Compartir:
Nota 113
3
minutos

Syslog evolucionado: Cambiando la forma en que gestionamos los registros

La capacidad de recopilar, analizar e interpretar los datos de registro de varios sistemas y
dispositivos es crucial para mantener la seguridad, la fiabilidad y el rendimiento de la infraestructura
de TI de una organización. Este artículo profundizará en la evolución de los sistemas Syslog, que
han sido la piedra angular de la gestión de registros durante décadas, y explorará cómo estos
sistemas se han transformado en soluciones modernas de gestión de eventos e información de
seguridad (SIEM), especialmente con la integración de la inteligencia artificial (IA) y el aprendizaje
automático (ML).
El objetivo de este artículo es ofrecer una visión general del desarrollo histórico de los sistemas
Syslog, sus limitaciones y la posterior evolución hacia tecnologías SIEM avanzadas. Al comprender
la evolución de las tecnologías de registro y supervisión, las organizaciones pueden apreciar mejor
la importancia de invertir en soluciones de seguridad sólidas que aprovechen las tecnologías de
vanguardia para protegerse contra una gama cada vez mayor de ciberamenazas. Esta introducción
sienta las bases para el resto del artículo, destacando la importancia del registro y la supervisión en
los entornos informáticos modernos y esbozando los principales temas que se tratarán.

Orígen de Syslog
El concepto de Syslog fue introducido a principios de los años 80 por Eric Allman en el marco del
proyecto Sendmail de la Universidad de California en Berkeley. Syslog se diseñó para que los
dispositivos conectados en red enviaran mensajes de registro a un servidor central, lo que facilitaría
la gestión y supervisión de los eventos del sistema. El objetivo principal era crear un mecanismo de
registro fiable que pudiera gestionar la diversidad de dispositivos y aplicaciones que surgen en
entornos informáticos cada vez más complejos.
Al principio, Syslog tenía un objetivo sencillo: recopilaba datos de registro de diversas fuentes, como
servidores, enrutadores y aplicaciones, lo que permitía a los administradores de sistemas supervisar

el rendimiento y solucionar problemas. Su sencillez y eficacia lo convirtieron rápidamente en un
estándar ampliamente adoptado en el sector.

Casos prácticos y primeras aplicaciones
En sus inicios, Syslog encontró aplicaciones principalmente en sistemas basados en Unix. Los
administradores de sistemas lo utilizaban para controlar el rendimiento del sistema, las actividades
de los usuarios y los mensajes de error. Los casos de uso más comunes incluían:
● Supervisión del rendimiento del sistema: Los administradores podrían analizar los registros
para identificar cuellos de botella en el rendimiento o problemas de utilización de recursos.
● Seguimiento de errores: Syslog permitía identificar rápidamente errores o fallos en las
aplicaciones, lo que facilitaba una resolución más rápida.
● Registro de la actividad de los usuarios: Al registrar los inicios de sesión y las acciones de
los usuarios, Syslog ayudó a mantener la responsabilidad y la trazabilidad dentro de los
sistemas.

Limitaciones de los primeros sistemas Syslog
A pesar de sus ventajas, los primeros sistemas Syslog tenían notables limitaciones:
● Falta de análisis en tiempo real: Syslog funcionaba principalmente como un mecanismo de
registro pasivo. Aunque recopilaba datos, no ofrecía capacidades de análisis o alerta en
tiempo real, lo que dificultaba la respuesta rápida a posibles incidentes de seguridad.
● Problemas de escalabilidad: A medida que las organizaciones crecían y sus entornos
informáticos se volvían más complejos, el volumen de datos de registro generados
aumentaba exponencialmente. Las primeras implementaciones de Syslog tenían dificultades
para escalar de forma eficaz, lo que provocaba problemas a la hora de gestionar y analizar
grandes cantidades de datos.
● Capacidades de correlación limitadas: Los sistemas Syslog tradicionales carecían de la
capacidad de correlacionar eventos de diferentes fuentes. Esto dificultaba a los
administradores la identificación de patrones indicativos de amenazas a la seguridad o
anomalías del sistema.
● Procesos de revisión manual: La dependencia de la revisión manual de los archivos de
registro creaba ineficiencias y aumentaba el riesgo de error humano. Los administradores a
menudo se enfrentaban a la fatiga de las alertas debido a los abrumadores volúmenes de
registros sin herramientas adecuadas para la priorización.

