- Universidad Piloto de Colombia
- Trabajos de grado - Posgrado
- Facultad de Ingenierías
- Especialización en Seguridad Informática
- View Item
Procedimiento para la implementación de una herramienta SIEM en empresas que cuenten con un sistema de gestión de seguridad de la información.

View/ Open
Date
2013-09-11Author
Arias Bernal, Luis Ernesto
Cogollo Bustamante, Jhony
Metadata
Show full item recordAbstract
Las empresas que tienen implementadas herramientas para seguridad de la información, típicamente utilizan componentes como firewalls, routers, IDS, IPS, entre otros. Cada uno de estos componentes reporta tanto las actividades permitidas como denegadas que suceden en ellos, e identifican desde su perspectiva los potenciales ataques, basados en una serie de comportamientos predefinidos.
Los servidores son componentes de la red que aunque no hacen parte de la infraestructura de seguridad, también reportan las actividades que permiten determinar si a través de ellos se han producido accesos permitidos o denegados. Según la XII Encuesta de Seguridad Informática de ACIS, los virus/caballos de Troya, ataques y accesos no autorizados a la web y a las bases de datos, se encuentran entre los incidentes más presentados en las empresas22. Con los reportes de actividades de estos servicios se identifica por ejemplo, si un usuario ha intentado escalar privilegios o ingresar al sistema por fuerza bruta.
Los profesionales de seguridad de las empresas utilizan los logs
generados por los dispositivos mencionados para analizar por separados
los comportamientos evidenciados en cada uno de ellos. Para estos
profesionales representa un trabajo arduo el análisis de los logs
recopilados de los diferentes dispositivos, precisamente por la vasta
cantidad de información que deben analizar. Aun haciendo un análisis
concienzudo y pormenorizado de los registros obtenidos por distintas
fuentes, existe la posibilidad de que el profesional pase por alto
comportamientos que podrían ser identificados como ataques debido a la
limitación que representa analizar manualmente los logs recopilados. Si
a esto se le suma el crecimiento de las redes de cómputo de las
organizaciones, el aumento de aplicaciones que funcionan
permanentemente en línea y el crecimiento vertiginoso de ciber -
delincuentes (se estima que en el mundo se presentan 18 víctimas de
ataques informáticos por segundo, más de 1.5 millones de víctimas al día
y 556 millones de víctimas por año),23 se aumentan las probabilidades de
que se produzca un número mayor de ataques imperceptibles para los
profesionales de seguridad.