¡Hola a todos, mis ciber-exploradores! ¿Alguna vez os habéis preguntado por qué en ciberseguridad, algunos datos son como el buen vino, mejorando con el tiempo, y otros, simple leche que caduca?
Esta distinción es vital, especialmente al hablar de los registros (logs) de nuestros sistemas SIEM. Personalmente, he visto cómo una gestión descuidada del período de retención puede abrir la puerta a ataques indetectables o acarrear multas considerables por incumplir normativas como el RGPD o la LOPDGDD.
Las amenazas y regulaciones evolucionan sin parar, haciendo de la decisión de cuánto tiempo guardar esa información valiosa un verdadero arte y ciencia.
No se preocupen, hoy desentrañaremos este rompecabezas juntos. ¡En el siguiente artículo, te contaré exactamente cómo gestionar estos períodos de retención de forma inteligente y eficaz!
El arte de saber cuándo soltar: ¿Qué registros son tesoros y cuáles basura digital?
Cada log tiene su ciclo: Entendiendo la vida de tus datos
Amigos, pensar que todos los logs son iguales es un error que nos puede costar caro. ¡Y lo digo por experiencia! Cuando te sumerges en el mundo de la ciberseguridad, te das cuenta de que hay eventos que necesitas guardar como oro en paño durante años, y otros que, sinceramente, a las pocas semanas ya han perdido todo su valor práctico.
Es como la ropa en tu armario: no es lo mismo un traje de gala que usas en ocasiones especiales, que una camiseta del día a día. Los logs de autenticación de sistemas críticos, por ejemplo, esos son los que te salvan el pellejo cuando necesitas reconstruir un incidente que ocurrió hace meses.
Saber cuánto tiempo retener cada tipo de registro es fundamental para no ahogarte en información inútil ni, lo que es peor, deshacerte de la prueba clave que necesitabas para desenmascarar un ataque sofisticado.
Se trata de encontrar ese punto dulce donde tienes suficiente información para ser efectivo, pero no tanta que te abrume o te genere costes innecesarios de almacenamiento.
Es un equilibrio delicado, y créanme, la intuición no basta; hace falta una buena dosis de análisis y una comprensión clara de qué amenazas estamos intentando mitigar y qué regulaciones debemos cumplir.
La diferencia entre “guardar por si acaso” y “guardar con un propósito”
Aquí viene el gran secreto: no guardamos logs “por si acaso”, los guardamos “con un propósito”. Parece obvio, ¿verdad? Pero he visto a muchas empresas caer en la trampa de acumular datos sin sentido, esperando que algún día sirvan para algo.
Y el resultado es siempre el mismo: un mar de información donde es imposible encontrar una aguja, y un presupuesto de almacenamiento que se dispara sin control.
El verdadero truco está en identificar qué logs tienen un valor intrínseco para la detección de amenazas, la investigación forense o el cumplimiento normativo.
¿Necesitas guardar los logs de acceso a la intranet de un usuario que ya no trabaja en la empresa hace tres años? Probablemente no por motivos de seguridad diaria, pero sí por requisitos legales.
En cambio, los logs de un firewall que bloquea intentos de intrusión, esos son vitales, pero quizás su relevancia disminuya pasado un tiempo prudencial si no se asocian a un incidente activo.
Pensar con este enfoque te permite ser mucho más eficiente y evita que tu SIEM se convierta en un vertedero digital. Es una cuestión de prioridades, y la experiencia me ha enseñado que definir esas prioridades antes de empezar a almacenar es la jugada más inteligente.
El dolor de cabeza legal: Cumpliendo las normativas sin perder la cabeza
RGPD y LOPDGDD: Cuando la ley dicta tus plazos
Ay, amigos, el cumplimiento normativo… ¿quién no ha tenido pesadillas con el RGPD y la LOPDGDD? Créanme, yo las he tenido. Es como tener un examinador muy estricto sentado en tu escritorio, pero que solo te revisa después de que ya has entregado el examen.
No cumplir con los periodos de retención de datos personales que estas leyes exigen no es un juego, y las multas pueden ser de esas que te dejan el negocio temblando.
He visto a empresas, grandes y pequeñas, recibir sanciones monumentales por no poder demostrar que guardaban los logs el tiempo adecuado, o peor aún, por guardarlos demasiado tiempo y sin una justificación clara.
