvo lugar en el dispositivo/sistema y se identificó su ubicación.
• Direcciones y protocolos de red – información IP.

Orientación sobre tipos de eventos

Puede que no sea posible registrar cada ocurrencia en una red por razones prácticas. Es posible que no sea posible registrar cada evento.

ISO 27001:2022 Anexo A 8.15 especifica diez eventos que deben registrarse, ya que pueden afectar el riesgo y mantener un nivel apropiado de seguridad de información:

1. Los intentos de acceso al sistema serán rastreados y monitoreados.
2. Se monitorearán los intentos de acceder a datos y/o recursos. Cualquier actividad que se considere sospechosa será denunciada.
3. Alteraciones en la configuración del sistema/SO.
4. El uso de privilegios de alto nivel.
5. Utilizar programas de servicios públicos o instalaciones de mantenimiento (según ISO 27001:2022 Anexo A 8.18).
6. Solicitudes de acceso a archivos, con borrados, migraciones, etc.
7. Control de acceso alarmas e interrupciones importantes.
8. Activación y/o desactivación de sistemas de seguridad front-end y back-end, por ejemplo, software antivirus del lado del cliente y sistemas de protección de firewall.
9. Administración de identidad.
10. Ciertas acciones o modificaciones al sistema/datos realizadas durante una sesión dentro de una aplicación.

Como se describe en el Anexo A 27001 de ISO 2022:8.17, es esencial garantizar que todos los registros estén sincronizados con la misma fuente (o fuentes) de tiempo y, en el caso de registros de aplicaciones de terceros, se deben abordar y documentar cualquier discrepancia de tiempo.

Orientación sobre protección de registros

Los registros son la forma más fundamental de determinar la actividad de los usuarios, los sistemas y las aplicaciones en una red, especialmente cuando se llevan a cabo investigaciones.

Es esencial que las organizaciones garanticen que los usuarios, independientemente de sus niveles de permiso, no puedan eliminar ni modificar sus propios registros de eventos.

Los registros deben ser completos, precisos y estar protegidos contra modificaciones o interrupciones no autorizadas, incluidos:

• Archivos de registro eliminados o editados.
• Modificaciones del tipo de mensaje.
• Se debe evitar no producir un registro o sobrescribir registros debido a problemas de almacenamiento o de red.

ISO advierte que para mejorar la seguridad de la información, los registros deben protegerse con las siguientes técnicas:

• Grabación de sólo lectura.
• Utilización de ficheros públicos de transparencia.
• Hashing criptográfico.
• Grabación de solo agregar.

Las organizaciones pueden requerir el envío de registros a los proveedores para abordar incidentes y fallas. Cuando esto sea necesario, los registros deben “desidentificarse” (según ISO 27001:2022 Anexo A 8.11) con la siguiente información enmascarada:

• Direcciones IP.
• Nombres de host.
• Nombres de usuario.

Para garantizar que la PII esté protegida, se deben tomar medidas de acuerdo con las regulaciones de privacidad de datos de la organización y las leyes existentes (consulte ISO 27001:2022 Anexo A 5.34).

Orientación sobre el análisis de registros

Al evaluar los registros para identificar, abordar y explicar incidentes de seguridad cibernética (con el objetivo de evitar que se repitan), considere lo siguiente:

• El personal que realiza el análisis posee un alto nivel de experiencia.
• Los registros se analizan de acuerdo con el protocolo de la empresa.
• Los eventos a analizar deben ser categorizados e identificados por tipo y atributo.
• Se deben aplicar las excepciones que resulten de reglas de red generadas por software, hardware y plataformas de seguridad.
• La progresión típica del tráfico de la red en contraposición a patrones impredecibles.
• El análisis de datos especializado revela tendencias que son dignas de mención.
• Inteligencia de amenazas.

Orientación sobre el seguimiento de registros

El análisis de registros debe realizarse junto con un exhaustivo actividades de seguimiento que detectan patrones esenciales y comportamientos poco comunes.

Las organizaciones deben adoptar un enfoque doble para alcanzar sus objetivos:

• Revise cualquier intento de acceder a recursos seguros y críticos para el negocio, como servidores de dominio, portales web y plataformas para compartir archivos.
• Examine los registros DNS para identificar cualquier tráfico saliente asociado con fuentes maliciosas y procedimientos perjudiciales del servidor.
• Recopile registros de uso de datos de proveedores de servicios o sistemas internos para reconocer cualquier comportamiento malicioso.
• Recopile registros de puntos de entrada físicos, como registros de tarjetas de acceso/llaves remotas y datos de acceso a las habitaciones.

Información suplementaria

Las organizaciones deberían considerar la posibilidad de utilizar programas de utilidad especializados para examinar la inmensa cantidad de información producida por los registros del sistema, ahorrando así tiempo y recursos al investigar incidentes de seguridad, por ejemplo, una herramienta SIEM.

Si una organización emplea una plataforma basada en la nube para cualquier parte de sus operaciones, la gestión de registros debe ser una responsabilidad compartida entre el proveedor de servicios y la organización.

Controles adjuntos al Anexo A

• ISO 27001:2022 Anexo A 5.34
• ISO 27001:2022 Anexo A 8.11
• ISO 27001:2022 Anexo A 8.17
• ISO 27001:2022 Anexo A 8.18

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 8.15 reemplaza tres controles de ISO 27001:2013 que cubren el almacenamiento, gestión y análisis de archivos de registro:

• 12.4.1 - El registro de eventos
• 12.4.2 – Protección de la información de registro
• 12.4.3 – Registros de administrador y operador

ISO 27001:2022 Anexo A 8.15 alinea en gran medida la orientación de los tres controles discutidos anteriormente, formando un protocolo claro que cubre el registro, junto con algunas adiciones notables como:

• Directrices que abordan la protección de la información de registro de manera ampliada.
• Consejos sobre los diferentes tipos de sucesos que conviene examinar detenidamente.
• Orientación sobre el seguimiento y análisis de registros para mejorar la seguridad de la información.
• Cómo gestionar los registros generados por plataformas basadas en la nube.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.

Cómo ayuda ISMS.online

La plataforma ISMS.online facilita la totalidad de Implementación de ISO 27001, comenzando con las actividades de evaluación de riesgos y concluyendo con el establecimiento de políticas, procedimientos y directrices para cumplir con los criterios de la norma.

ISMS.online proporciona a las organizaciones un camino sencillo hacia el cumplimiento de la norma ISO 27001 a través de su conjunto de herramientas automatizadas. Sus funciones fáciles de usar facilitan la demostración del cumplimiento del estándar.

Ponte en contacto con nosotros ahora para organizar una demostración.