Blog B-SECURE

¿Cómo establecer una estrategia de gestión y respuesta a incidentes?

2389352Cada vez es más difícil recopilar millones de datos que generan los dispositivos sensibles a una dirección IP y más aún, cuando la tarea principal es el análisis y detección temprana de amenazas.

Aquí es donde encontramos herramientas muy potentes como el SIEM (Security Information and Event Management).

Pero, ¿qué características debe tener un SIEM que aporte a la estrategia de seguridad de una organización?
Un SIEM basa su funcionalidad en toda la información generada por los dispositivos de red, teniendo la capacidad de detectar rápidamente, responder y neutralizar las amenazas informáticas y cuyo objetivo principal es dar una mayor visibilidad a los incidentes de seguridad.

Su integración con otras tecnologías como SOAR (Security Orchestration Automation and Response), una herramienta de workflow muy sofisticada con reglas de detección automática que permiten responder a los incidentes de forma más inteligente y rápida y, por tanto, fortalecer la línea de defensa- y UEBA (User and Entity Behavior Analytics), muy útil para el rastreo de detección de patrones de comportamiento de usuarios, que ayuda a detectar posibles atacantes, -hace de SIEM una herramienta robusta para la gestión de eventos e incidentes de seguridad.

[TAMBIÉN LE PUEDE INTERESAR VER: ¿Qué es SOAR? - Características e importancia dentro de la estrategia de seguridad]

¿Qué hace de SIEM una tecnología indispensable?

Dentro de las características de un SIEM, se encuentran la capacidad de gestionar y recolectar la información de forma centralizada, analizar, normalizar, correlacionar y alertar, la cual permite la monitorización en tiempo real de eventos, con notificaciones e información de seguridad, que permite conocer en tiempo real si existe un ataque o está sucediendo algo inusual.

Adicionalmente, utilizando tecnologías de Big Data e inteligencia artificial, permite tener control, agilidad, velocidad y ante todo, la capacidad de predicción para enfrentar nuevos retos a los que estamos expuestos.

Principales fabricantes

Según el Cuadrante Mágico de Gartner, los principales fabricantes de soluciones SIEM para la gestión de eventos son:

  • LogRhythm
  • Splunk
  • IBM
  • Rapid7
  • Dell Technologies (RSA)

Si usted está pensando en adquirir un SIEM, solicite a su proveedor que garantice y cumpla con capacidades adicionales, que tengan un buen nivel de madurez, un alto grado de conocimiento de las soluciones, experiencia en implementación, entrenamientos, así como otras alternativas, tercerizando el servicio, apoyado en un centro de operaciones de seguridad.

[VER: Monitoreo y correlación de eventos - SIEM] 

Lo recomendable es asesorarse para conocer cuál es la solución que más se ajusta a su empresa, dónde le ayudará y mostrará beneficios como ahorro en tiempo y recursos y cómo le proveerá la información necesaria para la gestión efectiva, desde los datos crudos hasta análisis exhaustivos, como recursos clave para estar preparados ante una eventual amenaza.

Topics: SOAR SIEM