Troncos – ya sea en forma de registros de aplicaciones, registros de eventos o información general del sistema – forman una parte clave para obtener una vista de arriba hacia abajo de los eventos de TIC y las acciones de los empleados. Los registros permiten a las organizaciones establecer una línea de tiempo de eventos y examinar patrones tanto lógicos como físicos en toda su red.
Producir información de registro clara y fácilmente obtenible es una parte importante de la estrategia general de TIC de una organización y acompaña a numerosos controles importantes de seguridad de la información contenidos en la norma ISO 27002:2002.
Los registros deben:
Control 8.15 es un detective controlar eso modifica el riesgo adoptando un enfoque de explotación forestal que cumpla los objetivos anteriores.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Detective | #Confidencialidad #Integridad #Disponibilidad | #Detectar | #Gestión de eventos de seguridad de la información | #Proteccion #Defensa |
Control 8.15 se ocupa de las operaciones de TIC que se realizan mediante el acceso del administrador del sistema y se incluyen en el ámbito de la gestión y el mantenimiento de la red. Como tal, la propiedad del Control 8.15 debe recaer en el Jefe de TI o su equivalente organizacional.
Un 'evento' es cualquier acción realizada por una presencia lógica o física en un sistema informático; por ejemplo, una solicitud de datos, un inicio de sesión remoto, un apagado automático del sistema, una eliminación de archivos.
El Control 8.15 especifica que cada registro de eventos individual debe contener 5 componentes principales, para que cumpla su propósito operativo:
A efectos prácticos, puede que no sea factible registrar todos los eventos que ocurren en una red determinada.
Teniendo esto en cuenta, el Control 8.15 identifica los 10 eventos siguientes como particularmente importantes para fines de registro, dada su capacidad para modificar el riesgo y el papel que desempeñan en el mantenimiento de niveles adecuados de seguridad de la información:
Como se explica en Control 8.17, es de vital importancia que todos los registros estén vinculados a la misma fuente de tiempo sincronizada (o conjunto de cursos) y, en el caso de registros de aplicaciones de terceros, cualquier discrepancia de tiempo atendida y registrada.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Los registros son el mínimo común denominador para establecer el comportamiento del usuario, el sistema y la aplicación en una red determinada, especialmente cuando se enfrenta a una investigación.
Por lo tanto, es de vital importancia que las organizaciones se aseguren de que los usuarios, independientemente de sus niveles de permiso, no conserven la capacidad de eliminar o modificar sus propios registros de eventos.
Los registros individuales deben ser completos, precisos y estar protegidos contra cambios no autorizados o problemas operativos, incluidos:
ISO recomienda que, para mejorar la seguridad de la información, los registros se protejan utilizando los siguientes métodos:
Es posible que las organizaciones necesiten enviar registros a los proveedores para resolver incidentes y fallas. Si surgiera esta necesidad, los registros deben "desidentificarse" (ver Control 8.11) y la siguiente información debe enmascararse:
Además de esto, se deben tomar medidas para salvaguardar la información de identificación personal (PII) de acuerdo con los protocolos de privacidad de datos propios de la organización y cualquier legislación vigente (ver Control 5.34).
Al analizar registros con el fin de identificar, resolver y analizar eventos de seguridad de la información, con el objetivo final de prevenir sucesos futuros, se deben tener en cuenta los siguientes factores:
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
El análisis de registros no debe realizarse de forma aislada, sino en conjunto con actividades de monitoreo rigurosas que identifiquen patrones clave y comportamientos anómalos.
Para lograr un enfoque dual, las organizaciones deberían:
Las organizaciones deberían considerar el uso de programas de utilidad especializados que les ayuden a buscar entre las grandes cantidades de información que generan los registros del sistema, para ahorrar tiempo y recursos al investigar incidentes de seguridad, como una herramienta SIEM.
Si una organización utiliza una plataforma basada en la nube para llevar a cabo cualquier parte de su operación, la gestión de registros debe considerarse como una responsabilidad compartida entre el proveedor de servicios y la propia organización.
ISO 27002:2002-8.15 reemplaza tres controles de ISO 27002:2003 que se ocupan del almacenamiento, gestión y análisis de archivos de registro:
27002:2002-8.15 corrobora en gran medida todos los puntos de orientación de los tres controles anteriores en un protocolo claro que se ocupa del registro, con algunas ampliaciones notables, que incluyen (pero no se limitan a):
La plataforma ISMS.Online ayuda con todos los aspectos de la implementación de ISO 27002, desde la gestión de actividades de evaluación de riesgos hasta el desarrollo de políticas, procedimientos y directrices para cumplir con los requisitos de la norma.
Con su conjunto de herramientas automatizadas, ISMS.Online facilita que las organizaciones demuestren el cumplimiento de la norma ISO 27002.
Contáctenos hoy para programa una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
