El Futuro de SIEM: De los servidores locales a la nube pública

La gestión de la información y eventos de seguridad (SIEM, por sus siglas en inglés) es un sistema que ha evolucionado desde su aparición en el año 2000. En sus inicios, se centraba en la correlación de eventos provenientes de dispositivos de seguridad perimetral como IDS/IPS y firewalls. Sin embargo, a lo largo de los últimos 19 años, el mercado de SIEM ha experimentado cambios significativos en cuanto a proveedores, funcionalidades y casos de uso.

Actualmente, el mercado de SIEM tiene un valor de 2.5 mil millones de dólares y está dominado por empresas como Splunk, IBM, LogRhythm y AT&T (AlienVault). A pesar de su evolución, los productos de SIEM actuales pueden considerarse como versiones mejoradas de los de antaño. De hecho, su diseño original se asemejaba a herramientas de gestión de redes y sistemas como CA Unicenter, HP OpenView e IBM Tivoli. Estos productos se basaban en una arquitectura de niveles con recolectores/indexadores/procesadores de datos distribuidos y una base de datos central utilizada para análisis, visualización e informes.

A medida que SIEM ha ido creciendo, las organizaciones han necesitado cada vez más niveles de hardware para mantener el rendimiento y la escalabilidad. Esto ha llevado a una situación en la que el personal del SOC (Centro de Operaciones de Seguridad) depende de los equipos de infraestructura de SIEM para tareas como la actualización de hardware, el equilibrio de carga de servidores y la adición de capacidad de almacenamiento.

En 2019, el modelo tecnológico de análisis y operaciones de seguridad está experimentando un cambio arquitectónico masivo. En los próximos años, la infraestructura de SIEM migrará de servidores locales a la nube pública. De hecho, creo firmemente que para finales de 2020, incluso las organizaciones con preferencia por los servidores locales en industrias como servicios financieros, gobierno y fabricación de equipos militares, optarán por alternativas basadas en la nube en lugar de SIEM en sus propias instalaciones.

Esta transición ya ha comenzado y progresará rápidamente debido a cambios tanto en la demanda como en la oferta. Los CISO (Oficiales de Seguridad de la Información) buscarán soluciones de SIEM basadas en la nube debido a:

  • Crecimiento masivo de datos de seguridad. Según investigaciones de ESG, el 28% de las organizaciones recopilan, procesan y analizan una cantidad considerablemente mayor de datos de seguridad que hace dos años, mientras que otro 49% recopila, procesa y analiza algo más de datos de seguridad. ¿Qué tipos de datos están detrás de este patrón de crecimiento? Inteligencia de amenazas cibernéticas (CTI, por sus siglas en inglés), captura de paquetes de red, registros de aplicaciones en la nube, entre otros. El crecimiento continuo de los datos de seguridad implica más infraestructura, más personal y más tareas operativas.
  • Costos de software más altos. Además de los costos de infraestructura y personal, algunos proveedores de SIEM basan sus precios en la cantidad de datos que se gestionan. He escuchado a CISO quejarse de que no es raro que agoten el presupuesto de tres años para SIEM en tan solo un año.

En conclusión, el futuro de SIEM se encuentra en la nube pública. La migración de los servidores locales a la nube permitirá a las organizaciones aprovechar los beneficios de escalabilidad, flexibilidad y reducción de costos que ofrece esta tecnología. A medida que el volumen de datos de seguridad continúa creciendo, es fundamental que las empresas adopten soluciones de SIEM basadas en la nube para garantizar una gestión eficiente y efectiva de la seguridad de la información.

Te puede interesar