Uma nova chance para o SIEM

0

O Gerenciamento e Correlação de Eventos de Segurança, mais conhecido como SIEM, não é nenhuma novidade no mercado de segurança da informação. De fato, a tecnologia já vem sendo comercializada há cerca de 20 anos e, por um bom tempo, carregou um falso estigma de ser muito complexa e pouco eficiente para combater as ameaças cibernéticas.

É claro que existem implementações mal sucedidas, mas também existe uma falta de entendimento sobre como funciona e como alcançar todos os benefícios da solução. Assim como outras tecnologias, o SIEM evoluiu, agregou novas funcionalidades e tornou-se novamente uma forte arma no combate ao cibercrime moderno.

Para entender o custo-benefício do SIEM é preciso levar em consideração que algumas soluções não funcionam sozinhas, elas dependem de processos bem definidos e de uma inteligência envolvida para direcionar como deve ser o seu funcionamento. Neste caso, alinhar a tecnologia com o negócio é fundamental.

O SIEM é uma folha em branco, cabe a empresa colocar nessa folha o que é mais importante para o negócio, programar a solução para falar a linguagem do negócio e gerar relatórios com dados que realmente importam. Antes de pensar se as ameaças serão contidas e se o investimento vale a pena, é preciso avaliar como a empresa pode usar o SIEM para alavancar o negócio. Sem essa resposta a tecnologia não vai ser bem sucedida.

Também já ouvimos bastante que o SIEM traz mais complexidade ao ambiente, o que é um mito. Na verdade, o SIEM não traz mais complexidade e sim otimiza as tratativas, simplificando a carga operacional.

O que mais vemos atualmente são ambientes corporativos cada vez mais complexos, com diferentes consoles para gerenciar, soluções subutilizadas, muitas vezes divididas em silos e que não conversam entre si, recursos humanos insuficientes e uma avalanche de novas ameaças para serem avaliadas todos os dias.

Por mais eficiente que seja, nenhuma equipe consegue analisar milhares de ameaças por dia. Por isso a segurança precisa ser simplificada e aí entra uma das principais funcionalidades do SIEM moderno que é a automação. Ela permite que a análise das ameaças seja feita pela máquina, em frações de segundos, e o recurso humano seja focado na solução do problema, concentrando os esforços nos pontos que merecem mais atenção.

A visão que tínhamos do SIEM era de uma ferramenta voltada para receber logs, agora ele precisa analisar comportamento, detectar tendências e antecipar as ações. Antes a solução era focada em eventos de infraestrutura, agora o foco é no comportamento do usuário, antecipar a carga comportamental antes que algo aconteça, analisar e resolver em tempo real para não precisar mais de pessoas estudando cada ameaça detectada. Para isso, tecnologias como inteligência artificial, alavancar o negócio estão inseridas na sua nova formação.

Os negócios mudaram muito nos últimos 20 anos e o papel do SIEM é entender essa nova economia. Uma solução mais dinâmica e analítica ajuda a dar sentido as informações vindas de diferentes fontes e a obter maior visibilidade. Assim como processos mais inteligentes ajudam a avaliar riscos e a tomar decisões. Definitivamente, a segurança não pode mais ser vista como responsabilidade da área de TI, pois sua eficiência está cada vez mais atrelada ao negócio.

Carlos Jardim , engenheiro de sistemas da McAfee do Brasil.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.