Retener Registros de Auditoría
Descripción
Retener registros de auditoría en todos los activos empresariales por un mínimo de 90 días.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
SIEM impulsado por IA con analítica de comportamiento, investigación automatizada y capacidades SOAR para detección de amenazas
Exabeam · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Evidencia Histórica de Ataques Destruida por Eliminación Prematura de Registros
IntegridadLos registros se retienen por menos de 90 días, y cuando una brecha descubierta meses después del compromiso inicial requiere investigación forense, la evidencia crítica de la intrusión inicial y las fases de movimiento lateral ya ha sido purgada.
Violación de Cumplimiento por Retención Insuficiente de Registros
DisponibilidadLos requisitos regulatorios exigen períodos específicos de retención de registros (frecuentemente 1-7 años), y la retención insuficiente resulta en fallas de cumplimiento, hallazgos de auditoría y posibles sanciones durante exámenes regulatorios.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Retención de Registros por Debajo del Mínimo de 90 Días
Los registros de auditoría se retienen por menos de 90 días debido a restricciones de almacenamiento o políticas de rotación mal configuradas, destruyendo evidencia forense necesaria para investigaciones de incidentes dado que el tiempo promedio de detección de brechas supera los 200 días.
Sin Mecanismo de Aplicación de Política de Retención de Registros
Incluso donde existen políticas de retención en papel, ningún control técnico aplica períodos mínimos de retención, permitiendo que la presión de almacenamiento o las configuraciones incorrectas purguen silenciosamente registros antes de que expire el período de retención requerido.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |