información de seguridad y la gestión de eventos (SIEM) es una de las categorías de software de seguridad mejor establecidas, ya que se introdujo por primera vez hace unos 20 años. Sin embargo, se ha escrito muy poco sobre la evaluación y gestión de proveedores SIEM.
Para llenar ese vacío, aquí hay seis consejos de primera línea sobre la adquisición e implementación de una solución SIEM para obtener el máximo valor.
Evaluación y compra de una solución SIEM
Mida su gasto
Las soluciones de software SIEM tienen un precio diferente: ya sea por la cantidad de empleados en la organización del cliente, por la tasa de eventos por segundo o en función del volumen de registro ingerido. Es importante resolver esto temprano para tener una idea aproximada de lo que pagará con el tiempo. También identificará las diversas fuentes de datos significativas para su centro de operaciones de seguridad (SOC).
Comprar un SIEM es un compromiso enorme: usted y su organización deberán vivir con su decisión en los años venideros.
Si ya tiene un SIEM implementado, proporcione al proveedor sus casos de uso y consumo actuales, y debería poder replicarlo. Si no lo hace, tendrá que hacer un poco de trabajo de piernas. Un buen punto de partida es evaluar el volumen de registros que enviará al SIEM. Mida el volumen real de registros diarios de cada fuente revisando los registros almacenados localmente para un día «normal» y contando los resultados.
Si el proveedor de SIEM cobra por su número de empleados, tenga cuidado. Esta suele ser una forma de cobrar más por el SIEM al contar los empleados que no generan ningún dato relevante.
Evalúe las prácticas de su proveedor
El siguiente paso es realizar una prueba de concepto (POC); este debería ser un punto de partida para una eventual implementación, no un ejercicio enlatado independiente. Durante este proceso, su proveedor debe demostrar un nivel de servicio que deseará mantener después de la venta. Aquí hay algunas preguntas clave a considerar durante este proceso:
- ¿Quién administrará su cuenta? Idealmente, un proveedor comprometerá personal técnico calificado para ejecutar su evaluación inicial y realizar una implementación.
- ¿Quién de su equipo tomará el liderazgo técnico en la evaluación y quién finalmente la implementará? Idealmente, será la misma persona o un pequeño grupo de personas.
- Después de comprar un SIEM, ¿qué sigue en su hoja de ruta? ¿REMONTARSE? CSPM? Asegúrese de que su proveedor pueda integrarse con una amplia gama de tecnologías.
- Es fundamental comprender completamente la arquitectura de software de front-end y back-end del proveedor. Algunos proveedores que se autodenominan «verdadero SaaS» o «nativos de la nube» no lo son. No se encierre en un contrato de 12 meses cuando no sabe lo que sucede debajo del capó.
No se deje engañar: conozca el costo total de implementación
Continuar leyendo: Seis consejos para aprovechar al máximo su inversión en SIEM