¿Qué es un SIEM y porque se debe implementar en las empresas?


Fecha: 2016-05-27


Dentro del ámbito de la Seguridad Informática se habla de las soluciones SIEM, pero, ¿Qué es un SIEM?  

SIEM (Security Incident and Event Management), son plataformas que proveen análisis en tiempo real de los eventos de seguridad generados por los equipos de comunicación, servidores y todo lo que estemos monitoreando. Pero para entender un poco el término y las funcionalidades, debemos entender de donde proviene, que es la combinación de SEM (Security Event Management) y SIM (Security Incident management).

·         Disminuir los falsos positivos
·         Detección de anomalías de red y amenazas
·         Análisis antes, durante y después del ataque
·         Captura total de los paquetes en la red
·         Cumplimiento de nuevas normas/leyes

+ Administración del riesgo:

·        
Topología de red y vulnerabilidades
·         Configuración errada de dispositivos
·         Análisis de fallas y simulación de exploits
·         Priorización de vulnerabilidades
·         Correlación avanzada y profunda de eventos  

SEM, Es el Segmento de la Administración de la seguridad que tiene que ver con Correlación de Eventos, Análisis en Tiempo Real, Flujo de Trabajo, además de que toma en consideración otras fuente como es el monitoreo del tráfico.  

SIM, Este tiene que ver con el almacenamiento a largo plazo de logs para su posterior análisis y reporte.   Esta combinación nos da en una sola plataforma una serie de funcionalidades, pero estas plataformas han ido evolucionando y mejorando, dándonos mucho más funcionalidades.  

Características generales
·         Alertas y Correlación de Eventos
·         Monitoreo de integridad
·         Agregación de Logs
·         Análisis Forenses
·         Análisis en tiempo Real
·         Manejo de Vulnerabilidades
·         Entre otros...

¿Por qué debo contar con un SIEM?
 

Todos sabemos que nuestros equipos de comunicación, servidores y demás, generan una gran cantidad de eventos diariamente, y no es cierto que los administradores se sientan día tras día a revisar cada línea de eventos generados por los equipos. Es por esta razón que las organizaciones necesitan una solución que realice ese monitoreo y nos pueda generar alarmas para detectar las incidencias, así como la prevención de amenazas.  

Cómo también definir un comportamiento normal en una infraestructura, si no estamos monitoreando diariamente dicha infraestructura, y tenemos que estar conscientes que no hay forma de definir tal comportamiento si no monitoreamos tráfico, eventos y demás, a cada momento. Y si no definimos esto, no será posible que detectemos un comportamiento anormal por lo que nuestra respuesta a posibles incidentes, no va a ser la mejor. La única manera de saber, que es normal en nuestra infraestructura es recopilar la mayor cantidad de información, en las actividades del día a día y buscar cualquier indicio de algo anormal después de un incidente centralizando los logs en una solución para su posterior análisis.  

Todo esto, para que pueda ser logrado requiere de una solución de SIEM que integre todas estas funcionalidades, aunque muchos fabricantes le pongan nombres específicos de acuerdo a su solución lo que siempre se debe considerar es que cumpla con las necesidades primordiales de la organización y entre más información nos proporcione la herramienta más seguros podremos estar de resolver cualquier contingencia que llegara a presentarse.  

Los logs son los únicos que nos pueden dar una noción de lo pasado en nuestra red, y no importa la información en tiempo real que tengamos, la investigación se centra en eventos pasados, y contar con una solución donde lo centralicemos y la rapidez de acceso es lo que mejora o degrada una buena respuesta a incidentes.  

Muchas organizaciones no cuentan con dichas soluciones, a veces por el costo, o porque no entienden la criticidad del asunto, así que, como Encargados o Responsables de Seguridad Informática, debemos darle a entender a la organización la importancia de tener esta visibilidad en la infraestructura.  

Existen varias soluciones denominadas SIEM y algunas con características superiores, así como soluciones modulares de diversos fabricantes que dependerían mucho de las necesidades de cada cliente o bien de la infraestructura que se tenga en sus redes para ser monitoreadas.

Nuestra experiencia en Soluciones de SIEM nos dan la pauta para poder elegir y sugerir una solución a la necesidad y el tipo de infraestructura que la empresa necesita y desde luego la aplicación a la normatividad y el cumplimiento con regulaciones: Health Insurance Portability Accountability Act (HIPAA), Sarbanes-Oxley (SOX) y Payment Card Industry Data Security Standards (PCI), ISO 27001, etc…  

Aunado a lo anterior muchos especialistas en ciber-seguridad o abogados en seguridad informática afirman que no los implementan por el desconocimiento de las políticas y normatividad, sin embargo como podemos saber si un ataque fue interno o externo o la perdida de datos o de información fue ocasionada por personal de la compañía o bien un robo de información si no contamos con las medidas de seguridad respectivas para su aplicación.  

No dude en consultarnos, le ofrecemos la mejor solución… info@ciswave.net