d oc um e ntación Controlar el costo de SIEM Una guía para los departamentos de seguridad con recursos limitados d oc um e ntación Pregunte a la mayoría de los profesionales de seguridad sobre SIEM y escuchará las palabras “costoso”, “consume tiempo” y “complejo”. Al mismo tiempo, la mayoría están de acuerdo en que los beneficios que SIEM puede brindar son esenciales para cualquier estrategia de seguridad, por no mencionar el alivio de aprobar una auditoría de cumplimiento. La promesa de SIEM es brindar conocimientos situacionales continuos, informes de cumplimiento automatizados, respaldo con el proceso de respuesta ante incidentes mediante el análisis de la causa raíz y servir como plataforma de investigación. Desafortunadamente, debido a los factores negativos percibidos, los departamentos de seguridad más pequeños con mayor limitación de recursos y que más desesperadamente necesitan mejoras en la automatización y seguridad que SIEM puede brindar no creen que los beneficios estén a su alcance. Pero hay buenas noticias. Todos esos factores negativos surgen pero solo cuando una organización compra el SIEM equivocado para su tamaño y necesidades. SolarWinds® ofrece un SIEM de menor costo que elimina los problemas de complejidad y costos del SIEM empresarial. Está específicamente pensado para profesionales de seguridad con recursos limitados. Este documento le muestra los datos económicos de SIEM describiéndole las fallas y deficienciasfinancieros de la implementación y mostrándole cómo SolarWinds Log & Event Manager ayuda a las empresas a obtener el poder de SIEM sin el costo. Factores que afectan el costo de SIEM Cuando se considera la implementación de SIEM, el costo de la licencia puede ser solo la punta del iceberg. La mayoría de los SIEM son complejos, ya que fueron creados para uso empresarial: esto significa que se requiere de mucho trabajo adicional. Los costos adicionales potenciales de SIEM incluyen lo siguiente: Consultoría Muchos SIEM (o “alternativas” de SIEM) requieren consultoría para la implementación. Y, para algunos de los SIEM y “alternativas” de SIEM más complejos la consultoría es necesaria para la personalización básica Mano de obra para administrar/modificar los datos Muchos SIEM no cuentan con bases de datos autoadministradas, lo que significa que son necesarios administradores de bases de datos con gran talento para configurar el funcionamiento básico del sistema. Además, el manejo ineficiente de los datos puede requerir un ajuste constante de los datos que salen y entran. Hardware La aplicación SIEM ejerce una cantidad significativa de presión sobre cualquier base de datos. Las tasas de inserción masivas en tiempo real, el análisis simultáneo y la recuperación de datos la convierten en una aplicación de desempeño pesado. Por supuesto, cuantos más usuarios haya, más hardware se requiere. Pero lo que se olvida a menudo es que cuantas más funciones haya también se requiere más hardware. Costos de soporte altos La mayoría de los SIEM son costosos, con precios de compra promedio de más de 50,000 USD. Con el alto costo de licencia viene una importante factura de mantenimiento que debe renovarse cada año. EPS o expansión de licencias de indización La mayoría de los costos de licencias de SIEM se basan en “eventos por segundo”. Una alternativa de SIEM popular pero compleja otorga licencias de productos basadas en “Mb indizado por día”. Gartner estima que los volúmenes de datos se duplican cada año, lo que significa que los costos de licencias también deben ampliarse. Y, hasta el punto previo, también los costos de soporte. Componentes de complementos Los proveedores de SIEM comúnmente incluyen numerosos componentes de complementos con sus productos, lo que incrementa los costos para los clientes. Tanto si los cargos son por conectores individuales, paquetes de contenido, módulos de análisis adicionales o aplicaciones, siempre habrá nuevos complementos que su representante de ventas le anime a comprar. 2 Almacenamiento Una función básica de un SIEM es almacenar datos de registro y eventos para fines de archivo y análisis histórico. Según la velocidad de compresión y el método utilizado, los costos de almacenamiento pueden administrarse, o bien, dispararse sin control. d oc um e ntación Tipos de productos y costos de SIEM Con los años, al SIEM tradicional se le ha unido un grupo de alternativas. El peso de los costos de SIEM mencionados varía según el enfoque. Estos costos se establecen pensando en las necesidades de los departamentos de seguridad más pequeños con pocos recursos. No obstante, los costos no se corresponden con el crecimiento y la expansión de la empresa. SIEM tradicional empresarial Los productos SIEM empresariales tradicionales se diseñaron para grandes centros de operaciones de seguridad. No obstante, a medida que las necesidades de cumplimiento crecieron, estos SIEM se vendieron a organizaciones que no tenían personal ni recursos