Propósito del Control 8.15
Logs – ya sea en forma de registros de aplicaciones, registros de eventos o información general del sistema – forman una parte clave para obtener una vista de arriba hacia abajo de los eventos de TIC y las acciones de los empleados. Los registros permiten a las organizaciones establecer una línea de tiempo de eventos y examinar patrones tanto lógicos como físicos en toda su red.
Producir información de registro clara y fácilmente obtenible es una parte importante de la estrategia general de TIC de una organización y acompaña a numerosos controles importantes de seguridad de la información contenidos en la norma ISO 27002:2002.
Los registros deben:
- Registrar eventos.
- Recolectar evidencia.
- Proteger su propia integridad.
- Proteger los datos de registro contra el acceso no autorizado.
- Identificar acciones y eventos que podrían conducir a una brecha de seguridad/información.
- Actuar como herramienta de apoyo a las investigaciones internas y externas.
Tabla de Atributos de Control 8.15
Control 8.15 es un detective controlar eso modifica el riesgo adoptando un enfoque de explotación forestal que cumpla los objetivos anteriores.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Detective | #Confidencialidad | #Detectar | #Gestión de eventos de seguridad de la información | #Proteccion |
| #Integridad | #Defensa | |||
| #Disponibilidad |
Propiedad del Control 8.15
Control 8.15 se ocupa de las operaciones de TIC que se realizan mediante el acceso del administrador del sistema y se incluyen en el ámbito de la gestión y el mantenimiento de la red. Como tal, la propiedad del Control 8.15 debe recaer en el Jefe de TI o su equivalente organizacional.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación: información del registro de eventos
Un 'evento' es cualquier acción realizada por una presencia lógica o física en un sistema informático; por ejemplo, una solicitud de datos, un inicio de sesión remoto, un apagado automático del sistema, una eliminación de archivos.
El Control 8.15 especifica que cada registro de eventos individual debe contener 5 componentes principales, para que cumpla su propósito operativo:
- ID de usuario: quién o qué cuenta realizó las acciones.
- Actividad del sistema: qué pasó
- Marcas de tiempo: fecha y hora de dicho evento
- Identificadores y ubicación del dispositivo y del sistema: en qué activo ocurrió el evento
- Direcciones y protocolos de red: información de IP
Orientación: tipos de eventos
A efectos prácticos, puede que no sea factible registrar todos los eventos que ocurren en una red determinada.
Teniendo esto en cuenta, el Control 8.15 identifica los 10 eventos siguientes como particularmente importantes para fines de registro, dada su capacidad para modificar el riesgo y el papel que desempeñan en el mantenimiento de niveles adecuados de seguridad de la información:
- Intentos de acceso al sistema.
- Intentos de acceso a datos y/o recursos.
- Cambios en la configuración del sistema/SO.
- Uso de privilegios elevados.
- Uso de programas de servicios públicos o instalaciones de mantenimiento (ver Control 8.18).
- Solicitudes de acceso a archivos y lo que ocurrió (eliminación, migración, etc.).
- Control de acceso, alarmas e interrupciones críticas.
- Activación y/o desactivación de sistemas de seguridad front-end y back-end, como software antivirus del lado del cliente o sistemas de protección firewall.
- Trabajos de administración de identidad (tanto física como lógica).
- Ciertas acciones o alteraciones del sistema/datos realizadas como parte de una sesión dentro de una aplicación.
Como se explica en Control 8.17, es de vital importancia que todos los registros estén vinculados a la misma fuente de tiempo sincronizada (o conjunto de cursos) y, en el caso de registros de aplicaciones de terceros, cualquier discrepancia de tiempo atendida y registrada.
Orientación: protección de registros
Los registros son el mínimo común denominador para establecer el comportamiento del usuario, el sistema y la aplicación en una red determinada, especialmente cuando se enfrenta a una investigación.
Por lo tanto, es de vital importancia que las organizaciones se aseguren de que los usuarios, independientemente de sus niveles de permiso, no conserven la capacidad de eliminar o modificar sus propios registros de eventos.
Los registros individuales deben ser completos, precisos y estar protegidos contra cambios no autorizados o problemas operativos, incluidos:
- Modificaciones del tipo de mensaje.
- Archivos de registro eliminados o editados.
