El SIEM en la nube es la respuesta a ese cambio. Aplica capacidades de gestión de información y eventos de seguridad en una arquitectura nativa de la nube, lo que proporciona a las organizaciones la misma visibilidad centralizada, detección de amenazas y cobertura de cumplimiento normativo que esperarían de un SIEM tradicional, sin los costes de infraestructura, las limitaciones de hardware ni las restricciones de escalabilidad que hacían que las implementaciones tradicionales resultaran tan caras de mantener.
Según Mordor Intelligence, el SIEM basado en la nube es actualmente el segmento de más rápido crecimiento del mercado de SIEM, con una tasa de crecimiento anual compuesta (CAGR) del 12,84 %, a medida que las organizaciones abandonan las implementaciones locales, que requieren una gran inversión de capital. Ese crecimiento no se debe a que el SIEM en la nube esté de moda, sino a que resuelve problemas reales que el SIEM local nunca ha podido resolver.
Esta guía explica qué es un SIEM en la nube, en qué se diferencia del SIEM local, cuáles son las características y los modelos de implementación más importantes, y qué hay que tener en cuenta a la hora de evaluar soluciones, incluyendo cómo aborda Kaseya SIEM cada uno de esos criterios.
¿Qué es un SIEM en la nube?
Cloud SIEM es una solución de gestión de información y eventos de seguridad que se ofrece a través de una infraestructura en la nube, en lugar de implementarse de forma local. Recopila y agrega datos de registros y eventos de todo el entorno informático de una organización —incluidos terminales, dispositivos de red, plataformas en la nube, aplicaciones SaaS y sistemas de identidad—, normaliza esos datos en un formato coherente y aplica reglas de correlación y análisis de comportamiento para detectar amenazas y generar alertas en tiempo real.
El término «nube» en el SIEM en la nube hace referencia a la forma en que se ofrece y gestiona la solución. En lugar de aprovisionar servidores, gestionar la capacidad de almacenamiento y mantener el software en su propia infraestructura, el SIEM se ejecuta en una infraestructura en la nube gestionada por el proveedor. De este modo, la carga operativa que supone el mantenimiento de un SIEM pasa de su equipo al proveedor, mientras que su equipo de seguridad sigue teniendo acceso a todas las funciones de detección, investigación y cumplimiento normativo a través de una interfaz basada en navegador.
El SIEM en la nube recibe varios nombres, dependiendo de quién lo describa. Los términos «SIEM basado en la nube» y «SIEM como servicio» se utilizan indistintamente con «SIEM en la nube» en la mayoría de los contextos. «SIEM nativo de la nube» es un término más específico que hace referencia a soluciones diseñadas desde cero para funcionar en entornos de nube, a diferencia de los SIEM tradicionales, que se adaptaron posteriormente para su implementación en la nube. Esta distinción es importante a la hora de evaluar a los proveedores, ya que una arquitectura nativa de la nube suele gestionar la escalabilidad, los entornos multitenant y las integraciones basadas en API de forma más eficaz que un SIEM heredado integrado en un acuerdo de alojamiento en la nube.
Si eres totalmente nuevo en el mundo de SIEM, nuestra introducción general a SIEM te ofrece una visión completa antes de que te adentres en las consideraciones específicas del entorno en la nube que se tratan aquí.
SIEM en la nube frente a SIEM local
La comparación entre los sistemas SIEM en la nube y los locales se reduce a una cuestión de sopesar los pros y los contras en cuanto a coste, control, escalabilidad y tiempo de amortización. Ninguno de los dos modelos es mejor en todos los casos, pero la balanza se ha inclinado notablemente hacia la nube para la mayoría de las organizaciones.
| SIEM en la nube | SIEM local | |
| Infraestructura | Nube gestionada por el proveedor | Hardware y software gestionados por el cliente |
| Tiempo de implementación | De días a semanas | De semanas a meses |
| Escalabilidad | Elástico, se adapta al volumen de datos | Limitado por la capacidad del hardware |
| Coste inicial | Bajo, normalmente mediante suscripción | Elevadas inversiones de capital |
| Mantenimiento continuo | A cargo del proveedor | Se necesita un equipo interno |
| Actualizaciones y parches | Automático | Manual, a menudo con retrasos |
| Control de datos | Depende del proveedor | Control total en las propias instalaciones |
| Cumplimiento normativo en entornos regulados | Compatible; comprueba las condiciones de residencia de los datos | Más adecuado para requisitos estrictos de soberanía de datos |
| Visibilidad multinube | Integraciones sólidas y nativas con AWS, Azure y GCP | Limitado sin conectores personalizados |
A continuación, analizamos con más detalle los aspectos que hay que tener en cuenta al comparar ambos modelos:
Costes
Un sistema SIEM local requiere una importante inversión inicial. Es necesario adquirir el hardware, el almacenamiento, las licencias de software y la infraestructura necesaria para que todo funcione antes de poder analizar los datos de registro. A medida que aumentan los volúmenes de datos —algo que ocurre constantemente—, hay que añadir más hardware. Los costes se acumulan y la carga operativa que supone su gestión recae sobre tu equipo interno.
