Blog B-SECURE

¿Cómo proteger el ciclo de vida de los logs?

logs-1La seguridad informática debe contemplar todos los elementos tecnológicos involucrados en la operación de IT que se busca proteger, incluso se debe tener en cuenta las propias herramientas de seguridad que se integren al ecosistema tecnológico para protegerlo, ya que ellas mismas pueden abrir nuevas brechas de seguridad o ser directamente objeto de ataque.

El SIEM, se considera el núcleo central de seguridad en una empresa, es el punto donde convergen las diferentes informaciones (logs), provenientes de todos los tipos de tecnologías, que permiten detectar, neutralizar y responder los ataques informáticos, prácticamente en tiempo real. Aun así, la propia plataforma de SIEM puede ser atacada o verse comprometida, si no se presta atención a la seguridad del sistema, que protege la seguridad.

Recomendaciones para proteger el ciclo de vida de los logs y la información

Uno de los puntos más sensibles de una plataforma SIEM es el que involucra los procesos de transmisión y almacenamiento de los logs. Para ello, existen algunas recomendaciones básicas fundamentales y de fácil implementación para proteger el ciclo de vida de los logs (disponibilidad) y proteger la información (integridad y confidencialidad) contenida en ellos.

[TAMBIÉN LE PUEDE INTERESAR VER: 7 razones por las que los usuarios de SIEM se estan cambiando a LogRhythm]

  1. En primer lugar, se debe evitar que los registros de log contengan informaciones confidenciales, como contraseñas o cualquier otro dato sensible para la organización, recuerde que lo verdaderamente importante para el proceso de correlación, es contar con información que permita detectar comportamientos anómalos o desviaciones de los comportamientos normales que procedan de fuentes que puedan ser correlacionadas.

  2. La transmisión de los logs debe hacerse a través de un medio cifrado y aplicarse todas las consideraciones de protección de data en movimiento.

  3. Cualquier desarrollo realizado para el envío, recepción y análisis de los logs debe diseñarse bajo criterios de seguridad y debe ser probado para garantizar que dichos desarrollos no presentan brechas de seguridad o vulnerabilidades que pudieran ser explotadas.

  4. Como sucede con la protección de cualquier tipo de información, el acceso a los archivos de registros debe otorgarse de acuerdo con una clasificación rigurosa de perfiles, para restringirlo únicamente a aquellos usuarios que, por sus funciones requieren dicho acceso.

  5. De igual forma debe estar claramente establecido el uso que cada usuario puede hacer sobre este tipo de informaciones, de acuerdo con la función del usuario dentro de la organización.

  6. Toda la información que se encuentre almacenada dentro de nuestra plataforma de SIEM, debe cumplir con cifrado fuerte, en especial en los discos y las bases de datos. No olvide contar también con respaldo (Backup) de estas informaciones.

  7. Los procedimientos operativos y de auditoria deben contemplar que las consultas no permitan la modificación de las informaciones (integridad) y en el caso de las operaciones autorizadas de cambio y eliminación de los registros de logs de nuestro SIEM, siempre deben ser monitoreados y auditados.

    [TAMBIÉN LE PUEDE INTERESAR VER: ¿Para qué sirven los CSOC en una organización?]