¿Qué es un SIEM y porque es necesaria la Inteligencia Artificial?



Aunque los SIEM llevan muchos años existiendo y aportando valor a las empresas, esta tecnología se encuentra en evolución constante, y muchas compañías, aún no saben lo que puede aportar en cuanto a seguridad y como se debería de implementar, un tema lamentable, porque las amenazas siguen evolucionando, los ataques dirigidos son cada vez más sofisticados y es difícil detectarlos sin esta tecnología.

Pero, ¿Qué es un SIEM?


Un sistema de Gestión de Eventos e información de Seguridad, por sus siglas en inglés SIEM, es una combinación de gestión de seguridad de la información (SIM) y gestión de eventos de seguridad (SEM) que ayuda a detectar amenazas a través de una visibilidad detallada en tiempo real de las actividades locales y en la nube, correlacionando los eventos detectados y pudiendo interpretarlos a través de Inteligencia Artificial, no todos cuentan con este plus, pero cada vez son más los que se suben al barco de la IA.


En estos tiempos, la necesidad de cumplimiento y auditoria de ciertas normativas con las que las empresas deben de cubrir o apegarse están bastante apoyadas en estos sistemas, y normalmente, se logran con mayor facilidad si se cuenta con un SIEM para orquestar el análisis. Estas normativas pueden cubrir desde PCI DSS hasta SOX, pasando por HIPAA e ISO 27001, todas ellas impulsaron el valor de esta herramienta ya que facilita el cumplimiento.

Para detectar e investigar amenazas, las empresas necesitan de una visión completa de lo que sucede en sus activos, pueden ser locales, estar en nube o un esquema híbrido, detectando anomalías en tiempo real, lo que da la pauta para que el Equipo de Respuesta a Incidentes pueda entrar y comenzar con el proceso de investigación y mitigación en caso de requerirse.

Debido a la falta de personal especializado en ciberseguridad, las organizaciones también necesitan soluciones SIEM que sean fáciles de implementar, administrar y mantener, ya que algunas marcas requieren de especialistas y bastante tiempo para poder configurar e implantar ciertos sistemas en conjunto con la enorme cantidad de datos, lo que conlleva un esfuerzo considerable para ajustarse e integrarse, adicionalmente, es necesario que los profesionales y expertos estén en constante comunicación y compartiendo su experiencia de forma continua, de este modo, los equipos de seguridad de las empresas no se verán obligados a convertirse en expertos.

Beneficios de la inteligencia artificial en un SIEM.


Actualmente, en esta tecnología es importante incluir Inteligencia Artificial ya que las necesidades de las empresas han crecido, por lo que requieren de un aprendizaje automático y el análisis histórico avanzado de la información recabada, con esto se pueden demostrar comportamientos sospechosos y ayudar a los equipos de seguridad a responder antes para detener ataques y mitigar daños.

Lo que no se requiere por parte de los especialistas y analistas, son soluciones que generen más alertas y saturen los correos con información basura, también, es importante que estas plataformas se puedan integrar con cualquier dispositivo o activo tecnológico, de no hacerlo, estoy seguro que no cubrirá las necesidades de ninguna empresa.


Un análisis basado en Inteligencia Artificial se puede utilizar para investigar y buscar la causa raíz y la cadena de eventos que condujeron a los problemas o anomalías existentes.

Cuando los SOC(Security Operations Center) o CSOC (CyberSecurity Operation Center) carecen de fuerza laboral para investigación, la IA puede acelerar el análisis y la velocidad de la percepción, identificando las amenazas más rápido y de manera más consistente de lo que los atacantes pudieran reaccionar.

Mantenerse al día con los cambios y cerrar brechas sigue siendo crítico, pero la IA puede evaluar las prioridades y automatizar una gran parte de la carga de trabajo.

La mayoría de los ciberataques se centran en datos empresariales críticos, y una vez que los atacantes obtienen acceso, su organización necesita un proceso de respuesta a incidentes rápido y eficiente para capacitar a los analistas para detener los ataques.

Un SIEM solo es capaz de detectar, a través de herramientas que procesan entre 10,000 y 500,000 eventos por segundo (EPS) y debe de proporcionar los datos y la evidencia necesarios para remediar las amenazas a un esquema de respuesta a incidentes bien definido.

En otro post les hablaremos de lo que es Security Orchestration, Automation and Response (SOAR) y como ayudan a los SIEM y a los especialistas en ciberseguridad de las empresas.


Gartner, predice que para fines del 2020, el 15% de las organizaciones con un equipo de seguridad de más de cinco personas aprovechará SOAR. Lo que ayudará a aprovechar al máximo el SIEM.






#easysec #easycybersecurity #ciberseguridad #siem #seguridadinformática #ciberamenazas #infosec #inteligenciaartificial #ia

Publicar un comentario

0 Comentarios