La ley es muy específica sobre cómo y por cuánto tiempo se deben procesar los datos personales, y los logs son, a menudo, la prueba irrefutable de que se ha hecho bien o mal.
No es solo guardar por guardar; es guardar lo que toca, cómo toca y durante el tiempo exacto que la normativa exige. Y esto, mis amigos, requiere un conocimiento profundo y una revisión constante, porque las leyes, como las amenazas, también evolucionan.
La retención como escudo: Protegiéndote de auditorías y litigios
Más allá de las multas, una buena política de retención de logs es tu mejor abogado en caso de auditoría o, Dios no lo quiera, un litigio. Imagina que un exempleado te denuncia por algo que ocurrió hace un año.
¿Cómo demuestras que actuaste correctamente si no tienes los logs de acceso a su cuenta o de las acciones que realizó en los sistemas? O si sufres un ciberataque y un regulador te pide que expliques cómo ocurrió y qué medidas tomaste, esos logs son la historia detallada de todo.
Te confieso que en una ocasión, los logs de un sistema nos salvaron de una situación muy comprometida. Sin esa información, habríamos estado a ciegas, y la reputación de la empresa, y la mía propia, habrían quedado en entredicho.
Los logs no solo te ayudan a identificar un problema, sino que también son tu principal herramienta para justificar tus acciones, demostrar tu diligencia y, en última instancia, proteger la integridad de tu organización frente a cualquier escrutinio externo.
Es una inversión, no un gasto, en la tranquilidad de saber que estás cubierto.
Cuando el pasado ilumina el presente: La investigación forense
El valor imperecedero de los logs en un incidente
Para un experto en ciberseguridad, los logs son el hilo de Ariadna que nos guía por el laberinto de un incidente. Esos registros que has guardado celosamente son los que te permiten reconstruir la línea temporal de un ataque, identificar el punto de entrada, ver qué sistemas se vieron comprometidos y qué datos fueron accedidos.
Personalmente, me he pasado horas y horas buceando en logs antiguos, y te aseguro que cada pequeña pieza de información es crucial. Sin una retención adecuada, la investigación forense se vuelve una tarea casi imposible.
Es como intentar resolver un crimen sin pruebas ni testigos. He visto cómo un atacante, muy astuto, dejaba rastros mínimos, y solo la persistencia de esos logs durante meses nos permitió, finalmente, cerrar el cerco.
El problema es que nunca sabes cuándo vas a necesitar esa información del pasado. Un ataque puede permanecer latente durante semanas o incluso meses antes de ser detectado, y si para entonces ya te has deshecho de los logs relevantes, estás perdido.
Reconstruyendo la historia: Del “cómo” al “quién” con logs detallados
Los logs son la narrativa de tu infraestructura. Nos cuentan “qué” pasó, “cuándo” pasó y, con un poco de suerte y mucha habilidad, “quién” lo hizo. Desde intentos de acceso fallidos hasta la ejecución de comandos sospechosos, cada entrada es un dato que, en el contexto de una investigación forense, puede ser la pieza clave que conecta los puntos.
Recuerdo un caso en el que los logs de un servidor, guardados por más tiempo del habitual “por si acaso”, revelaron un patrón de actividad inusual que, en retrospectiva, era el indicio de un ataque de APT.
Sin esa información detallada, simplemente habríamos visto un “acceso no autorizado” y habríamos perdido la oportunidad de entender la sofisticación de la amenaza.
La riqueza de los detalles en tus logs, y el tiempo que los conservas, determinan directamente tu capacidad para no solo responder a un incidente, sino para aprender de él y fortalecer tus defensas futuras.
La balanza de oro: Coste vs. Seguridad en la retención
Optimización del almacenamiento: Más allá de lo obvio
A ver, seamos realistas: guardar logs cuesta dinero. Y no poco. No solo es el espacio en disco, sino también la infraestructura, la energía, el mantenimiento del software y el personal que gestiona todo esto.
Es fácil caer en la trampa de querer guardarlo todo para siempre, pero el coste puede ser prohibitivo. La clave está en optimizar. No todos los logs tienen la misma importancia ni requieren el mismo tipo de almacenamiento.
Los logs más críticos y de uso frecuente pueden ir en almacenamiento de alto rendimiento, mientras que los más antiguos, necesarios solo para cumplimiento o forensia, pueden archivarse en soluciones de bajo coste, como almacenamiento en la nube o cintas.
