Asegurar Almacenamiento Adecuado de Registros de Auditoría
Descripción
Asegurar que los destinos de registro mantengan almacenamiento adecuado para cumplir con el proceso de gestión de registros de auditoría de la empresa.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de gestión de registros y observabilidad de alto rendimiento diseñada para datos a escala de petabytes con búsqueda en tiempo real
CrowdStrike · Suscripción por GB
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Pérdida de Datos de Registro por Agotamiento de Almacenamiento
IntegridadLos datos críticos de registro de auditoría se sobrescriben o descartan silenciosamente cuando los destinos de registro se quedan sin almacenamiento, destruyendo evidencia de ataques en curso o registros requeridos para cumplimiento durante los períodos exactos en que más se necesitan.
Denegación de Registro mediante Ataque de Inundación de Almacenamiento
DisponibilidadLos atacantes generan intencionalmente volúmenes masivos de entradas de registro para agotar el almacenamiento disponible, causando que los eventos de auditoría legítimos se descarten y creando una ventana de actividad no monitoreada para sus operaciones maliciosas reales.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Monitoreo de Capacidad de Almacenamiento para Destinos de Registro
Los volúmenes de almacenamiento de registros no se monitorean por capacidad, y ninguna alerta se activa cuando el almacenamiento se acerca a los umbrales de capacidad, resultando en pérdida silenciosa de registros cuando los discos se llenan durante períodos de alta actividad o ataques.
Almacenamiento de Registros Subdimensionado Sin Alineación con la Retención
La capacidad de almacenamiento de registros es insuficiente para retener registros durante el período definido por la política de retención de la organización, forzando ya sea la eliminación prematura de registros o fallas de registro que comprometen tanto el cumplimiento como la capacidad forense.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |