Los registros en un SGSI basado en la norma ISO 27001

SGSI

Llevar un SGSI es fácil, pero cuando surgen incidentes de seguridad se debe averiguar que ha pasado exactamente, es decir, dónde, quién causó el incidente, etc. Es por esto que se necesita contar con registros y la empresa necesita controlarlos, se puede realizar gracias a la cláusula A.14.2 de la norma ISO 27001. Dicha cláusula proporciona el control de una forma detallada de los registros y el seguimiento.

Cumplir con la legislación de seguridad de información

Contar con un SGSI sin un registro de eventos es un grave error, en algunos casos puede suponer la imposición de sanciones por incumplimiento de la normativa legal en materia de protección de datos personales. Los países en los que existe regulación en cuanto a la protección de datos personales requieren de un registro, como mínimo, de la identificación de cualquier usuario que puede acceder a los datos. Es muy importante encontrarse familiarizado con los reglamentos relacionados con la seguridad de la información que se apliquen en su país.

La idea es bastante simple, si se produce un incidente, debemos determinar lo que está sucediendo, por ejemplo, la hora o fecha de incidente, la gente involucrada, el origen y las causas, etc.

Prevenir el fraude y otros incidentes

Todos los registros deben encontrarse registrados sobre el acceso al sistema, los incidentes, las actividades de cada usuario, etc. por lo que también es muy interesante revisar los registros de forma regular, independientemente de si existe un incidente o no. Esto se utiliza porque nos puede ayudar a analizar todas las tendencias o detectar posibles actividades fraudulentas antes de que se produzcan los incidentes importantes.  Por ejemplo, si existen muchos intentos de intrusión en un determinado sistema crítico de la empresa significa que alguien está intentando acceder sin contar con la autorización necesaria.

Si en los registros del firewall se detectan conexiones externas que quieren acceder a determinados recursos, se puede identificar como signos de posibles intentos de ataques externos.

En última instancia, la información puede ser muy útil para monitorear el SGSI (para saber lo que sucede o esta sucediendo en el funcionamiento de los sistemas de información), además se puede utilizar para obtener información sobre el origen de un incidente o para identificar las tendencias y tomar decisiones que eviten los problemas.

La importancia de la supervisión es tan grande que la mayoría de las aplicaciones facilita la opción de registrar este tipo de funcionalidades. En varios casos, se activa por defecto. La información es muy importante en el análisis forense, ya que puede ser utilizado como prueba de procedimientos judiciales.

Los requisitos de la ISO 27001 para el registro y seguimiento

En el Anexo A de la norma ISO 27001 se encuentra el registro A.12.4 sobre el monitoreo y la subsección que nos ayuda a gestionar la mayor parte de las cuestiones mencionadas hasta ahora en este artículo:

• 4.1: se encarga de registrar información sobre el acceso y las acciones de los usuarios, errores, eventos, etc. en los SGSI. Si en su empresa utilizan diferentes aplicaciones, puede ser interesante para enviar los registros generados por cada uno de ellos en un servidor central. Se puede configurar un servidor que permite centralizar todos los registros en un servidor único.
• 4.2: los registros deben estar protegidos, porque no pueden ser retirados o modificados por personas no autorizadas. Cuando el atacante obtiene acceso a un sistema no autorizado, se elimina toda la información generada por los registros, para eliminar todas las evidencias de las acciones que lleva a cabo. Por lo tanto, se tienen que establecer todas las reglas que facilitan la modificación de los registros solamente por ciertas personas y las medidas de control de acceso al sistema tienen que estar fortificada.
• 4.3: los privilegios de los administradores y los operadores del SGSI tienen diferentes privilegios que los usuarios normales, lo que significa que pueden realizar más acciones en los sistemas. En algunos casos, la actividad no se ha registrado por lo que si un atacante obtiene acceso a un sistema no autorizado es muy probable que quisiera adquirir permisos de administrados y realizar todas las acciones con derechos de usuario que tiene el administrador. El SGSI debe registrar toda la información sobre los usuarios, independientemente de los privilegios que tienen los SGSI.
• 4.4: todos los sistemas se tienen que configurar con la misma fecha y hora, por lo que si se produce un incidente y queremos realizar una prueba de trazabilidad de lo que sucedido en los diferentes sistemas que se encuentran involucrados, puede ser difícil si cada uno tiene una configuración diferente. El escenario ideal es que todos los sistemas tengan el tiempo sincronizado y esto se puede conseguir de una forma automatizada con servidores de tiempo.

Centrarse en los sistemas más sensibles

Hemos comprobado que es muy importante mantener los registros, ya que nos pueden ayudar a controlar nuestros sistemas, y en algunos casos puede ser obligatorio. Hay que tener cuidado con ir demasiado lejos, ya que eso puede ser malo, porque los registros de toda la información que generan los sistemas de una forma incontrolada puede implicar problemas de capacidad.

Se recomienda la identificación de diferentes sistemas críticos y limitar la información que se ofrece durante los accesos, los fallos, los errores, etc. Es muy aconsejable eliminar ciertos registros que se quedan por mucho tiempo y ya no son importantes.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.