El SIEM en la nube elimina ese gasto de capital. Se paga por lo que se utiliza, normalmente por usuario o por volumen de datos, y el proveedor asume los costes de infraestructura. Para las organizaciones a las que antes les resultaba inasequible un SIEM de nivel empresarial, este es el cambio que ha hecho que la detección moderna de amenazas sea económicamente accesible.
Escalabilidad
Los sistemas SIEM tradicionales instalados en las propias instalaciones se diseñaron para entornos con volúmenes de datos predecibles y arquitecturas relativamente estables. Los entornos modernos no funcionan así. Una organización híbrida puede recibir simultáneamente eventos de seguridad procedentes de docenas de servicios en la nube, cientos de aplicaciones SaaS y miles de terminales. Cuando ocurre algo inusual, los volúmenes de eventos pueden dispararse de forma drástica. Un sistema SIEM instalado en las propias instalaciones y dimensionado para condiciones operativas normales falla precisamente durante los incidentes que se supone que debe detectar.
Las plataformas SIEM en la nube se adaptan de forma elástica, lo que permite que los recursos de almacenamiento y computación se amplíen automáticamente a medida que aumenta el volumen de eventos. El proveedor gestiona el rendimiento del sistema y la escalabilidad de la infraestructura a medida que crecen los entornos, lo que elimina la necesidad de planificar la capacidad o aprovisionar hardware adicional por adelantado.
Mantenimiento
Para gestionar eficazmente un SIEM local se necesita personal especializado. Alguien tiene que gestionar la infraestructura, aplicar las actualizaciones de software, mantener las integraciones, ajustar las reglas de correlación y supervisar el estado del sistema. Para muchas organizaciones, ese nivel de compromiso de recursos es la verdadera razón por la que su inversión en SIEM no da los resultados esperados. La herramienta existe, pero nunca está plenamente operativa porque nadie tiene tiempo para mantenerla funcionando a pleno rendimiento.
El SIEM en la nube traslada la mayor parte de esa carga de mantenimiento al proveedor. Las actualizaciones se realizan automáticamente. El proveedor se encarga del mantenimiento de las integraciones. La supervisión de la infraestructura ya no es tu problema. Tu equipo se centra en la información que te proporciona el SIEM, no en mantenerlo en funcionamiento.
Circunstancias especiales
Los sistemas SIEM locales siguen ofreciendo ventajas en determinados contextos. Las organizaciones con requisitos estrictos de soberanía de datos que prohíben que los datos de registro confidenciales salgan de su propia infraestructura pueden no tener más remedio que optar por una implementación local. Los entornos aislados (air-gapped) en los sectores de defensa o de infraestructuras críticas tienen restricciones similares. Y las organizaciones que ya han realizado grandes inversiones en infraestructura SIEM local y cuentan con el personal necesario para gestionarla adecuadamente pueden considerar que un enfoque híbrido, en el que la infraestructura local se encarga de los datos regulados y la nube se ocupa de todo lo demás, tiene más sentido que una migración completa.
Características principales del SIEM en la nube
Las soluciones SIEM en la nube comparten un conjunto común de funciones básicas, pero la calidad y el nivel de detalle de la implementación varían considerablemente de un proveedor a otro. Esto es lo que debería ofrecer un SIEM en la nube de última generación.
Ingesta y normalización de registros de fuentes en la nube y locales
Un SIEM en la nube debe poder ingestar datos de toda la gama de fuentes presentes en un entorno de TI moderno, incluyendo AWS CloudTrail, Azure Monitor, los registros de auditoría de Google Cloud, Microsoft 365, aplicaciones SaaS, dispositivos de red locales y agentes de terminales. Los conectores preconfigurados para las fuentes más habituales reducen considerablemente el tiempo de integración en comparación con la creación de conectores personalizados.
