blog

¿Qué es Siem y SOC?

Escrito por Ingens Networks | Apr 28, 2020 8:47:17 AM

Designed by sentavio / Freepik


Las empresas cada vez están más expuestas a amenazas. Según informa la Asociación de Auditoría y Control de Sistemas de Información (ISACA) en su último estudio, más del 50% de las compañías de todo el mundo reconocen que se han incrementado los niveles de riesgo de su organización en el último año.

La seguridad informática es una preocupación creciente en las empresas del mundo y por esto, las compañías cada vez demandan más soluciones que protejan sus comunicaciones.

Con más frecuencia, las compañías están apostando por soluciones de SIEM, un concepto acuñado por la consultora tecnológica Gartner.

 

¿Qué es SIEM?

SIEM se refiere a dos conceptos, Gestión de Eventos de Seguridad (SEM) y Gestión de Información de Seguridad (SIM).

El primer concepto, SEM, hace referencia a la monitorización y correlación de eventos en tiempo real y el segundo, SIM, se refiere al almacenamiento de los datos obtenidos, al análisis de los mismos y a la generación de informes a partir de los resultados obtenidos.

En este sentido, SIEM ofrece una visión global de la seguridad IT de la empresa y tiene la principal función de detectar comportamientos anormales para prevenir la organización de amenazas informáticas.

Habitualmente, las empresas que implementan tecnologías avanzadas de prevención de la seguridad como SIEM lo suelen hacer a través de un Centro de Operaciones de Seguridad (SOC).

 

¿Qué es el SOC?

Un SOC es una unidad específica dentro de la compañía que se encarga de la prevención, la monitorización y el control de la seguridad informática. Una de las principales herramientas que utilizan para hacer este seguimiento son los firewalls, endpoint y antivirus, sistemas unificados de amanazas, CASB, Access point inteligentes  y otros sistemas especializadoses como el SIEM.

Diagrama de la detección de amenazas utilizando herramientas de Capture CLoud Platform para el análisis de archivos y comportamiento de la red. Fuente SonicWall.

 

Las funciones de SIEM

Las principales funciones de un sistema SIEM son las siguientes:

  • Visibilidad. Permite ver todas las amenazas que acechan a la red de la empresa para detectarlas cuanto antes y así poderlas bloquear más rápido.
  • Monitorización. Controla todas las actividades de la red y obtiene los datos de los usuarios y los distintos dispositivos de la organización requeridos para identificar cualquier comportamiento malicioso.
  • Análisis de los resultados. Realiza informes a partir de los datos obtenidos para facilitar la toma de decisiones a los responsables encargados de proponer medidas a favor de la seguridad de la organización.

Wazuh: Resumen visual con todas las alertas generadas en todo el sistema en las últimas 24 horas.

 

Los beneficios de SIEM

Esta tecnología aporta diferentes ventajas a las empresas:

  • Detección rápida de amenazas. Este sistema es capaz de localizar rápidamente las amenazas y bloquearlas para impedir que se roben datos y se produzcan fallos en los procesos que afecten el normal desarrollo del negocio.
  • Localiza amenazas instaladas en registros archivados. Más allá de los ataques que se producen en tiempo real están los que se mantienen inactivos en la red interna de la empresa durante varias semanas e incluso meses. Con un SIEM las organizaciones pueden evitar que estas amenazas afecten a la compañía.
  • Detiene ataques antes de que se produzcan. Gracias a tecnologías avanzadas como el “Machine leaning”, una empresa puede protegerse, incluso, de amenazas desconocidas y bloquearlas antes de que lancen un ataque.

 

Las principales soluciones de SIEM

Estas son las herramientas tecnológicas más destacas en este ámbito:

  • Splunk. Es el software de una compañía que recibe el mismo nombre, Splunk, y se encarga de visionar y monitorizar toda la red para buscar amenazas y bloquearlas.
  • IBM Qradar. Es el software que propone IBM para el análisis de seguridad inteligente que persigue obtener una perspectiva procesable de las amenazas más críticas.
  • LogRhythm. La plataforma de inteligencia y análisis de seguridad de LogRhythm permite a las organizaciones detectar, contener y neutralizar las amenazas cibernéticas con la gestión del ciclo de vida de las mismas.
  • Exabeam. La plataforma de gestión de seguridad Exabeam proporciona detección de extremo a extremo, análisis de comportamiento de eventos de usuario y SOAR.
  • Dell (RSA). Es el software de la división de seguridad IT de Dell que se encarga de detectar las amenazas de una empresa en la red.
  • Wazuh. A diferencia de los anteriores, Wazuh es Open source (nació a partir de OSSEC). Realiza análisis de registro, comprobación de integridad, supervisión del registro de la mayoría de los sistemas operativos, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Su arquitectura centralizada y multiplataforma le permite que múltiples sistemas sean fácilmente monitoreados y administrados.  Además es compatible a las soluciones de seguridad de SonicWall, Cisco, VMware. Pero su principal virtud, es que cumple con los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard PCI DSS)

 

Ingens Networks cuenta con certificación PCI DSS, utilizando Wazuh como herramienta de SIEM. Y su equipo técnico está preparado para ayudar a tu empresa a iniciar el proceso de transformación digital y proteger al máximo los datos críticos para el negocio.

Si necesitas asesoramiento en esta o cualquier otra área, contacta con nosotros.