Curso completo ciberseguridad gratis Controles CIS. Control 8.7

Estimados amigos de Inseguros !!!

Seguimos con el control 8 de los CIS, gestión de logs, y hoy toca el 8.7: retener los logs el tiempo suficiente. Y este control parece “aburrido”, pero es el típico que te hunde una investigación cuando te hace falta de verdad.

Porque la pregunta no es “¿tenemos logs?”.
La pregunta real es: “¿tenemos logs del día que nos atacaron?”.

Si tu retención es corta, llega el día del incidente, empiezas a tirar del hilo… y te das cuenta de que justo lo que necesitas ya no existe. Y ahí ya vas tarde.

Por qué la retención importa tanto

Primero, porque muchos ataques no se detectan el mismo día. Se detectan semanas después. A veces meses. Y no porque seas tonto, sino porque el atacante intenta pasar desapercibido.

Segundo, porque cuando investigas, necesitas contexto. No solo “qué pasó ayer”, sino “qué venía pasando desde antes”. Patrones de login, cambios graduales, cuentas que se usaron por primera vez, movimientos laterales lentos, etc.

Tercero, por cumplimiento. Hay sectores donde te piden retención mínima, y si no la tienes, te comes el problema. Pero incluso sin regulación, la retención es una decisión de riesgo: si retienes poco, asumes que no podrás mirar atrás.

Y ojo, porque retener no es solo “guardar”

Retener significa:
guardar con integridad,
guardar con capacidad,
y poder buscar.

Porque si guardas 12 meses en un disco frío que luego no puedes consultar, en la práctica no sirve. Lo ideal es separar: retención operativa (búsqueda rápida) y retención de archivo (histórico). Hot y cold. Pero siempre con un plan.

Qué logs suelen perderse antes y por qué duele

Los de identidad y cloud, porque muchos servicios tienen retenciones por defecto limitadas si no exportas.
Los de endpoints, porque generan muchísimo volumen.
Los de red, porque si tiras de syslog sin control, se pierden paquetes o se pisan ficheros.

Y luego está el clásico: “teníamos logs, pero el disco se llenó y dejó de registrar”. Esto pasa más de lo que debería. Por eso el 8.7 engancha con el 8.3 (almacenamiento adecuado) y con el 8.5 (centralización). Todo va en cadena.

Cómo definir retención sin inventarte números

Aquí cada empresa decide, pero no puede ser aleatorio.

Tienes que cruzar:
riesgo y criticidad,
capacidad y coste,
y requisitos legales/contractuales.

Y luego definirlo por capas: no todo requiere lo mismo.
Logs críticos (identidad, privilegios, perímetro) suelen pedir más retención.
Logs menos críticos, menos.

Lo importante es que esté escrito, aprobado y medido. Y que se revise. Porque el volumen cambia, el negocio cambia, y el atacante cambia.

Si quieres aprender a montar esto con enfoque real (arquitectura de logging, retención hot/cold, integridad, operación SOC y Microsoft Sentinel), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!