Yo mismo he ayudado a equipos a rediseñar sus arquitecturas de almacenamiento de logs, y la diferencia en costes operativos ha sido brutal, liberando presupuesto para otras áreas de ciberseguridad.
Es una estrategia inteligente que no compromete la seguridad, sino que la hace más sostenible.
El retorno de la inversión: Cuando retener es rentable
Aunque el almacenamiento de logs tenga un coste, una buena política de retención es una inversión que te ahorra mucho más a largo plazo. Piensa en las multas que puedes evitar, los costes de recuperación de un ataque que se detecta tarde, o la pérdida de reputación que te evita una respuesta rápida y efectiva a un incidente.
Si, por no querer invertir un poco más en almacenamiento, te ves enfrentado a una multa de seis cifras o a una brecha de datos que te cuesta millones, el “ahorro” inicial se convierte en una ruina.
Es como el seguro de tu coche: no quieres pagar la prima, pero si tienes un accidente, ¡agradeces haberlo tenido! El ROI de una retención inteligente no siempre es directo, pero está ahí, en cada amenaza evitada, en cada auditoría superada, y en la tranquilidad de saber que tienes la información necesaria para proteger tu negocio.
Estrategias infalibles para una retención inteligente
Segmentación por criticidad: Priorizando lo esencial
Una de las estrategias más efectivas que he implementado es la segmentación de logs por su nivel de criticidad. No es lo mismo un log de depuración de una aplicación interna que un log de un intento de intrusión en tu servidor de base de datos principal.
Establece categorías claras, por ejemplo: críticos (autenticación, accesos a datos sensibles), importantes (firewall, sistemas operativos), y estándar (aplicaciones no críticas).
A cada categoría, asigna un período de retención diferente, y también un tipo de almacenamiento adecuado a su criticidad y frecuencia de acceso. Los logs críticos, ¡esos sí que hay que guardarlos como oro en paño y accesibles!
Los otros, quizá puedan ir a un archivo más frío después de un tiempo. Esta diferenciación te ayuda a gestionar recursos de forma mucho más eficiente y a enfocar tus esfuerzos donde realmente importa.
La clave está en no tratar a todos los logs por igual, porque no lo son.
Automatización y revisión: Manteniendo tu política al día
Implementar una política de retención no es un trabajo de una sola vez; es un proceso continuo. Debes automatizar la gestión de tus logs para que la eliminación o el archivado se realice de forma sistemática y sin errores humanos.
He visto el caos que puede generar la gestión manual, con logs críticos borrándose antes de tiempo y otros inútiles ocupando espacio valioso. Además, y esto es crucial, tu política debe ser un documento vivo.
Las regulaciones cambian, las amenazas evolucionan, y tus necesidades de negocio también. Por eso, mi consejo es revisarla periódicamente, al menos una vez al año, o cada vez que haya un cambio significativo en tu entorno o en la legislación.
Involucra a los equipos de seguridad, legal y operaciones. Solo así garantizarás que tu estrategia de retención sigue siendo relevante y eficaz. Una política desactualizada es casi tan peligrosa como no tener ninguna.
Mi experiencia en la trinchera: Lecciones aprendidas
Errores comunes y cómo evitarlos (¡no los cometas tú!)
A lo largo de mi carrera, he visto (y cometido, para qué negarlo) unos cuantos errores en la gestión de la retención de logs. Uno de los más comunes es subestimar el volumen de logs que se generan.
Empiezas con una estimación, y de repente, ¡boom!, tu almacenamiento se desborda. Otro error fatal es no involucrar al equipo legal. La ciberseguridad y las leyes de protección de datos van de la mano, y no tener la perspectiva legal es un riesgo enorme.
También he visto la pereza de no etiquetar correctamente los logs, lo que hace imposible aplicar políticas de retención diferenciadas. Y el peor de todos, dejar que la política de retención sea una “cosa de un solo equipo” y no de toda la organización.
Estos errores no solo son costosos, sino que minan la confianza en tus sistemas de seguridad. Mi consejo: sé proactivo, colabora con todos los departamentos relevantes y sé meticuloso en la clasificación de tus datos.
| Tipo de Log | Propósito Principal | Periodo de Retención Recomendado (General) | Consideraciones Clave |
|---|---|---|---|
| Autenticación y Acceso | Detección de intrusiones, cumplimiento normativo (RGPD) | 1-3 años (o según normativa local) | Esenciales para auditorías y forensia. Datos personales sensibles. |
| Firewall/IDS/IPS | Detección de amenazas, análisis de tráfico | 6 meses – 1 año | Volumen alto. Su valor disminuye con el tiempo, a menos que haya incidente. |
| Sistemas Operativos | Detección de actividad maliciosa, troubleshooting | 6 meses – 1 año | Detalles de procesos, errores, inicios de sesión. |
| Aplicaciones Críticas | Rendimiento, errores de aplicación, transacciones | 3 meses – 1 año | Depende de la criticidad de la aplicación y sus datos. |
| Base de Datos | Cambios de esquema, accesos, modificaciones de datos | 1-3 años (o según normativa local) | Muy sensibles, a menudo con requisitos de cumplimiento estrictos. |
| Eventos de Seguridad (SIEM) | Correlación de eventos, alertas de seguridad | 1 año – Indefinido (para incidentes confirmados) | Normalmente, son agregaciones o eventos específicos, no crudos. |
Mi mantra personal: Planificación, persistencia y flexibilidad
Si hay algo que he aprendido en este apasionante y a veces estresante mundo de la ciberseguridad, es que la gestión de la retención de logs requiere un mantra simple pero poderoso: planificación, persistencia y flexibilidad.
Planificación, porque sin una estrategia clara desde el principio, te ahogarás en datos y costes. Persistencia, porque no puedes relajarte y dejar que tu sistema de logs se gestione solo; requiere atención constante y un monitoreo activo.
Y flexibilidad, porque el mundo de la ciberseguridad cambia a una velocidad de vértigo, y tu política de retención debe poder adaptarse a nuevas amenazas, tecnologías y, por supuesto, regulaciones.
No tengas miedo de ajustar, de probar nuevas soluciones, y de siempre buscar la forma más inteligente de hacer las cosas. Al final, se trata de proteger lo que es importante y asegurar que, cuando el momento lo requiera, esos viejos registros sean tus mejores aliados.
¡Así que, a retener con cabeza, mis amigos!
Para Terminar
¡Y así, mis queridos ciber-exploradores, llegamos al final de este viaje por el fascinante y a veces abrumador mundo de la retención de logs! Espero de corazón que esta conversación haya encendido una chispa en vosotros y os haya dado esa perspectiva tan necesaria en ciberseguridad. Recordad, la clave no es solo acumular datos sin ton ni son, sino ser astutos, estratégicos y siempre tener un propósito claro para cada byte que decidimos guardar. Mi experiencia me ha enseñado que esta es una de esas áreas donde la previsión vale su peso en oro, y la indiferencia puede salir carísima. No subestiméis el poder de unos logs bien gestionados; son vuestra memoria digital, vuestro escudo legal y, en última instancia, una pieza fundamental en el puzzle de la seguridad de vuestra organización. Así que, a poner en práctica todo lo aprendido y a construir defensas robustas, ¡para que vuestros logs se conviertan en vuestros mejores aliados y no en un dolor de cabeza! ¡Nos vemos en el próximo post, ciber-amigos!
Información Útil que Debes Conocer
1. Invierte en herramientas SIEM/SOAR robustas: Un buen Sistema de Gestión de Eventos e Información de Seguridad (SIEM) o de Orquestación, Automatización y Respuesta de Seguridad (SOAR) no es un lujo, es una necesidad ineludible. Estas plataformas son las que te permiten no solo almacenar logs de forma eficiente, sino también correlacionarlos, analizarlos en tiempo real y automatizar respuestas ante incidentes. Personalmente, he visto cómo una inversión adecuada en estas herramientas transforma una operación reactiva en una proactiva, ahorrando incontables horas y detectando amenazas que, de otro modo, pasarían completamente desapercibidas en el mar de datos. No te conformes con soluciones básicas; busca la que mejor se adapte a tu ecosistema y necesidades, ¡y sácale todo el partido posible para fortalecer tu postura de seguridad!
