Escenario: auditoría de acceso a archivos

Se aplica a: Windows Server 2012

La auditoría de seguridad es una de las herramientas más eficaces para mantener la seguridad de una empresa. Uno de los principales objetivos de las auditorías de seguridad es el cumplimiento de las normas. Estándares de la industria como Sarbanes Oxley, Health Insurance Portability and Accountability Act (HIPPA) y Payment Card Industry (PCI) exigen que las empresas sigan un estricto conjunto de reglas relacionadas con la seguridad y la privacidad de los datos. Las auditorías de seguridad ayudan a establecer la presencia de dichas directivas y demuestran el cumplimiento de esos estándares. Además, las auditorías de seguridad ayudan a detectar comportamientos anómalos, a identificar y mitigar brechas en las directivas de seguridad y a impedir el comportamiento irresponsable mediante la creación de un registro de la actividad del usuario que puede utilizarse para un análisis forense.

Los requisitos de directiva de auditoría generalmente se impulsan en los siguientes niveles:

• Seguridad de la información. Los seguimientos de auditoría de acceso a archivos a menudo se utilizan para análisis forenses y detección de intrusión. Poder obtener eventos concretos sobre el acceso a información de alto nivel permite a las organizaciones mejorar notablemente su tiempo de respuesta y la exactitud de la investigación.

• Directiva organizativa. Por ejemplo, las organizaciones reguladas por los estándares PCI podrían contar con una directiva central para supervisar el acceso a todos los archivos que están marcados como archivos que contienen información de tarjeta de crédito e información personal identificable (PII).

• Directiva departamental. Por ejemplo, es posible que el departamento de finanzas exija que la posibilidad de modificar ciertos documentos de finanzas (como informes de ganancias trimestrales) se restrinja al departamento de finanzas y, por consiguiente, el departamento desearía supervisar todos los demás intentos de modificar estos documentos.

• Directiva empresarial. Por ejemplo, es posible que los propietarios de empresas deseen supervisar todos los intentos no autorizados de ver datos que pertenecen a sus proyectos.

Además, quizás el departamento de cumplimiento desee supervisar todos los cambios realizados en las directivas de autorización central y los constructos de la directiva como atributos de usuario, equipo y recurso.

Una de las principales consideraciones de las auditorías de seguridad es el costo de recopilar, almacenar y analizar los eventos de auditoría. Si las directivas de auditoría son demasiado amplias, aumenta el volumen de los eventos de auditoría recopilados y esto aumenta los costos. Si las directivas de auditoría son demasiado minuciosas, se corre el riesgo de pasar por alto eventos importantes.

Con Windows Server 2012, puede crear directivas de auditoría utilizando notificaciones y propiedades de recursos. Esto genera directivas de auditoría más avanzadas, más concretas y más fáciles de administrar. Habilita escenarios que, hasta el momento, eran imposibles o demasiado difíciles de llevar a cabo. A continuación se muestran ejemplos de directivas de auditoría que los administradores pueden crear:

• Auditar a todos los que no tienen permiso de alta seguridad e intentan obtener acceso a un documento HBI. Por ejemplo, Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.

• Auditar a todos los proveedores cuando intenten obtener acceso a documentos que están relacionados con proyectos en los que están trabajando. Por ejemplo, Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.

Estas directivas ayudan a regular el volumen de los eventos de auditoría y los limitan a la mayoría de los datos o usuarios relevantes.

Una vez que los administradores crearon y aplicaron las directivas de auditoría, deben tener en cuenta la recolección de información importante de los eventos de auditoría que recopilan. Las eventos de auditoría basados en expresiones pueden ayudar a reducir el volumen de auditorías. Sin embargo, los usuarios necesitan una forma de consultar esos eventos para obtener información importante y hacer preguntas como, "¿Quién tiene acceso a mis datos HBI?" o “¿hubo algún intento no autorizado de acceder a información confidencial?”

Windows Server 2012 mejora los eventos de acceso a datos existentes con notificaciones de usuario, equipo y recursos. Estos eventos se generan por servidor. Para proporcionar una vista completa de los eventos de la organización, Microsoft está trabajando con asociados que proporcionan herramientas de recopilación y análisis de eventos, como los Servicios de recopilación de auditorías de System Center Operations Manager.

La figura 4 muestra información general de una directiva de auditoría central.

Figura 4 Experiencias de auditoría central

Configurar y utilizar auditorías de seguridad suele implicar los siguientes pasos generales:

1. Identificar el conjunto correcto de datos y usuarios que se deben supervisar

2. Crear y aplicar las directivas de auditoría apropiadas

3. Recopilar y analizar los eventos de auditoría

4. Administrar y supervisar las directivas que se crearon

En este escenario

Los siguientes temas proporcionan más información para este escenario:

• Planear la auditoría de acceso a archivos

• Implementar la auditoría de seguridad con directivas de auditoría central (pasos de demostración)

Roles y características que se incluyen en este escenario

En la tabla siguiente, se enumeran los roles y las características que forman parte de este escenario y se describe la manera en que son compatibles con él.