para administrarlos. Estos SIEM por lo general tienen costos de licencias muy altos (desde 50,000 USD) y muchos complementos. El hardware, el almacenamiento y la consultoría también son exigencias de estos productos con alto valor presupuestario. Además, la complejidad de los productos requiere de una capacitación intensiva por parte del personal para administrar y usar el SIEM. SIEM evolucionado de administradores de recursos Muchas empresas de administración de registros entraron en el mercado de SIEM y poco a poco incluyeron una funcionalidad similar a SIEM en sus productos. También modificaron su modelo de fijación de precios, que por lo general comienza en 20,000 USD para la inclusión de la funcionalidad SIEM, e incrementaron el costo con las funciones de los complementos. El costo de estos SIEM (un obstáculo común para resolver el reto SIEM) es más difícil de cuantificar. No obstante, la falta de capacidad de correlación avanzada, el conocimiento en tiempo real limitado y la carencia de inteligencia integrada impacta de forma negativa en el estado de la seguridad. Análisis de seguridad Los productos de análisis de seguridad no son por lo general de SIEM. Son productos que registran actividad directamente de la red y pueden combinar estos registros con otros. Además de los costos de licencias, el almacenamiento es costoso debido a la naturaleza de alto consumo de estos productos. Los beneficios adicionales de registrar todo en la red son por lo general contrarrestados por problemas de gran almacenamiento y administración de eventos no óptima. Búsqueda de TI/Administración de grandes datos de TI Estos productos comenzaron como un producto general de administración de datos de TI y de búsqueda. No obstante, con los años, han comercializado el caso de uso de SIEM, y los costos generales de este enfoque siguen aumentando. El modelo de licencia de Mb indizado por día es una iniciativa costosa con grandes tarifas de consultoría para la implementación y personalización. Los complementos también son un factor a tener en cuenta con las aplicaciones costosas. El costo oculto más alto de estos productos, no obstante, es la gran cantidad de tiempo y de amplias habilidades técnicas necesarias para hacer que este enfoque se parezca a un SIEM. Cambie los datos económicos SolarWinds permite a los departamentos de seguridad con recursos limitados cambiar los datos económicos de SIEM mediante un SIEM diseñado justo para sus necesidades. Hemos incluido las capacidades más críticas de SIEM, pero hemos omitido los accesorios extra que se utilizan con poca frecuencia y causan la mayor complejidad. SolarWinds cambia los datos económicos de SIEM de la siguiente manera: 3 No se requiere consultoría Hemos diseñado nuestro SIEM específicamente para el departamento con recursos limitados. Eso significa que nos aseguramos de que puede implementarlo de forma rápida y fácil. ¿No nos cree? Descargue nuestra prueba gratuita y véalo usted mismo (vínculo a la descarga de la prueba gratuita). Sin administradores de bases de datos ni atención y mantenimiento elevados d oc um e ntación Nos hemos esforzado mucho en conseguir que nuestra base de datos se administre automáticamente. Esto significa que no se necesitan recursos para administradores de bases de datos costosos ni administración de datos constante. Hardware Requerimos hardware porque hemos omitido funciones empresariales no esenciales que ejercen más presión sobre la base de datos y la aplicación SIEM. No obstante, nuestro producto requiere mucho menos hardware que los productos SIEM tradicionales de nivel empresarial. Costos del soporte Nuestros costos de soporte son inferiores porque nuestros precios son mucho menores (por lo general, 10-20% en comparación con otros SIEM). Podemos hacerlo porque no estamos gastando un elevado presupuesto de desarrollo para respaldar grandes eventos extraordinarios empresariales. Esto implica ahorros de costos significativos que pasan directamente a nuestros clientes. Precios sencillos basados en nodos Solo paga por la cantidad de nodos que alimentan el SIEM, no por el evento ni la tasa de indización. Esto significa que a menos que decida ampliar la implementación a un cantidad mucho mayor de sistemas, no incurre en costos de licencias adicionales. Todo en uno SolarWinds Log & Event Manager va más allá del SIEM tradicional. Ofrecemos amplia reparación, bloqueo USB y auditoría de bases de datos. Almacenamiento SolarWinds Log & Event Manager minimiza los costos generales del almacenamiento mediante un enfoque directo e inteligente para brindar una mejor seguridad y una alta tasade compresión. Resumen Las organizaciones de todos los tamaños pueden obtener los beneficios de SIEM, pero solo seleccionando el enfoque y el producto que mejor satisfaga sus necesidades. Obtenga más información sobre SolarWinds Log & Event Manager o descargue hoy mismo. Visite http://www.solarwinds.com/es/log-event-manager.aspx. 4