Casos de uso resilientes SIEM.

Abstract

El objetivo de este proyecto es proveer un modelo para el ajuste y tuneo de las alertas de seguridad. Además, desarrollar una cultura de mejora continua para los equipos de seguridad de la información encargados de correlacionar los eventos, también conocidos como SIEM (Security Information and Event Management). Para esto, se describieron las funciones, funcionamiento de los centros de operaciones de seguridad y su importancia para proteger el negocio de las amenazas, tanto externas como internas, en orden de salvaguardar los principios de confidencialidad, integridad y disponibilidad de la información. De igual forma, se explicó la visibilidad que provee un centro de operaciones de seguridad para comprender mejor el entorno y los riesgos a los que se enfrentan los negocios. De acuerdo con el giro de negocio, las amenazas de seguridad son diferentes y su impacto varía según la industria. Por eso, se detallaron los diferentes incidentes de seguridad que puede enfrentar una organización, además se explicó el daño que estos pueden causar en las operaciones del negocio. Se llevó a cabo una categorización y tipificación de los incidentes de seguridad más comunes, con el fin de facilitar la detección, el análisis y su contención, de una manera oportuna. Con esto, las organizaciones podrán prevenir varios incidentes con un mismo control y disminuirá el impacto que pueda casar la materialización de un riesgo. Los equipos SIEM son el núcleo de un centro de operaciones de seguridad (SOC), en estos se monitorean las posibles amenazas, basados en el análisis de los datos obtenidos de los diferentes logs sources. En este documento se desarrolló una metodología de creación de casos de usos resilientes enfocados en una cultura de mejora continua, mediante la reducción de falsos positivos y al configurar correctamente los límites para evitar falsos negativos.