← Blog Mantenimiento IT

Que logs guardar en tu PYME para seguridad y continuidad

Que logs guardar en tu PYME para seguridad y continuidad

En una PYME debes guardar como minimo los logs de autenticacion, cambios de configuracion, accesos a datos sensibles, errores de sistema, actividad de firewall, registros de correo electronico y logs de backup. Los periodos de retencion varian segun la normativa aplicable: el RGPD exige conservar evidencias de tratamiento de datos durante toda la vida util del tratamiento, y la LSSI obliga a retener datos de conexion durante 12 meses. La gestion centralizada de estos registros es la unica forma viable de mantener el control en una infraestructura con mas de 5 equipos.

Los logs son el registro historico de todo lo que ocurre en tu infraestructura IT. Cada inicio de sesion, cada error, cada cambio de configuracion queda registrado en algun lugar. El problema es que en la mayoria de PYMEs estos registros estan dispersos en decenas de equipos, sin politica de retencion y sin nadie que los revise. Segun el informe de IBM, el tiempo medio para detectar una brecha de seguridad es de 204 dias (IBM, Cost of a Data Breach Report 2024). Una gestion adecuada de logs puede reducir ese tiempo drasticamente, porque la informacion necesaria para detectar anomalias ya esta ahi: solo necesitas recopilarla, organizarla y revisarla de forma sistematica.

Ademas, el estudio de Ponemon Institute sobre costes de brechas de datos revela que las empresas con logs completos y centralizados reducen el coste medio de un incidente en 280.000 USD respecto a las que carecen de registros adecuados (Ponemon Institute, Cost of a Data Breach Report 2024). ENISA recomienda en sus guias de buenas practicas que todas las empresas implementen una politica formal de retencion de logs alineada con su evaluacion de riesgos y la normativa aplicable (ENISA, Guidelines for SMEs on Security of Personal Data 2024).

Esta guia detalla que logs son criticos para tu PYME, cuanto tiempo debes conservarlos segun la normativa espanola y europea, y como implementar un sistema de gestion centralizada paso a paso sin necesidad de grandes inversiones.

Tipos de logs criticos para una PYME

Logs de autenticacion (prioridad critica)

Son los registros de quien accede a tus sistemas, cuando, desde donde y si el intento fue exitoso o fallido. Incluyen:

  • Inicios y cierres de sesion en Windows, Linux o macOS.
  • Intentos fallidos de acceso, especialmente secuencias repetidas que pueden indicar un ataque de fuerza bruta.
  • Accesos remotos via VPN, RDP o herramientas de escritorio remoto.
  • Cambios de contrasena y desbloqueos de cuenta.

En Windows, estos eventos se registran en el Security Log del Event Viewer (Event IDs 4624, 4625, 4648, entre otros). Son el primer lugar donde buscar ante cualquier sospecha de acceso no autorizado.

Retencion recomendada: 12 meses minimo, 24 meses recomendado.

Logs de cambios en configuracion (prioridad critica)

Cualquier modificacion en la configuracion de servidores, equipos de red o aplicaciones criticas debe quedar registrada. Esto incluye:

  • Cambios en politicas de grupo (GPO) de Active Directory.
  • Modificaciones en reglas de firewall.
  • Instalacion o desinstalacion de software.
  • Cambios en permisos de acceso a carpetas compartidas.
  • Alteraciones en la configuracion de servicios criticos (DNS, DHCP, correo).

Sin estos registros, es imposible determinar que cambio provoco un problema. Segun SANS Institute, el 85 % de las incidencias IT en PYMEs tienen como causa raiz un cambio de configuracion no documentado (SANS, Incident Response Survey 2023).

Retencion recomendada: 12 meses minimo.

Logs de acceso a datos sensibles (prioridad alta)

Si tu empresa maneja datos personales, financieros o de clientes, necesitas saber quien accede a esa informacion y cuando. Esto es especialmente relevante para el cumplimiento del RGPD.