- Cualquier falla al generar un archivo de registro o sobrescritura innecesaria de archivos de registro debido a problemas predominantes con los medios de almacenamiento o el rendimiento de la red.
ISO recomienda que, para mejorar la seguridad de la información, los registros se protejan utilizando los siguientes métodos:
- Hashing criptográfico.
- Grabación de solo agregar.
- Grabación de sólo lectura.
- Utilización de ficheros públicos de transparencia.
Es posible que las organizaciones necesiten enviar registros a los proveedores para resolver incidentes y fallas. Si surgiera esta necesidad, los registros deben "desidentificarse" (ver Control 8.11) y la siguiente información debe enmascararse:
- Nombres de usuario
- Direcciones IP
- Nombres de host
Además de esto, se deben tomar medidas para salvaguardar la información de identificación personal (PII) de acuerdo con los protocolos de privacidad de datos propios de la organización y cualquier legislación vigente (ver Control 5.34).
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Orientación: análisis de registros
Al analizar registros con el fin de identificar, resolver y analizar eventos de seguridad de la información, con el objetivo final de prevenir sucesos futuros, se deben tener en cuenta los siguientes factores:
- La experiencia del personal que realiza el análisis.
- Cómo se analizan los registros, de acuerdo con el procedimiento de la empresa.
- El tipo, categoría y atributos de cada evento que requiere análisis.
- Cualquier excepción que se aplique a través de reglas de red que surjan de plataformas y hardware de software de seguridad.
- El flujo predeterminado de tráfico de red, en comparación con patrones inexplicables.
- Tendencias que se identifican como resultado del análisis de datos especializados.
- Inteligencia de amenazas.
Guía: monitoreo de registros
El análisis de registros no debe realizarse de forma aislada, sino en conjunto con actividades de monitoreo rigurosas que identifiquen patrones clave y comportamientos anómalos.
Para lograr un enfoque dual, las organizaciones deberían:
- Revise cualquier intento de acceder a recursos seguros y/o críticos para el negocio, incluidos servidores de dominio, portales web y plataformas para compartir archivos.
- Examine los registros de DNS para descubrir tráfico saliente vinculado a fuentes maliciosas y operaciones dañinas del servidor.
- Recopile informes de uso de datos de proveedores de servicios o plataformas internas para identificar actividades maliciosas.
- Recopile registros de puntos de acceso físicos, como registros de tarjetas de acceso o llaveros e información de acceso a las habitaciones.
Información suplementaria
Las organizaciones deberían considerar el uso de programas de utilidad especializados que les ayuden a buscar entre las grandes cantidades de información que generan los registros del sistema, para ahorrar tiempo y recursos al investigar incidentes de seguridad, como una herramienta SIEM.
Si una organización utiliza una plataforma basada en la nube para llevar a cabo cualquier parte de su operación, la gestión de registros debe considerarse como una responsabilidad compartida entre el proveedor de servicios y la propia organización.
Controles de apoyo
- 5.34
- 8.11
- 8.17
- 8.18
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Cambios y diferencias con respecto a ISO 27002:2013
ISO 27002:2002-8.15 reemplaza tres controles de ISO 27002:2003 que se ocupan del almacenamiento, gestión y análisis de archivos de registro:
- 12.4.1 – Registro de eventos
- 12.4.2 – Protección de la información de registro
- 12.4.3 – Registros de administrador y operador
27002:2002-8.15 corrobora en gran medida todos los puntos de orientación de los tres controles anteriores en un protocolo claro que se ocupa del registro, con algunas ampliaciones notables, que incluyen (pero no se limitan a):
- Un conjunto ampliado de directrices que tratan de la protección de la información de registro.
- Orientación adicional sobre los diversos tipos de eventos que deben considerarse para su escrutinio.
- Orientación sobre cómo se deben monitorear y analizar los registros en un esfuerzo conjunto para mejorar la seguridad de la información.
- Asesoramiento sobre cómo gestionar los registros producidos por plataformas basadas en la nube.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
La plataforma ISMS.Online ayuda con todos los aspectos de la implementación de ISO 27002, desde la gestión de actividades de evaluación de riesgos hasta el desarrollo de políticas, procedimientos y directrices para cumplir con los requisitos de la norma.
Con su conjunto de herramientas automatizadas, ISMS.Online facilita que las organizaciones demuestren el cumplimiento de la norma ISO 27002.
Contáctenos hoy para programa una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
