Spanish English French German Italian Portuguese
Marketing Social
InicioGeneralCyberseguridadSeis consejos para aprovechar la inversión en SIEM
Cyberseguridad

Seis consejos para aprovechar la inversión en SIEM

0
115
José Manuel Pérez Ariza
Autor José Manuel Pérez Ariza

La Información de Seguridad y la Gestión de Eventos (SIEM, Security Information and Event Management) es una de las categorías de software de seguridad mejor establecidas, ya que se introdujo por primera vez hace unos 20 años. Sin embargo, se ha escrito muy poco sobre la evaluación y gestión de proveedores SIEM.

Hay seis consejos básicos y clave sobre la adquisición e implementación de una solución SIEM para obtener el máximo rendimiento.

Evaluación y compra de una solución SIEM

Medir el gasto

Las soluciones de software SIEM tienen un precio diferente: ya sea por la cantidad de empleados en la organización del cliente, por la tasa de eventos por segundo o en función del volumen de registros. Es importante resolver esto lo antes posible para tener una idea aproximada de lo que se pagará en el tiempo. También se identifican las diversas fuentes de datos representativas para el centro de operaciones de seguridad (SOC, Security Operations Center).

Comprar un SIEM es un compromiso enorme: usted y la organización deberán vivir con su decisión en los años venideros.

Si ya tiene un SIEM implementado, proporcione al proveedor sus casos de uso y consumo actuales, y debería poder replicarlo. Un buen punto de partida es evaluar el volumen de registros que se enviarán al SIEM. Medir el volumen real de registros diarios de cada fuente revisando los registros almacenados localmente en un día «normal» y contando los resultados.

Si el proveedor de SIEM cobra por su número de empleados, hay que ser cauteloso. Esta suele ser una forma de cobrar más por el SIEM al contar los empleados que no generan ningún dato relevante.

Evalúe las prácticas de su proveedor

El siguiente paso es realizar una prueba de concepto (POC); este debería ser un punto de partida para una eventual implementación, no un ejercicio enlatado independiente. Durante este proceso, el proveedor debe demostrar un nivel de servicio que deseará mantener después de la venta. Aquí hay algunas preguntas clave a considerar durante este proceso:

  • ¿Quién administrará la cuenta? Idealmente, un proveedor comprometerá personal técnico calificado para ejecutar su evaluación inicial y realizar una implementación.
  • ¿Quién del equipo tomará el liderazgo técnico en la evaluación y quién finalmente la implementará? Idealmente, será la misma persona o un pequeño grupo de personas.
  • Después de comprar un SIEM, ¿qué sigue en la hoja de ruta? ¿ Security Orchestration, Automation and Response (SOAR)? ¿Cloud Security Posture Management (CSPM)? … Hhay que asegurar de que el proveedor puede integrarse con una amplia gama de tecnologías.
  • Es fundamental comprender completamente la arquitectura de software de front-end y back-end del proveedor. Algunos proveedores que se autodenominan «verdadero SaaS» o «nativos de la nube» no lo son. No se encierre en un contrato de 12 meses cuando no sabe como funciona el motor del nuevo vehículo.

No dejarse engañar: conocer el coste total de implementación

Cuando se discute el precio total, asegurarse de conocer el coste total de implementación. Esté atento a posibles sorpresas; Por ejemplo:

  • Muchos proveedores esperarán hasta el momento de la compra para agregar entre un 15% y un 20% adicional en costes de instalación de servicios profesionales.
  • Algunos proveedores de SIEM, especialmente los jugadores tradicionales, cobran decenas de miles de dólares por abandonar la plataforma.
  • Si un proveedor quiere cobrar por una evaluación o POC, hay que evitarle. (¡No se compraría un coche por el que te cobran por probarlo!)

Implementación de un SIEM para obtener el máximo valor

Priorizar las fuentes de datos

Desarrollar un plan de implementación de varios años para trabajar con las fuentes de datos en orden de prioridad de retorno de la inversión (ROI) para garantizar que el proyecto agrega valor iterativo a lo largo del tiempo.

  1. Dar prioridad a registros de bajo volumen y fáciles de analizar permitirá generar valor inmediato sin mucho esfuerzo. Comienzar con registros de autenticación para sus fuentes de datos de alto valor [por ejemplo, Active Directory, inicio de sesión único (SSO)] y luego pasar a la autenticación para aplicaciones en la nube de alto perfil (por ejemplo, Salesforce.com, Google Workspace).
  2. Una vez que en su lugar, empezar a pensar en las cosas más complicadas, como las herramientas de protección de endpoints y el registro a nivel del sistema. Se necesitará más delicadeza para analizarlos, filtrarlos y visualizarlos.
  3. Guardar el registro de la aplicaciones para el final. Su equipo SOC necesitará la ayuda de los desarrolladores de la organización para analizar estos registros e interpretar los resultados.

Conocer las consideraciones a largo plazo

A medida que se avanza en la implementación técnica, asegurar el crear un conjunto de procesos para sostener el SIEM a largo plazo. Aquí, los manuales, el conjunto de procedimientos escritos estandarizados para completar procesos repetitivos de tecnología de la información (TI) dentro de la empresa, son el gran apoyo. Le dan al equipo de desarrollo un conjunto coherente de estándares a seguir. El formato realmente no importa; lo importante es centrarse en invocar los procesos correctos y brindar orientación básica sobre cómo seguirlos.

El largo plazo: trabajar con el proveedor después de la venta

La gestión de proveedores es todo un arte una vez cerrado el trato. La práctica más importante es realizar reuniones trimestrales de revisión comercial para evaluar todos los aspectos de la colaboración entre proveedor y cliente. En primer lugar, proporcionar comentarios al proveedor sobre el producto, servicio o compromiso comercial. A continuación, el proveedor comparte la hoja de ruta y recibe los comentarios. Luego, juntos se discuten colaboraciones a nivel de empresa, como marketing conjunto (estudios de casos, por ejemplo) o asociaciones (conseguir que el proveedor de SIEM funcione bien con otros proveedores de seguridad).

Resumen

Para aprovechar al máximo su inversión en SIEM, estos seis consejos pueden resultar útiles adaptados a la realidad de su organización:

  • Prepararse cuidadosamente para la evaluación con un ejercicio de dimensionamiento integral.
  • Realizar una evaluación que ejecute todos los aspectos de la práctica SIEM del proveedor.
  • Obtener todos los costes de implementación.
  • Priorizar las fuentes de datos y preparar un plan de uno a dos años para la ingesta de datos.
  • Documentar minuciosamente los flujos de trabajo y manuales de SIEM.
  • Establecer reuniones trimestrales con el equipo ejecutivo del proveedor para abordar los problemas pendientes y alinearse con la estrategia.
Artículo anterior
Qué es lo que sigue para Mozilla
siguiente >>
Muestra de presentación de Serie A: Point.me
RELACIONADOS

SUSCRÍBETE A TRPLANE.COM

Publica en TRPlane.com

Si tienes alguna historia interesante sobre transformación, IT, digital, etc con cabida en TRPlane.com por favor envíanosla y la compartiremos con toda la Comunidad

Publica ahora

MÁS PUBLICACIONES

Ver más
Activar Notificaciones OK No gracias