Estos días todos estamos sufriendo una avalancha de correos electrónicos indicándonos que debemos actualizar nuestras preferencias en newsletters, webs con mensajes sobre actualizaciones sobre cookies y más mensajes diversos.

Esto es respuesta directa a la entrada en vigor de la nueva normativa sobre privacidad y protección de datos a nivel europeo, al GDPR.

Este es el aspecto más visible de la nueva normativa, el respetar en teoría las preferencias de los usuarios que se conectan a nuestros sistemas, pero hay otro aspecto importante menos visible que actualizar las páginas web con nuevos mensajes de alertas de privacidad.

Cumplir con la GDPR

Además de ajustar los mensajes legales y dar respuesta a la portabilidad de datos y su eliminación, hay un requerimiento que es el de realizar un análisis de riesgos. Las empresas que traten tipos de datos sensibles están obligadas a realizar un análisis de riesgos donde determinen cuales son los elementos de riesgo que existen y las medidas operativas que se están tomando para eliminar los riesgos o en su caso mitigarlos.

La autoridad española explica que para garantizar una adecuada gestión de riesgos es esencial mantener una monitorización continua de los riesgos y una evaluación periódica de la efectividad de las medidas de control definidas para reducir el nivel de exposición.

Vale. Monitorización continua y evaluación. Dicho de otra forma logs y auditoría.

Además, la agencia de protección de datos recomienda revisar el análisis de riesgos realizado ante cualquier cambio significativo en las actividades de tratamiento que pueda derivar en la aparición de nuevas amenazas

Traducción: se requiere de un SIEM.

Porque un SIEM

La función principal de un SIEM (System Information and Event Management) es capturar y correlar la información de seguridad de los sistemas de información en la empresa. Esta información puede provenir de sistemas de autenticación, servidores de ficheros, servidores web, servicios FTP o cualquier otro dispositivo conectado como las estaciones de trabajo o switches y routers.

Podemos pensar que teniendo firewalls, antivirus, NMS, DPI, proxies y demás herramientas ¿Por qué necesitamos otra más? La respuesta está en la saturación de información: no tenemos tiempo para poder visualizar y correlar todos los eventos que nos llegan.

Un SIEM en este caso, consolida la información de seguridad de los registros y valora, utilizando reglas establecidas, si se trata de un evento de interés o no.

De forma muy simplificada: un fallo de autenticación aislado no supone un ataque. Puede ser simplemente que nos hemos equivocado escribiendo la contraseña. Pero un fallo repetido 100 veces en 5 minutos, es un ataque en toda regla del que un SIEM nos alertaría, además de de poder tomar medidas de forma automática.

Si no fuera suficiente razón para plantearse el uso de un SIEM, en el entorno de GDPR nos interesa el aspecto de conformidad que nos aporta. Normalmente desplegaremos el SIEM de forma que podamos realizar auditorías continuadas del estado de nuestros sistemas de información: pasamos de realizar una auditoría cada seis meses a implantar un modelo de auditoría continuada de los sistemas.

Ya existían normativas como la PCI/DSS para procesadores de tarjetas de crédito o Sarbanes Oxley para empresas públicas en Estados Unidos, que requerían el cumplimiento de de ciertas garantías en el procesamiento de datos y que los SIEM vienen integrando como plantillas de reporting para la conformidad y que ahora podemos utilizar para alinear nuestro análisis de seguridad con la realidad de nuestros sistemas de información.

Los módulos de reporting suelen indicarnos de forma generalizada el estado de los sistemas en los aspectos relativos a la seguridad, como por ejemplo:

  • Estado de los accesos a sistemas (registros de seguridad)
  • Estado de las modificaciones de ficheros (HIDS y NIDS)
  • Estado de los stacks de software (Vulnerability Scan)

Pero aparte de estos informes técnicos, también se encarga de realizar los informes donde va marcando casilla por casilla el estado de conformidad. Estos informes son el resultado de auditar automáticamente los sistemas de información y comprobar si se cumple con los requisitos que hemos establecido en ellos o no, estilo ISO 27001.

Apúntate a nuestro curso ahora y ahorra un 15%

Aprovechad la oferta de un 15% de descuento al inscribiros usando el código promocional cabalier18.

Del 18 al 20 de junio estaremos impartiendo un curso de SIEM/OSSIM en Madrid con nuestros colegas de L&M Data Communications.

En el curso daremos un repaso a los conceptos SIEM, el estado actual del mercado de SIEM y nos centraremos en Alien Vault un SIEM de código abierto, incluido cómo utilizarlo para confirmar que cumplimos con los análisis de riesgo que hayamos desarrollado en la empresa.