👉¿Qué es un SIEM?
R: Un SIEM (Security Information and Event Management, por sus siglas en inglés) es un sistema que te ayuda a centralizar el almacenamiento y la gestión de eventos de seguridad.
👉¿Tener un SIEM para la gestión de logs es obligatorio?
R: No, no es obligatorio, es una recomendación de buenas prácticas.
👉Recomendaciones de herramientas SIEM.
R: Algunas de las herramientas más recomendables son:
IBM QRadar
SolarWinds
Splunk
Elastic Security
InsightsIDR
Cloudwatch
👉¿Por cuánto tiempo deben resguardarse los logs?
R: La ISO 27001 no define un tiempo específico, pero las mejores prácticas indican que deben resguardarse por lo menos por un año. Esto se relaciona con las revisiones periódicas de la documentación y evidencias del SGSI, las cuales también deben llevarse a cabo al menos una vez al año.
👉¿Cómo aplica el punto del NTP cuando se tiene AWS y no se puede configurar este protocolo ya que no tenemos un servidor si no que solo hacemos uso de servicios como los lambdas?
R: Un NTP se puede configurar tanto en servidores físicos como lógicos, e incluso directamente en una máquina virtual, por lo que se debe asegurar que los servicios que está ejecutando sobre AWS tengan el horario homologado con base en algo; NTP del proveedor, NTP propio, etcétera.
Tomando como referencia la documentación de AWS sobre la configuración de los lambda, se obtiene que ésta está basada en:
Variables de entorno reservadas: no se puede establecer una configuración de la función.
Variables de entorno sin reserva: pueden ampliarse en la configuración de la función.
Dentro de las variables de entorno reservadas está la variable "TZ", que indica lo siguiente:
TZ: la zona horaria del entorno (UTC). El entorno de ejecución utiliza NTP para sincronizar el reloj del sistema.
Ahora bien, para cubrir el lineamiento ante el auditor, dentro de la Política de Gestión de Logs se debería indicar algo similar a lo siguiente:
“La empresa consume recursos / servicios de AWS y éstos se rigen por el NTP que ofrece el mismo proveedor”.