La auditoría ayuda a detectar posibles brechas de seguridad al revelar patrones sospechosos o anómalos del uso del sistema. La auditoría también proporciona un medio para rastrear acciones sospechosas de un usuario concreto, lo que sirve como elemento de disuasión. Es decir, es menos probable que los usuarios que saben que sus actividades se están auditando intenten realizar actividades maliciosas.
Para proteger un sistema informático, especialmente un sistema en una red, se requieren mecanismos que controlan las actividades antes de que comiencen los procesos del sistema o del usuario. La seguridad requiere herramientas que supervisan las actividades a medida que se producen. También requiere informes de actividades después de que las actividades ocurren.
Establezca la opción S en los parámetros de auditoría antes de que los usuarios inicien sesión o se inicien procesos del sistema, porque la mayoría de las actividades de auditoría incluyen la supervisión de eventos actuales y el registro de eventos que cumplen con parámetros especificados. Cómo el servicio de auditoría supervisa e informa estos eventos se trata detalladamente en el Chapter 2, Planificación de la auditoría y en el Chapter 3, Gestión del servicio de auditoría.
La auditoría no puede evitar que los piratas informáticos entren de manera no autorizada. Sin embargo, el servicio de auditoría puede informar, por ejemplo, que un usuario específico realizó acciones específicas a una hora y en una fecha concretas. El informe de auditoría puede identificar al usuario por ruta de entrada y nombre de usuario. Dicha información se puede informar de inmediato en su terminal y en un archivo para su análisis posterior. Por lo tanto, el servicio de auditoría proporciona datos que ayudan a determinar lo siguiente:
Cómo se comprometió la seguridad del sistema
Qué espacios de bucle se deben cerrar para garantizar el nivel de seguridad deseado