Ir al contenido principal

Procedimiento de Gestión de Logs (para SGIA)

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO/IEC 42001:2023: A.6.2.6, A.6.2.8

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para llevar a la práctica los lineamientos previamente definidos en la política, y hacer un proceso operativo real y repetible.

Mientras la política define el "qué" y el "porqué" de la gestión de logs, este procedimiento establece el "cómo", "quién" y "cuándo" se realizan las tareas de supervisión.

Además, esta actividad te permitirá:

  • Asegurar la consistencia: Garantiza que la revisión de logs se realice siempre de la misma manera y con la misma frecuencia, independientemente de quién la ejecute.

  • Crear un flujo de trabajo claro: Define el camino que sigue una anomalía desde que es una simple "alerta" en un log, hasta que se convierte en un "incidente" formalmente gestionado.

  • Generar evidencia de supervisión activa: Para un auditor, este documento y los registros que se derivan de él son la prueba de que no solo recolectas logs, sino que los analizas activamente para proteger a la organización.

¿Qué tengo que hacer? 🚀

Para elaborar este procedimiento te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca. Una vez leídos ambos recursos, debes asegurar que el procedimiento se encuentre alineado a tus operaciones.

💡 Recordemos que los logs son registros de las actividades realizadas por los usuarios en todos los sistemas, aplicaciones, tecnologías de la información, servicios de nube, etcétera usados por la empresa.

Y para documentar este procedimiento te recomendamos considerar por lo menos las siguientes tareas:

  1. Definición de logs a supervisar.

  2. Configuración de logs en sistema.

  3. Revisión de logs.

  4. Análisis de alertas.

  5. Revisión y registro.

  6. Cierre de eventos.

A continuación, te explicamos con mayor detalle el propósito de las etapas que encontrarás en el template:

  • Definición de los logs a supervisar. Aquí debes identificar la información que necesitas recolectar de cada sistema la cual te permita realizar un análisis adecuado, si es necesario, para detectar actividad sospechosa.

    • Algunos ejemplos típicos de logs a supervisar son inicios de sesión no autorizados, errores en dispositivos de red, datos exportados, instalación de nuevos servicios, creación de nuevas cuentas, etcétera.

    • Además, se refuerza un requisito técnico fundamental: la sincronización de relojes de todos los sistemas, que es vital para poder correlacionar eventos y reconstruir la línea de tiempo de un incidente.

  • Configuración de los registros (si aplica). Este paso es principalmente para las organizaciones que utilizan una herramienta centralizada de gestión de logs (conocida como SIEM).

    • Aquí se debe documentar la configuración de dicha herramienta, incluyendo la definición de umbrales y criterios para que se generen alertas automáticas cuando se detecte una actividad sospechosa.

  • Revisión de registros de logs. Podríamos decir que esta es la tarea periódica más importante del procedimiento, y nuestro template te da dos opciones para abordarla, pero debes adaptarlo a tu realidad:

    • Opción A (centralizada): Es la más adecuada si se cuenta con una herramienta central para revisar las alertas.

    • Opción B (manual): Es la opción adecuada si el responsable debe ingresar a cada sistema por separado para revisar los logs.

  • Notificación y análisis de alertas. Este es el inicio del proceso de respuesta. Y dentro del procedimiento se debe establecer la manera correcta para notificar eventos o actividades sospechosas dentro del sistema. Luego, será necesario definir cómo se debe hacer un primer análisis para entender la gravedad del evento y decidir los siguientes pasos.

    • Dentro de nuestro template, estas tareas se establecen en pasos independientes.

  • Revisión y registro del evento. En esta etapa, este procedimiento hace conexión con la gestión de incidentes, ya que si el análisis determina que la alerta corresponde a un evento significativo, se le debe dar tratamiento y generar el registro pertinente de la información. Y para ello se recomienda considerar las siguientes tareas:

    • Definir los pasos formales para registrarlo. Para esto, puedes apoyarte de nuestro módulo de Incidentes.

    • Documentar la información clave que debe contener el registro para asegurar una investigación completa.

    • Además, también se debe considerar información clave dentro del registro y la generación de evidencia de las acciones realizadas para crear una base de conocimiento robusta que permita preparar al equipo en eventos similares en el futuro.

  • Cierre del evento. En la última etapa del procedimiento, se deben establecer las acciones pertinentes para asegurar que se realizó el análisis e investigación adecuados sobre el comportamiento inusual reportado, y que se tomaron las medidas de seguridad para mitigar o remediar la situación.

Recuerda que nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero es de suma importancia que lo revises y ajustes al contexto de tu empresa, ¡debe reflejar la realidad de las operaciones de tu organización!

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Asegúrate que las revisiones de logs se realicen con la frecuencia definida y que se deje evidencia de ello (aunque sea un simple checklist). La falta de revisiones periódicas es un hallazgo común en las auditorías.

  • Aunque la revisión manual es válida para cumplir, te recomendamos ampliamente si te es posible, implementar una herramienta de centralización de logs. Ahorra tiempo, mejora drásticamente la capacidad de detección y es muy valorado por los auditores.

  • Es una buena práctica llevar un registro de las revisiones de logs, incluso si no se encontró nada sospechoso. Un simple "Revisión de logs del día X, sin novedades" demuestra que el proceso se está ejecutando.

  • El objetivo no es ahogarse en un mar de notificaciones. Trabaja con tu equipo técnico para afinar las reglas de las alertas automáticas, de modo que solo salten por eventos que realmente requieran atención.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!

Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
30. Procedimiento de Gestión de Logs
43. Procedimiento de Gestión de Logs
Política de Gestión de Logs (para SGIA)
Política de Gestión de Logs
Procedimiento de Gestión de Logs
¿Ha quedado contestada tu pregunta?