¿Qué es un administrador de eventos de seguridad?
Un Administrador de eventos de seguridad (SEM) es un programa de software que se utiliza para analizar registros de eventos en una red informática para encontrar acciones que puedan presentar un riesgo de seguridad. Estas acciones se separan de otros eventos y luego se ponen a disposición de los profesionales de seguridad para que actúen adecuadamente. El uso de este tipo de software permite a los profesionales de Tecnología de la Información (TI) identificar y actuar más rápidamente ante posibles amenazas a una red. Hay varios programas diferentes que se han desarrollado como un administrador de eventos de seguridad, aunque la mayoría de ellos funcionan de manera bastante similar.
A veces llamado información de seguridad o administrador de eventos e información de seguridad, estos programas suelen ser sistemas automatizados que se pueden utilizar de diferentes maneras. En general, se instala un administrador de eventos de seguridad en un sistema informático, como una red, y supervisa las actividades en ese sistema. Estos programas monitorean específicamente los registros producidos en función de los eventos que ocurren durante el funcionamiento básico de la red. Un registro es un registro de actividad en un sistema, y acciones como que alguien inicie sesión en el sistema, un usuario que proporciona una contraseña incorrecta y los datos que se reciben pueden crear eventos en ese registro.
El software del administrador de eventos de seguridad monitorea los datos recopilados por estos registros y busca tipos específicos de eventos. Luego, el gerente los registra y los envía a los administradores y a los profesionales de la tecnología de la información o de seguridad de TI autorizados para acceder al sistema. Esto permite que alguien vea información sobre posibles amenazas de seguridad contra una red mucho más rápidamente, en lugar de revisar toda la información registrada en los registros de actividad. El uso de un administrador de eventos de seguridad no es estrictamente necesario para una red segura, pero ciertamente puede facilitar la detección de posibles ataques o problemas internos.
Sin embargo, uno de los principales defectos de un administrador de eventos de seguridad dentro de la seguridad de la red es que solo puede detectar ataques o actividades inusuales una vez que han ocurrido. Esto significa que tales programas no suelen ser efectivos como elementos disuasivos o como formas de proteger un sistema contra un ataque. La mayoría de los profesionales de TI usan métodos como firewalls y pruebas de penetración continuas de una red para buscar debilidades que alguien pueda usar para atacar ese sistema. Esto les permite garantizar que la red sea segura, mientras usan un administrador de eventos de seguridad para buscar fallas que puedan haberse perdido o para encontrar posibles compromisos dentro del sistema. Sin embargo, estos programas SEM generalmente deben actualizarse regularmente, ya que los piratas informáticos pueden desarrollar nuevas formas de ataque que eviten la detección.