miércoles, 23 de abril de 2008

El problema de registros de accesos en la LOPD

Cuando planteamos en las empresas la necesidad de realizar un tratamiento de seguridad en función de la normativa vigente, no solo planteamos la aplicación una serie de medidas de seguridad, sino también una inversión en coste ecnonómico y lo que a veces es más importante, en tiempo.

Evidentemente este no cae en saco roto, pero a veces los planteamientos son tan exigentes que son difíciles de cumplimentar. El mejor ejemplo que puede plantearse, es la necesidad impuesta por el reglamento de seguridad, para datos de Carácter Personal de Nivel Alto, del mantenimiento de un sistema de registro de acceso a la información:

"Artículo 103. Registro de accesos.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad."


Si alguno no se ha fijado bien, hay dos elementos aquí que puden considerarse cuanto menos complicados para su cumplimiento:

4. El período mínimo de conservación de los datos registrados será de dos años.

Hombre casi todos pensaréis que todo depende de los Logs y que yo tampoco genero tantos, pero el administrador de un hospital, por poner un ejemplo, seguro que se estará echándo a temblar, puesto que habría que evaluar la cantidad y capacidad necesaria de almacenamiento para mantener todos estos registros durante 2 años. Cintas, cintas, cintas,... y un buen sistema de gestión y almacén para salvaguardarlas convenientemente.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

Puff, pues ya puede armarse de un cargamento de tila, para ir analizando los logs en busca de una posible incidencia (claro si hay alguna, pero mejor mirarlo todo por si acaso), que implique la aplicación de una medida correctora. Si tenemos en cuenta que el responsable de seguridad tendrá numerosos cometidos, la dedicación a la generación del informe, supondría un coste en tiempo (y también en paciencia) que implicará otras cuestiones adicionales a la del puro análisis.

En este sentido yo suelo recomendar el uso de consolidadores de logs, que permiten la recolección de las auditorías, permitiéndonos establecer un sistema de preaviso y reactivo ante incidencias, a la vez que nos permite la generación de un sistema de informes que con un golpe de click nos ahorre la tediosa tarea de su generación manual. Si nunca habéis trabajo con un consolidador de logs, y tenéis entornos Windows os recomiento uno que es relativamente fácil de configurar y utilizar, pero no por ello deja a un lado la potencia: GFI Event Manager.

Para otros entornos existen otros tipo de consolidadores de logs que dan respuesta a múltiples necesidades.

Un saludo y que no os coman los informes.

4 comentarios:

deincognito dijo...

Juan Luís,

Creo que siempre será un mejor un gestor de logs multiplataforma, ya sea porque podemos contar con algún UNIX o Linux o porque nos puede interesar tratar también logs de por ejemplo sistemas de control de acceso físico, pero sobre todo por si nos acaba enganchando esto de la gestión de logs y las pruebas electrónicas.

En cualquier caso los logs contienen datos de carácter personal y será otro sistema al que aplicar las medidas de seguridad. Y ni que decir tiene que siempre será mejor duplicar los contenedores de logs por temas de disponibilidad e integridad, al menos si realmente nos interesan los logs como prueba electrónica fehaciente.

Salu2

Anónimo dijo...

Hola Juan,

Muy buen post, sencillo y claro.

Esto que comentas pasa siempre con todas las nuevas normativas aplicadas... se crea la ley/normativa pero después son los admins a los que les toca lidiar con esto y en casi todos los casos se encuentran con este tipo de problemas... ¿donde meto esta info?, ¿cuanta gente neceito para manejarla? y además tratándose de Logs, siempre son complejos de analizar sin no tienes una herramienta apropiada.

GFI Events Manager, como comentas es una herramienta de consolidación de logs muy interesante... pero no solo recolecta logs Windows, también incorpora un servidor Syslog, análisis W3C, y mas... Para todo aquel que esté interesado puede ponerse en contacto conmigo...

SALU2
Víctor [ADMTOOLS]

Undercoder dijo...

Muy buenas.

Muchas gracias a los dos por las matizaciones.

Con el tema de Event Manager, la funcionalidad principal que le he dado a Event Manager (la verdad es que he trabajado más con GFI SELM), ha sido siempre en entornos Windows, por lo que el resto de módulos casi no los he tocado, aunque Victor como bien comentas Event Manager ofrece sistemas de recolección y consolidación de Logs para otras plataformas a través de Syslog y de dispositivos de red con SNMP entre otros.

@Deincognito, aprecio tu comentario y creo con la matización de Victor que la herramienta puede ofrecer resultados también en entornos Linux o Unix y en dispositivos de red (aunque tampoco puedo discutir que hubiera otras en el mercado que pudieran dar también respuesta a estas necesidades), lo que no se y a lo mejor Victor podría comentar, es el alcance para el control de acceso físico que ofrece Event Manager. Y bien es cierto que un detalle importante es las medidas de seguridad a aplicar sobre los contenedores de estos logs que adquieren consideración legales de nivel Alto y por lo tanto tienen que tener aplicadas también las medidas de seguridad oportunas. En este sentido al optar por una herramienta para la consolidación de Logs debemos buscar una que nos ofrezca garatías en este sentido.

Un saludo

viagra online dijo...

la verdad es que si tienes razon porque el mejor ejemplo que puede plantearse es el saber con certeza el mantenimiento de un sistema sin mucho gasto economico.