  • Accesos de lectura y escritura a bases de datos con informacion personal.
  • Descargas masivas de ficheros desde servidores de archivos.
  • Accesos a carpetas con documentacion financiera o contractual.
  • Exportaciones de datos desde el ERP o CRM.

Retencion recomendada: 24 meses minimo (alineado con RGPD).

Logs de errores de sistema (prioridad alta)

Los registros de errores permiten detectar fallos de hardware, problemas de rendimiento y degradacion de servicios antes de que provoquen una caida.

  • Errores de disco (SMART warnings, errores de lectura/escritura).
  • Fallos de servicios criticos (bases de datos, servidores web, correo).
  • Errores de memoria y crashes de aplicaciones.
  • Alertas de temperatura, voltaje o estado de la fuente de alimentacion en servidores.

Retencion recomendada: 3-6 meses para operaciones diarias, 12 meses para incidencias criticas.

Logs de firewall y actividad de red (prioridad alta)

El firewall es la primera linea de defensa de tu red. Sus registros son fundamentales para detectar intentos de intrusion, trafico anomalo y conexiones sospechosas.

  • Conexiones bloqueadas y permitidas, con IP de origen y destino.
  • Intentos de acceso a puertos no autorizados.
  • Trafico saliente hacia destinos desconocidos o sospechosos.
  • Volumen de trafico por segmento de red.

Retencion recomendada: 12 meses minimo.

Logs de correo electronico (prioridad media-alta)

El correo es el principal vector de ataque en PYMEs. Segun Verizon, el 94 % del malware se distribuye por email (Verizon, Data Breach Investigations Report 2024). Los logs de correo deben registrar:

  • Mensajes enviados y recibidos con remitente, destinatario y asunto.
  • Correos bloqueados por el filtro antispam.
  • Intentos de envio de adjuntos sospechosos.
  • Fallos de entrega y bounces.

Retencion recomendada: 12 meses minimo (alineado con LSSI).

Logs de backup (prioridad alta)

Los registros de tus copias de seguridad confirman que tus datos estan protegidos. Deben incluir:

  • Resultado de cada tarea de backup (exito, fallo parcial, fallo total).
  • Tamano de los datos respaldados y tiempo de ejecucion.
  • Verificaciones de integridad realizadas.
  • Restauraciones de prueba y sus resultados.

Retencion recomendada: 12 meses minimo.

Periodos de retencion segun normativa espanola y europea

RGPD (Reglamento General de Proteccion de Datos)

  • Los logs que evidencien el tratamiento de datos personales deben conservarse durante todo el periodo en que el tratamiento este activo y, como minimo, durante el plazo de prescripcion de las posibles sanciones (3 anos segun la LOPDGDD).
  • Los registros de consentimiento deben mantenerse mientras el tratamiento este vigente.
  • Los logs de acceso a datos personales deben conservarse un minimo de 2 anos segun el articulo 103 del Real Decreto 1720/2007.

LSSI (Ley de Servicios de la Sociedad de la Informacion)

  • Los datos de conexion y trafico deben conservarse durante 12 meses, segun la Ley 25/2007 de conservacion de datos.

ENS (Esquema Nacional de Seguridad)

Si tu empresa trabaja con administraciones publicas o maneja datos clasificados, el ENS establece requisitos adicionales de retencion y proteccion de logs segun el nivel de seguridad aplicable.

Como implementar gestion centralizada de logs

Paso 1. Elegir la herramienta adecuada

Para PYMEs, las opciones mas viables son:

  • Graylog: plataforma open source de gestion de logs con interfaz web intuitiva. Ideal para PYMEs que quieren control total sin coste de licencia. Requiere un servidor dedicado con al menos 4 GB de RAM.
  • ELK Stack (Elasticsearch, Logstash, Kibana): solucion open source mas potente y flexible, pero con mayor complejidad de configuracion. Recomendable si tienes mas de 50 equipos.
  • Windows Event Forwarding (WEF): solucion nativa de Microsoft para centralizar logs de equipos Windows sin coste adicional. Limitada a entornos Windows pero extremadamente sencilla de configurar.
  • Zabbix: aunque es principalmente una herramienta de monitorizacion, permite recopilar y almacenar logs de forma centralizada, integrandose con las alertas de rendimiento.

