SIEM son las siglas de Security Information and Event Management (Información de Seguridad y Gestión de Eventos) y su objetivo es obtener una visión holística de la propia seguridad informática. De este modo, se pueden reconocer más fácilmente las tendencias y los patrones amenazantes.
La idea básica de SIEM es que varios datos relevantes para la seguridad se acumulan en diferentes puntos del sistema de TI de una empresa. Si sólo se procesan localmente, es imposible obtener una imagen más amplia e identificar un patrón de amenaza completo, por ejemplo. Al mismo tiempo, el uso de recursos internos es ineficaz si todos los ataques se combaten por separado. Por lo tanto, los datos y la información relacionada se agrupan en un solo lugar: la gestión de la información de seguridad (SIM) y la gestión de eventos de seguridad (SEM) se fusionan en el SIEM.
Sistema automatizado con análisis en tiempo real
El concepto de SIEM prevé un sistema ampliamente automatizado que realiza análisis de amenazas en tiempo real las 24 horas del día. Para ello, almacena e interpreta los datos recogidos. Si el sistema no puede detectar una amenaza o identifica patrones agresivos, se alerta al personal de seguridad para que inicie las contramedidas a tiempo. Además, los informes se generan automáticamente.
El objetivo es, por tanto, no sólo detectar las amenazas en una fase temprana, sino también realizar rápidamente copias de seguridad y restaurar los datos en caso de incidentes relacionados con la seguridad. Para ello, se distribuyen por el sistema agentes de software (que ejecutan programas de la administración), que trabajan jerárquicamente. Registran los eventos relevantes para la seguridad primero en los subsistemas más importantes y luego en los componentes menos importantes de la infraestructura informática. De este modo, muestran, por ejemplo, si los sistemas de prevención de intrusiones (IPS) o los dispositivos de red no funcionan correctamente.
SIEM se ha convertido en algo indispensable
La gestión de información y eventos de seguridad se ha convertido en algo indispensable: una reacción en tiempo real a los ataques relevantes para la seguridad es, por ejemplo, incluso un requisito de la Ley Federal de Protección de Datos (BDSG). Certificaciones como SOX, ISO o Basilea II también hacen que el SIEM sea indispensable. Aunque no prescriben directamente el uso del concepto de gestión correspondiente, establecen normas que sólo pueden aplicarse a través de un SIEM. Por ejemplo, la norma ISO 27001 exige una "supervisión activa", cuyo objetivo es "hacer visibles las actividades no autorizadas". Además, el SIEM es también uno de los principales intereses de toda empresa para proteger su propia propiedad intelectual, así como la información financiera relevante de la forma más completa posible.