La gestión de eventos de seguridad: un diamante por pulir
Por Javier Cao Avellaneda
Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. Un ejemplo en el mundo físico es el del empresario que coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control, pero luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.
El Ejército Americano tiene publicado un manual sobre cuáles son las herramientas a utilizar en el campo de las operaciones de información (Information warfare), que en conflictos bélicos son uno de los escenarios más relevantes donde se deciden las batallas. Es imprescindible leer el Capitulo I, de Introducción porque aporta una nueva perspectiva al concepto de "información" y sus dimensiones. Y tal como deja claro el manual, la información esencial, la importante donde se pueden perder batallas, es aquella que se emplea en la toma de decisiones. Este fue el mensaje que quedó en mi mente tras leer el documento americano.
No podemos llamar "información" sino "datos" a aquello que no sirve para tomar decisiones. Y ese es el verdadero problema/drama de los logs, puesto que no llegan a ser información sino datos sobre la situación de seguridad de la Organización, que son guardados o borrados sin que de ellos se extraigan conclusiones o decisiones que pueden evitar o mejorar en mucho la seguridad de los sistemas. Como mucho, los logs se utilizan una vez sucedido el incidente para tratar de esclarecer los hechos perdiendo así una oportunidad de ser proactivos y preventivos.
Hace unos meses Anton Chuvakin, un “information security warrior” publicó un post con el top 7 de informes de seguridad.
Contenido completo en fuente original INTECO-CERT
Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. Un ejemplo en el mundo físico es el del empresario que coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control, pero luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.
El Ejército Americano tiene publicado un manual sobre cuáles son las herramientas a utilizar en el campo de las operaciones de información (Information warfare), que en conflictos bélicos son uno de los escenarios más relevantes donde se deciden las batallas. Es imprescindible leer el Capitulo I, de Introducción porque aporta una nueva perspectiva al concepto de "información" y sus dimensiones. Y tal como deja claro el manual, la información esencial, la importante donde se pueden perder batallas, es aquella que se emplea en la toma de decisiones. Este fue el mensaje que quedó en mi mente tras leer el documento americano.
No podemos llamar "información" sino "datos" a aquello que no sirve para tomar decisiones. Y ese es el verdadero problema/drama de los logs, puesto que no llegan a ser información sino datos sobre la situación de seguridad de la Organización, que son guardados o borrados sin que de ellos se extraigan conclusiones o decisiones que pueden evitar o mejorar en mucho la seguridad de los sistemas. Como mucho, los logs se utilizan una vez sucedido el incidente para tratar de esclarecer los hechos perdiendo así una oportunidad de ser proactivos y preventivos.
Hace unos meses Anton Chuvakin, un “information security warrior” publicó un post con el top 7 de informes de seguridad.
Contenido completo en fuente original INTECO-CERT
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!