Estas limitaciones pusieron de manifiesto la necesidad de soluciones más avanzadas capaces no
sólo de agregar registros, sino también de proporcionar capacidades de análisis, correlación y
respuesta a incidentes en tiempo real. Esta demanda allanó el camino para la evolución de los
sistemas Syslog tradicionales a sofisticadas soluciones de gestión de eventos e información de
seguridad (SIEM).

Bienvenido SIEM
A medida que evolucionaba el panorama de la ciberseguridad, también lo hacía la necesidad de
herramientas más sofisticadas para gestionar y analizar los datos de registro. Los primeros años de
la década de 2000 marcaron un importante punto de inflexión con la aparición de las soluciones de
gestión de eventos e información de seguridad (SIEM). Los sistemas SIEM se diseñaron para hacer
frente a las limitaciones de los sistemas Syslog tradicionales integrando la gestión de registros con
funciones de seguridad avanzadas, lo que permitía a las organizaciones proteger mejor sus
entornos informáticos.
Las soluciones SIEM combinan dos funciones principales:
● Gestión de la información sobre seguridad (SIM): Este aspecto se centra en la recopilación,
el análisis y la elaboración de informes sobre datos relacionados con la seguridad
procedentes de toda la organización. Agrega registros de diversas fuentes, como servidores,
cortafuegos, sistemas de detección de intrusiones y aplicaciones.
● Gestión de eventos de seguridad (SEM): SEM implica la supervisión y el análisis en tiempo
real de los eventos de seguridad. Permite a las organizaciones detectar posibles incidentes
de seguridad en el momento en que se producen, proporcionando alertas y facilitando
respuestas rápidas.
Al fusionar estas funciones, las soluciones SIEM proporcionan una visión completa de la situación
de la seguridad de una organización, lo que permite tomar mejores decisiones y responder mejor a
los incidentes.

Diferencias con el Syslog tradicional
La transición de Syslog a SIEM introdujo varias funciones clave que mejoraron significativamente la
gestión de registros y las capacidades de seguridad:
● Supervisión y alerta en tiempo real: A diferencia de los sistemas Syslog tradicionales, las
soluciones SIEM ofrecen supervisión de eventos en tiempo real. Esta capacidad permite a
las organizaciones recibir alertas inmediatas de actividades sospechosas o anomalías, lo
que agiliza la respuesta ante incidentes.

● Correlación de eventos: Los sistemas SIEM pueden correlacionar eventos de múltiples
fuentes para identificar patrones que puedan indicar amenazas a la seguridad. Por ejemplo,
si un usuario inicia sesión desde un lugar inusual seguido de varios intentos fallidos de inicio
de sesión, el SIEM puede marcarlo como un posible compromiso de la cuenta.
● Análisis avanzado: Muchas soluciones SIEM modernas incorporan capacidades analíticas
avanzadas, incluidos algoritmos de aprendizaje automático que pueden identificar
tendencias y anomalías en los datos de registro. Esto mejora la detección de amenazas al
reconocer indicadores sutiles de peligro que pueden pasar desapercibidos con los métodos
tradicionales.
● Informes de cumplimiento: Las soluciones SIEM a menudo vienen equipadas con funciones
integradas de informes de cumplimiento que ayudan a las organizaciones a cumplir con los
requisitos reglamentarios. Pueden generar informes para normas como PCI-DSS, HIPAA y
GDPR, simplificando el proceso de auditoría.
● Automatización de la respuesta a incidentes: Algunos sistemas SIEM incluyen capacidades
automatizadas de respuesta a incidentes, lo que permite a las organizaciones tomar
medidas predefinidas cuando se detectan amenazas específicas. Esto reduce los tiempos
de respuesta y minimiza los daños potenciales de los incidentes de seguridad.

Nuevos retos, nuevas necesidades
La creciente complejidad de las ciberamenazas hizo necesario el desarrollo de soluciones de
seguridad más sólidas. A medida que las organizaciones dependían cada vez más de la
infraestructura digital para sus operaciones, se enfrentaban a nuevos retos:
● Amenazas persistentes avanzadas (APT): Las APT representan ataques sofisticados que se
dirigen a organizaciones específicas durante periodos prolongados. Los métodos de registro
tradicionales eran insuficientes para detectar estas amenazas sigilosas.
● Cumplimiento normativo: A medida que las filtraciones de datos se hacían más comunes,
los organismos reguladores imponían requisitos de cumplimiento más estrictos. Las
organizaciones necesitaban herramientas que no solo pudieran supervisar sus entornos,
sino también demostrar el cumplimiento mediante informes detallados.
● Aumento de la superficie de ataque: La proliferación de servicios en la nube, dispositivos
móviles y dispositivos IoT amplió la superficie de ataque para las organizaciones. Esta
complejidad requirió soluciones de supervisión más avanzadas capaces de agregar datos
de diversas fuentes.

