El 60% de los ataques contra la seguridad IT de una empresa o entidad procede de su interior, de sus propios empleados. Los usuarios, aunque no sea de forma intencionada, ponen en riesgo los activos digitales de las organizaciones, con un comportamiento diferente al de los demás y que es posible detectar a tiempo, para evitar graves daños económicos y de reputación corporativa. En concreto, los pasos que sigue el usuario dejan rastro, en forma de un comportamiento que se aparta del habitual y ese patrón permite identificar anomalías que concluyan con su detección.
La analítica del comportamiento y el aprendizaje automático resultan fundamentales en esta estrategia y formar parte de un SIEM permite identificar la actividad anómala, incluso priorizando las de mayor riesgo, ya sea voluntaria o accidental.
SIEM aprovecha el análisis del comportamiento de usuario para correlacionar eventos aparentemente no relacionados, como la inserción de USB, el uso de servicios de correo electrónico personales, el almacenamiento en la nube no autorizado o la impresión excesiva.
Obviamente, no todos los activos informáticos tienen la misma relevancia. Un servidor de archivos del departamento de marketing y una base de datos de pagos con tarjeta (PCI) tienen niveles de riesgo muy distintos, y una solución de gestión de la ciberseguridad debe comprender este diferente valor a la hora de priorizar las amenazas y alertar de las más graves.
Una buena solución de seguridad debe ofrecer también rastreo de redes, definición de recursos, segmentación de red y análisis de los servicios en la nube más sensibles, con una sólida analítica que personalice las alertas, en función del riesgo que supongan en su entorno concreto. Su integración debe ser inmediata con los sistemas de respuesta a incidentes y con la gestión de casos, lo que permite acelerar los procesos de contención, corrección y recuperación de los activos atacados.
Además, un buen SIEM debe ser lo suficientemente flexible para poder integrarse en hardware, como software o Software como Solución (SaaS) y, de este modo, cubrir todas las modalidades posibles para adaptarse a cualquier necesidad, así como funcionar con todos los sistemas corporativos, incluso recursos locales, aplicaciones SaaS y entornos de nube pública.
Una empresa media utiliza en torno a 75 productos de seguridad diferentes para proteger su red, que deben funcionar conjuntamente. Por ello, es prioritario considerar la facilidad de integración, no solo con los orígenes de los registros, sino también con soluciones complementarias, como fuentes de información sobre amenazas, detectores de vulnerabilidad, herramientas de orquestación de respuesta a incidentes y sistemas de gestión de casos, entre otros.
Un ecosistema abierto de seguridad para apps e integraciones ayuda a mantenerse al día de cualquier ciberataque y da una respuesta rápida y eficaz a los múltiples riesgos y amenazas que surgen cada día. Además, cuanto mayor sea esta capacidad de integración, menos horas de trabajo serán precisas para obtener todo el valor de una seguridad completa e inteligente, como la que proporciona la tecnología SIEM.
Para más información sobre IBM Qradar, puedes hacer clic aquí.