Paso 2. Configurar la recopilacion

  • Instala agentes de recopilacion en cada equipo (Filebeat para ELK, Sidecar para Graylog, agente Zabbix).
  • Configura el envio de logs via syslog en equipos de red (routers, firewalls, switches).
  • Define que eventos se envian al servidor central y cuales se descartan para evitar saturacion.

Paso 3. Establecer politicas de retencion

  • Configura la rotacion automatica de logs antiguos segun los periodos definidos anteriormente.
  • Implementa compresion para logs archivados (reduccion tipica del 90 % en espacio).
  • Programa la eliminacion automatica de logs que superen el periodo de retencion obligatorio.

Paso 4. Configurar alertas para eventos criticos

Define alertas automaticas para los eventos que requieren atencion inmediata:

  • Mas de 5 intentos fallidos de acceso en 10 minutos desde la misma IP.
  • Modificacion de cuentas de administrador fuera de horario laboral.
  • Fallo en tareas de backup.
  • Errores criticos de disco en servidores.
  • Trafico de red anomalo detectado por el firewall.
  • Eliminacion masiva de archivos en servidores compartidos.

Paso 5. Proteger la integridad de los logs

Los logs deben ser inmutables una vez escritos. Configura permisos para que solo los administradores del sistema de logs puedan acceder a ellos, no los administradores de los sistemas monitorizados. Usa almacenamiento WORM (Write Once Read Many) si es posible, o al menos firmas digitales que detecten manipulaciones. Un atacante que compromete un servidor intentara borrar los logs para cubrir sus huellas: si los logs estan en un sistema independiente, no podra hacerlo.

Paso 6. Introduccion al SIEM para PYMEs

Un SIEM (Security Information and Event Management) correlaciona logs de diferentes fuentes para detectar patrones de ataque que no serian visibles analizando cada log por separado. Aunque las soluciones SIEM empresariales como Splunk o QRadar estan fuera del presupuesto de la mayoria de PYMEs, existen alternativas accesibles:

  • Wazuh: plataforma SIEM open source que integra deteccion de intrusiones, analisis de vulnerabilidades y gestion de logs. Compatible con Graylog y ELK.
  • Graylog con reglas de correlacion: permite crear pipelines de procesamiento que detectan patrones sospechosos combinando eventos de multiples fuentes.

Para una PYME de 20 a 50 empleados, un despliegue basico de Graylog con alertas bien configuradas cubre el 80 % de las necesidades de un SIEM a una fraccion del coste.

Paso 7. Realizar backups de los logs

Los logs son datos criticos que necesitan su propia estrategia de backup. Incluyelos en tu plan de copias de seguridad y almacena al menos una copia en una ubicacion separada del sistema principal de logs. Un incidente que destruya los logs y su unica copia elimina toda capacidad de investigacion forense.

Paso 8. Revisar y ajustar periodicamente

Programa revisiones mensuales para verificar que todos los sistemas estan enviando logs correctamente, que las alertas se disparan cuando deben, que la capacidad de almacenamiento es suficiente y que los periodos de retencion se estan cumpliendo. Ajusta la configuracion segun la experiencia operativa y los nuevos requisitos que surjan.