La transición de los sistemas Syslog tradicionales a las soluciones SIEM modernas se vio
impulsada por estas necesidades de seguridad en constante evolución. Las organizaciones
reconocieron que para combatir eficazmente las amenazas emergentes y mantener el
cumplimiento, necesitaban herramientas integrales que pudieran proporcionar información en
tiempo real sobre su postura de seguridad.

Características principales de los SIEM modernos
Los SIEM modernos están equipados con una serie de funciones avanzadas que mejoran
significativamente su eficacia a la hora de supervisar, detectar y responder a incidentes de
seguridad. Estas son algunas de las características clave que distinguen a las soluciones
contemporáneas.

Respuesta automatizada a incidentes
Esta función permite a las organizaciones definir acciones específicas que el sistema SIEM debe
llevar a cabo cuando se detectan determinados tipos de amenazas.
● Tiempos de respuesta reducidos: Las respuestas automatizadas pueden reducir
significativamente el tiempo que se tarda en mitigar las amenazas, minimizando los daños
potenciales.
● Coherencia: La automatización garantiza que las respuestas sean coherentes y sigan
protocolos predefinidos, lo que reduce el riesgo de error humano.
Por ejemplo, si un SIEM detecta varios intentos fallidos de inicio de sesión desde una única
dirección IP, puede bloquear automáticamente esa IP, alertar al equipo de seguridad e iniciar una
revisión de los registros relacionados.

Análisis predictivo
Se basa en aprovechar el análisis predictivo para prever posibles amenazas a la seguridad
basándose en patrones de datos históricos. Al analizar tendencias y comportamientos a lo largo del
tiempo, estos sistemas pueden identificar vulnerabilidades antes de que sean explotadas.
● Postura de seguridad proactiva: Las organizaciones pueden adoptar medidas preventivas en
lugar de limitarse a reaccionar ante los incidentes.

● Optimización de recursos: Al anticiparse a las amenazas, los equipos de seguridad pueden
asignar recursos de forma más eficaz a las áreas de mayor riesgo.
Por ejemplo, si un usuario concreto accede sistemáticamente a datos confidenciales fuera del
horario normal, el análisis predictivo puede señalar este comportamiento para investigarlo más a
fondo.

Detección mejorada de amenazas mediante análisis del
comportamiento de los usuarios (UBA)
Esta función se centra en comprender el comportamiento normal de los usuarios dentro de una
organización. Mediante el establecimiento de líneas de base para las actividades típicas, UBA
puede identificar desviaciones que pueden indicar acciones maliciosas o cuentas comprometidas.
● Detección de amenazas internas: UBA ayuda a identificar posibles amenazas internas
mediante la supervisión de patrones de acceso inusuales o actividades de exfiltración de
datos.
● Reducción de falsos positivos: Al comprender el comportamiento normal, los SIEM pueden
diferenciar con mayor precisión entre anomalías benignas y amenazas genuinas.
Por ejemplo, si un empleado descarga repentinamente grandes volúmenes de datos confidenciales
o accede a archivos con los que normalmente no interactúa, el sistema puede activar una alerta
para que se investigue más a fondo.

Informes de cumplimiento exhaustivos
Con el aumento de los requisitos normativos en torno a la protección de datos y la privacidad, las
soluciones SIEM modernas vienen equipadas con funciones completas de informes de
cumplimiento. Estas herramientas ayudan a las organizaciones a demostrar el cumplimiento de
diversas normativas, como GDPR, HIPAA y PCI-DSS.
● Auditorías racionalizadas: Los informes de cumplimiento automatizados simplifican el
proceso de auditoría al generar la documentación y los informes necesarios.
● Gestión de riesgos: Mediante la supervisión continua de las actividades relacionadas con el
cumplimiento, las organizaciones pueden abordar de forma proactiva las posibles
infracciones antes de que den lugar a sanciones.
Por ejemplo, un SIEM puede generar automáticamente informes que detallen el acceso de los
usuarios a datos confidenciales durante un periodo determinado, lo que facilita a las organizaciones
demostrar el cumplimiento durante las auditorías.

