La mayoría de proyectos de desarrollo de software cuentan con la participación de varios desarrolladores, ingenieros de operaciones, evaluadores de calidad y directores, que requieren acceso a la infraestructura del proyecto. No obstante, facilitar el acceso para modificar la infraestructura conlleva un mayor riesgo de brechas de seguridad y disputas legales. Por eso, las organizaciones recurren a logs de auditoría para abordar cualquier problema de seguridad mediante un registro preciso de acciones y cambios en la infraestructura.

En este artículo, definiremos qué son los logs de auditoría y analizaremos sus casos de uso en la infraestructura. Nos centraremos específicamente en la actividad en la nube y las bases de datos. También hablaremos sobre el cumplimiento legal y los retos comunes que plantean los volúmenes de datos, los periodos de retención de logs y las correlaciones entre diferentes sistemas que requieren una evaluación detallada.

¿Qué son los logs de auditoría?

Los logs de auditoría son una recopilación de registros de actividades internas relacionadas con un sistema de información. Para que sean útiles, deben contener la siguiente información:

• ¿Qué componente se ha visto afectado por una acción?
• ¿Quién realizó dicha acción?
• ¿Cuándo se ejecutó la acción?
• ¿Qué tipo de acción se ejecutó?

Los logs de auditoría son diferentes de los logs de aplicación y de sistema. Los logs de aplicación registran la actividad realizada por usuarios externos, mientras que los logs de sistema registran la actividad realizada por el software, como los sistemas operativos. Por su parte, los logs de auditoría se centran exclusivamente en las actividades realizadas por usuarios y servicios internos en la infraestructura del sistema.

La inmutabilidad es un aspecto importante de los logs de auditoría. Nadie debería ser capaz de modificar sus registros, ya que su integridad se vería comprometida y dejarían de ser útiles.

Casos de uso

Además de cómodos y útiles, los logs de auditoría son cruciales para la seguridad y el cumplimiento normativo, sobre todo en lo que respecta a la infraestructura y las bases de datos.

Seguimiento de los cambios en la infraestructura de la nube

Los proyectos nativos de la nube suelen incluir numerosos servicios en la nube. El atractivo de la nube pública radica en la elasticidad de su infraestructura, lo que significa que tanto la escala como las configuraciones de estos servicios en la nube son muy dinámicas. Por eso, las organizaciones que utilizan proveedores de nube para implementar y gestionar su software necesitan hacer un seguimiento de todos los cambios que se realizan en la infraestructura, independientemente de lo insignificantes que parezcan. Además, las actividades malintencionadas en la infraestructura de la nube deben ser detectables para determinar el causante exacto, la hora y la naturaleza de la acción.

Muchos proveedores de nube proporcionan servicios de registro de auditoría integrados. Por ejemplo:

• CloudTrail para AWS
• Cloud Audit Logs para GCP
• Azure Monitor para Microsoft Azure

Seguimiento de la gestión de la base de datos y la actividad del sistema

La infraestructura de backend depende de las bases de datos. Aunque los desarrolladores consideran las bases de datos implementadas en la nube como parte de la infraestructura de la nube, los logs de auditoría de bases de datos se centran con más detenimiento en las acciones realizadas en el sistema de la base de datos. Estos logs incluyen, por ejemplo, información sobre cuándo se conectan y desconectan los clientes, así como los motivos por los que lo hacen. Esta información es importante para determinar posibles usos inadecuados y distorsiones de los datos.

Los logs de auditoría son esenciales para hacer un seguimiento de quién modifica un esquema de base de datos, junto con los cambios en los componentes del esquema que afectan el formato, la estructura de los datos y las actualizaciones de registros. Algunas bases de datos no tienen un esquema, por lo que los logs de auditoría podrían ser menos importantes en esos casos. No obstante, en lo que a bases de datos relacionales se refiere, los logs de auditoría son cruciales.

