Una pista de auditoría (también llamada registro de auditoría ) es un registro cronológico relevante para la seguridad, un conjunto de registros y / o un destino y fuente de registros que proporcionan evidencia documental de la secuencia de actividades que han afectado en cualquier momento una operación, procedimiento, evento o dispositivo. [1] [2] Los registros de auditoría generalmente son el resultado de actividades como transacciones financieras , [3] investigación científica y transacciones de datos de atención médica, [4] o comunicaciones de personas, sistemas, cuentas u otras entidades individuales.
Por lo general, se requiere que el proceso que crea una pista de auditoría se ejecute siempre en un modo privilegiado , de modo que pueda acceder y supervisar todas las acciones de todos los usuarios; un usuario normal no debe poder detenerlo / cambiarlo. Además, por la misma razón, el archivo de seguimiento o la tabla de base de datos con un seguimiento no deberían ser accesibles para los usuarios normales. Otra forma de manejar este problema es mediante el uso de un modelo de seguridad basado en roles en el software. [5] El software puede funcionar con los controles de circuito cerrado o como un " sistema cerrado ", como lo requieren muchas empresas cuando utilizan la función de seguimiento de auditoría.
Usos de la industria
En telecomunicaciones , el término significa un registro de accesos y servicios tanto completados como intentados, o datos que forman una ruta lógica que vincula una secuencia de eventos, que se utiliza para rastrear las transacciones que han afectado el contenido de un registro.
En seguridad de la información o las comunicaciones , auditoría de la información significa un registro cronológico de las actividades del sistema para permitir la reconstrucción y el examen de la secuencia de eventos y / o cambios en un evento. Información almacenada o transmitida en una estructura de pares de la que se podría depender en un tribunal . Una pista de auditoría es una progresión de registros de datos informáticos sobre un marco de trabajo, una aplicación o ejercicios del cliente. Los marcos informáticos pueden tener algunas pistas de auditoría, cada una de las cuales se asigna a un tipo específico de acción [6] [ referencia circular ] . En relación con los aparatos y sistemas adecuados, las pistas de auditoría pueden ayudar a distinguir las infracciones de seguridad, los problemas de ejecución y los problemas de aplicación. Las auditorías e investigaciones de registros de rutina son valiosas para distinguir episodios de seguridad, infracciones de enfoque, movimientos falsos y problemas operativos poco después de que hayan ocurrido, y para brindar información valiosa para resolver dichos problemas. [7] Los registros de auditoría también pueden ser valiosos para realizar investigaciones forenses , respaldar las asociaciones dentro de los exámenes, establecer líneas de base y distinguir patrones operativos y problemas a largo plazo.
En la investigación en enfermería , se refiere al acto de mantener un registro o diario de decisiones relacionadas con un proyecto de investigación, dejando en claro los pasos dados y los cambios realizados en el protocolo original .
En contabilidad , se refiere a la documentación de transacciones detalladas que respaldan las entradas resumidas del libro mayor . Esta documentación puede estar en papel o en registros electrónicos.
En la revisión en línea , se refiere al historial de versiones de una obra de arte, diseño, fotografía, video o prueba de diseño web en un proyecto.
En la investigación clínica , los sistemas basados en servidores, como los sistemas de gestión de ensayos clínicos (CTMS), requieren pistas de auditoría. Todo lo relacionado con las regulaciones o QA / QC también requiere pistas de auditoría.
En la votación , una pista de auditoría en papel verificada por los votantes es un método de proporcionar retroalimentación a los votantes mediante un sistema de votación sin boletas .
Referencias
- ^ "Glosario de aseguramiento de la información nacional (IA)" (PDF) . Comité de Sistemas de Seguridad Nacional . 7 de agosto de 1996. pág. 4. Archivado desde el original (PDF) el 27 de febrero de 2012 . Consultado el 7 de marzo de 2012 .
- ^ "Glosario de ATIS Telecom 2012 - pista de auditoría" . Comité de la Alianza para las Soluciones de la Industria de las Telecomunicaciones (ATIS) PRQC. 2012. Archivado desde el original el 13 de marzo de 2013 . Consultado el 7 de marzo de 2012 .
- ^ "SEC propone un sistema de seguimiento de auditoría consolidado para realizar un mejor seguimiento de las operaciones del mercado" . Comisión de Bolsa y Valores de EE. UU . 26 de mayo de 2010 . Consultado el 7 de marzo de 2012 .
- ^ "Código Electrónico de Regulaciones Federales - Título 21: Alimentos y Medicamentos - Parte 11: Registros Electrónicos; Firmas Electrónicas" . Oficina de Imprenta del Gobierno de EE . UU . Archivado desde el original el 8 de junio de 2010 . Consultado el 2 de marzo de 2012 .
- ^ Brancik, Kenneth C. (2007). "Capítulo 2: investigación relacionada en fraude informático interno y controles de seguridad de la información". Fraude informático interno: un marco detallado para detectar y defenderse contra ataques informáticos internos . Prensa CRC. págs. 18-19. ISBN 1-4200-4659-4.
- ^ Auditoría de información
- ^ Jaime Campbell; Alex Peterson, Libro de recetas de Intuit QuickBooks Enterprise Edition 12.0 para expertos, 2012