Registros y LOGS

El Visor de sucesos de Windows registra todos

los eventos que ocurren en el sistema.

Los registros y logs de auditoría son una parte fundamental de todo esquema de seguridad. Lo que nos permite obtener un sistema de logs es un rastro de determinados eventos que se dieron en un momento determinado. Una característica de estos sistemas es que la grabación se realiza en un medio de ingreso secuencial, los datos se van almacenando sucesivamente en el área seleccionada. 

Actualmente, la generación de logs no es una dificultad, prácticamente cualquier dispositivo o aplicación tiene su propio sistema. El problema asociado a esto es que una vez originada, toda esa información tiene que ser interpretada. Para ello se utilizan diversos programas que se encargan de analizar todos los registros generados, correlacionar datos y así producir nueva información, más valiosa que la anterior y en mucha menor cantidad. Otro punto a tener en cuenta con los sistemas de logs es su gestión. Esto comprende la selección de los eventos que se van a registrar (por ejemplo, intentos de login fallidos), los ciclos de rotación, la compresión, la verificación de su integridad y la protección de estos mediante cifrado. 

En forma análoga a los sistemas de registros, el sistema para llevar a cabo las copias de seguridad también debe estar determinado. Para que este proceso de backup sea efectivo, los datos tienen que haber sido clasificados en un proceso anterior. Algunos ejemplos típicos de éstos son planillas de cálculo, inventarios, información de clientes, secretos comerciales, planes de investigación y desarrollo, etcétera. Otra consideración importante es que los datos suelen cambiar más frecuentemente que el software y el hardware, por lo que los esquemas de backup deben estar acordes a dichas modificaciones. 

Si un dato se modifica una vez al mes, no se recomienda realizar su backup diario, ya que de otra manera se estarían desperdiciando recursos. Como parte de la estrategia de backups, deberán existir normas claras que permitan regular, entre otros puntos, la información a resguardar, su frecuencia de operación, las personas responsables de su ejecución, la periodicidad con la que se comprobará la efectividad del sistema implementado y el lugar físico donde se almacenarán las copias generadas. Si consideramos las distintas modalidades de operación, las tres más conocidas y utilizadas son: 

• La modalidad full o normal: en ésta se copian todos los archivos seleccionados, hayan sido modificados o no, y se reestablece el atributo de archivo modificado a cero. 

• La modalidad incremental: se copian solamente los archivos creados o modificados desde la última copia, sea ésta full o incremental. En esta modalidad, se marcan los archivos como copiados y se cambia el atributo de archivo modificado a cero. 

• La modalidad diferencial: aquí se copian los archivos creados o modificados desde la última copia de seguridad full o incremental, pero en este caso no se marca el atributo del archivo como copiado, es decir, no se reestablece a cero. Una copia de seguridad diferencial no es tan rápida como una incremental, pero es más veloz que una completa; requiere más espacio que una incremental, pero menos que una completa. 

A modo de resumen, el backup full representa el proceso de backup y recuperación de datos más simple, pero insume muchos recursos para llevarse a cabo. Si bien los backups incrementales y diferenciales son más complejos, requieren menos tiempo y recursos.