“Correlaciona”, que algo queda
El trabajo derivado de la gestión de riesgos de seguridad de la información que se trata en sistemas tecnológicos obliga a tener ciertas cosas claras. Podemos citar algunas, sin ánimo de orden ni completud: discernir metódicamente qué debe considerarse en cada momento y situación, como sucesos o conjuntos de sucesos que entran dentro de la normalidad y la legalidad, y cuáles no; saber dónde hay que “pescar” sucesos; poner en relación sucesos y tipos y clases de sucesos, es decir, hacer correlación; saber qué se quiere y qué se puede llegar a saber; disponer de un catálogo vivo de vulnerabilidades; procurar que exista un sistema de gestión de identidades y accesos que permita determinar con calidad quién es quién; disponer de capacidades forenses; incorporar sistemas de tratamiento de evidencias sin que éstas pierdan valor ante terceros... Es evidente que hablamos de los sistemas SIEM (bueno, y también de algo más).
Apuremos un razonamiento: si puede afirmarse que la gestión de riesgos es, a la postre, la gestión del negocio, bien puede decirse que el SIEM es uno de los pilares de la gestión de riesgos de seguridad de la información. Y las tecnologías orientadas a SIEM, siquiera con sus limitaciones, han evolucionado mucho en los últimos seis años. Lo que no obsta para que los proyectos en este frente sean complejos: integración de fuentes de todas las “seguridades”, monitorización, protección de infraestructuras críticas (escenario apasionante donde los haya), detección de fraude, cumplimiento legal... También es cierto que no hay que hacerlo todo de una sentada. Además, ya sabemos que la seguridad es un proceso y que hay que hablar de ella en gerundio.
Sea como fuere, los proyectos SIEM son un paso obligado en la gestión de riesgos de seguridad en organizaciones de cierta complejidad, tengan o no externalizadas distintas funciones. Y las entidades que no enfoquen el asunto de esta manera, posiblemente pierdan el tren de los tiempos al no poder disponer en un futuro de una gestión de riesgos de negocio presentable. Por cierto, ¿quién o quiénes tienen que realizar el trabajo de campo, el CIO, el CISO, el CSO, la competencia...?
Apuremos un razonamiento: si puede afirmarse que la gestión de riesgos es, a la postre, la gestión del negocio, bien puede decirse que el SIEM es uno de los pilares de la gestión de riesgos de seguridad de la información. Y las tecnologías orientadas a SIEM, siquiera con sus limitaciones, han evolucionado mucho en los últimos seis años. Lo que no obsta para que los proyectos en este frente sean complejos: integración de fuentes de todas las “seguridades”, monitorización, protección de infraestructuras críticas (escenario apasionante donde los haya), detección de fraude, cumplimiento legal... También es cierto que no hay que hacerlo todo de una sentada. Además, ya sabemos que la seguridad es un proceso y que hay que hablar de ella en gerundio.
Sea como fuere, los proyectos SIEM son un paso obligado en la gestión de riesgos de seguridad en organizaciones de cierta complejidad, tengan o no externalizadas distintas funciones. Y las entidades que no enfoquen el asunto de esta manera, posiblemente pierdan el tren de los tiempos al no poder disponer en un futuro de una gestión de riesgos de negocio presentable. Por cierto, ¿quién o quiénes tienen que realizar el trabajo de campo, el CIO, el CISO, el CSO, la competencia...?
