Linux e Logs: A necessidade de auditar – Parte 1

Por que auditar?

Auditar se faz necessário para certificar que as atividades dos usuários e administradores, falhas, exceções e eventos de segurança da informação estejam em conformidade com as regras de negócio e políticas (incluindo segurança da informação) estabelecidas pela empresa, além de certificar a eficácia das normas estabelecidas.

A análise de logs muitas vezes é tratada como uma tarefa de baixa prioridade pelas organizações e administradores de redes e sistemas, em muitos casos, os administradores sequer possuem recursos e treinamento para análises proativas, ou não os utilizam, por considerarem essa atividade “entediante” e menos importante que a resolução de problemas operacionais. A análise de logs acaba sendo uma atividade simplesmente reativa e improdutiva, onde se espera por uma falha ou desastre (as vezes levando a parada do total de um negócio) para solucionar um problema que em muitos casos estava sendo anunciado e “embaixo dos nossos olhos”.

O que é um log

Seguindo a definição da Wikipedia (http://pt.wikipedia.org/wiki/Log_de_dados):

log de dados é uma expressão utilizada para descrever o processo de registro de eventos relevantes em um sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas em sistemas computacionais.

Portanto, através do armazenamento dos “logs”, os eventos que ocorrem nas redes e sistemas de uma organização, sendo que cada entrada contém informações sobre um evento específico, são registrados e mantidos por um período de tempo acordado para auxiliar em futuras auditorias (isso inclui também possíveis investigações), recuperação de falhas na rede ou em sistemas, e certificar o cumprimento das normas estabelecidas pelos usuários e administradores do ambiente.

Os logs asseguram, após a ocorrência de um desastre, falha ou violação de acesso, a estabelecer a situação normal de funcionamento dos sistemas, portanto, o registro de eventos em sistemas computacionais está ligado diretamente ao “Plano de continuidade de negócios”.

Conforme o “Código de prática para gestão de segurança da informação – ABNT NBR ISO/IEC 27002:2005”, é estabelecido no Item 10.10 e subitens, que os sistemas sejam monitorados e eventos de segurança da informação sejam registrados, tendo como principais objetivos:

  • Detectar atividades não autorizadas de processamento da informação;
  • Checar a eficácia dos controles adotados e para verificar a conformidade com o modelo de política de acesso;
  • Auxiliar as organizações a estarem de acordo com todos os requisitos legais relevantes aplicáveis para suas atividades.
Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s