A tecnologia de SIEM (Security Information Event Management) já se mostrou indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser frustrante.
Complexos, projetos de SIEM muitas vezes não correspondem às expectativas dos clientes e falhas ou implantações abandonadas não são incomuns. Abaixo estão listadas algumas “armadilhas” que comumente ocorrem nesses tipos de projeto:
A implementação de um projeto de SIEM requer planejamento e a chance de sucesso sem a necessária preparação é baixa, podendo condená-lo antes mesmo de seu início.
A escolha por uma solução SIEM deve ser baseada em uma compreensão clara do escopo, objetivos e casos de uso. A aquisição sem esse esclarecimento pode comprometer seriamente o investimento.
Muitas organizações subestimam a quantidade de trabalho e, para obter o valor máximo da ferramenta, ficam tentadas a fazer tudo de uma vez enquanto o ideal é sua implementação em etapas.
O SIEM não deve ser utilizado para capturar e armazenar todos os registros de todos os dispositivos, sem discriminação. É preciso determinar o que é relevante.
O SIEM não faz nada sozinho. A inteligência de segurança necessária às operações deve ser especializada. No entanto, em muitos casos, o SIEM é adquirido mediante a premissa ingênua de que poderá ser mantido e evoluído internamente por profissionais sem o devido expertise.
É preciso ter a capacidade de desenvolver regras de correlação com base em casos reais vivenciados na empresa nos últimos 2 anos e nas atuais ameaças de mercado.
O Gartner é enfático: o SIEM não é para todos e, ao estudar a viabilidade do projeto, pode ser que a organização conclua que os requisitos inerentes não atendem às necessidades da empresa.