Detección de amenazas en tiempo real mediante análisis de comportamiento
La arquitectura nativa de la nube cambia el significado mismo del «tiempo real». Dado que el almacenamiento y la capacidad de cálculo se escalan de forma elástica, el SIEM en la nube puede ejecutar análisis de comportamiento y modelos de aprendizaje automático sobre el volumen total de datos procesados sin la pérdida de rendimiento que sufren los sistemas locales a medida que aumentan los volúmenes de datos. La correlación basada en reglas identifica patrones de ataque conocidos. El análisis de comportamiento identifica anomalías que no se ajustan a ninguna regla predefinida, incluidos los ataques lentos y de baja intensidad, las credenciales comprometidas y las amenazas internas, a la escala que generan los entornos modernos.
Investigación asistida por IA
Las herramientas modernas de SIEM en la nube incorporan cada vez más la IA para ayudar a los analistas a gestionar las alertas con mayor rapidez. Las consultas en lenguaje natural de los datos de seguridad, los resúmenes de alertas generados por IA y la reconstrucción automatizada de la cronología reducen el tiempo que transcurre entre la alerta y su resolución, lo que permite a los analistas detectar los activos comprometidos e identificar anomalías sin necesidad de escribir consultas manuales. Para obtener más información sobre cómo la IA está transformando la detección y la investigación en SIEM, consulta nuestra publicación sobre AI SIEM.
Reglas de respuesta automatizada
Cuando se identifica una amenaza confirmada, el SIEM debe poder actuar sin esperar a la intervención manual de un analista. Las reglas de respuesta automatizada pueden aislar un dispositivo, bloquear una cuenta, marcar una sesión que está a punto de caducar o activar un flujo de trabajo en las herramientas conectadas. La implementación en la nube permite que estas reglas se ejecuten simultáneamente en las aplicaciones en la nube y en los puntos finales con una sola acción, algo que las arquitecturas SIEM locales con conectores de nube independientes no suelen poder igualar.
Retención de registros a largo plazo con capacidad de búsqueda completa
Los SIEM locales suelen obligar a elegir entre el periodo de retención y el rendimiento de las consultas a medida que aumentan los costes de almacenamiento. Los proveedores de SIEM en la nube utilizan un almacenamiento elástico gestionado por el proveedor que se adapta automáticamente al crecimiento de los datos, lo que permite a las organizaciones aplicar políticas de retención a largo plazo sin necesidad de adquirir hardware adicional ni aceptar una disminución de la velocidad de búsqueda. Un periodo de retención con capacidad de búsqueda de 400 días o más cubre la mayoría de los marcos de cumplimiento normativo sin requerir una infraestructura de archivado independiente.
Gestión multitenant
Para las organizaciones que gestionan la seguridad en múltiples entornos —ya sean unidades de negocio, filiales o entornos de clientes—, la capacidad de visualizar y gestionar cada entorno por separado, al tiempo que se mantiene una supervisión centralizada, constituye un requisito operativo fundamental. Un SIEM en la nube diseñado para el uso multitenant facilita esta tarea. Los SIEM locales suelen gestionarlo de forma deficiente, ya que requieren instancias independientes para cada entorno y no ofrecen una visión unificada de todos ellos.
Informes de cumplimiento normativo: el almacenamiento elástico y la disponibilidad permanente de Cloud SIEM de
lo hacen especialmente adecuado para la supervisión continua y la conservación de registros a largo plazo que exigen los marcos de cumplimiento normativo. Las plantillas de informes predefinidas para HIPAA, PCI-DSS, RGPD, SOC 2 y NIST 800-53 reducen el trabajo manual necesario para cumplir los requisitos de auditoría, y la capacidad de generar informes a partir de un archivo de registros completo y con capacidad de búsqueda, sin lagunas de almacenamiento, es algo que las implementaciones locales a menudo no pueden garantizar.
Ventajas del SIEM en la nube
Los argumentos a favor del SIEM en la nube se basan en una serie de ventajas prácticas que se acumulan a lo largo de la vida útil de la implementación.
Las organizaciones que pasan de un sistema SIEM local a uno en la nube suelen señalar que obtienen resultados más rápidamente. Mientras que una implementación local puede requerir meses de trabajo de aprovisionamiento de infraestructura e integración antes de que se active la primera alerta, un SIEM en la nube suele recopilar datos y generar resultados significativos en cuestión de días. Los conectores ya están integrados. La infraestructura ya está en funcionamiento. Lo único que queda por hacer es configurar las fuentes y ajustar la lógica de detección.
