Necesitamos un SIEM, ¿por dónde empezamos?

"Necesitamos un SIEM, ¿por dónde empezamos?" artículo de Miguel Ángel Arroyo Moreno en la seccion "Hack & News" de la edición de Junio de 2024 de la Revista Tecnología y Sentido Común TYSC a Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

En esta sección ya hemos nombrado en varias ocasiones cómo está aumentando considerablemente el número de amenazas emergentes y la complejidad que supone identificarlas, protegerse ante ellas y detectarlas. Afortunadamente, las organizaciones disponen también de un amplio catálogo que ofrecen los fabricantes de productos de seguridad para seleccionar e implantar medidas de seguridad que les ayuden en estas labores.

Soluciones como cortafuegos y antivirus (con sus diferentes evoluciones tipo EDR o XDR) forman parte de la infraestructura tecnológica de cualquier organización, o al menos, así debería ser, independientemente del tamaño o naturaleza de ésta. Sin embargo, la situación actual obliga a que las organizaciones tengan una mayor visibilidad de lo que está ocurriendo en su organización, no solo en la red corporativa, sino también en su perímetro, en su infraestructura de la nube o con sus usuarios y sedes remotas.

Los componentes de los sistemas de información generan una gran cantidad de registros de actividad (logs) y eventos de seguridad. Dependiendo del tipo de componente, esta cantidad puede ser mayor o menor y la calidad de la información también puede variar. Desde las impresoras, hasta los servidores o cortafuegos, pasando por los equipos de sobremesa, portátiles o electrónica de red, como switches, puntos de acceso y routers, generan registros de actividad y eventos de seguridad.

Es importante diferenciar entre registros de actividad o logs y eventos de seguridad. Los registros hacen referencia a cualquier tipo de actividad en un sistema, mientras que los eventos de seguridad, tal y como su nombre indica, se centran exclusivamente en eventos que tengan que ver con algún aspecto de la seguridad. Podríamos decir que los eventos de seguridad son un subconjunto de los registros de actividad (logs).

Continuar leyendo…

Especial "Hack & News" de Tecnología y Sentido Común 2023 con Miguel Ángel Arroyo Moreno

Miguel Ángel Arroyo

Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad