¿Cuánto tiempo he de mantener los registros de auditoría de mis sistemas?
Es habitual oír hablar de que cualquier solución de auditoria es suficiente para tener control sobre nuestros sistemas y poder detectar irregularidades de comportamiento de los usuarios, así como accesos no autorizados a nuestra información.
Quien tiene que someterse a regulaciones, que somos todas las empresas, piensa que con retener esos datos durante un periodo corto de tiempo es más que suficiente.
En cualquiera de los dos supuestos tenemos un sesgo, una mirada cortoplacista en cuanto a seguridad y regulaciones.
Muchas de las soluciones en cloud disponen de guardado de auditoría, pero la retención máxima de “serie” suele ser 60 días en el peor de los casos y 180 días en el mejor. Esa información no puede ser almacenada de por vida en esos sistemas cloud; implica un coste de almacenamiento, de energía, de respaldo de datos, etc y, por supuesto, un coste humano para mantenerlo. Todo ello hace que se limite el almacenamiento, reescribiendo los eventos de auditoria antiguos a medida que se van generando nuevos.
Desde el punto de vista empresarial puede ser suficiente, pero eso no es real, y te preguntarás, ¿por qué?
Esta afirmación es relativamente sencilla de sostener, debido a que, por regulaciones, nos obligan a mantener entre 1 y 3 años esos registros por si algún auditor tiene que realizar alguna consulta.
No menos importante es por nuestra seguridad, debido a que podemos darnos cuenta de un incidente que ocurriera 1 año atrás y si no disponemos de esa retención de la información, no podremos investigar y saber que pasó.
Igualmente, en nuestros sistemas onpremise, tenemos que guardar esa información, y no solo guardarla, sino entenderla. En nuestro Directorios Activos disponemos de visor de eventos y otros registros, que en muchos casos son difíciles de interpretar. Su periodo de retención es mucho menor, que, sumado a la la forma en que interactúan los administradores de sistemas que para liberar recursos, en ocasiones y sin malicia, pueden eliminar esa información de un plumazo.
¿Como nos protegemos de lo anterior? La respuesta en con una solución de auditoría que guarde la información de nuestros sistemas, como Microsoft Copilot (antes Microsoft 365), AWS, Google WorkSpace, Azure, etc. Pero, por otro lado, también hemos de guardar los eventos generados en nuestro Directorio Activo, Windows File Servers o cabinas como Netapp.
¿Qué solución de auditoría escoger?
Esta es la gran pregunta. La mayoría de los sistemas de auditoría que te libran de tener infraestructura onpremise, pueden ser cómodos, acceso web, con roles de acceso etc, pero ¿son eficaces?
Hay que tener en cuenta, que al igual que los fabricantes de soluciones en la nube, no guardan los registros durante un periodo que nos puedan interesar, las soluciones de auditoria en cloud tienen el mismo problema, tampoco pueden guardar esos registros durante tiempo indefinido. Para minimizar este importante impacto del periodo de retención ofrecen planes adicionales para ampliarlo, con el sobre coste añadido que conlleva.
Otro dato a tener en cuenta es donde se almacenan estos datos en la nube, más con los tiempos que corren y las tensiones geopolíticas que tenemos en la actualidad. La teoría nos indica que esos datos se guardan en Europa, pero en todos estos fabricantes que ofrecen soluciones de auditoría, ¿tenemos la seguridad de que se cumple?, ¿tenemos manera de comprobarlo?.
Por último, ¿tenemos securizados esos datos para que sean accesible únicamente por la empresa que los contrata?, ¿pueden garantizar que el fabricante no acceda a visionar esa información sin nuestro consentimiento? ¿Tienen herramientas de seguridad que protejan el acceso no autorizado a esos datos por algún ataque? Poco a poco todo se va complicando…
Seguimos creyendo que el modelo mixto de sistemas onpremise y en cloud, hoy en día, es el más ventajoso para nuestro trabajo diario y estamos convencidos. Pero, cuando hablamos de auditoría de sistemas, es más que conveniente tener los datos en nuestro data center, onpremise, bajo nuestro control.
Nosotros decidimos que auditar o no, la retención de esos datos, quien accede a esa información, si queremos archivarlos para un posterior acceso en caso de tener que realizar alguna acción forense o si algún auditor quiere acceder a esa información cuando estamos obteniendo o renovando alguna certificación.
Nosotros apostamos por Lepide DSP, la solución de auditoria OnPremise, que tiene repuesta a todo lo anterior, los instalamos en nuestras instalaciones, configuramos como mejor se adapte a nuestras necesidades, en cuanto qué auditar, generar alarmas, programar informes, accesos condicionados via web, etc.
Por otro lado, dispondrás de la seguridad que los datos los controlas tú en cuanto a copias de seguridad archivado de BBDD, etc, un control total sobre ello.
Estaremos encantados de ayudarte en esta tarea y ampliarte información al respecto