Integración de inteligencia sobre amenazas
Los sistemas SIEM modernos suelen incorporar fuentes externas de inteligencia sobre amenazas
que proporcionan información en tiempo real sobre vulnerabilidades conocidas, firmas de malware y
amenazas emergentes. Esta integración mejora la capacidad del sistema para detectar y responder
a las amenazas basándose en la inteligencia actual.
● Conciencia contextual: La inteligencia sobre amenazas proporciona contexto en torno a las
alertas, ayudando a los equipos de seguridad a priorizar las respuestas en función de la
gravedad y relevancia de la amenaza.
● Capacidades de detección mejoradas: Al correlacionar los registros internos con la
información sobre amenazas externas, las organizaciones pueden identificar posibles
ataques antes de que se produzcan.
Por ejemplo, si se informa de la existencia de una nueva cepa de ransomware, un SIEM integrado
con inteligencia sobre amenazas puede evaluar inmediatamente si algún sistema está en peligro
basándose en las vulnerabilidades existentes. Esta sección describe las características clave de los
sistemas SIEM modernos que mejoran sus capacidades de detección de amenazas y respuesta a
incidentes. Al destacar estas características, los lectores podrán comprender cómo las soluciones
SIEM contemporáneas permiten a las organizaciones mantener posturas de ciberseguridad sólidas
en un panorama de amenazas cada vez más complejo.

Retos a los que se enfrentan las soluciones SIEM
actuales
Aunque los sistemas modernos ofrecen numerosas ventajas, también se enfrentan a varios retos
que pueden afectar a su eficacia y utilidad general. Comprender estos retos es crucial para las
organizaciones que desean implantar u optimizar sus soluciones SIEM.

Volumen y complejidad de los datos
El enorme volumen de datos que generan los entornos informáticos modernos supone un reto
importante para los sistemas SIEM. Las organizaciones actuales recopilan registros de multitud de
fuentes, como servidores, aplicaciones, dispositivos de red y servicios en la nube.
● Requisitos de almacenamiento: La necesidad de amplias soluciones de almacenamiento
para dar cabida a grandes cantidades de datos de registro puede resultar costosa y
compleja.

● Sobrecarga de procesamiento: Los grandes volúmenes de datos pueden provocar
problemas de rendimiento, lo que dificulta que los sistemas SIEM analicen los registros en
tiempo real.
Las organizaciones deben asegurarse de que sus soluciones SIEM son escalables y capaces de
manejar grandes conjuntos de datos sin sacrificar el rendimiento o la capacidad de respuesta.

Falsos positivos y excesos de alertas
Uno de los problemas más comunes es la generación de falsos positivos, es decir, alertas activadas
por actividades benignas que parecen maliciosas. Este problema puede cansar a los equipos de
seguridad.
● Drenaje de recursos: Los analistas de seguridad pueden dedicar un tiempo excesivo a
investigar las falsas alarmas en lugar de centrarse en las amenazas reales.
● Desensibilización: La exposición continua a falsas alertas puede llevar a la complacencia,
haciendo que los analistas pasen por alto advertencias críticas.
Para mitigar este desafío, las organizaciones necesitan afinar sus configuraciones SIEM,
implementar mejores reglas de correlación y utilizar algoritmos de aprendizaje automático para
reducir las tasas de falsos positivos.

Integración con las herramientas de seguridad existentes
La integración de las soluciones SIEM con las herramientas y tecnologías de seguridad existentes
puede resultar compleja. Muchas organizaciones utilizan diversos productos de seguridad, cada uno
con sus propias funciones de registro y generación de informes.
● Silos de datos: Sin una integración adecuada, los valiosos datos de seguridad pueden
permanecer aislados en herramientas individuales, impidiendo una visión holística de la
postura de seguridad de la organización.
● Formatos de datos incoherentes: Las distintas herramientas pueden generar registros en
formatos diferentes, lo que complica la agregación y el análisis de datos en el SIEM.
Las organizaciones deben dar prioridad a la interoperabilidad a la hora de seleccionar soluciones
SIEM, asegurándose de que pueden integrarse perfectamente con otras tecnologías de seguridad
para maximizar su eficacia.

