Control 8: Gestión de registros de auditoría

Control 8: Gestión de Registros de Auditoría

(CIS Control 8 – Audit Log Management)

Propósito del control

Objetivo: Recopilar, almacenar y analizar registros de auditoría para detectar actividades anómalas o no autorizadas.
Resultado esperado: Los eventos relevantes quedan registrados, protegidos y disponibles para análisis forense y cumplimiento.

⚠️ Motivación:
Sin registros no hay trazabilidad. La ausencia de logs impide detectar ataques, investigar incidentes o demostrar cumplimiento.


Alcance del control

  • Sistemas operativos y servidores
  • Aplicaciones críticas
  • Firewalls, routers, switches
  • Plataformas cloud y SaaS
  • Herramientas de autenticación y acceso

Desarrollo por niveles de madurez

🟢 IG1 – Fundacional

  • Activación de logs en sistemas clave
  • Almacenamiento local o centralizado básico
  • Revisión manual de eventos críticos
  • Retención mínima de 30 días

🟡 IG2 – Gestión activa

  • Centralización de logs (SIEM, syslog)
  • Alertas por eventos sospechosos
  • Retención extendida (90-180 días)
  • Clasificación de eventos por criticidad

🔴 IG3 – Madurez avanzada

  • Correlación de eventos entre múltiples fuentes
  • Detección de anomalías con UEBA
  • Integración con respuesta automática
  • Retención según requisitos legales (1 año o más)

📘 Referencias normativas

📚 Bibliografía y recursos ampliados


Ficha

Nombre del control: Gestión de Registros de Auditoría (CIS Control 8)
Resumen: Lo que no se registra, no existe. Sin logs, no hay defensa ni evidencia.

Riesgos que mitiga:

  • Falta de trazabilidad
  • Incidentes no detectados
  • Imposibilidad de análisis forense
  • Incumplimiento normativo

Niveles de madurez:

  • IG1: Activación y revisión básica
  • IG2: Centralización, alertas, clasificación
  • IG3: Correlación, UEBA, retención legal

Herramientas típicas: Wazuh, Splunk, Sentinel, Graylog, Elastic

Evidencias recomendadas: Capturas de alertas, reportes de eventos, configuración de retención

Comentarios

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Índice de controles CIS