Un registro de auditoría es un registro cronológico detallado de todos los cambios que se han implementado en un sistema operativo (SO), una aplicación o un dispositivo, con el propósito de rastrear las operaciones y el uso del sistema.
Los sistemas de TI modernos son extremadamente complejos y a menudo requieren una cantidad significativa de control. Cuando el rendimiento comienza a ralentizarse, los errores se manifiestan o surgen problemas de seguridad o cumplimiento, y puede que sea esencial saber quién ha accedido al sistema y qué acciones han emprendido.
Los llamados registros de auditoría proporcionan esta información relevante. Al actuar como un registro de eventos dentro de un sistema informático, un registro de auditoría permite a los auditores y al personal de TI rastrear las acciones de los usuarios. Esto puede proporcionar información esencial sobre cómo se utiliza el sistema, dónde pueden ocurrir los problemas y qué vulnerabilidades de seguridad pueden existir y explotarse. Además, es posible que el cumplimiento normativo requiera que los registros de auditoría se mantengan durante un periodo de tiempo específico.
Al igual que con la mayoría de los otros aspectos de la empresa, los registros detallados a los que pueden acceder fácilmente las personas autorizadas proporcionan una serie de ventajas claras. Y, para aquellas organizaciones que trabajan dentro de sectores regidos por marcos de trabajo de cumplimiento, los registros de auditoría son más que simplemente beneficiosos: son un requisito estandarizado.
Vamos a estudiar con más detalle algunas de las ventajas más comunes del mantenimiento de los registros de auditoría:
Los marcos de trabajo normativos comunes, como PCI DSS e HIPAA, requieren el uso de registros de auditoría para demostrar el cumplimiento. Estas funciones son registros empresariales oficiales, lo que proporciona a los auditores recursos esenciales para inspeccionar y aprobar sistemas de TI, y ayudar a proteger a las empresas de posibles multas u otras sanciones.
La clave para una seguridad de TI eficaz es el conocimiento fiable. Los registros de auditoría ofrecen registros detallados relacionados con toda la actividad dentro del sistema de TI. Esto incluye no solo la actividad estándar, sino también cualquier actividad que pueda infringir las prácticas de seguridad de datos, incluido el acceso no autorizado a datos, o incluso indicar una infracción de la seguridad por parte de un atacante externo. Si se utilizan correctamente, los registros de auditoría ayudan a los profesionales de TI a identificar posibles vulnerabilidades de seguridad, identificar y corregir el uso indebido de datos, y responder rápidamente a los eventos de seguridad emergentes. Y, dada su naturaleza oficial, estos registros también se pueden utilizar como pruebas en un tribunal.
Comprender cómo interactúan los usuarios con un sistema es el primer paso para mejorar esas interacciones. Mediante el rastreo de la actividad del usuario, los administradores y otros supervisores autorizados obtienen información valiosa sobre los problemas relacionados con el rendimiento, la productividad, la eficiencia y mucho más. Al mismo tiempo, pueden identificar y resolver problemas potencialmente problemáticos con mayor rapidez antes de que tengan la oportunidad de salirse de control.
Los reguladores, socios, proveedores e incluso los clientes quieren saber que una empresa está protegida antes de invertir su tiempo o recursos en ella. Un registro de auditoría claro detalla qué medidas de seguridad está tomando la organización para garantizar la privacidad de los datos. El uso de registros de auditoría como parte de un marco de trabajo de gestión de riesgos puede ayudar a demostrar que una empresa es una oportunidad de bajo riesgo.
Dada la gran cantidad de beneficios asociados con el mantenimiento de registros de auditoría fiables, no es de extrañar que estos registros digitales a menudo se apliquen en una amplia variedad de casos de uso. Entre estos se incluyen los siguientes:
Las empresas que requieren certificación de cumplimiento deben tener registros digitales completos de cómo funcionan y se utilizan sus sistemas, y de cómo se accede a ellos. Un registro de auditoría proporciona a los auditores la información que necesitan para asegurarse de que la organización opera dentro de los parámetros aceptables y sin anomalías problemáticas.
En combinación con los sistemas de rastreo en tiempo real, los registros de auditoría pueden ayudar a los especialistas de TI a reconocer las acciones anómalas o ilegales que se producen dentro del sistema. Los registros de auditoría proporcionan a la detección de amenazas las pruebas y la información que necesita para identificar rápidamente posibles problemas de seguridad a medida que surgen.
En caso de que una organización sea objeto de medidas legales como resultado de sus datos o sistemas de TI, los registros de auditoría se pueden utilizar como pruebas forenses. Pueden ayudar a una empresa a demostrar que operaba dentro de las pautas de cumplimiento establecidas y utilizarse como pruebas contra aquellos que podrían haber estado llevando a cabo actividades ilegales dentro del sistema.
Los informes de controles del sistema y de la organización (SOC, del inglés “system and organization controls”) proporcionan a las empresas la confianza para trabajar con proveedores de servicios, ya que demuestran que operan de una manera que cumple con los requisitos. Los registros de auditoría facilitan y completan los informes de SOC, lo que ayuda a los proveedores a establecer claramente su credibilidad y confianza.
Los registros de auditoría permiten que las empresas coloquen las actividades del sistema de TI debajo de un microscopio. Esto hace posible descubrir y resolver rápidamente incluso errores de bajo impacto y, además, simplifica la recuperación tras una intrusión de seguridad.
Para proporcionar los beneficios anteriores, un registro de auditoría debe incluir una serie de detalles esenciales. Estos detalles ayudan a establecer una imagen clara del entorno de TI y las circunstancias asociadas con cada acción dentro del sistema. Por lo tanto, un registro de auditoría fiable debe incluir lo siguiente:
Un identificador único asociado con un terminal individual que se puede utilizar para identificar el origen del acceso al sistema.
Un identificador único asociado con un usuario específico que se puede utilizar para identificar quién está accediendo al sistema.
Sellos de tiempo fiables que indican cuándo se realizan o se intentan realizar las acciones del sistema, así como la duración general total del acceso al sistema.
Información que detalla las redes a las que un usuario intenta acceder (incluso si el intento no se realiza correctamente).
Información que detalla a qué sistemas, datos y aplicaciones intenta acceder un usuario.
Información que detalla los archivos específicos a los que intenta acceder un usuario.
Información detallada que describe los cambios realizados en el sistema, la red, las aplicaciones o los archivos.
Detalles sobre las utilidades del sistema a las que accede un usuario y cómo se utilizan.
Información relacionada con cualquier alarma o notificación de seguridad que el usuario pueda activar.
Un registro claro de todas las notificaciones del sistema activadas por el usuario mientras está en el sistema.
Afortunadamente, atrás quedaron los días en los que el acceso tenía que registrarse y revisarse manualmente; hoy en día, la mayoría de las soluciones tecnológicas relevantes incluyen la creación automática de registros de auditoría y el registro y almacenamiento de datos para cada acción realizada en el sistema, sin excepción. Dicho esto, aún existen ciertos obstáculos con los que las organizaciones tienen que lidiar al implementar una estrategia de gestión de registros de trabajo. Entre estos desafíos se pueden incluir los siguientes:
Los registros de auditoría constan de grandes cantidades de datos, y mientras más procesos, sistemas, dispositivos y acciones se rastreen, más espacio de almacenamiento se necesita. Esto puede crear problemas de almacenamiento para las empresas, lo que aumenta la inversión en almacenamiento necesaria, ya sea con respecto a garantizar que el acuerdo de proveedor de la plataforma SaaS incluya un amplio espacio de almacenamiento de datos, o bien, si no has dado el salto hacia una solución GRC moderna, entonces tener que configurar más servidores internos o pagar más por el espacio de almacenamiento fuera de las instalaciones.
Aunque una de las principales ventajas de un registro de auditoría es que permite una mayor seguridad, el registro de auditoría en sí mismo puede representar una vulnerabilidad de seguridad. Cuando demasiadas personas tienen acceso a la información del registro de auditoría, los datos confidenciales capturados durante la auditoría pueden quedar expuestos. Una manera de mitigar esto es establecer páginas de inicio e informes basados en roles para ver tus actividades de auditoría y las tareas en tiempo real. Del mismo modo, los registros de auditoría en sí mismos pueden ser menos seguros que los sistemas que supervisan, lo que proporciona a los atacantes una ruta más fácil a los datos confidenciales. Acceder a ellos a través de un portal, desde una plataforma de SaaS segura, ayuda a mitigar este riesgo.
Incluso dentro de una sola organización, pueden surgir disputas sobre cuánto tiempo debe mantenerse un registro digital. Algunas leyes y normativas pueden establecer una duración mínima (como de seis meses a siete años). Más allá de eso, depende de las empresas decidir cuánto tiempo deben almacenar los datos del registro de auditoría antes de desecharlos. Cuanto más antiguo sea el registro de auditoría, mejor protegida estará la organización, pero mantener los datos de auditoría durante más tiempo del necesario puede representar una gran cantidad innecesaria de gastos en términos de costes de almacenamiento.
Los registros de auditoría demasiado exhaustivos pueden ralentizar la capacidad de respuesta del sistema. De manera similar al punto anterior, es posible que los encargados de la toma de decisiones de TI tengan que esforzarse por encontrar el equilibrio adecuado entre la seguridad y la eficacia del sistema.
Las organizaciones que dependen de varios sistemas, dispositivos, aplicaciones, etc., diferentes pueden tener problemas, ya que cada fuente de registro produce su propio registro de auditoría (o, en algunos casos, varios registros de auditoría). Esto no solo crea problemas de almacenamiento de datos como se ha mencionado anteriormente, sino que también puede generar informes incoherentes, lo que posiblemente dificulta vincular o conciliar registros de auditoría de varias fuentes.
Ocasionalmente, el análisis de registro puede tratarse como una tarea de baja prioridad. Por lo tanto, puede que aquellas personas que sean responsables de llevar a cabo la tarea no reciban la formación adecuada ni tengan acceso a herramientas eficaces. Como resultado, los análisis pueden realizarse de manera apresurada, ser incompletos e inexactos, o simplemente no se realizarse en absoluto, excepto en respuesta a una filtración de datos u otra situación que pueda surgir.
Las soluciones de Governance, Risk, and Compliance (GRC) de ServiceNow ofrecen capacidades de gestión de auditoría en una sola ubicación centralizada. Los datos relevantes se recopilan y analizan automáticamente, se establecen registros de auditoría y se identifican rápidamente los problemas de cumplimiento y seguridad. Obtén más información sobre Audit Management en GRC de ServiceNow y consigue la información que necesitas para asegurarte de que tus sistemas y usuarios funcionan en conjunto de manera óptima.
ServiceNow hace que el mundo sea mejor para todos. ServiceNow permite a las empresas de todos los tamaños incorporar sin problemas la gestión de riesgos, las actividades de cumplimiento y la automatización inteligente en tus procesos de negocio digitales para supervisar y priorizar continuamente el riesgo. Las soluciones de Risk de ServiceNow ayudan a transformar los silos ineficaces de procesos y datos en toda tu empresa en un programa de riesgo automatizado, integrado y práctico. Puedes mejorar el proceso de toma de decisiones basado en el riesgo aumentando el rendimiento de tu organización, además de con los proveedores, para gestionar en tiempo real los riesgos que afectan a tu empresa, así como tomar decisiones informadas sobre el riesgo en tu trabajo diario, sin sacrificar los presupuestos.
Gestiona el riesgo y la resiliencia en tiempo real con ServiceNow.