¿Qué es un SIEM? ¿Por qué tiene sentido integrarlo en tu empresa?

En NTS siempre nos hemos preocupado por solucionar problemas a nuestros clientes utilizando tecnología. Inicialmente hacíamos aplicaciones móviles, luego pasamos también a gestionar grandes parques de teléfonos móviles y poco a poco nos introdujimos en el mundo del Digital Workplace. Ahora, desde NTS estamos lanzando una nueva oferta de servicios profesionales basados en la explotación y el entendimiento de datos derivados de los logs generados por los sistemas informáticos, esos grandes olvidados. Nos lo explica en esta entrevista Fernando Urien, director técnico de la división Digital Workplace de NTS.

Hola Fernando, para los que no lo conozcan ¿Podrías explicarnos cual es el significado de SIEM?

Por sus siglas, SIEM, sería Security Information and Event Management pero, aterrizándolo al mundo real, es un sistema que recoge y te ayuda a gestionar todos los eventos, logs e información de seguridad que ocurren en los diferentes sistemas de tu compañía.

Lo puedes ver como un sumidero al que tirar todos los logs de la empresa y procesarlos para obtener información valiosa para prevenir y responder ante incidentes de seguridad y funcionamientos anómalos de la infraestructura o servicios.

¿Qué es un SIEM? ¿Por qué tiene sentido integrarlo en tu empresa?

¿Por qué tiene sentido integrar un SIEM en tu empresa?

Cada vez gestionamos más sistemas, son más complejos y necesitamos hacerlo más rápido y con menos recursos. Esto deriva en que disponemos de poca capacidad para analizar muchos orígenes de información.

En estas situaciones, empezamos a perder consciencia de lo que ocurre en nuestras infraestructuras y no somos capaces de detectar o analizar los problemas.

Un SIEM se va a encargar de recoger y concentrar toda la información para poder aplicar reglas y correlaciones que nos permitan identificar situaciones en las que debemos actuar o, al menos, estar informados. De esta manera, estaremos centrados en dar servicio a nuestros usuarios y no tanto en buscar agujas en pajares cuando algo no funciona bien.

Y, ¿por qué es interesante un servicio de SIEM as a Service como el que ofrece NTS a sus clientes?

Cada vez hay más sistemas y son más complejos. Cuando hablamos con nuestros clientes, solemos preguntarles a ver si hay alguien que haya mirado los logs de todos los sistemas esta misma semana. Si la respuesta es negativa, es un problema porque pueden estar pasando cosas, graves, y no ser conscientes de ello hasta que es demasiado tarde.

Pero lo peor es cuando, efectivamente, un cliente está dedicando esfuerzos a mirar la brutalidad de logs de diferentes sistemas para ver si encuentra algo cuando, en realidad, podría estar haciendo algo que aporte más valor en la compañía.

En NTS nos apoyamos en herramientas SIEM para prestar un servicio en el que identificamos los posibles problemas y ayudamos a los clientes a responder de forma ágil a los posibles problemas. De esta manera, los departamentos de IT, que conocen bien su empresa y a sus usuarios se pueden focalizar en tareas que mejoren la productividad global.

¿Cuál dirías que es el mayor reto de seguridad al que se enfrentan las empresas y en qué puede ayudarles una solución de estas características?

Yo creo que hay 3 situaciones que se han dado a la vez y que en general han cambiado el paradigma de seguridad informática de las compañías.

La primera es que, hasta hace poco, muchas empresas tenían la percepción de “ya, bueno, pero ¿quién va a gastar esfuerzos en atacarme a mi cuando hay otros muchos por ahí fuera que son más interesantes?” La realidad de la seguridad ha cambiado, en realidad, los ataques no suelen ser dirigidos si no que son indiscriminados intentando aprovechar vectores, en general, conocidos. Es decir, todo el mundo está en riesgo porque hay legiones de robots atacando toda la red.

La segunda razón, en realidad, empeora la primera situación y es que la seguridad del perímetro cada vez es más permeable. Muchos equipos y dispositivos suelen pasar mucho tiempo fuera del perímetro en redes no confiables para luego volver dentro.

En estos escenarios, el ser capaz de descubrir que algo anómalo está ocurriendo es la clave para poder prevenir y reaccionar ante situaciones que pueden tener mucha gravedad. La correlación de los eventos para identificar situaciones potencialmente peligrosas es la clave para poder anticiparse a un incidente de seguridad.

Por último, y aunque quizás suene un poco a “monserga”, otro factor clave es la GDPR. Es obligatorio que las empresas notifiquen los incidentes de seguridad sufridos. Un incidente de seguridad puede dañar seriamente la imagen corporativa y por ello, es fundamental ser capaces de prevenir e identificar posibles ataques antes de que ocurran.

¿Qué es un SIEM? ¿Por qué tiene sentido integrarlo en tu empresa?

Gracias Fernando por tus palabras. Esperemos que ayuden a nuestros clientes a descubrir el mundo del SIEM y a adoptar soluciones adecuadas para resolver sus retos. En NTS estaremos encantados de ayudar.