Política de registro y monitorización

La Política de registro y monitorización (P22) establece un marco sólido y aplicable para capturar y analizar eventos del sistema y eventos de seguridad en todo el entorno de TI de la organización. El propósito principal de esta política es respaldar una detección de anomalías eficaz, una respuesta rápida ante amenazas, la investigación forense, la preparación para auditoría y un estricto cumplimiento legal. Para lograr estos objetivos, la política establece mandatos claros para generar, conservar y proteger archivos de registro, con un enfoque en la correlación precisa de eventos mediante la sincronización horaria en todo el sistema. El alcance de la política es amplio. Incluye todo tipo de infraestructura, en las instalaciones, nube (IaaS, PaaS, SaaS), entornos híbridos, así como sistemas operativos, bases de datos, aplicaciones, dispositivos de red y sistemas de seguridad especializados como SIEM y cortafuegos. La política se aplica a un amplio conjunto de partes interesadas, incluidos usuarios de sistemas y usuarios administrativos, Operaciones de TI, equipos del Centro de operaciones de seguridad (SOC), desarrolladores de software, propietarios de aplicaciones y proveedores terceros de servicios. Cada uno de estos grupos tiene responsabilidades específicas, como garantizar la captura de archivos de registro, verificar la integridad de los archivos de registro, integrar archivos de registro con sistemas centrales de monitorización y apoyar las funciones de auditoría y cumplimiento. Los objetivos están claramente definidos y abarcan el ciclo de vida completo de los datos de eventos. Todos los sistemas críticos deben generar y conservar archivos de registro que detallen el acceso de usuarios, actividades privilegiadas, cambios de configuración, fallos, detecciones de software malicioso y eventos de red, garantizando el cumplimiento de las obligaciones reglamentarias y requisitos contractuales. Los archivos de registro deben protegerse frente a la manipulación o eliminación no autorizadas, con uso obligatorio de canales cifrados para el reenvío de archivos de registro. Se requiere agregación y correlación centralizadas mediante un SIEM seguro, lo que permite seguimiento cooperativo, escalado basado en reglas y respuesta a incidentes casi en tiempo real. La política también introduce requisitos estrictos de sincronización horaria mediante NTP, lo que permite una correlación precisa entre sistemas y un análisis forense fiable. Los requisitos de gobernanza establecen la necesidad de una norma de registro y monitorización, que define tipos de eventos, activos críticos, periodos de conservación de registros y formatos de archivos de registro, garantizando una aplicación coherente en toda la organización. En caso de que los sistemas no puedan cumplir los requisitos de registro por limitaciones técnicas, debe presentarse una solicitud de excepción de registro (LER) formal, evaluarse formalmente y revisarse periódicamente para mantener los riesgos en niveles aceptables. El cumplimiento es obligatorio para todo el personal y se verifica mediante auditorías periódicas, con sanciones severas, incluida la retirada del entorno de producción, el escalado a RR. HH. o acciones legales, ante infracciones deliberadas de la política. Por último, esta política está profundamente alineada con las normas internacionales y marcos regulatorios actuales, incluidos ISO/IEC 27001:2022 y 27002:2022, NIST SP 800-53 Rev.5, GDPR, NIS2, DORA y COBIT 2019. Esta alineación garantiza no solo el cumplimiento, sino también la resiliencia operativa mediante prácticas exhaustivas de monitorización, detección, protección y mejora continua.