[Segurança] O dilema da guarda de logs

Uma das dúvidas mais frequentes para quem trabalha com TI e com Segurança da Informação diz respeito ao prazo que as empresas teriam que respeitar para guardar os logs de acesso aos seus sistemas e a Internet. Isto porque todo acesso ao sistema e a rede poderia gerar um registro de acesso, ou log, ou registro de auditoria, e tais registros poderiam ser guardados indefinidamente. Poderiam, mas não são, pelo simples motivo que isto pode ocupar muito espaço em disco - e espaço em disco para isto pode acabar custando caro no budget de TI, a longo prazo.

Esta pergunta surgiu recentemente na lista CISSP-BR, e por isso eu acabei decidindo colocar aqui, em meu blog, o que eu considero ser a minha opinião sobre este assunto.

O principal problema é que não existe uma resposta mágica: não há uma legislação ou um conjunto estabelecido e formal de "melhores práticas" de mercado que estabeleçam por quanto tempo uma empresa deve armazenar os seus logs. No dia que alguém descobrir a resposta para este problema da retenção de log, pode escrever um livro que vai ficar rico.

A falta de uma resposta precisa sobre a questão da guarda de logs se deve a vários fatores:

• Como eu disse anteriormente, praticamente não existe uma regulamentação única e definitiva sobre isso. A resposta certa pode ser tanto um grande "depende" como um "não existe - e ponto final".
• A resposta também depende do ramo de negócio aonde a sua empresa atua, pois ela pode estar sujeita a diversas regulamentações específicas do seu setor - e alguma destas regulamentações podem, eventualmente, ter algum ítem que direta ou indiretamente indique quanto tempo as empresas devem armazenar seus registros de acesso ou seus controles internos. Ainda mais se sua empresa tiver operações em outros países, que também podem ter exigências legais específicas.
  • Por exemplo, O Comitê Gestor da Internet no Brasil, através do CERT.br, recomenda que os logs de conexões de usuários de provedores de acesso estejam disponíveis por pelo menos 3 anos. Também aconselha que os demais logs sejam mantidos no mínimo por 6 meses. (ítem "4.4.2. Armazenamento de Logs" do documento "Práticas de Segurança para Administradores de Redes Internet" publicado em 2003)
  • O Projeto de Lei 84/99, o famoso PL do Azeredo, que ainda está em discussão eterna no Congresso, propõe que os provedores de internet guardem os logs por três anos.
  • O PCI pede que os registros de auditoria sejam mantidos por pelo menos 1 ano e que no mínimo 3 meses de logs estejam imediatamente disponíveis para análise (requisito 10.7 do PCI Data Security Standard).
• A resposta também depende do tipo de informação e do uso que ela pode ter para a empresa. Por exemplo, um log de acesso ou de login dos funcionários pode ser usado em um processo trabalhista, e até aonde eu sei qualquer empregado tem até 5 anos depois que se desliga da empresa para abrir um processo. Já aconteceu comigo de ter que usar o log de quando o funcionário fazia o login e o logoff na rede para determinar se ele estava chegando tarde ou saindo mais cedo do emprego com frequencia. Muitos de nós, que trabalhamos com TI e Segurança, já devemos ter recebido em algum momento um pedido de um gerente para verificar os logs de acesso a Internet para saber se determinado funcionário ficava tempo demais navegando na Web, em vez de trabalhar.

Na minha humilde opinião, a melhor forma de resolver esta questão é jogar a batata quente para a área jurídica e de RH da sua empresa, e pedir um parecer deles. Ninguém entende melhor de leis e do trato com os funcionários do que eles. Ninguém melhor do que eles tem um histórico dos problemas legais pelos quais sua empresa já passou.

Mas a minha resposta mágica para a guarda de logs é "5 anos".

Isso porque, até aonde eu sei, este é o prazo para alguém dar entrada em um processo na Justiça. Pode parecer muito, mas se você consultar o jurídico e RH de sua empresa, vai descobrir que, se eles fazem o trabalho bem feito, eles já estão acostumados a guardar documentos por prazos muito maiores do que este. Por exemplo, as informações de contratação de funcionários deveriam ser guardadas pelo RH para sempre. Isso porque, se um ex-funcionário precisar comprovar o tempo de trabalho quando for se aposentar (daqui a 30 ou 40 anos, quem sabe), a empresa tem que manter estes dados. Dados de cobrança dos clientes normalmente devem ser guardados por 5 anos ou mais. Empresas do setor de Telecomunicações tem que armazenar todos os registros de chamadas telefônicas por 5 anos - sob pena da empresa ser processada e até mesmo o CEO ser preso se a empresa não responder a um pedido de quebra de sigilo telefônico com os dados históricos de um determinado cliente.

Também acredito que existe um drama exagerado sobre esta questão da guarda de logs. Isto porque eu acredito que guardar estas informações é mais fácil do que muita crítica leva a crer. O mais importante de tudo é ter um bom processo para organizar e armazenar destes dados, para que eles possam ser facilmente encontrados quando for preciso. Além do mais, eu levo em consideração o seguinte:

• Em geral os registros de log são arquivos em formato texto simples com muita informação parecida. Isto é o sonho de qualquer programa de compactação de dados: um log pode ser facilmente compactado com taxas de 90% ou mais, chegando até mesmo a 99% de compactação. Ou seja, um arquivo com 1 GB de logs vira, facilmente, um arquivo de 100 MB - ou muito menos. Ou seja, a compactação permite uma grande economia de espaço para fazermos a guarda dos logs.
• O preço das mídias caiu vertiginosamente nos últimos anos. Os registros de logs antigos podem ser armazenados em fitas ou gravados em DVDs. Além disso, o custo de discos está muito baixo ultimamente - para ficar em um exemplo simples, um disco externo de 2 TB pode custar menos de R$ 850 (ou, nos EUA, menos de US$ 120,00). Além do mais, um gravador de Blue Ray, capaz de gravar discos com 50 GB de dados, pode ser comprado por U$ 160,00.

Atualização (8/6/2012): O Daniel Checchia também aproveitou o assunto e escreveu um texto excelente em seu blog, entitulado "O Dilema da guarda de logs – O que deve ser retido". Lá ele aprofunda ainda mais a questão e discute algumas características que devem ser levadas em conta para definição de um ambiente (e ferramenta) de guarda de logs. Na minha opinião, como o artigo dele teve uma pegada mais técnica, só faltou ele mencionar a importância de ter a sincronização de horários entre todos os servidores, o que é facilmente realizado através do protocolo NTP.