Los sistemas de bases de datos más utilizados proporcionan complementos y extensiones para el registro de auditorías. Por ejemplo:

• PgAudit para PostgreSQL
• Audit Logging para MySQL
• Auditing para MongoDB

Cumplimiento y defensa legal

Algunos sectores regulan estrictamente los niveles de registro de auditoría. Por ejemplo, una empresa del sector Fintech o Medtech debe estar preparada para implementar el registro de auditorías de forma integral, lo que a menudo requiere un análisis regular de los logs para confirmar que no se han producido actividades maliciosas durante un periodo específico. Además de las normativas del sector, algunas certificaciones imponen mandatos de registro de auditoría de alto nivel. Por ejemplo:

• La certificación de cumplimiento HIPAA para organizaciones del sector de la salud.
• La certificación ISO 27001 para organizaciones del sector de TI.

Algunas empresas deben presentar certificaciones de cumplimiento de seguridad de la información a sus partners y clientes. En estos casos, los logs de auditoría demuestran que se cumplen los requisitos de regulación y certificación.

Los logs de auditoría también son útiles a la hora de resolver conflictos legales. Los conflictos son más habituales de lo que se piensa, sobre todo en sectores sensibles como el de las finanzas o el médico, por lo que los logs de auditoría sirven a las empresas como pruebas cruciales.

Los retos del registro de auditorías

Aunque los logs de auditoría son fundamentales para la seguridad y el cumplimiento, implementarlos puede ser un reto. Veamos algunos problemas potenciales relacionados con su almacenamiento.

Volumen de datos

Los proyectos de software suelen ser sistemas sofisticados formados por componentes dinámicos. Los logs de auditoría contienen una enorme cantidad de datos y su almacenamiento puede ser muy costoso. Por eso, es importante que las organizaciones analicen cuidadosamente qué logs conviene guardar en función de los requisitos de cumplimiento, la posición de seguridad y la funcionalidad general del sistema.

Periodo de retención de logs

Algunas regulaciones y certificaciones requieren específicamente un registro de auditoría, por lo que las empresas deben conservar estos logs durante periodos de tiempo prolongados para satisfacer las demandas de cumplimiento. Por ejemplo, uno de los requisitos de la certificación de cumplimiento HIPAA es que la empresa retenga los logs de auditoría durante seis años. Para cumplir la certificación ISO 27001, las empresas deben guardar los logs de auditoría durante al menos tres años.

Conservar los logs durante largos periodos de tiempo implica una inversión financiera y también requiere recursos para el mantenimiento y la gestión.

Correlación de logs de auditoría entre sistemas diferentes

Correlacionar, comparar y analizar los logs de auditoría entre proveedores de bases de datos y de la nube con diferentes formatos y protocolos puede ser una tarea ardua. Para gestionar grandes volúmenes de logs es necesario limar las asperezas, lo que requiere una gran cantidad de tiempo y esfuerzo. Además, las discrepancias son comunes a nivel de detalles, lo que puede causar problemas de cumplimiento.

Descubre la plataforma con IA nativa líder del mundo para SIEM de nueva generación y gestión de logs

Mejora tu ciberseguridad con CrowdStrike Falcon^®, la principal plataforma nativa de IA para SIEM y gestión de logs. Disfruta de un registro de seguridad a escala de petabytes, con opciones de implementación nativas de la nube o de autoalojamiento. Registra tus datos con una arquitectura potente, sin índices y sin cuellos de botella, que hace posible el Threat Hunting con más de 1 PB de ingesta de datos al día. Disfruta de capacidades de búsqueda en tiempo real para superar al adversario y lograr una latencia inferior a un segundo en consultas complejas. Aprovecha una visibilidad integral que consolida los datos para acabar con los silos y permitir a los equipos de seguridad, TI y DevOps detectar amenazas, monitorizar el rendimiento y garantizar el cumplimiento sin problemas en 3 mil millones de eventos en menos de 1 segundo.