Security Information Management (SIM), mayor foco para combatir la inseguridad

3 Ene 2005 en Seguridad

SIM es una nueva clase de software y dispositivos de hardware destinados al control de la seguridad en las organizaciones. Actualmente son soluciones que resultan caras para la empresa de tamaño medio o pequeño ya que, además de su precio, requieren de personal especializado que supervise la consola, analice los datos y determine acciones defensivas.
Las herramientas SIM colectan información se syslog, Windows event log, traps de SNMP y de otros dispositivos de seguridad para luego almacenarla en una base de datos común, analizarla y presentarla para su interpretación por parte de los especialistas en seguridad. Algunos sistemas SIM hasta modifican la configuración de un firewall para bloquear ataques en forma automática.
Como en otros sistemas de esta clase, la efectividad depende de la calidad de los datos que se consideran significativos para su almacenamiento. Se recomienda hacer una lista muy específica de lo que hace falta detectar y de cuáles eventos serán registrados. Así, se evita reunir una tremenda masa de información que sólo traerá confusión.
Por otra parte, al seleccionar una solución SIM habrá que tener en cuenta el tamaño de la red y la cantidad de información que se maneja sobre ella. Un exceso de flujo puede producir caídas en los programas o demoras en el análisis de los datos, algo que debe ocurrir en tiempo real. Los tiempos de análisis deben ser de segundos, no de minutos.
Las soluciones SIM cuentan con medios para la visualización de los dispositivos que pueden estar siendo afectados por los eventos detectados y de los puertos de la red donde se origina el problema. También se pueden visualizar dispositivos mal configurados o con problemas, para proceder a su arreglo en forma remota o enviar a un técnico. Estas herramientas detectan estaciones de trabajo infectadas por virus debido a su funcionamiento irregular, máquinas con software espía y otra clase de eventos colaterales.
Durante mucho tiempo los departamentos de IT han puesto su énfasis en correlacionar eventos relacionados con la seguridad de los elementos centrales de sus redes, pero la funcionalidad se desplaza cada vez más hacia los bordes de estas redes. Es precisamente en el borde de la red donde los sistemas SIM agregan mayor transparencia.
A diferencia de los sistemas de administración de redes tradicionales, la aplicación de soluciones SIM permite determinar de cuáles dispositivos se registrarán los eventos a colectar en la base de análisis, lo cual permite enfocar mejor la actividad preventiva y evita acumular tremendas e inmanejables masas de datos crudos.