Ir al contenido principal

43. Procedimiento de Gestión de Logs

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 10.1, 10.2, 10.6.1, 10.6.2, 10.6.3, 10.7, 10.8.1

  • PCI DSS v4.0: 10.1.1, 10.1.2, 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.4.1, 10.4.2, 10.4.2.1, 10.4.3, 10.5.1, 10.6.1, 10.6.2, 10.6.3, 11.6.1

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a implementar los pasos necesarios para generar, mantener y revisar adecuadamente los logs generados en tus sistemas, de acuerdo a los lineamientos que definiste dentro de tu Política de Gestión de Logs.

💡 Recuerda que con estos registros puedes identificar accesos no autorizados, transacciones fallidas o cualquier otra actividad inusual o sospechosa de los usuarios.

¿Qué tengo que hacer? 🚀

💡 Recordemos que los logs son registros de las actividades realizadas por los usuarios en todos los sistemas, aplicaciones, tecnologías de la información, servicios de nube, etcétera usados por la empresa.

Ahora bien, para documentar este procedimiento te recomendamos considerar por lo menos las siguientes tareas:

  1. Definición de logs a supervisar.

  2. Configuración de logs en sistema.

  3. Revisión de logs.

  4. Análisis de alertas.

  5. Revisión y registro.

  6. Cierre de alertas.

Para la definición de los logs a supervisar debes identificar la información que requieres obtener de cada sistema para realizar un análisis pertinente de las actividades que realizan los usuarios, y con ello poder detectar actividad sospechosa. Es decir, que debes establecer cuáles serán los eventos que deseas monitorear, en qué sistemas y qué información deben recolectar.

💡 Algunos ejemplos de eventos importantes a monitorear son los inicios de sesión no autorizados, errores en dispositivos de red, datos exportados, instalación de nuevos servicios, creación de nuevas cuentas, etcétera.

Luego, debes ir a validar la configuración de logs en tus sistemas para asegurarte que efectivamente puedes recolectar toda la información necesaria, y que los parámetros configurados están alineados a las necesidades operativas de la empresa.

La revisión de los logs debe ser inmediata en caso de alerta de comportamiento inusual, y periódica para mantener el cumplimiento normativo, por lo que es importante definir esta periodicidad y los responsables asignados de llevarla a cabo dentro de este procedimiento.

💡 Esta revisión se puede hacer validando cada uno de los sistemas involucrados, verificando el panel de monitoreo o utilizando un SIEM (Security Information and Event Management). Además, es importante mencionar que para cumplimiento de PCI DSS se deben revisar los registros diariamente.

El habilitar alertas ante eventos inusuales te permitirá actuar a tiempo y prevenir incidentes de seguridad.

💡 Las alertas de seguridad habilitadas deben notificar sobre eventos sospechosos y actividad inusual basada en los parámetros definidos. Y al recibirlas, los responsables asignados deben analizar dichos eventos para tomar las acciones de remediación o prevención pertinentes.

El registro de atención de la alerta es esencial para generar evidencia de las acciones realizadas y para crear una base de conocimiento en caso de que ocurran eventos similares en el futuro.

El último paso del procedimiento se recomienda que sea una validación del cierre de la alerta, donde el responsable asignado se asegure que se realizó el análisis e investigación pertinentes sobre el comportamiento inusual reportado, y que se tomaron las medidas de seguridad para mitigar o remediar la situación.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Considera todos los tipos de eventos y actividades relevantes a monitorear, de manera que tengas una adecuada visibilidad y trazabilidad del comportamiento de tus usuarios dentro de los sistemas de la empresa.

  • Revisa, comunica y actualiza periódicamente este procedimiento y ante cambios significativos, de manera que siempre se encuentre alineado a las operaciones reales de la empresa.

  • Asegúrate de que los responsables designados cuenten con el conocimiento pertinente para sus funciones, y sobre todo, aquellos que realizarán la atención y análisis de las alertas.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
30. Procedimiento de Gestión de Logs
42. Política de Gestión de Logs
44. Puntos de revisión para Requisito 10
Procedimiento de Gestión de Logs (para SGIA)
Procedimiento de Gestión de Logs
¿Ha quedado contestada tu pregunta?