Déficit de cualificaciones y limitación de recursos

El sector de la ciberseguridad se enfrenta a un importante déficit de competencias, ya que muchas
organizaciones tienen dificultades para encontrar personal cualificado que gestione y opere
eficazmente los sistemas SIEM. Este reto se ve agravado por la escasez de recursos en muchas
organizaciones.
● Infrautilización: Sin personal cualificado, las organizaciones pueden no aprovechar
plenamente las capacidades de sus soluciones SIEM, lo que lleva a perder oportunidades
de detección y respuesta a las amenazas.
● Aumento del riesgo: La falta de experiencia puede dar lugar a una configuración o gestión
inadecuadas del sistema SIEM, lo que aumenta la vulnerabilidad frente a las
ciberamenazas.
Invertir en la formación del personal existente o asociarse con proveedores de servicios de
seguridad gestionados (MSSP) puede ayudar a salvar esta brecha de conocimientos y garantizar un
uso eficaz de las tecnologías SIEM.

Evolución del panorama de amenazas
El panorama de la ciberseguridad cambia constantemente, con la aparición periódica de nuevas
amenazas. Este entorno dinámico plantea retos constantes a los sistemas SIEM a la hora de
mantenerse al día de los últimos vectores y técnicas de ataque.
● Problemas de adaptabilidad: Los métodos tradicionales de detección basados en reglas
pueden tener dificultades para seguir el ritmo de la evolución de las amenazas, lo que
provoca lagunas en las capacidades de detección.
● Necesidad de mejora continua: Las organizaciones deben actualizar continuamente sus
configuraciones SIEM y sus fuentes de inteligencia sobre amenazas para seguir siendo
eficaces contra los nuevos tipos de ataques.
Para hacer frente a este reto, las organizaciones deben adoptar un enfoque proactivo que incluya
actualizaciones periódicas de sus fuentes de información sobre amenazas, el ajuste continuo de las
reglas de detección y la formación permanente del personal de seguridad.

El futuro del SIEM
A medida que el panorama de la ciberseguridad sigue evolucionando, también deben hacerlo las
tecnologías y metodologías empleadas para proteger los datos y sistemas sensibles. El futuro de la
gestión de eventos e información de seguridad (SIEM) está preparado para avances significativos
impulsados por las tendencias emergentes, las innovaciones tecnológicas y la complejidad cada vez
mayor de las ciberamenazas.

Soluciones SIEM nativas de la nube
Con la adopción generalizada de la computación en nube, existe una creciente demanda de
soluciones SIEM nativas de la nube que puedan supervisar y gestionar eficazmente la seguridad en
entornos híbridos y multicloud.
● Escalabilidad: Los SIEM nativos de la nube pueden escalarse fácilmente para adaptarse a
los volúmenes de datos fluctuantes sin necesidad de una amplia infraestructura local.
● Flexibilidad: Estas soluciones pueden integrarse a la perfección con varios servicios en la
nube, proporcionando una visibilidad completa de todo el ecosistema digital de una
organización.
● Rentabilidad: Al aprovechar los recursos de la nube, las organizaciones pueden reducir los
gastos de capital asociados a las implantaciones SIEM tradicionales en las instalaciones.
A medida que las organizaciones migran cada vez más a la nube, las soluciones SIEM nativas de la
nube serán esenciales para mantener posturas de seguridad sólidas.

Integración de inteligencia avanzada sobre amenazas
La integración de fuentes avanzadas de información sobre amenazas en los sistemas SIEM seguirá
mejorando las capacidades de detección y el conocimiento de la situación.
● Información en tiempo real: Al incorporar inteligencia sobre amenazas en tiempo real, los
SIEM pueden proporcionar contexto en torno a las alertas, lo que permite a los equipos de
seguridad priorizar las respuestas en función del panorama actual de amenazas.
● Defensa proactiva: La mejora de la inteligencia sobre amenazas puede ayudar a las
organizaciones a anticiparse a posibles ataques y tomar medidas preventivas antes de que
se produzcan incidentes.
Las futuras soluciones SIEM probablemente aprovecharán los algoritmos de aprendizaje automático
para analizar los datos de inteligencia sobre amenazas con mayor eficacia, lo que permitirá a las
organizaciones adelantarse a las amenazas emergentes.

Mejora del análisis del comportamiento de los usuarios (UBA)
La atención prestada al análisis del comportamiento de los usuarios (UBA) se intensificará a medida
que las organizaciones traten de detectar con mayor eficacia las amenazas internas y las cuentas
comprometidas.

● Comprensión contextual: Las capacidades avanzadas de UBA proporcionarán una visión
más profunda de los patrones de comportamiento de los usuarios, ayudando a las
organizaciones a identificar anomalías indicativas de actividad maliciosa.
● Aprendizaje adaptativo: Los futuros sistemas UBA emplearán técnicas de aprendizaje
adaptativo que perfeccionarán continuamente su comprensión del comportamiento normal
basándose en la evolución de las actividades del usuario.
Al mejorar las capacidades UBA, las futuras soluciones SIEM mejorarán su capacidad para detectar
signos sutiles de amenazas internas o de compromiso de cuentas.

