Registro y Retención de Logs

Quieres aprender más?

📋 Información General

Documento: Registro y Retención de Logs
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Equipo de TI, Administradores de Sistemas, CISO, Analistas de Seguridad, Auditores

🎯 Propósito

Establecer los lineamientos para la generación, recolección, almacenamiento, retención y eliminación segura de registros de eventos (logs) en todos los sistemas de DivisionCero, garantizando la disponibilidad de evidencia para investigaciones de seguridad, cumplimiento regulatorio y análisis forense.

🏢 Alcance

Esta política aplica a:

Todos los sistemas de información de DivisionCero
Infraestructura tecnológica (servidores, redes, endpoints)
Aplicaciones empresariales y de desarrollo
Servicios de nube pública y privada
Dispositivos de seguridad (firewalls, IDS/IPS, proxies)
Sistemas de control de acceso físico y lógico
Bases de datos y sistemas de almacenamiento

📚 Definiciones

Log: Registro cronológico de eventos y actividades en sistemas tecnológicos
SIEM: Security Information and Event Management - Sistema de gestión de eventos de seguridad
Correlación: Análisis de patrones y relaciones entre eventos de múltiples fuentes
Integridad de Logs: Garantía de que los registros no han sido alterados o eliminados
Log Forwarding: Envío automático de logs desde fuentes hacia sistemas centralizados

Eventos de seguridad de alto impacto
Accesos administrativos y privilegiados
Modificaciones a configuraciones críticas
Intentos de intrusión y ataques

Ejemplos:

Intentos fallidos de autenticación repetidos
Escalación de privilegios
Cambios en políticas de seguridad
Accesos a datos confidenciales
Actividad de malware detectada

Retención: 7 años mínimo

Logs de Alto Valor

Características:

Eventos operacionales importantes
Transacciones de negocio significativas
Cambios en configuraciones de sistemas
Eventos de auditoría regulatoria

Ejemplos:

Transacciones financieras
Cambios en bases de datos críticas
Actividad de usuarios privilegiados
Eventos de backup y recuperación
Accesos a sistemas de producción

Retención: 3 años

Logs Estándar

Características:

Actividad operacional rutinaria
Eventos de rendimiento y monitoreo
Actividad de usuarios normales
Eventos de sistema no críticos

Ejemplos:

Login/logout de usuarios regulares
Eventos de aplicaciones estándar
Métricas de rendimiento
Eventos de red rutinarios
Actividad de servicios del sistema

Retención: 1 año

Logs de Depuración

Características:

Información técnica detallada
Eventos de desarrollo y testing
Datos de troubleshooting
Información de rendimiento granular

Ejemplos:

Logs de aplicaciones en desarrollo
Eventos de debug de sistemas
Métricas detalladas de performance
Información de diagnóstico técnico

Retención: 90 días

Configuración Obligatoria de Logging

Sistemas Operativos

Windows Server:

Security Log: Éxitos y fallos de autenticación
System Log: Eventos críticos del sistema
Application Log: Errores de aplicaciones críticas
PowerShell Execution Policy: Comandos ejecutados

Linux/Unix:

Syslog: Todos los eventos del sistema
Auth Log: Intentos de autenticación
Secure Log: Eventos de seguridad
Audit Log: Actividad de usuarios privilegiados

Bases de Datos

SQL Server/MySQL/PostgreSQL:

Login attempts (exitosos y fallidos)
Cambios en esquemas y estructuras
Acceso a datos sensibles
Ejecutión de comandos administrativos
Cambios en permisos y roles

Aplicaciones Web

Logs Obligatorios:

Autenticación y autorización
Transacciones de negocio críticas
Errores de aplicación y excepciones
Accesos a APIs y servicios web
Cambios en configuraciones de seguridad

Dispositivos de Red

Routers y Switches:

Cambios en configuración
Eventos de conectividad críticos
Detección de anomalías de tráfico
Accesos administrativos

Firewalls:

Conexiones bloqueadas y permitidas
Cambios en reglas de firewall
Intentos de intrusión detectados
Actividad de administración

Centralización y Agregación

Arquitectura de Logging Centralizado

Componentes Obligatorios:

SIEM Central: Splunk Enterprise o similar
Log Collectors: Agentes en todos los endpoints
Storage Primario: SAN con replicación en tiempo real
Storage Secundario: Almacenamiento a largo plazo

Flujo de Datos:

Generación de logs en fuentes origen
Recolección por agentes especializados
Normalización y enriquecimiento
Almacenamiento en SIEM central
Indexación para búsquedas eficientes

Configuración de Envío

Tiempo Real (< 30 segundos):

Logs críticos de seguridad
Eventos de sistemas críticos
Alertas de seguridad automatizadas

Batch Processing (cada 5 minutos):

Logs de aplicaciones estándar
Eventos operacionales rutinarios
Métricas de rendimiento

Almacenamiento Local Temporal:

Buffer mínimo de 24 horas en origen
Compresión automática después de 4 horas
Reenvío automático en caso de conectividad restaurada

Formato y Normalización

Estándares de Formato

Formato Preferido: JSON estructurado

{
  "timestamp": "2025-01-15T10:30:45.123Z",
  "source_host": "server01.divisioncero.com",
  "source_type": "authentication",
  "event_type": "login_success",
  "user_id": "[email protected]",
  "source_ip": "192.168.1.100",
  "severity": "INFO",
  "message": "User successfully authenticated"
}

