El entorno tecnológico donde son implementados los elementos que alimentan al SIEM, ha cambiado enormemente. Estos son: el volumen, la variedad y la velocidad. Es decir, el volumen de información que debemos manejar, la diversidad de ataques con las que se tienen que enfrentar los equipos de seguridad y la velocidad con la que deben responder dichos ataques.

Ciertamente, a través del tiempo estos elementos han evolucionado y lo seguirán haciendo según su entorno tecnológico. Los SIEM actuales manejan y gestionan cada vez más volúmenes de información, teniendo la capacidad de hacer análisis más eficientes y la posibilidad de aplicar diferentes fórmulas matemáticas para crear proyecciones. Lo anterior ha llevado a integrar procesos de machine learning y la integración con formatos de archivos más accesibles para conectarse con otras tecnologías.

Se irán incluyendo más elementos IOT que necesitarán supervisión y que formarán parte de la estrategia de visibilidad de las organizaciones. El SIEM deberá ayudar a organizar la información en donde el inventario tecnológico esté actualizado y se visibilicen los activos, usuarios y las acciones que los rodean. Los SIEM deberán mantener su relevancia y adaptarse muy bien a la diversidad tecnología de las organizaciones y no al revés.

Nueva llamada a la acción

¿Qué debe tener un SIEM para seguir siendo relevante?

A continuación, les compartiremos algunos puntos fundamentales para que un SIEM siga siendo relevante en el mercado:

    • Actualización: el SIEM debe poder comunicarse con las tecnologías existentes legacy, las que han llegado en los últimos años y las que se lanzarán en los próximos.
    • Análisis de datos: los datos obtenidos deben ser procesados para convertirlos en información relevante que pueda ser un factor de inteligencia para mejorar la toma de decisiones. Un dato por si solo no significa nada, pues le debemos dar un contexto con un objetivo transformador. Las decisiones basadas en Inteligencia logran objetivos claros y eficientes.
    • Anticipación: si queremos lograr la detección eficiente de ataques en la infraestructura tecnológica de las organizaciones, se necesita tomar decisiones rápidas basadas en Inteligencia. Ahí, es donde debe estar el SIEM y donde continuará trabajando
    • Monitorización: los actores maliciosos están probando sus ataques, y la monitorización debe estar presente para identificar y alertar sobre estos ataques. Por ejemplo: El endpoint quedó afectado y el EDR lo identifica; un elemento de red quedó comprometido y el NDR notifica, y por último, las aplicaciones están infectadas y el XDR entra en acción.

El SIEM es aquel que debe estar en contacto con todas las tecnologías para tener los contextos
necesarios y tomar las mejores decisiones.

Una mirada al futuro

El futuro del SIEM recae en la capacidad que tengan las organizaciones de estructurar mejor su información. Con la llegada de la transformación digital, las infraestructuras híbridas (cloud-onsite) están llegando, y el SIEM debe estar preparado para actualizaciones y nuevas herramientas.

Se proyecta que el SIEM será multilenguaje, con una interfaz de fácil uso, amigable y con una
herramienta de automatización más contundente.

Desde A3Sec hemos realizado varios análisis sobre el SIEM con base en Gartner. Identificamos los elementos más valorados por el autor: el modelo de servicio o despliegue, integración con múltiples plataformas, inteligencia de amenazas tanto propias como la capacidad de integrarse con otras, el apoyo al cumplimiento y la mejora en la interpretación de la información. Un SIEM  deberá integrar todos estos conceptos y adaptarse a tendencias como mapear las amenazas con la matriz MITTRE ATTACK y modelos de despliegue Cloud como OnPremise e Hybridos.

El futuro de la herramienta se basará en el soporte del BigData, crecimiento horizontal (IaaS-SaaS) e interacción en dos vías, tanto para recibir información como para enviarla. Se espera que el SIEM llegue a ser un modelo homogéneo de creación lógica de correlaciones, que permita además transformarlas al SIEM que se haya desplegado.

El mercado está solicitando mejores representaciones de la información, visualizaciones que aporten a los KPI de las empresas, que ayuden a entender qué es lo que está sucediendo y responda preguntas sobre el estado de la ciberseguridad de las organizaciones.

En 2017, leía un blog del Dr. Chuvakin donde bromeaba acerca de si el SIEM estaba muerto cuando la respuesta era "¡No!". El SIEM no ha muerto, sino que se debe volver cada vez más relevante. Ha sido y seguirá siendo una tecnología fundamental para la estrategia de ciberseguridad de las organizaciones, aunque puede requerir algún tiempo para mostrar su valor, pero ahí es donde las organizaciones como la nuestra, con una amplia experiencia en el manejo, despliegue y madurez del SIEM puede aportar un gran valor diferencial.

Más sobre SIEM
Israel Gutiérrez, Global CTO

Por Israel Gutiérrez

Global CTO
>_

Otros Blogs

Consejos para mejorar la ciberseguridad de tu compañía en 2024

5 Consejos para...

El año 2024 presenta desafíos más complejos para asegurar la información. La...

Leer más
Tendencias Ciberseguridad 2023

Tendencias en...

La ciberseguridad se ha convertido en una necesidad imperante debido al aumento...

Leer más
Tendencias y medidas preventivas de ciberseguridad en 2024

Tendencias y medidas...

Desde el aumento de los ciberataques a gran escala hasta el incremento de las...

Leer más
Guerreras-digitales

Mujeres en A3Sec:...

Las guerreras digitales en A3Sec desempeñamos un papel fundamental...

Leer más
que-es-un-soc

Cómo gestionar los...

La ciberseguridad es un aspecto fundamental para cualquier empresa que quiera...

Leer más

UEBA: qué es y cómo...

La Analítica de Comportamiento de Usuario (User and Entity Behavior Analytics,...

Leer más
que-es-un-soc

Cómo prevenir el...

¿Qué es phishing?. Phishing término derivado de la palabra inglesa “fishing”,...

Leer más
que-es-un-soc

Tipos de virus...

Los virus informáticos son programas maliciosos que se propagan de un ordenador...

Leer más
Isotipo A3Sec