Seguridad del sector público: 4 consideraciones para implementar una SIEM moderna
Si eres una organización del sector público, la seguridad es primordial. Una de las mejoras formas en la que puedes asegurar tus datos y sistemas es a través de una plataforma de SIEM moderna, la cual muchas agencias gubernamentales e instituciones educativas usan como pieza fundamental en su arquitectura de ciberseguridad de confianza cero.
La estrategia y la tecnología de SIEM cambian constantemente, y mantenerse al día con las actualizaciones y requisitos más recientes puede ser desafiante. Independientemente de que seas nuevo en SIEM o pienses en incrementar tu SIEM actual, estas son algunas consideraciones a tener en cuenta para el sector público.
Desde el principio: ¿Qué es SIEM?
Para quienes no la conocen, la SIEM (o gestión de eventos e información de seguridad) es un sistema de gestión de seguridad que observa de manera holística los datos de diversas fuentes, detecta problemas y toma medidas. La tecnología de SIEM combina SIM (gestión de información de seguridad) y SEM (gestión de eventos de seguridad), y el logging es la esencia de su funcionalidad.
Según el tamaño y el alcance de tu organización, quizá ya tengas una SIEM, o tienes una y necesitas reevaluarla; el 47 % de las organizaciones del sector público a nivel global afirma que reemplazará o incrementará su SIEM.
Según FedTech Magazine, la adopción de tecnologías de SIEM avanzadas está aumentando en las agencias federales de los EE. UU., debido a las directrices del NIST y los requisitos de logging actualizados. En el Reino Unido, las capacidades de SIEM son tan fundamentales que el National Cyber Security Centre (NCSC) ha publicado directrices sobre cómo las organizaciones pueden establecer funciones básicas de logging a los fines de la ciberseguridad, como primer paso incluso antes de tener SIEM; y destaca que el logging es "fundamental si deseas detectar y atrapar atacantes cibernéticos".
¿Por qué la SIEM es importante para el sector público ahora?
Las amenazas cibernéticas están aumentando y volviéndose más específicas. Se espera que los ciberdelitos aumenten un 15 % interanual hasta el 2025, según Cybercrime Magazine. Y el costo promedio total de la filtración de datos es de USD 4.35 millones; y más alto en EE. UU., con USD 9.44 millones. El sector público sigue siendo un objetivo del crimen cibernético, dado su uso de datos altamente confidenciales, como registros de salud, ID de ciudadanos y más. A nivel global, el sector de la educación experimenta la mayor cantidad de ataques cibernéticos, luego sigue el gobierno.
Los datos se multiplican, y la SIEM puede escalar. En la actualidad, no es inusual que las conversaciones sobre datos se enfoquen en la palabra "petabytes". El uso de datos ciertamente no disminuirá pronto. La tecnología de SIEM puede agregar toda esta información desde cualquier fuente y permitir a los equipos de IT encontrar anomalías en tiempo real, además de impedir amenazas de forma proactiva, antes de que tengan tiempo de infiltrarse en tu organización o afectar tus componentes. Como los datos vienen en varias formas (como estructurados y no estructurados), una SIEM que puede filtrar rápidamente ambos tipos vale su peso en oro.
La SIEM optimiza herramientas para los equipos de seguridad e IT. Los equipos del sector público compiten con las organizaciones del sector privado por los talentos de seguridad e IT, y suelen quedar en segundo lugar. Los equipos con pocos recursos tienen demasiados datos que afrontar por su cuenta, lo que hace que la automatización y la consolidación de datos a escala sea absolutamente esencial, junto con la capacidad de agregar en una vista única. Además, las soluciones basadas en el cloud ayudan a que las herramientas de SIEM se ubiquen en un rango accesible para las organizaciones y agencias más pequeñas que quizá antes no tenían los recursos para una solución en las instalaciones.
La SIEM empodera a los equipos para tomar decisiones cruciales de forma rápida. Con un solo agente unificado, puedes profundizar la visibilidad del host, bloquear el ransomware y el malware, optimizar la inspección e invocar acciones de respuesta remota. Esto es fundamental en un entorno de ciberseguridad en el que cada segundo cuenta y en el que los datos pueden provenir de entornos esenciales como el campo de batalla, o dirigirse a ellos.
¿Cuáles son algunas de las consideraciones clave para la implementación exitosa de la SIEM en el sector público?
Existen varias cuestiones a tener en cuenta al elegir tu solución de SIEM; como la frecuencia con la que agregas fuentes de datos, el tamaño del equipo y cómo son los procesos actuales. Además de los factores más comunes, en particular para el sector público, recomendamos no perder de vista lo siguiente:
1) La capacidad de buscar en logs pasados
Las directivas recientes, como M-21-31 en EE. UU., se enfocan en la capacidad de investigar la historia verdadera de los ataques de tiempo de permanencia prolongado y solicitan a las agencias retener los logs por más tiempo (para M-21-31, 72 horas para los datos de captura de paquete completos, 12 meses de almacenamiento activo y 18 meses de datos de almacenamiento frío). Estos requisitos son bastante más extensos que los estipulados previamente, por lo que deben estar al frente y en el centro de tu búsqueda de la solución de SIEM adecuada. Muchas SIEM heredadas solo mantienen 30 días de datos y fuerzan los datos más antiguos al almacenamiento frío, lo que se vuelve muy costoso y complicado de gestionar.
2) Velocidad a escala
A medida que tu organización aumenta, inevitablemente, su uso de los datos, no puedes arriesgar la velocidad. Cuando se trata de datos fundamentales, cada milésima de segundo hace una diferencia. Considera no solo qué tan rápida es una solución de SIEM ahora, con las fuentes de datos que usas actualmente, sino que también proyecta cuántos datos podrías consumir en el futuro y si la velocidad se verá afectada por el aumento. Además, si no puedes buscar en estos datos rápido, tu agencia está desperdiciando recursos del equipo. La mayoría de los equipos de seguridad del sector público simplemente no se pueden dar el lujo de restaurar archivos a la SIEM. En este caso, tener un nivel congelado en el que se pueda buscar es esencial.
3) Requisitos y costos de almacenamiento de logs
Presta atención a cómo un proveedor de SIEM estructura sus tarifas. Muchas plataformas de SIEM heredadas basan el costo de la licencia en la cantidad de almacenamiento que usas. Ese modelo de precios rápidamente se volverá incontrolable para muchas agencias del sector público que están experimentando un gran aumento en la recopilación de logs debido a las recientes exigencias de ciberseguridad. Busca una solución flexible que escale con tu organización.
4) En las instalaciones o en el cloud
Es importante saber cuánta flexibilidad ofrecen los proveedores de soluciones en el cloud y en las instalaciones. Algunas soluciones de SIEM están disponibles solo en el cloud, lo que puede ser decisivo para las organizaciones del sector público que necesitan una solución en las instalaciones o, al menos, tener esta opción. Si te interesa el cloud, asegúrate de que cualquier solución de SIEM basada en el cloud se alinee con todas las normativas y exigencias de cumplimiento gubernamentales relevantes, como FedRAMP.
Conoce más sobre SIEM para el sector público
- Lee la lista de verificación "5 Signs you need to augment your SIEM" (5 señales de que necesitas incrementar tu SIEM)
- Descarga la guía para el comprador de SIEM