Errores comunes en la gestion de logs

  • Guardar todo sin criterio: genera volumenes inmanejables de datos, encarece el almacenamiento y dificulta las busquedas. Prioriza los logs criticos y descarta los irrelevantes.
  • No proteger los logs: si un atacante puede borrar los logs, pierden todo su valor forense. Almacenalos en un sistema independiente con acceso restringido.
  • No monitorizar los logs activamente: guardar logs sin revisarlos ni configurar alertas es como instalar camaras de seguridad sin conectarlas a un monitor.
  • Confiar en la retencion por defecto del sistema operativo: muchos sistemas borran los logs automaticamente tras dias o semanas. Configura explicitamente los periodos de retencion.
  • Dispersar los logs en cada equipo sin centralizar: cuando necesitas investigar un incidente que afecta a varios sistemas, buscar logs equipo por equipo es inviable en un plazo razonable.

Problemas frecuentes y solucion

  • Los logs ocupan demasiado espacio en disco: implementa rotacion automatica con logrotate (Linux) o mediante politicas de Event Viewer (Windows). Comprime logs archivados y elimina los que superen el periodo de retencion. Un servidor con 500 GB de almacenamiento dedicado puede gestionar los logs de una PYME de 50 equipos durante 12 meses sin problemas.
  • No sabemos que eventos registrar: comienza con los logs de autenticacion y errores criticos. Son los mas utiles y los mas faciles de configurar. Amplia gradualmente a medida que tu equipo se familiarice con la herramienta.
  • Perdemos logs importantes por falta de espacio: configura alertas de capacidad al 80 % del disco asignado. Implementa una politica de archivado automatico que mueva los logs antiguos a almacenamiento secundario antes de que se llene el primario.
  • Nadie revisa los logs: sin revision, los logs no sirven de nada. Programa una revision semanal de 30 minutos centrada en las alertas generadas. Automatiza lo que puedas y prioriza los eventos de alta severidad.

Preguntas frecuentes

Debo guardar todos los logs de todos los equipos? No. Prioriza los sistemas criticos y los tipos de log con mayor valor para seguridad y cumplimiento. Registrar absolutamente todo genera ruido y dificulta el analisis. Empieza con servidores, firewalls y aplicaciones de negocio.

Cuanto espacio necesito para almacenar logs? Depende del volumen de actividad. Una PYME de 30 empleados con los logs criticos genera tipicamente entre 1 y 5 GB mensuales comprimidos. Con un almacenamiento de 100 GB dedicado puedes mantener entre 2 y 5 anos de historial.

Que riesgos concretos evito con una buena gestion de logs? Evitas multas por incumplimiento del RGPD (que pueden alcanzar el 4 % de la facturacion anual), reduces el tiempo de deteccion y respuesta ante incidentes de seguridad, y dispones de evidencia forense en caso de litigio o auditoria.

Puedo usar herramientas gratuitas o necesito invertir en software de pago? Graylog, ELK Stack, Wazuh y Zabbix son open source y cubren las necesidades de la inmensa mayoria de PYMEs. La inversion principal es el tiempo de configuracion inicial y un servidor dedicado (fisico o virtual) para centralizar los logs.

Cuanto tiempo tarda la implantacion inicial? Para una PYME de 20 a 50 equipos, una configuracion basica con Graylog y agentes de recopilacion puede completarse en 2-3 dias laborables. La afinacion de alertas y politicas de retencion requiere 1-2 semanas adicionales de ajuste progresivo.

En IBERSYA desplegamos sistemas centralizados de gestion de logs para PYMEs utilizando Graylog como plataforma principal de recopilacion y analisis, integrado con Zabbix para monitorizacion de la infraestructura y alertas en tiempo real. Configuramos politicas de retencion alineadas con el RGPD y la LSSI, alertas automaticas para eventos criticos de seguridad y dashboards personalizados en Grafana que permiten verificar el estado de la infraestructura de un vistazo. Si necesitas visibilidad completa sobre lo que ocurre en tus sistemas y cumplir con la normativa de proteccion de datos, contacta con nosotros para una evaluacion sin compromiso.

Ver servicio relacionado →

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.