Aunque los SIEM llevan muchos años existiendo y aportando valor a las empresas, esta tecnología se encuentra en evolución constante, por lo tanto, no todas las organizaciones saben lo que les pueden aportar en cuanto a seguridad y cómo se deberían implementar.
¿Qué es un SIEM?
Un sistema de Gestión de Eventos e Información de Seguridad o Security Information and Event Management (SIEM, por sus siglas en inglés) es una combinación de lo que conocemos como Gestión de Seguridad de información (SIM) y Gestión de eventos de seguridad (SEM).
Su principal función es ayudar a la oportuna detección de amenazas mediante la visibilidad que ofrece de los eventos en tiempo real, correlacionando los registros obtenidos de múltiples sistemas (switches, antimalware, firewall, DLP, IDS, IPS etc) para poder detectar, interpretar, informar y/o alertar en caso de que algo sea sospechoso y prevenir posibles ciberataques.
La necesidad de muchas organizaciones de cumplimiento y auditoría de ciertas normativas que deben cubrir para poder operar se apoyan normalmente en este tipo de sistemas o correlacionadores, ya que con ellos se logra obtener el cumplimiento de algunos puntos de dichas normas.
Para que se puedan detectar eventos, amenazas e investigar, las empresas necesitan tener una gran visibilidad de lo que sucede en sus activos, o los que son más críticos dentro de la organización, no importa si se encuentran en la nube o localmente, una organización debe de saber lo que sucede en ellos para poder actuar en caso de que algo sea sospechoso.
En la actualidad, la instalación de un SIEM puede ser bastante sencillo, con un par de clics tendrás un correlacionador funcionando, pero el problema principal no es ese, lo que debes tener en cuenta antes de adquirir esta herramienta, es que para que aporte valor a la empresa, deberás de enfocarlo en el negocio.
¿Cómo enfocar un SIEM al negocio?
Para realizar una correcta implementación de un SIEM, se debe de aplicar casos de uso, que partirán de tu análisis de riesgos, política de seguridad, etc. , los cuales te ayudarán a saber qué reglas específicas deberás de configurar para que te alerten cuando sean detectadas.
Un SIEM no es para todas las empresas ya que su costo puede ser elevado, por lo que se recomienda principalmente para las organizaciones grandes o que cuenten con infraestructuras complejas y de gran escala.
También existen los SIEM de código abierto, los cuales son una opción para disminuir costos de inversión.
Un punto a tomar en cuenta es la importancia de que un especialista ponga su conocimiento para su implementación, mantenimiento y administración, y así obtener el mejor provecho de esta herramienta.
2 Comentarios
(y)
ResponderBorrar:)
ResponderBorrar¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.