2. Clasifica tus logs sin piedad desde el principio: Entiende que no todos los logs nacen iguales, ni deben morir al mismo tiempo. Es fundamental que establezcas una metodología clara y estricta para clasificar cada tipo de registro según su nivel de criticidad, la sensibilidad de su contenido (¿contiene datos personales o información confidencial?) y su relevancia directa para la detección de amenazas o para el cumplimiento normativo. Esta clasificación te permitirá aplicar políticas de retención diferenciadas, optimizando drásticamente el almacenamiento y asegurando que lo más importante se guarda el tiempo necesario con la máxima seguridad. Hazlo desde el principio, y te prometo que te ahorrarás muchísimos dolores de cabeza y costes innecesarios en el futuro. Créeme, una buena clasificación es la piedra angular de una retención inteligente y eficiente.
3. Documenta y comunica tus políticas de retención de forma exhaustiva: De nada, absolutamente de nada, sirve tener la política de retención de logs más brillante y técnicamente perfecta si nadie en la organización la conoce, la entiende o sabe cómo aplicarla. Asegúrate de que tus políticas estén claramente documentadas, sean fácilmente accesibles para todos los implicados y se comuniquen eficazmente a través de los canales adecuados. Esto incluye, sin excepción, a los equipos de IT, seguridad, legal y, si aplica, incluso a los usuarios finales. Una política transparente, bien entendida y aplicada por todos minimiza drásticamente los errores, asegura el cumplimiento normativo y fortalece la cultura de seguridad en tu organización. Piensa en ello como las reglas fundamentales de un juego complejo: todos deben conocerlas a la perfección para jugar bien y ganar.
4. Forma a tu equipo en la importancia vital de los logs: No lo olvides: tus empleados son tu primera línea de defensa contra un sinfín de amenazas, y también una fuente crucial de registros y eventos. Asegúrate de que entiendan cabalmente la importancia crítica de los logs para la seguridad general de la empresa y para el cumplimiento de las normativas vigentes. Esta capacitación no debe limitarse únicamente al equipo de seguridad, sino que debe extenderse a desarrolladores, administradores de sistemas y a cualquier persona que interactúe con datos o sistemas críticos. Un equipo consciente, proactivo y bien formado es mucho menos propenso a cometer errores que generen logs inútiles o, lo que es peor, a ignorar señales de alerta tempranas. La ciberseguridad es, sin duda, un deporte de equipo, y los logs son el marcador detallado que todos deben saber leer e interpretar correctamente.
5. Realiza simulacros de incidentes con logs regularmente: ¿De qué sirve guardar logs meticulosamente si, cuando el pánico se desata durante un incidente real, no sabes cómo usarlos? Mi mejor consejo, basado en años de experiencia en la trinchera, es que realices simulacros de incidentes de seguridad de forma periódica y realista. Durante estos ejercicios, prueba a fondo tu capacidad para acceder a los logs almacenados, analizarlos con rapidez y precisión, y utilizarlos para reconstruir el hilo temporal de un evento. Esto no solo te ayudará a identificar posibles fallos o cuellos de botella en tu estrategia de retención o en tus herramientas de gestión, sino que también entrenará a tu equipo para actuar con la máxima rapidez y eficacia cuando el peligro sea inminente y real. ¡Es como un entrenamiento de bomberos; no esperes a que tu casa esté en llamas para practicar la evacuación de emergencia!
Puntos Clave a Recordar
En resumen, amigos, la gestión de la retención de logs en ciberseguridad es una tarea compleja, sí, pero absolutamente imprescindible y de un valor incalculable que va mucho más allá de simplemente “guardar cosas por si acaso”. Hemos explorado cómo una estrategia bien pensada es vital para cumplir con normativas estrictas como el RGPD y la LOPDGDD, evitando así sanciones económicas que podrían poner en jaque cualquier empresa. Es, además, vuestro mejor aliado y vuestra principal fuente de verdad irrefutable cuando, lamentablemente, os enfrentáis a una investigación forense tras un incidente, permitiéndoos reconstruir los hechos con precisión y comprender la magnitud total de lo ocurrido. Y no olvidemos la parte económica: aunque implique una inversión inicial, una retención inteligente, optimizada y bien planificada se traduce en un retorno de la inversión significativo que protege la continuidad de vuestro negocio, vuestra reputación y la confianza de vuestros clientes. La clave reside en la planificación meticulosa, la segmentación rigurosa basada en la criticidad de los datos, la automatización eficiente de los procesos y una revisión constante y adaptable de vuestras políticas. Recordad siempre que cada log tiene un propósito y un ciclo de vida únicos, y vuestra habilidad para distinguirlos definirá la fortaleza y la resiliencia de vuestra postura de seguridad. ¡Así que, haced de vuestros logs vuestros mejores centinelas y aliados estratégicos!
Preguntas Frecuentes (FAQ) 📖
P: or qué es tan crítico gestionar correctamente el período de retención de los registros (logs) en nuestros sistemas SIEM?A1: ¡Ay, mis queridos ciber-detectives! Esta pregunta toca la fibra sensible de mi propia experiencia. He visto, no una ni dos veces, sino muchísimas, cómo una gestión descuidada de los logs es como dejar la puerta de casa abierta de par en par. La verdad es que si no guardamos los logs el tiempo suficiente, estamos cegándonos a nosotros mismos. Piensen en ello: ¿cómo vamos a investigar un ataque que empezó hace tres meses si solo tenemos logs de las últimas dos semanas? Es imposible. Directamente lo he vivido: un cliente tardó en detectar una intrusión persistente y, al revisar sus SIEM, ¡sorpresa! Los registros clave ya no estaban. El atacante había tenido vía libre para moverse a sus anchas, indetectable. Y no solo es el riesgo de seguridad; también está la espada de Damocles de las multas. Hablamos de regulaciones como el
R: GPD o la LOPDGDD aquí en España, que exigen plazos mínimos de retención para ciertos tipos de datos. Si no los cumples, la sanción económica puede ser un verdadero mazazo que te deja temblando.
Es una cuestión de supervivencia digital y de cumplimiento legal, ¡no hay atajos! Q2: Con las amenazas y regulaciones evolucionando constantemente, ¿cómo influyen normativas como el RGPD o la LOPDGDD en nuestra decisión sobre cuánto tiempo debemos conservar estos logs?
A2: ¡Uf, qué buena pregunta! Es como intentar bailar al ritmo de una música que cambia de compás cada dos por tres. Las regulaciones como el RGPD (Reglamento General de Protección de Datos) en toda Europa o nuestra querida LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) aquí en España, no solo nos dicen qué datos proteger, sino también cuánto tiempo debemos hacerlo.
Y esto es crucial para nuestros logs. Personalmente, me he devanado los sesos revisando las guías de la AEPD (Agencia Española de Protección de Datos) para entender exactamente qué plazos aplican a qué tipo de información.
No es un capricho; es una obligación. Si un log contiene datos personales, la normativa nos obliga a retenerlo solo el tiempo necesario para el fin para el que fue recabado, pero a la vez, lo suficiente para cualquier investigación o auditoría.
El truco está en encontrar ese equilibrio delicado. Muchas veces, por experiencia, un mínimo de 12 a 24 meses es un buen punto de partida para la mayoría de los logs de seguridad, pero esto puede variar mucho.
La clave es estar siempre al día con las últimas interpretaciones y directrices de las autoridades de protección de datos, ¡porque cambian más rápido de lo que canta un gallo!
Q3: Para nosotros, que gestionamos SIEMs, ¿cuáles son los consejos más prácticos para establecer un período de retención de logs que sea inteligente y realmente eficaz?
A3: ¡Ah, la pregunta del millón, mis queridos! Si me preguntan a mí, y después de tantos años metida en esto, les diría que no hay una fórmula mágica única, pero sí un camino inteligente.
Primero, y esto lo he comprobado, analicen qué tipo de datos contiene cada log. No es lo mismo un log de acceso a un servidor web que uno que registra transacciones financieras con datos personales.
Categoricen. Segundo, hablen con los expertos legales de su empresa (o consulten uno si no tienen). Ellos les dirán los requisitos mínimos legales específicos para su sector y país.
No intenten adivinar, ¡es demasiado arriesgado! Tercero, consideren el contexto de amenazas de su organización. ¿Cuánto tiempo tardan en detectar incidentes?
Si su equipo de SOC suele tardar semanas en ver algo raro, necesitan logs que cubran ese período y un poco más. Cuarto, y esto es clave, ¡el coste! Almacenar logs indefinidamente es carísimo.
Deben equilibrar la necesidad de retención con el presupuesto disponible, quizás optando por un almacenamiento más económico (pero seguro) para los logs más antiguos.
Y finalmente, revisen esto anualmente. Las amenazas, la tecnología y las regulaciones cambian, ¡y su política de retención debe cambiar con ellas! Es un proceso vivo, no un papel que se guarda en un cajón.
