Gestión de Eventos e Información de Seguridad: 8 criterios para elegir el SIEM adecuado

Imagine que tiene un reloj cucú. Pero uno que en vez de sonar una vez por hora lo hace a cada minuto. Usted no solo se sentiría abrumado por el ruido que hace, sino que también le sería muy difícil saber qué hora es. Esa es, exactamente, la experiencia que cada vez más equipos de IT tienen cuando se ven inundados por eventos Syslog y no tienen tiempo para comprobar qué alertas son prioritarias.

En este escenario, una solución de Gestión de Eventos e Información de Seguridad (SIEM) puede ayudarlos a optimizar estos análisis y priorizaciones para que puedan reaccionar más rápido ante amenazas peligrosas. Lo hace posible a través de la recopilación y el análisis centralizado de datos de Seguridad extraídos de una variedad de sistemas.

Entonces, una vez que usted ha decidido implementar un SIEM en su organización: ¿sabe cómo elegir el mejor? Los SIEM difieren mucho unos de otros, por eso es muy importante que evalúe primero su propio entorno y determine para qué lo necesita. Una vez que lo haya hecho y pase a elegir su SIEM, deberá tener en cuenta estos ocho criterios para encontrar el indicado:

1. Monitoreo y alertas en tiempo real

Universalmente, esta característica es una prioridad para todas las organizaciones. La capacidad de monitorear y relacionar amenazas en tiempo real puede ser la diferencia entre un pequeño contratiempo y un daño costoso o una interrupción en sus sistemas. Las ciberamenazas evolucionan rápido. Su equipo de Seguridad necesita moverse a la misma velocidad.

2. Monitoreo de actividad de usuarios

Es fácil olvidar que en muchas ocasiones el mayor peligro para sus sistemas reside dentro de su propia organización. Ya sea por malicia o por un error, las amenazas internas pueden causar más problemas que un agente externo. Especialmente, cuando provienen de usuarios con mayores privilegios y más accesos. Monitorear todas las actividades de los usuarios puede alertarlo sobre infracciones y descubrir malas prácticas y errores. Además, la supervisión de usuarios con privilegios altos es un requisito que exigen muchas regulaciones en diferentes industrias.

3. Investigaciones de casos de uso

Use su pasado para proteger su futuro. Algunos SIEM cuentan con un entorno abierto, que permite a los usuarios configurar casos de uso particulares. Usar el análisis de datos forenses puede reducir el riesgo, al permitirle enfocarse en los casos de uso comunes en su entorno específico. Estos casos de uso pueden centrarse tanto en proyectos de Seguridad como en otros proyectos, como las operaciones de IT.

4. Detección de amenazas a través del entorno

Las organizaciones requieren un mix de tecnologías diferentes para operar. Su SIEM deberá ser capaz de normalizar y correlacionar estas diferentes fuentes de datos en un formato común e interpretarlo. Asegúrese de que su SIEM pueda procesar Linux, Windows, bases de datos, servicios web y diferentes aplicaciones. Esto no debe limitarse únicamente a fuentes de datos estándar, sino a cualquier fuentes de datos que sea utilizada en su organización. Para lograr la máxima efectividad, su SIEM debe ser capaz de integrar cualquier tipo de fuente de datos personalizada, desde aplicaciones heredadas hasta bases de datos de elaboración propia.

5. Almacenamiento de eventos a largo plazo

No hay manera de evitarlo: los datos ocupan mucho espacio. Con logs transmitiendo datos de forma ininterrumpida, necesitará un SIEM con suficiente espacio para almacenar todo. Para realizar un análisis efectivo es posible que necesite almacenar muchos datos a largo plazo. Además, algunas normativas también requieren el almacenamiento de datos a largo plazo. Si bien el almacenamiento es importante, una solución SIEM eficaz debe permitirle personalizar qué tipo de datos quiere almacenar, excluyendo aquellos datos que usted sabe que son inofensivos.

6. Escalabilidad

Las soluciones SIEM no solo deben ser útiles para una organización el día de hoy, sino que también deben poder escalar junto con ella. Por ejemplo, mientras que las organizaciones pueden planificar la expansión de su infraestructura, es casi imposible predecir la cantidad de datos que producirán a medida que crezcan. Muchas soluciones SIEM otorgan licencias por cantidad de datos procesados y esto no solo es difícil de estimar, sino que también puede hacer aumentar los costos de forma rápida y drástica. Encuentre una solución SIEM que otorgue licencias en una medida más predecible, como por dispositivo o fuente de datos, que se pueda planificar con mayor antelación, evitando sorpresas desagradables en las tarifas. Organizaciones más pequeñas pueden llegar a obtener la cobertura que necesitan con una solución SIEM gratuita, como Event Manager, que ofrece todas las funcionalidades para un número limitado de dispositivos, y se puede escalar fácilmente a la versión empresarial cuando una organización crece y la necesita.

7. Integraciones

 A medida que incorpora tecnología de Seguridad, puede ocurrir que aumente en gran medida la carga de trabajo de su equipo de IT, al exigirle combinar una gran cantidad de productos que no pueden comunicarse entre sí. Algunas soluciones SIEM pueden extraer datos de otras aplicaciones empresariales, como software antivirus, datos de inicio de sesión, software de auditoría de Seguridad y más. Esto no solo le ahorra tiempo, sino que también proporciona una imagen holística de su entorno.

8. Reportes

Los equipos de IT y Seguridad deben presentar informes a auditores y directivos con regularidad. La mayoría de las organizaciones, además, debe cumplir con múltiples normativas y regulaciones, y esto complejiza las tareas de generación de reportes. Una buena solución SIEM debe ser capaz de proporcionarle todos los reportes fundamentales para su compañía en tiempo y forma.