Control 8: Gestión de registros de auditoría
Control 8: Gestión de Registros de Auditoría
(CIS Control 8 – Audit Log Management)
Propósito del control
Objetivo: Recopilar, almacenar y analizar registros de auditoría para detectar actividades anómalas o no autorizadas.
Resultado esperado: Los eventos relevantes quedan registrados, protegidos y disponibles para análisis forense y cumplimiento.
⚠️ Motivación:
Sin registros no hay trazabilidad. La ausencia de logs impide detectar ataques, investigar incidentes o demostrar cumplimiento.
Alcance del control
- Sistemas operativos y servidores
- Aplicaciones críticas
- Firewalls, routers, switches
- Plataformas cloud y SaaS
- Herramientas de autenticación y acceso
Desarrollo por niveles de madurez
🟢 IG1 – Fundacional
- Activación de logs en sistemas clave
- Almacenamiento local o centralizado básico
- Revisión manual de eventos críticos
- Retención mínima de 30 días
🟡 IG2 – Gestión activa
- Centralización de logs (SIEM, syslog)
- Alertas por eventos sospechosos
- Retención extendida (90-180 días)
- Clasificación de eventos por criticidad
🔴 IG3 – Madurez avanzada
- Correlación de eventos entre múltiples fuentes
- Detección de anomalías con UEBA
- Integración con respuesta automática
- Retención según requisitos legales (1 año o más)
📘 Referencias normativas
- CIS Controls v8 – Control 8
- NIST SP 800-53 – AU-2, AU-6, AU-12
- NIST CSF – DE.AE-1 a DE.AE-5
- ISO/IEC 27001 – A.12.4, A.5.17
📚 Bibliografía y recursos ampliados
Ficha
Nombre del control: Gestión de Registros de Auditoría (CIS Control 8)
Resumen: Lo que no se registra, no existe. Sin logs, no hay defensa ni evidencia.
Riesgos que mitiga:
- Falta de trazabilidad
- Incidentes no detectados
- Imposibilidad de análisis forense
- Incumplimiento normativo
Niveles de madurez:
- IG1: Activación y revisión básica
- IG2: Centralización, alertas, clasificación
- IG3: Correlación, UEBA, retención legal
Herramientas típicas: Wazuh, Splunk, Sentinel, Graylog, Elastic
Evidencias recomendadas: Capturas de alertas, reportes de eventos, configuración de retención
Comentarios
Publicar un comentario
Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.