Llegamos a ustedes gracias a:



Reportajes y análisis

SIEM: 14 preguntas que debe hacer antes de comprar

SIEM

[04/07/2016] La demanda de la tecnología de seguridad de la información y gestión de eventos (SIEM, por sus siglas en inglés) es alta, pero eso no significa que las empresas estén ejecutando estos productos y servicios sin problemas.

Según un informe de Gartner, las grandes empresas están reevaluando a los vendedores SIEM debido a implementaciones parciales, marginales o fallidas. Mientras que la tecnología base ha cambiado poco en la última década, los casos de uso y el ritmo al que las empresas la han adoptado ha llevado a una transformación, según los expertos.

"SIEM era una tecnología compleja para las empresas más arraigadas, más inteligentes, pero hoy vemos que es adoptada por organizaciones menos maduras", señala Anton Chuvakin, vicepresidente de investigación de Gartner. "Eso ha causado la evolución de la tecnología que hemos visto recientemente. Está teniendo cada vez más poder mental".

La habilidad o poder mental -en gran parte en forma de capacidades de big data- ha impulsado SIEM más allá de sus días, como un sistema de archivo de eventos a largo plazo que las empresas despliegan para cumplir las normas básicas de cumplimiento. Ahora, la necesidad de contrarrestar las amenazas de la empresa está impulsando la adopción.

"Hoy en día se utiliza como una herramienta de cumplimiento, para la detección de seguridad, para el análisis de seguridad, medicina forense y como plataforma de big data", anota Joseph Blankenship, analista de Forrester. "Tenemos la promesa de que SIEMS ahora puede hacer muchas cosas, pero las empresas están experimentando muchos problemas -simplemente no han visto que la promesa se cumpla. Es por eso que vemos este fracaso y las implementaciones parciales".

La raíz del problema, añade Chuvakin, es compartida entre los proveedores y las organizaciones. Mientras que algunos productos SIEM heredados han luchado a escala y resultaron eficientes, algunas empresas simplemente no están equipadas para manejar correctamente el sistema. "SIEM no es algo que se instala y empiezan a ocurrir grandes cosas", anota.

Si su SIEM no está cumpliendo con sus estándares, empiece primero por examinar su ambiente, sus necesidades y capacidades -a continuación, elija la solución adecuada. He aquí un vistazo a las 14 preguntas que necesita preguntarse a sí mismo y a su proveedor antes de comprar.

1. ¿Es su SIEM actual el problema? Mientras que algunas soluciones son mejores que otras, son raras las SIEMs malas, anota Chuvakin de Gartner. Si no está consiguiendo el valor que espera, considere las razones: ¿Está dedicando los recursos adecuados? ¿Tiene el ancho de banda para ejecutarla?

"Una SIEM puede funcionar correctamente si está entrenada, si está involucrado el personal adecuado para afinarla y ejecutarla", señala. "Si no tiene un buen equipo para ejecutar SIEM, reemplazarla con otra cosa no resolverá el problema".

2. ¿Puedo hacerme cargo de ella? Dele un vistazo de cerca a sus operaciones de seguridad para determinar si en realidad se puede permitirse el lujo de operar una SIEM, anota Chuvakin. ¿Es necesario contratar un proveedor de servicios gestionado para el monitoreo? O ¿Está bien equipado para ejecutarla?

"Esto se debe al problema de una 'mala SIEM' que en realidad no es mala -es solo que simplemente no se puede ejecutar", agrega. "Si no tiene a nadie que pueda ver las señales, no va a alcanzar su potencial".

3. ¿Qué quiero monitorear? Antes de comparar productos SIEM, es necesario entender el problema que quiere resolver, señala Chuvakin. "No le pregunte al proveedor lo que debe solucionar, usted necesita saberlo por sí mismo", añade. "Comience con lo que desea supervisar y por qué".

Si determina que una nueva SIEM es el mejor curso de acción, utilice las siguientes preguntas para elegir su proveedor.

4. ¿Cuál es su compromiso con SIEM? Los grandes proveedores de SIEM son relativamente estables y tienen un buen respaldo financiero, señala Blankenship de Forrester, pero si está pensando en un proveedor más pequeño -o un proveedor cuyo único enfoque no es SIEM - necesita saber cómo encaja en el cuadro general de la compañía. "¿Cuánto rigor se ha puesto en la plataforma? ¿SIEM es una parte importante o poco importante de la empresa? Vea la estabilidad", añade Blankenship.

5. ¿Cómo se me cobrará? Algunas licencias SIEM cobran a los usuarios en base a la cantidad de datos de registro que procesan utilizando SIEM. La adición de dispositivos que produzcan más registros y alertas puede aumentar el precio, anota Blankenship.

6. ¿Dónde encaja la analítica de seguridad en su plan de trabajo? Debido a que la elección de un nuevo proveedor SIEM resulta probablemente en una larga relación -SIEM no es algo que quiera quitar y reemplazar cada cierto tiempo- es necesario que sepa dónde está el proveedor en el análisis de seguridad de hoy, y dónde encaja en su plan de trabajo futuro, anota Blankenship. "Debe saber cómo están evolucionando desde el SIEM basado en normas muy estrictas en la plataforma de análisis de seguridad del futuro", añade.

7. ¿Cómo da soporte a entornos de nube? Si su negocio, como la mayoría, está moviendo más datos e infraestructura hacia los proveedores de nube, deseará tener visibilidad en el entorno de la nube al igual que lo haría si estuviera en su propia infraestructura, anota Blankenship.

8. ¿Cómo permitirá la automatización en el futuro? Aunque los profesionales de seguridad pueden no estar de acuerdo con la interrupción de sus funciones tradicionales, Blankenship dice que es esencial mantener un ojo en el futuro y abrazar la automatización.

"Los fabricantes están buscando la forma de automatizar algunos de los procesos. Eso es parte de la nueva ola a medida que se acostumbran más y más", señala. "Pregúntele al proveedor cómo puede abrazar una mayor automatización. ¿Cómo me está preparando para poder introducir la automatización en nuestros flujos de trabajo? "

9. ¿Quiénes son sus socios? Los socios del proveedor son un indicador de qué tan fácil o difícil será integrarse, anota Blankenship. Pregunte también acerca de las APIs que existen para atar otras tecnologías y características que estén disponibles.

10. ¿Cómo va a avanzar en SIEM? Tan importante como la dedicación del proveedor para SIEM son los límites que impulsan, señala Chuvakin. "Los proveedores de SIEM están añadiendo más potencia mental, más analíticas y algoritmos para convertirse en un cerebro real -no solo una extensión bien entrenada de un cerebro humano", indica.

11. Quiero controlar el SIEM en las instalaciones. ¿Qué ayuda está disponible? Los profesionales de seguridad tienen dos mentalidades en la gestión de SIEM, señala Blankenship: Ya sea que desee poseerla y controlarla porque conoce la seguridad mejor que otros, o si desea subcontratarla. Si es el primero, sin embargo, todavía es necesario pedir apoyo, añade.

"Hay un caso de uso para que la gestión externa trabaje con SIEMs con el fin de escribir un protocolo y proporcionar capacitación para asegurarse de que todos estén al día", anota. "Hay formas de llevar soporte sin ser tan significativo".

12. Quiero externalizar esto. ¿Cómo me ayuda? "Cuando hablamos de las implementaciones fallidas o parciales, vemos personas que dicen que ya no pueden soportar SIEM en las instalaciones", anota Blankenship. "Si este es el caso, necesita saber sí se puede externalizar la gestión de SIEM". Esto incluye preguntar acerca de los servicios que están disponibles para consultar y si se puede hacer que sea parte de su contrato, aconseja.

13. ¿Qué formación está disponible para mi equipo? Pregunte acerca de los recursos de capacitación presenciales y en línea que estén disponibles para que el equipo de seguridad esté al corriente de SIEM, y para formar a nuevos empleados, a medida que ingresan, anota Blankenship. ¿Hay una comunidad de usuarios donde la gente pueda hacer preguntas?

14. ¿Puede resolver mi caso de uso específico? Si un proveedor puede resolver un problema como el suyo, y si la forma de hacerlo provocará diferentes respuestas. Afine la prueba de que ese proveedor ha resuelto -o podría resolver- problemas en ambientes similares a los suyos, anota Chuvakin. "Pregúntele al proveedor las pruebas que le puedan servir a las necesidades que usted tiene. No deje pasar la oportunidad de llamar a otros clientes para preguntarles sobre sus experiencias", anota.

Kristin Burnham, CSO (EE.UU.)