Campos Obligatorios:

Timestamp con zona horaria UTC
Host o sistema origen
Tipo de evento categorizado
Nivel de severidad (CRITICAL, HIGH, MEDIUM, LOW, INFO)
Usuario o proceso responsable
Dirección IP de origen cuando aplique

Normalización de Timestamps

Estándar: ISO 8601 con UTC

Formato: YYYY-MM-DDTHH:MM:SS.sssZ
Sincronización NTP obligatoria en todas las fuentes
Tolerancia máxima de drift: 100ms entre sistemas críticos

Integridad y Protección

Protección contra Alteración

Controles Técnicos:

Hash SHA-256 de logs cada hora
Firma digital de archivos de log diarios
Almacenamiento en storage WORM (Write Once, Read Many)
Replicación inmediata a sitio secundario

Controles Administrativos:

Acceso restringido a administradores de logging
Segregación de funciones entre generación y administración
Auditoría de todos los accesos a logs
Backup diario con verificación de integridad

Cifrado de Logs

En Tránsito:

TLS 1.3 para transmisión de logs
Certificados con validación extendida
Mutual authentication entre agentes y SIEM

En Reposo:

AES-256 para almacenamiento a largo plazo
Gestión de llaves con HSM (Hardware Security Module)
Rotación de llaves de cifrado cada 90 días

Monitoreo y Alertas

Alertas Automáticas

Fallos de Logging:

Interrupción de envío de logs > 5 minutos
Pérdida de conectividad con SIEM central
Espacio de almacenamiento < 20% disponible
Fallos en verificación de integridad

Eventos de Seguridad:

Múltiples intentos fallidos de autenticación
Accesos fuera de horario laboral
Patrones de comportamiento anómalos
Actividad de cuentas privilegiadas no programada

Dashboard de Monitoreo

Métricas en Tiempo Real:

Volumen de logs por fuente y tipo
Estado de conectividad de agentes
Latencia de procesamiento de eventos
Utilización de almacenamiento

Reportes Automáticos:

Reporte diario de salud del sistema de logging
Resumen semanal de eventos de seguridad
Análisis mensual de tendencias y patrones
Reporte trimestral de cumplimiento

Retención y Archivado

Políticas de Retención por Tipo

Storage Activo (Acceso Inmediato):

Logs críticos: 90 días
Logs de alto valor: 30 días
Logs estándar: 7 días
Logs de depuración: 3 días

Storage Nearline (Acceso en Horas):

Logs críticos: 1 año adicional
Logs de alto valor: 6 meses adicionales
Logs estándar: 3 meses adicionales

Storage Offline (Acceso en Días):

Logs críticos: Restante del periodo de retención
Logs de alto valor: Restante del periodo de retención
Compresión máxima y cifrado

Proceso de Archivado

Automatización:

Migración automática basada en edad y criticidad
Compresión progresiva (gzip → 7zip → LZMA)
Verificación de integridad en cada migración
Indexación para búsquedas eficientes

Validación:

Testing mensual de recuperación de archives
Verificación de integridad trimestral
Auditoría anual del proceso completo

Eliminación Segura

Criterios para Eliminación

Automática:

Expiración del periodo de retención definido
Ausencia de holds legales o regulatorios
Confirmación de no requerimiento para auditorías activas

Manual (Excepcional):

Orden judicial o regulatoria
Autorización del CISO y Legal
Documentación completa del proceso

Proceso de Eliminación

Pasos Obligatorios:

Verificación de criterios de eliminación
Generación de reporte de logs a eliminar
Aprobación del CISO y Legal
Eliminación criptográfica (destrucción de llaves)
Sobrescritura física de medios (3 pases mínimo)
Certificado de destrucción por proveedor acreditado

Acceso y Consulta

Niveles de Acceso

Administradores de SIEM:

Acceso completo a configuración y consultas
Gestión de usuarios y permisos
Administración de retención y archivado

Analistas de Seguridad:

Consulta de logs de seguridad
Creación de reportes e investigaciones
Acceso a herramientas de correlación

Auditores:

Acceso de solo lectura a logs relevantes
Exportación controlada para auditorías
Consultas con supervisión

Usuarios de Negocio:

Acceso limitado a logs de sus aplicaciones
Consultas pre-aprobadas por seguridad
Datos anonimizados cuando sea posible

Control de Acceso

Autenticación:

Autenticación multifactor obligatoria
Integración con Active Directory corporativo
Sesiones con timeout automático (30 minutos)

Autorización:

Principio de menor privilegio
Aprobación del CISO para accesos privilegiados
Revisión trimestral de permisos

Auditoría de Acceso:

Log de todas las consultas realizadas
Registro de exportaciones de datos
Alertas por accesos fuera de horario

👥 Roles y Responsabilidades

CISO: Aprobar políticas de retención y niveles de acceso
Administrador de SIEM: Gestionar infraestructura centralizada y configuraciones
Administradores de Sistemas: Configurar logging en sistemas bajo su responsabilidad
Analistas de Seguridad: Monitorear eventos y realizar investigaciones
Equipo Legal: Definir requerimientos de retención por aspectos regulatorios
Auditores Internos: Verificar cumplimiento de políticas de logging