miércoles, 26 de mayo de 2010

Gestión de Eventos de Seguridad

Todos somos conscientes de la creciente importancia que la información y su tratamiento está adquiriendo para las organizaciones. Esta importancia deriva del aumento exponencial del volumen de datos con el que han de lidiar los Responsables de Sistemas de Información. Las necesidades de almacenamiento y procesado de datos se siguen multiplicando, al igual que las necesidades de asegurar la información en términos de Confidencialidad, Integridad y Disponibilidad.

Actualmente, nos hayamos inmersos en un cambio de paradigma en el que la seguridad está pasando a tratarse como un proceso continuo totalmente integrada con el resto de procesos de las organizaciones. Para que este cambio se pueda llevar a cabo, es imprescindible que se implementen sistemas o plataformas que permitan analizar, comprender y reaccionar ante los eventos de seguridad que se produzcan en nuestra compañía.

Sin embargo, llevar a cabo estas tareas de análisis es realmente complejo, ya que el número de fuentes que pueden generar eventos de seguridad es cada vez mayor; Firewalls, IPS/IDS, VPN, Servidores Web, Logs de aplicaciones, Sistemas centrales, Sistemas distribuidos, PC de usuarios, portátiles, dispositivos móviles, cámaras de videovigilancia, registros de entrada física a los edificios, y un largo etcétera…

Por lo tanto, las organizaciones se enfrentan en la actualidad a volúmenes ingentes de eventos que no pueden ser controlados de una forma manual. Atrás quedaron los tiempos en los que bastaba con uno o varios operadores visualizando una consola de logs para controlar lo que ocurría en los sistemas de una instalación.
Por otro lado, muchos de estos eventos no tienen sentido por sí mismos, sino que han de contextualizarse con eventos provenientes de otras fuentes. Es decir, nuestro sistema de análisis ha de ser capaz de aplicar inteligencia y correlacionar eventos entre sí. Además es imprescindible realizarlo en tiempo real, ya que en la mayoría de los casos la velocidad de detección será clave para que podamos reaccionar a tiempo ante una amenaza o incidente grave de seguridad.

Son muchas las herramientas que se han desarrollado para ayudar a las organizaciones en este ámbito, y suelen agruparse bajo la denominación genérica de SIEM (Security Information Event Management). Sin embargo, nos encontramos con que las diferentes soluciones abordan la misma problemática desde múltiples perspectivas.

Así, podemos dividir las soluciones SIEM en dos grandes grupos: aquellas que consolidan todos los eventos de seguridad en una o varias bases de datos, y las que, por el contrario, guardan los eventos respetando el formato nativo de los mismos.

En el primer caso, el hecho de utilizar una base de datos, redunda en un mejor rendimiento a la hora de realizar consultas a posteriori, lo que se suele conocer como “análisis forense” de los datos. Además, facilita la correlación entre los diferentes eventos mediante el uso del motor de búsqueda de la propia base de datos. No obstante, la inserción de nuevos eventos y el mantenimiento del almacenaje pueden verse seriamente penalizados por el mismo motivo.

Por el contrario, las soluciones que no se apoyan en una base de datos para almacenar los eventos, sino que los guardan en su formato nativo, son capaces de manejar volúmenes de eventos muy superiores sin ver su rendimiento tan severamente afectado como en el caso anterior. Además, al no cambiar el formato de los datos, pueden tener mayor fuerza probatoria en caso de tener que ser presentados como evidencia electrónica llegado el caso.
Otro aspecto clave a tener en cuenta al realizar una comparativa de sistemas SIEM es su escalabilidad, ya que deberemos asegurarnos que la solución pueda crecer sin problemas al mismo ritmo que lo haga nuestra organización y sus Sistemas de Información.

Por último, cabe analizar las funciones adicionales que pueda presentar la solución, como pueden ser cuadros de mandos técnicos o de cumplimiento normativo, alertas o automatización de acciones y facilidad de implementación, uso y gestión de la plataforma.

La concienciación en lo que se refiere a temas de seguridad se va incrementando y consolidando en la sociedad y, poco a poco, es de esperar que se establezcan nuevos requisitos legales y normativos. Todo esto generará un aumento en la demanda de soluciones de calidad alineadas con los objetivos de negocio de las organizaciones.

En conclusión, para elegir un sistema SIEM (Security Information Event Management) idóneo, hay que tener en cuenta múltiples factores entre los que destacan el volumen de datos a tratar; la complejidad de nuestros sistemas de información; la identificación de los diferentes roles que utilizarán la aplicación o el uso concreto que se va hacer de la misma. Solamente teniendo en cuenta todas las variables implicadas podremos estar seguros de implementar con éxito la solución SIEM más adecuada y que ofrezca un mejor servicio a nuestra organización.

No hay comentarios: