¿Cuál es la diferencia entre Auditoría y Monitoreo?
Auditoría y supervisión en IT no son lo mismo; aunque ambas implican vigilancia, tienen propósitos, herramientas y tecnologías distintas. Comprender sus diferencias es clave para el éxito operativo y la comunicación en los equipos.
¿Qué es Auditoría?
En IT, la auditoría es una función normalmente asociada a la seguridad y al cumplimiento de la normativa. También se conoce como supervisión de la actividad y se centra en el seguimiento de lo que hacen los usuarios y administradores dentro de los sistemas informáticos. Esto es especialmente importante en los sistemas que manejan información confidencial.
¿En qué consiste la Auditoría?
El objetivo de la auditoría es supervisar la actividad del sistema con fines de seguridad y cumplimiento. Entre los objetivos clave se incluyen:
- Cumplir los requisitos normativos
- Detectar accesos no autorizados o amenazas internas.
- Alertar a los equipos de seguridad de actividades sospechosas
- Identificar prácticas de seguridad deficientes
- Realizar investigaciones forenses (tanto proactivas como reactivas).
Las auditorías se centran en los sistemas que manejan datos sensibles, como bases de datos y aplicaciones críticas.
Un Centro de Operaciones de Seguridad (SOC) lleno de grandes pantallas, cuadros de mando y luces parpadeantes es un ejemplo de cómo las organizaciones pueden identificar y responder a los eventos de seguridad. Los operadores del SOC revisan constantemente los sucesos relacionados con la seguridad para mantener protegida a la organización.
Los equipos SOC utilizan sistemas SIEM que reciben eventos relacionados con la seguridad a través del protocolo SYSLOG. La auditoría puede alimentar eventos a las operaciones de seguridad como el SOC enviando mensajes SYSLOG al SIEM.
Otro significado de Auditoría informática
La auditoría informática también puede referirse a una auditoría realizada por un auditor interno o externo. En una auditoría informática, un auditor examina los controles de seguridad utilizados para proteger los sistemas informáticos. Una auditoría inspeccionará el alcance, el plan y la aplicación de los controles de seguridad. Superar una auditoría de TI es un paso esencial en el cumplimiento de la normativa.
¿Qué es el Monitoreo?
En esencia, supervisar significa observar y comprobar el progreso o la calidad de algo. En TI, la supervisión suele referirse al trabajo realizado por los equipos de Operaciones. El objetivo es sencillo: garantizar el buen funcionamiento de todos los sistemas informáticos.
A diferencia de la auditoría informática, que sólo cubre los sistemas con información sensible, la supervisión abarca todos los componentes de la infraestructura, desde bases de datos y aplicaciones hasta conmutadores de red, enrutadores, cortafuegos y más.
¿En qué consiste el Monitoreo?
La supervisión hace un seguimiento de la salud y el rendimiento generales de la infraestructura informática. Esto incluye:
- Detectar si los ordenadores, servidores o servicios no funcionan.
- Garantizar la conectividad de la red
- Identificar problemas de rendimiento, como aplicaciones lentas.
- Supervisar el uso de recursos para detectar poco espacio en disco, falta de memoria, CPUs cargadas, etc.
Por lo general, los equipos de operaciones supervisan los sistemas 24 horas al día, 7 días a la semana, utilizando herramientas de supervisión de red basadas en SNMP. Si algo va mal, toman medidas correctivas o elevan el problema al responsable correspondiente o al experto de guardia.
Un Centro de Operaciones de Red (NOC) lleno de grandes pantallas, cuadros de mando y luces parpadeantes es un ejemplo de cómo pueden supervisar las organizaciones. Los operadores de NOC mantienen todo en perfecto funcionamiento supervisando constantemente la infraestructura para detectar fallos del sistema y problemas de rendimiento.
Otros significados de Monitoreo
El monitoreo de la actividad es otro término para referirse a la auditoría. Por ejemplo, la Auditoría de Bases de Datos también se conoce como Monitorización de Actividad de Bases de Datos (DAM).
La monitorización también puede referirse a la monitorización de eventos de seguridad. A veces se denomina Vigilancia de la Seguridad, SIM (Vigilancia de la Información de Seguridad) o SEM (Vigilancia de Eventos de Seguridad). Es el análisis realizado sobre varios eventos de seguridad, incluidos los originados por la auditoría. Es, esencialmente, el trabajo realizado por los equipos SOC que utilizan un SIEM (Security Information Event Management).
La vigilancia también puede referirse a la supervisión de la gestión, y el término Vigilancia del Cumplimiento se refiere a la supervisión de la gestión de las operaciones de seguridad y cumplimiento. El objetivo es evitar el incumplimiento mediante la evaluación continua del cumplimiento de la normativa.
Diferencias Clave
| Monitoreo | Auditoría o Monitoreo de Actividades | Monitoreo de Seguridad (SIM, SEM, SIEM) | |
|---|---|---|---|
| Propósito | Garantizar el funcionamiento de los sistemas | Seguimiento de la actividad de los usuarios para garantizar la seguridad y el cumplimiento de la normativa | Analizar los eventos de seguridad para garantizar la seguridad y el cumplimiento |
| Qué Sistemas? | Toda la infraestructura informática (redes, servidores, aplicaciones, etc.) | Sistemas específicos que manejan información sensible (bases de datos, aplicaciones críticas) | La mayor parte de la infraestructura informática (redes, servidores, bases de datos, etc.) |
| Tipo de Dato | Tiempo de actividad, información sobre rendimiento, utilización de recursos | Datos de actividad de los usuarios (inicios de sesión, acceso a datos) | Eventos de seguridad (errores, advertencias y accesos específicos) |
| Volumen del Dato | Bajo a moderado (miles a millones de métricas por hora en todos los sistemas) | Alta (millones a decenas de millones de eventos por hora por sistema auditado) | Bajo a moderado (miles a millones de métricas por hora en todos los sistemas) |
| Responsabilidad | Equipo de operaciones (por ejemplo, NOC) | Equipo de seguridad(por ejemplo, SOC) | Equipo de seguridad(por ejemplo, SOC) |
¿Por qué hay tanta confusión?
El primer motivo de confusión es que tanto Auditoría como Supervisión pueden referirse a varias cosas diferentes. Normalmente hay que determinar el significado correcto en función del contexto.
También hay mucho solapamiento en la terminología, ya que algunos profesionales de la seguridad se refieren a la auditoría como Monitorización de Actividades. La auditoría también genera eventos de seguridad que posteriormente son analizados por la monitorización de seguridad y es, por tanto, un precursor de ésta.
Para hacer las cosas más confusas, los equipos de TI modernos pueden combinar funciones de operaciones y seguridad en SecOps, DevSecOps y OpSec, difuminando las líneas entre supervisión y auditoría.
Otro punto de confusión es la similitud entre un Centro de Operaciones de Red (NOC) y un Centro de Operaciones de Seguridad (SOC). Aunque ambos funcionan las veinticuatro horas del día y supervisan los sistemas, el NOC se centra en la disponibilidad, mientras que el SOC lo hace en la seguridad.
Conclusión
Si usted es un profesional de operaciones de TI, su objetivo principal es la supervisión, es decir, asegurarse de que todo funciona correctamente. Si se dedica a la seguridad, le preocupa más la auditoría, es decir, el seguimiento de la actividad para evitar infracciones y mantener la conformidad.
Ambos son fundamentales para el buen funcionamiento de un entorno informático, pero desempeñan funciones distintas. Una diferenciación adecuada puede ayudar a las empresas a aplicar las estrategias correctas para garantizar la seguridad y el tiempo de actividad.