En un mundo digital tan globalizado donde las siglas están por todas partes no resulta sencillo aclararse con todas ellas, especialmente las más especializadas, como es el caso del término SIEM, cuyo significado literal en inglés es Security Information and Event Management.
Traducido al castellano sería algo así como Información de Seguridad y Gestión de Eventos. Las soluciones SIEM, a grandes rasgos, tienen como objetivo detectar preventivamente amenazas potenciales a la empresa y resolverlas lo más rápido y de lo forma más eficaz posible. Para ello, procesan y monitorizan una cantidad enorme de datos tanto de hardware, software como fuentes de seguridad, dejando constancia de posibles fallos de seguridad que encuentra a su paso y también de dichas actividades sospechosas. De esta manera la empresa cumple la normativa de seguridad y a la vez consigue la garantía de que su red es segura ya que previene ataques y frena posibles incursiones en su red a la vez que detecta debilidades en la misma.
Gestión de la Seguridad de la Información y Gestión de Eventos
Cualquier sistema SIEM debe reunir un amplísimo abanico de herramientas de tecnología de la información (TI) para ser lo más completo posible, ya que la seguridad digital de las compañías así lo requieren. Sería poco eficaz que un administrador de seguridad tuviera que abrir todas estas aplicaciones porque no tendría ni tiempo ni sentido hacerlo, ya que no trabajarían de forma coordinada y unificadas. Es ahí donde cobra importancia SIEM, ya que proporciona ese “pegamento” que permite integrar, correlacionar, administrar y analizar todo en mismo espacio.
Esta capacidad de poder trabajar desde un punto de vista único permite detectar actitudes, tendencias y patrones anormales, que no estén dentro de lo común. Esto lo consigue SIEM mezclando funciones de SIM (gestión de información de seguridad) y SEM (gestión de eventos de seguridad) en un único sistema de seguridad.
Lo que hace el sistema SEM es centralizar el almacenamiento y la interpretación de registros, de modo que ofrece un análisis en casi tiempo real al equipo de seguridad digital, que de esa forma puede actuar mucho más rápido. Por su parte, el sistema SIM va recopilando datos en una base de datos central para poder trazar tendencias y conseguir patrones de conducta que puedan servir para detectar otros que no son comunes. Este sistema por supuesto también aporta informes centrales. De la unión de ambas salen las siglas que estamos tratando, SIEM, que pueden unir en un solo sistema todas las virtudes de sus dos orígenes.
Sin duda, lo que se consigue trabajando con SIEM no es solo una mejor gestión del tiempo de trabajo del equipo de seguridad y una mayor facilidad para desarrollar sus labores, sino que acorta los tiempos de actuación, algo fundamental para una empresa en caso de amenaza urgente.
Las fuentes múltiples de las que recopilan eventos de manera jerárquica están relacionadas con la seguridad de dispositivos de usuario final, servidores, equipos de red además de equipos especializados en prevención como los firewalls, antivirus o los sistemas de prevención de intrusiones. Todos ellos trabajan enviando los eventos a la unidad central que es la que inspecciona y marca los comportamientos anómalos. Como se desprende de este funcionamiento, es importante que el SIEM haya creado unas condiciones óptimas para detectar dichas anomalías en los eventos que inspecciona. Dependiendo de su nivel de desarrollo, así será también su complejidad.
Herramientas SIEM
En el mercado existen numerosos proveedores que tienen su visión particular del SIEM y por eso tratan de diferenciar sus productos de la competencia. A continuación recopilaremos 5 de las mejores herramientas SIEM.
Micro Focus ArcSight
Es un sistema SIEM capaz de recoger datos de más de 350 fuentes, procesando hasta 75000 eventos de seguridad por segundo. Micro Focus es una empresa británica en origen si bien se fusionó en 2016 con Hewlett Packard Enterprise.
IBM Security QRadar
El sistema SIEM de IBM, QRadar, ofrece más de 400 módulos que soportan la carga de datos. Esto se traduce en miles de millones de eventos por día, si bien se pueden priorizar de manera personalizada.
Splunk Enterprise Security
Splunk cuenta con la integración con User Behavior Analytics (UBA) y las herramientas de Machine Learning de la compañía. Una de sus mayores fortalezas es que la compañía es muy potente a nivel de seguridad, ya que su área de negocio más importante. Splunk Enterprise presume en su web oficial de tener clientes de la talla de Coca Cola.
Suite RSA NetWitness
Esta herramienta es muy popular entre organizaciones financieras, el sector de las telecomunicaciones y las entidades gubernamentales entre otros. RSA es la división de seguridad de Dell EMC y tienen su sede central en Bedford, en el estado de Massachusetts.
McAfee Enterprise Security Manager
ESM es muy popular en el sector público, en educación y sanidad, y por eso McAfee ha puesto sus esfuerzos en especializar su herramienta para dichos sectores desarrollando capacidades específicas en este sentido.
Últimos posts de Geek Jedi Girl (ver todo)
- Quiero estudiar Data Science, ¿por dónde empiezo? - 26/02/2021
- Por qué Indra es un destino laboral atractivo y de prestigio - 24/02/2021
- Clubhouse, ¿qué es y cómo funciona? - 10/02/2021