Aprendizaje y descubrimiento 3min de Leitura - 17 de enero de 2022

Gestión de eventos e información de seguridad (SIEM)

SIEM

This post is also available in: Português Español

Los distintos sistemas de seguridad digital que tenga una empresa guardan mucha información. Recopilan datos de todos los acontecimientos relacionados con la protección, almacenando cada detalle minuto a minuto. Al final, el volumen de información es tan grande que necesita un sistema específico para gestionar este contenido, que forma una base de conocimientos muy rica sobre la estructura de seguridad de la empresa.

Es entonces cuando entra en juego SIEM, por sus siglas en inglés que significan Gestión de Eventos e Información de Seguridad. Los sistemas de este tipo crean informes y alertas mediante el análisis en tiempo real de eventos y datos de registro. De este modo, pueden correlacionar eventos, identificar patrones, supervisar amenazas y responder a incidentes.

Así pues, todo entra en el radar de SIEM, como los inicios de sesión exitosos y no exitosos, la actividad de malware y otras posibles amenazas. Entonces, la plataforma envía alertas si el análisis demuestra que existe una actividad contraria a un conjunto predeterminado de normas, lo que supone un potencial problema de seguridad.

También existe la posibilidad de configurar algunos sistemas para detener determinados ataques, orientando la reconfiguración de otros controles de seguridad en la empresa.

Las ventajas de SIEM

El SIEM actúa básicamente en 3 frentes: acelera la creación de informes, mejora la eficacia en la gestión de los incidentes y los detecta de un modo que sería imposible con otras soluciones. Por lo tanto, llega a un cierto grado de organización que muestra una visión completa de los eventos de seguridad de la empresa.

Esto sucede mediante la recopilación de datos de registro de los sistemas de seguridad, los sistemas operativos, aplicaciones y otros componentes de software, ser capaz de analizar un gran volumen de datos y luego identificar los ataques. Por ello, se puede afirmar que el SIEM identifica actividades maliciosas que ningún otro método podría, porque es el único control de seguridad con amplia visibilidad sobre toda la empresa.

Su eficacia es tan alta que puede agilizar la presentación de informes para cumplir con las normas de seguridad, como HIPAA, PCI DSS y SOX. De esta forma, se maximiza la calidad del tratamiento de los incidentes reduciendo el uso de recursos – permitiendo respuestas más rápidas y ayudando a limitar los daños en posibles ataques de cibercriminales.

Local o nube

Las plataformas tipo SIEM están disponibles en varias formas, puede ser a través de un software instalado en un servidor local, en forma de hardware, aplicación virtual o cloud computing inclusive.

Es fundamental tomar en cuenta que cada una de estas arquitecturas tiene sus propias ventajas y desventajas, ninguna es peor o mejor que la otra. Todo depende de la necesidad de cada empresa, donde vea que puede obtener mayores beneficios en un determinado medio con relación a otro debido a las características inherentes al negocio.

Sea como sea, un aspecto importante de SIEM es la forma como se transfieren los dados de log a cada sistema. Existen 2 formas básicas, basadas en agente o sin agente. En el primer caso, un agente es instalado en cada máquina que genera registros, siendo el responsable por extraer, procesar y transmitir los datos al servidor. En la segunda opción, el sistema que genera logs puede transmitirlos directamente a la plataforma, o puede haber envuelto un servidor de registro intermedio.

Para pequeños y grandes

Las distintas opciones de uso del SIEM demuestran que se trata de una tecnología muy flexible y adaptable, por lo que su uso es adecuado en empresas de todos los tamaños y sectores.

Antes, existía el estigma de asociarlo con algo exclusivo de grandes empresas, con recursos de seguridad muy avanzados que no eran necesarios en pequeños negocios. No obstante, esto ha cambiado. El propio SIEM evolucionó para convertirse en un componente de seguridad importante para prácticamente todas las empresas.

Además, el número de fuentes de logs de seguridad ha crecido, así como la necesidad de visualizar y analizar esas entradas desde una única consola. Sin mencionar la creciente cantidad de ataques cibernéticos, que afectan tanto a las grandes como a las pequeñas empresas.

Es más, incluso las pequeñas y medianas empresas pueden necesitar SIEM por motivos de observación de normas y leyes. En algunos casos, es posible generar informes automáticamente que prueban la adhesión de la organización a los requisitos de estos cumplimiento.

Por eso, teniendo en cuenta su rapidez y precisión en la automatización de los informes de cumplimiento de normas, detección y gestión de incidentes, el SIEM es un factor diferencial que se está convirtiendo en una necesidad para prácticamente todas las empresas, ganando aún más relevancia con la llegada de Leyes de Protección de Datos.

This post is also available in: Português Español