(Security Information and Event Management, por sus siglas en inglés) es un sistema, aplicación o solución donde se concentra la información de seguridad de TI. Es un principio fundamental en la creación de un sistema de gestión de eventos de seguridad. En su proceso de formalización, el SIEM era considerado un gestor de logs, una herramienta de cumplimiento regulatorio para: la correlación de eventos, brindar una respuesta activa y seguridad en el endpoint.
Gestor de Logs: cada vez habrá una mayor cantidad de información circulando desde el Pentabyte hasta el Yottabyte. El SIEM que soporte estos volúmenes de información de forma eficiente, será aquel que haya hecho el 50% del trabajo para adaptarse a los nuevos desafíos en el manejo y análisis de la información.
Cumplimiento Regulatorio: toda regulación debe ser tenida en cuenta. El SIEM deberá cumplir al 100% los requerimientos. Si se encuentra correctamente configurado y administrado, no debería ser problema una auditoría.
Correlación de Eventos: en esta área se han visto grandes mejoras en los últimos años, en donde los fabricantes de SIEM han agregado más correlaciones y casos de uso. Inclusive, se han creado nuevas maneras de desarrollar estos casos y de adaptarse a una mejor y más eficiente correlación. Se podrán observar cambios importantes en la formalización de metodologías de correlación, nuevas reglas y normalizaciones (en este proceso) donde el Machine Learning jugará un rol muy importante.
La correlación es la base de la inteligencia, un SIEM Inteligente es aquel que tiene la capacidad de desarrollar mejores y distintas formas de correlaciones, que en definitiva, tendrá un mayor impacto en las organizaciones.