Automatización y orquestación
La tendencia hacia la automatización y la orquestación en las operaciones de ciberseguridad
seguirá configurando el futuro de la tecnología SIEM.
● Flujos de trabajo racionalizados: La automatización puede ayudar a agilizar los flujos de
trabajo de respuesta a incidentes mediante la ejecución automática de acciones
predefinidas basadas en alertas específicas.
● Mayor eficacia: Al reducir la intervención manual en tareas rutinarias, los equipos de
seguridad pueden centrarse en análisis de más alto nivel e iniciativas estratégicas.
Se espera que las futuras soluciones SIEM incorporen funciones de orquestación, automatización y
respuesta de seguridad (SOAR) que permitan una integración perfecta con otras herramientas y
procesos de seguridad.

Capacidades mejoradas de aprendizaje automático e IA
El papel de la Inteligencia Artificial (IA) y el Aprendizaje Automático (ML) seguirá ampliándose,
permitiendo mecanismos de detección y respuesta más sofisticados.
● Detección de anomalías: Los algoritmos avanzados de ML mejorarán la detección de
anomalías mediante el análisis de vastos conjuntos de datos en tiempo real, identificando
patrones que puedan indicar incidentes de seguridad.
● Análisis predictivo: Los futuros sistemas SIEM aprovecharán el análisis predictivo para
prever posibles amenazas basándose en las tendencias de los datos históricos, lo que
permitirá a las organizaciones adoptar una postura de seguridad proactiva.
A medida que las tecnologías de IA y ML maduren, desempeñarán un papel fundamental en la
mejora de la eficacia de las soluciones SIEM para combatir las ciberamenazas cada vez más
sofisticadas.

Centrarse en la privacidad y el cumplimiento
A medida que las normativas sobre privacidad de datos se vuelven más estrictas en todo el mundo,
las futuras soluciones SIEM harán mayor hincapié en las funciones de cumplimiento de la
privacidad.
● Supervisión automatizada del cumplimiento de la normativa: Las funciones avanzadas de
elaboración de informes de cumplimiento ayudarán a las organizaciones a automatizar la
supervisión de los requisitos normativos relacionados con la protección de datos.
● Gobierno de datos: Los futuros SIEM pueden incluir funciones mejoradas de gobernanza de
datos que garanticen que la información sensible se maneja de acuerdo con las normas
reglamentarias.
Las organizaciones confiarán cada vez más en sus soluciones SIEM no solo para la seguridad, sino
también para garantizar el cumplimiento de las leyes de privacidad de datos en evolución.

Conclusión
La evolución de los sistemas Syslog a las modernas soluciones de gestión de eventos e información
de seguridad (SIEM), especialmente con la integración de la inteligencia artificial (IA) y el
aprendizaje automático (ML), representa un avance significativo en la tecnología de ciberseguridad.
Este viaje ha transformado la forma en que las organizaciones supervisan, detectan y responden a
las amenazas de seguridad, mejorando su postura general de ciberseguridad.
La integración de IA y ML en los sistemas SIEM, mejorando la detección de amenazas, el análisis
predictivo y la respuesta automatizada a incidentes.
Hay retos a los que se enfrentan las soluciones SIEM actuales, incluidos el volumen y la
complejidad de los datos, los falsos positivos, la integración con las herramientas de seguridad
existentes y las carencias de competencias.
Las tendencias futuras de la tecnología SIEM, incluidas las soluciones nativas en la nube, la
integración de inteligencia avanzada sobre amenazas, la mejora de los análisis del comportamiento
de los usuarios, la automatización y la mejora de las capacidades de IA.

Referencias
● Security Information and Event Management (SIEM) Implementation, David Miller
● Cybersecurity and Cyber Risk Management, David A. Kessler
● Artificial Intelligence in Cybersecurity: A Comprehensive Guide, Leslie F. Sokol

Notas
recientes
Strategy & Business
3
minutos

¿El plan de respuesta a incidentes funciona en el papel o...

El valor estratégico de un TTX Por:  Lucía Ghergo - Cybersecurity Communications Strategist  En resumen: Los ejercicios de simulación de respuesta a incidentes (Tabletop Exercises o TTX) permiten a los CISOs y equipos ejecutivos evaluar la...
ver más ...