Ventajas de usar SIEM en ciberseguridad

V

Los ciberataques son algo habitual en empresas. Los ciberdelincuentes dirigen sus fuerzas hacia las empresas porque saben que pueden obtener un beneficio. Filtraciones, datos de interés, cuentas bancarias, dificultar un servicio, etc. Las grandes empresas toman medidas para solucionar este tipo de ciberataques y consiguen hacerlo. No existe la ciberseguridad al 100%, pero siempre podemos ponérselo más difícil. Por ello es una muy buena solución también para medianas empresas.

¿Qué es un SIEM?

Un SIEM es un gestor de información de seguridad. Con un SIEM tendremos monitorización de Log & Event Manager. Esto quiere decir que mediante un SIEM podemos recibir y grabar eventos de seguridad que se dan en nuestra empresa. Podremos ver de manera fácil que sucede en nuestra red, sistemas, aplicaciones, etc.  Es importante poder llevar un registro de los acontecimientos sucedidos porque así podemos saber si estamos sufriendo un ataque o hemos sufrido un intento.

Características de un SIEM

La principal característica de un SIEM como decíamos es la capacidad de gestionar la información de seguridad. Gracias a un SIEM podremos ver una monitorización en tiempo real de eventos, con notificaciones e información de seguridad.

Toda esta monitorización nos indicará que está pasando en nuestros activos. Podremos ver si estamos siendo atacados o está sucediendo algo inusual, incluso propios errores en el programa. Por todo ello es muy útil hacer uso de un SIEM. Otra característica es que almacena los logs de los usuarios, es decir, guarda información sobre lo que hacen los usuarios al acceder a ciertas zonas. Así si alguien entra en una zona restringida podrá verse su actividad, si hace algo fuera de lo normal, si cambia configuraciones, etc., además de almacenar información sobre él, como la IP del posible atacante.

Un SIEM identificará un ataque o amenaza y nos lo dirá en forma de alerta o notificación. Saldrá un aviso y podremos estar al día de todos los eventos de seguridad y protegernos a tiempo. Un SIEM no se limita solamente a un activo. Podemos configurarlo para proteger todos nuestros activos, desde los ordenadores de cada trabajador hasta los servidores. Toda esa monitorización se llevará a cabo desde el mismo sitio y podremos ver si sufrimos un ataque dirigido hacia un ordenador en concreto, hacia un servidor, etc. O si un empleado está intentando acceder a sitios restringidos o webs que no están permitidas en la empresa. Si tienes capadas ciertas webs en tu empresa, como webs con contenido pornográfico, noticias, YouTube, etc. te saldrá también una alerta si lo configuras en la que te avisará que alguien está intentando vulnerar esa restricción.

Por todo ello un SIEM se puede usar para monitorizar amenazas externas, de ciberatacantes que intenten hacernos una denegación de servicio o acceder a zonas restringidas, a nuestros ordenadores, etc. Y podremos protegernos también de amenazas internas, empleados que intentan evitar restricciones lo cual podría provocar infecciones de seguridad, empleados descontentos con conocimientos en informática que intentan sacar un beneficio robando datos, etc. Un SIEM es muy recomendable a la hora de proteger nuestra empresa y es una de las mejores opciones de seguridad.

Sobre el autor del artículo

Luis Diago de Aguilar
Luis Diago de Aguilar

Hacker ético, antifraude y ciberinteligencia, técnico superior en desarrollo de aplicaciones multiplataforma. Desarrollador web.

Añade un comentario nuevo