Logs de auditoria - a evidência registrada de cada ação ou evento que ocorreu em um sistema de informações - é uma prática recomendada acordada no setor. Mas, em muitos casos, não são apenas práticas recomendadas - são uma necessidade de acordo com vários padrões e regulamentos. Tais como: ISO 27001, PCI-DSS, HIPAA, Diretiva PNR e muitos mais.

E embora esses padrões e regulamentações tenham fortes requisitos para a integridade dos logs, esses requisitos geralmente são cobertos apenas por medidas organizacionais, e não técnicas. A ISO 27001, "12.4.2 Proteção de informações de log", e o PCI-DSS, "Requisito 10.5 - Trilhas de avaliação seguras para que não possam ser alteradas", são frequentemente obtidas limitando o acesso aos logs de auditoria. Embora seja geralmente recomendado o uso de medidas técnicas adicionais, raramente é o caso. E como um livro sobre ISO 27001 adverte:

"Os logs do sistema precisam ser protegidos, porque se os dados puderem ser modificados ou os dados neles excluídos, sua existência poderá criar uma falsa sensação de segurança. Portanto, mesmo que você seja formalmente compatível com ISO 27001 ou PCI-DSS, isso pode ser uma falsa sensação de segurança se você confiar apenas na limitação do acesso aos logs, pois isso não impede que um ator interno malicioso adultere os logs e que não é detectado por um longo período de tempo."

Existem várias maneiras de proteger os logs de auditoria, além dos mecanismos de controle de acesso. Eles incluem carimbo de data / hora confiável de arquivos de log, encadeamento de hash, encadeamento de hash com ancoragem externa e armazenamento WORM. Mas a implementação de um deles não é trivial.

É claro que os logs de auditoria não são um recurso principal de qualquer produto e são desenvolvidos com esforço mínimo, apenas para marcar alguma caixa, geralmente por motivos de conformidade. Mas é crucial pelo menos estar ciente de que apenas ter um registro de auditoria ou mesmo garantir que não seja acessível a uma ampla variedade de funcionários, não atenda ao seu objetivo real e torne a análise forense muito menos valiosa.  Pois, você não poderia ter certeza de que os logs não foram violados. A conformidade é uma coisa, mas o objetivo desta conformidade é realmente proteger seus dados. E é por isso que a proteção criptográfica é altamente recomendada.