Sistemas de Gestión y Correlación de Eventos de Seguridad en Sistemas Críticos

Abstract

Durante los últimos años se ha aumentado las medidas de protección de los sistemas en las organizaciones con el fin de defenderse de ataques internos y externos a las instituciones, incrementando considerablemente la necesidad de gestionar de forma adecuada la seguridad de la información. La necesidad de saber qué está ocurriendo y qué puede ocurrir en nuestros sistemas críticos ante ataques maliciosos, requiere que la gestión de la seguridad sea vista desde la perspectiva de la eficiencia y mejora continua. Por ello, la monitorización de los sistemas informáticos tiene como objetivo la detección de posibles vulnerabilidades, amenazas, a través de la gestión de los eventos de seguridad con el fin de minimizar cualquier riesgo de ataque. Todos los sistemas, herramientas, aplicaciones críticas y no críticas necesitan a su vez poder ser gestionadas, y facilitar así, una respuesta inmediata ante una posible ocurrencia de un incidente de seguridad. En las operaciones diarias sobre los sistemas que forman parte de la organización, generan un volumen de información valiosa relativa a su funcionamiento correcto e incorrecto. Debido a sus múltiples formatos, su gestión se hace compleja, por lo que es necesario aplicar complejos mecanismos de correlación. La correlación de eventos nos permite obtener información precisa sobre los posibles incidentes de seguridad y amenazas hacia nuestros sistemas. La respuesta en forma de alarmas, puede desencadenar un plan de acción proactiva e inteligente evitando el daño a la organización en tiempo real. A su vez, es posible emitir avisos de forma inmediata a través de alarmas, comunicando las causas de la incidencia, con la finalidad de establecer una resolución adecuada de la situación. Cuando acontece un incidente crítico en nuestros sistemas, puede desencadenar un periodo de incertidumbre, debido a la no disposición de la información sobre las causas y posibles efectos provocados por el ataque. El análisis de los eventos y su consiguiente correlación permite reducir el número de falsos positivos e identificar en la mayor brevedad los cambios de estado y alteraciones de los comportamientos anómalos en los sistema monitorizados. Teniendo en cuenta todas estas necesidades, se propone un sistema centralizado de gestión y correlación de eventos de seguridad en sistemas críticos. Se ha diseñado e implementado una aplicación que cubre la necesidad de gestionar todos los registros sensibles generados por aquellos dispositivos o componentes críticos dentro una organización, su almacenamiento, y el uso de motores de correlación que ayuden a prevenir y responder ante ataques maliciosos en tiempo real. Este tipo de sistemas, suelen ser habituales en medianas y grandes empresas u organismos públicos, así como entidades financieras, organismos militares, grandes empresas de ISPs, operadores dedicados al sector de las telecomunicaciones, entre otras.