The Guru Briefing: Graeme Stewart, LogPoint Reino Unido e Irlanda
En seguridad, SIEM a veces es aclamado como un enfoque ‘holístico’, mientras que otros lo ven como una faceta de seguridad que marca las casillas, con fines de cumplimiento en lugar de defenderse y reaccionar ante incidentes de seguridad. Con tanta confusión sobre el tema, el Gurú sintió que era hora de sentarse con alguien que conociera los temas de adentro hacia afuera: ingresa Graeme Stewart, director gerente de LogPoint Reino Unido e Irlanda. Tuvimos la suerte de poder hacerle algunas preguntas sobre todo lo relacionado con SIEM para desmitificar el tema.
ITSG: ¿Qué es SIEM?
GS: Para explicarlo de manera simple, SIEM (Security Information and Event Management) es una tecnología que concilia la información de seguridad para brindar análisis en tiempo real y alertas de seguridad. Toda la información de la red, desde los enrutadores hasta los servidores web, genera registros sobre lo que sucede en una red.
Cuanto más complejo es el dispositivo, más sofisticada es la información contenida en estos registros. Las organizaciones están gastando miles de millones de libras en proteger estos datos de terceros; una solución SIEM ayuda a las empresas a hacer un mayor uso de esta gran cantidad de datos para que los analistas de TI puedan detectar incidentes de seguridad y proporcionar inteligencia empresarial mejorada.
ITSG: ¿Cómo funciona?
GS: En teoría, cada dispositivo conectado a una red de TI genera registros. El problema es que todos estos registros se generan en un formato diferente. Es similar a asistir a una cumbre de la UE en la que los funcionarios no usan auriculares para idiomas; todos se hablan en un idioma diferente. La información está disponible, pero nadie puede entenderla.
La estructura de TI de una empresa puede utilizar múltiples proveedores y sistemas, todos los cuales generan diferentes tipos de información. SIEM toma esta información y la ‘normaliza’, convirtiéndola efectivamente en un solo idioma. Esto permite a los usuarios analizar los datos de seguridad en contexto, lo que permite a los departamentos tomar decisiones informadas basadas en la información disponible.
ITSG: ¿Cómo surgió esta forma de tecnología y de dónde evolucionó?
GS: esta tecnología ha evolucionado a partir de generaciones anteriores de tecnología de gestión de sistemas. Hace muchos años, los profesionales de la seguridad solo estaban interesados en generar grandes cantidades de registros de seguridad para poder comprender lo que estaba sucediendo dentro de su red. Desde que existen las computadoras, los usuarios siempre han querido monitorear sus sistemas para extraer valor de los registros de información.
En los años 90, esto se conocía como minería de datos y, en los tiempos modernos, este proceso ha permitido que los sitios web tomen decisiones inteligentes basadas en la gran cantidad de datos disponibles. Esto se puede ver especialmente en la industria de la publicidad, por ejemplo, en la que Facebook puede examinar los detalles del perfil de los usuarios y, en función del contenido que le gusta o comparte a una persona, puede anunciar productos similares que pueden ser de interés para ese usuario específico. En esencia, así es como funciona un SIEM.
ITSG: ¿Qué tipo de datos son más útiles para detener ciberataques?
GS: En general, la mayoría de los datos se pueden utilizar para ayudar a las empresas a tomar decisiones inteligentes, si se utilizan correctamente. En lo que respecta a la seguridad, si una empresa ha estado recopilando registros de seguridad durante varios años, puede revisar un virus o un ciberataque anterior que haya tenido lugar. Esto es útil porque cada ciberataque tiene características específicas que se le atribuyen. Por lo tanto, estos datos permiten a las empresas identificar si han tenido anteriormente los ‘síntomas’ de un virus, investigar posibles brechas anteriores y, por lo tanto, ayudar a prevenir nuevos ataques de naturaleza similar. Desafortunadamente, esto es algo que la mayoría de la tecnología antivirus no puede hacer porque al implementar un sistema antivirus, solo funcionará desde el momento de la instalación hasta que caduque la licencia, mirando hacia adelante en lugar de hacia atrás.
ITSG: ¿Cómo ayudan los sistemas SIEM con el cumplimiento?
GS: Casi todas las organizaciones gubernamentales tienen el requisito de mantener registros y eventos con fines de investigación de una manera a prueba de manipulaciones que se pueda usar de una manera forense apropiada. Muchos CIO dentro de las organizaciones ven el cumplimiento como un ‘ejercicio de casilla de verificación’, sin comprender el verdadero valor que una solución SIEM podría proporcionar. Queremos educar al mercado sobre cómo las empresas pueden utilizar estos datos y hacer algo más valioso con la información obtenida.
ITSG: ¿Qué tipo de avances prevé en este campo de la seguridad en los próximos años?
GS: SIEM es una herramienta extremadamente inteligente y debe considerarse como mucho más que un simple ejercicio de marcar casillas. Por ejemplo, una solución SIEM puede identificar que un empleado ha iniciado sesión en una base de datos en la que no tiene autoridad para hacerlo, lo que podría resultar en una acción disciplinaria. Si la solución SIEM también está conectada a la infraestructura de recursos humanos, puede notificar al usuario que el empleado está de vacaciones anuales y, por lo tanto, la situación de seguridad debe abordarse de una manera completamente diferente.
El contexto adicional que puede proporcionar el sistema es donde SIEM será cada vez más útil para las empresas en el futuro, ayudando a las empresas a tomar decisiones más informadas. Creemos que el futuro de SIEM implica más que solo cumplimiento. Esta es una herramienta que, en un mundo con más datos que nunca, ayuda a filtrar el ruido para tomar las decisiones comerciales y de seguridad más inteligentes.
Acerca de Graeme Stewart, director general de LogPoint Reino Unido e Irlanda
Graeme lidera el equipo del Reino Unido para LogPoint, un innovador proveedor danés de SIEM cuya solución intuitiva y adaptable ya está implementada en Europa y Escandinavia.
A Graeme le apasiona mejorar la seguridad de la información organizacional con un enfoque práctico y del mundo real, y ha estado involucrado en múltiples iniciativas gubernamentales y de la industria para resaltar la importancia de la seguridad cibernética para los ejecutivos del Directorio y del Sector Público. Tiene 20 años de experiencia en TI y seguridad de datos organizacionales con roles de administración en McAfee, Sophos, ClearSwift, PGP y Symantec. Graeme es un líder intelectual publicado y un consumado orador público y portavoz de los medios.
Acerca de LogPoint
Fundada en Dinamarca, LogPoint es un especialista en SIEM con más de 300 clientes en toda Europa que experimentan su tecnología desde 2008. LogPoint SIEM recopila millones de registros de datos de los distintos sistemas de su organización y extrae información significativa de ellos sobre la que puede actuar.
Los usuarios disfrutan de la facilidad con la que se adapta para mantenerse sincronizado con las necesidades del cliente, desde superar las demandas de cumplimiento hasta defenderse sin problemas contra el ciberdelito y el fraude y optimizar las operaciones de TI. El software SIEM de LogPoint está certificado por el estándar EAL3 + de la OTAN, con un coste directo asequible y flexible para adaptarse a sus necesidades cambiantes. El principio de escalar a medida que crece permite una visualización rápida y fácil con solo unos pocos recursos, sin importar cuán vasto sea el panorama de TI, sin importar cuán densos sean los datos. Con sede en Copenhague, sus oficinas de ventas y soporte están ubicadas en toda Europa y sus asociaciones se extienden por todo el mundo.