Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Ha llegado el momento de considerar SIEM como servicio

Ahora incluso su SIEM viene en el modelo como servicio. Evalúe si es hora de considerar la posibilidad de subcontratar esta herramienta fundamental en su línea de defensa.

La arquitectura tradicional para gestión de eventos e información de seguridad (SIEM) pone todo el hardware y el...

software local en su organización, y el personal de su organización es totalmente responsable de supervisar y administrar el SIEM. Hoy en día, muchos otros arreglos son posibles, todos los cuales involucran a su organización y uno o más terceros que comparten las responsabilidades de SIEM.

Lo que se conoce como SIEM como servicio es cuando un proveedor de servicios de seguridad administrados asume parte o toda la responsabilidad del monitoreo y la administración de SIEM de su organización. Otra forma, SIEM basada en la nube, es cuando parte o todo el hardware y el software de SIEM se alojan en la nube en lugar de hacerlo en las instalaciones.

¿SIEM como servicio, SIEM en la nube o algo más?

En realidad, muchas organizaciones utilizan combinaciones de estos, administran algunos servicios por sí mismas y subcontratan otros y alojan algo de hardware y software ellos mismos, y utilizan servicios basados en la nube para otros. Los términos en sí mismos no son importantes; lo importante es saber que existen estas opciones y comprender sus ventajas y dificultades para que pueda elegir el mejor arreglo para las necesidades y los requisitos de su organización.

Hay algunas cosas clave que se deben tener en cuenta al evaluar SIEM como servicio u opciones de nube:

  • El uso de personal externo puede ahorrar dinero y mejorar la velocidad y precisión de la detección de incidentes. Esto es especialmente útil para las organizaciones más pequeñas que no tienen sus propios analistas de SIEM las 24 horas del día. La subcontratación del monitoreo y análisis de SIEM puede ahorrar dinero porque el subcontratista puede tener un número relativamente pequeño de personas que monitorean SIEM para numerosos clientes simultáneamente. Además, un proveedor de servicios puede reconocer patrones en todos los clientes y usar el conocimiento de los ataques a un cliente para proteger mejor a otros clientes de inmediato.
  • Los requisitos de ancho de banda y almacenamiento de datos de SIEM son cada vez más importantes y difíciles de cumplir. Las organizaciones ya tienen más operaciones de cómputo distribuido de las que solían tener, con muchos servicios y aplicaciones alojados en diferentes nubes. Para correlacionar eventos entre hosts y obtener una imagen general, la gran cantidad de datos de eventos de seguridad debe reunirse en una ubicación, y eso requiere ancho de banda y almacenamiento. En última instancia, puede que no sea factible hacerlo para todos los datos. En su lugar, puede ser necesario tener un SIEM escalonado, con partes de la recopilación y análisis de datos que ocurren en numerosas ubicaciones y un SIEM de nivel superior que recopila ciertos datos del resto para su posterior análisis. Sin embargo, cuanto más tiempo lleve reunir los datos, más demorarán también las acciones de respuesta y detección de incidentes.
  • Puede haber problemas importantes con la confianza cuando las responsabilidades se comparten. Supongamos que un proveedor externo aloja sus datos SIEM en la nube. ¿En qué países o jurisdicciones locales están ubicados esos servidores en la nube? Sus datos están sujetos a las leyes de seguridad y privacidad de esos lugares, y es posible que no lo sepa. También hay problemas de amenazas internas. Un proveedor de SIEM como servicio puede detectar una violación de datos y revelar esa información a terceros no autorizados, o puede acceder y hacer un uso incorrecto de datos confidenciales como contraseñas capturadas inadvertidamente por su SIEM. También hay cuestiones de autoridad a considerar, como dar a un tercero la posibilidad de reconfigurar automáticamente algunos de sus propios controles de seguridad.

Todas estas cuestiones se deben considerar juntas como parte de la consideración de SIEM como servicio, y deben guiar sus determinaciones sobre cómo diseñar y dotar de personal a su implementación de SIEM.

Este artículo se actualizó por última vez en octubre 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close