SIEM não é sinônimo de informações relevantes

computer-1245714_640

Atualmente tornou-se bastante comum a implementação de uma solução SIEM para gerenciamento de eventos de segurança pelas empresas de maior porte. O interessante artigo SIEM challenges: Why your security team isn’t receiving valuable insights, escrito por Brad Taylor, CEO da empresa Proficio, levanta uma questão importante: as equipes de segurança estão realmente recebendo informações relevantes e valiosas?

Sem dúvida alguma o SIEM é um elemento indispensável e realmente necessário para as grandes empresas, pois atua coletando eventos, dados e logs, visando a detecção de situações ou ações suspeitas que possam vir a comprometer a segurança dos dados da empresa, porém, no artigo, Taylor afirma que para um SIEM ter eficácia não basta ter a solução instalada no ambiente e sim profissionais especialistas em segurança da informação que conheçam bem o ambiente da empresa e que sejam devidamente preparados para configurar a ferramenta e parametriza-la para torna-la realmente eficaz e útil.

As equipes de segurança de TI precisam definir processos, regras de correlação e casos de uso para se beneficiar verdadeiramente da capacidade de um SIEM que não é uma solução estática, podendo coletar, dependendo do ambiente, milhares ou até milhões de eventos de segurança diariamente. Entretanto, para a identificação de indícios de ataques e/ou incidentes deve ocorrer acompanhamento, operação e suporte contínuos. Em resumo, um SIEM não trabalha sozinho.

Para ter acesso ao artigo publicado por Brad Taylor, clique aqui.

No SegInfocast #31 o especialista em Segurança da Informação, Rodrigo Montoro, conversou com Paulo Sant´anna sobre o Octopus, solução SIEM desenvolvida pela Clavis Segurança da Informação.