La reducción del coste total de propiedad es la segunda ventaja principal. No hay que comprar hardware, ni habilitar espacio en un centro de datos, ni mantener infraestructura. Los precios predecibles de la suscripción al SIEM en la nube facilitan considerablemente la elaboración de presupuestos, en comparación con los gastos de capital variables que suponen las implementaciones locales.
El tercer aspecto es la continuidad operativa. Los proveedores de SIEM en la nube garantizan el tiempo de actividad, aplican parches de seguridad y gestionan el estado de la infraestructura como parte del servicio. La arquitectura en la nube evita situaciones en las que un SIEM local deje de funcionar durante un incidente de seguridad porque un servidor necesita mantenimiento.
La visibilidad de entornos híbridos y multinube es una ventaja que cada vez resulta más difícil de conseguir por otros medios. Las integraciones nativas con AWS, Azure y Google Cloud proporcionan al SIEM en la nube acceso directo a la telemetría que generan esos entornos, sin la latencia ni la complejidad que supone el enrutamiento de los registros de la nube a través de un agregador local.
Por último, el paso de los gastos de capital a los gastos operativos reporta ventajas organizativas que van más allá del ámbito de las tecnologías de la información. Los presupuestos de seguridad, que antes estaban sujetos a ciclos plurianuales de amortización del hardware, ganan en flexibilidad. Los recursos que antes se dedicaban al mantenimiento de la infraestructura pueden centrarse ahora en las operaciones de seguridad.
Modelos de implementación de SIEM en la nube
No todas las soluciones SIEM en la nube tienen la misma estructura. Existen tres modelos de implementación distintos, cada uno con diferentes ventajas e inconvenientes en cuanto a costes, control y responsabilidad del proveedor.
Alojado en la nube (gestionado en entorno de un solo cliente)
El proveedor de SIEM aloja la solución en la nube en una infraestructura dedicada a un único cliente. El proveedor se encarga de la gestión del hardware y el software. El cliente se beneficia de una menor responsabilidad en materia de infraestructura en comparación con las soluciones locales, pero mantiene un mayor aislamiento de los datos que en un entorno compartido. Este modelo suele ser más costoso que el SaaS totalmente multitenant, pero puede ser necesario para aquellas organizaciones con requisitos de residencia de datos que prohíben el uso de una infraestructura compartida.
SaaS nativo de la nube (multiinquilino)
El modelo completo de software como servicio. El proveedor gestiona todo el hardware, el software y la infraestructura a través de una arquitectura de inquilinos compartidos, en la que los datos de cada cliente están aislados, pero los recursos de backend se agrupan. Este modelo ofrece el menor coste, la mayor escalabilidad y la implementación más rápida. Los proveedores pueden actualizar y mejorar el producto para todos los clientes simultáneamente, sin necesidad de ciclos de actualización individuales para cada cliente. Este es el modelo que hace que el SIEM en la nube sea económicamente accesible para las pequeñas y medianas empresas.
Híbrido
La infraestructura local gestiona los datos que no pueden salir del entorno del cliente debido a requisitos de soberanía o normativos, mientras que la infraestructura en la nube se encarga de todo lo demás. Los análisis y la correlación se realizan en la nube sobre el conjunto de datos agregado. Este modelo es habitual en sectores muy regulados y en entornos gubernamentales, donde algunos datos deben permanecer bajo el control directo del cliente.
Para la mayoría de los proveedores de servicios gestionados (MSP), equipos de TI y empresas del mercado medio que no se enfrentan a restricciones estrictas en materia de soberanía de datos, el modelo SaaS nativo de la nube ofrece la mejor combinación de coste, funcionalidad y simplicidad operativa.
Casos de uso de SIEM en la nube
El SIEM en la nube es adecuado para una amplia variedad de casos de uso en materia de seguridad, muchos de los cuales resultan difíciles o imposibles de abordar de manera eficaz con implementaciones locales.
Supervisión de la seguridad híbrida y multinube
Una organización que ejecute cargas de trabajo en AWS, Azure y un centro de datos local necesita una capa de seguridad que abarque los tres entornos simultáneamente. Un sistema SIEM en la nube con integraciones nativas entre los distintos proveedores de nube ofrece esa visión unificada sin necesidad de una capa de agregación independiente para cada entorno.
Seguridad de aplicaciones SaaS
Microsoft 365, Salesforce, Slack y otras aplicaciones SaaS generan eventos relevantes para la seguridad —autenticación, acceso a archivos, cambios en los permisos y exportaciones de datos— que las herramientas locales a menudo no pueden procesar. Un SIEM en la nube con conectores SaaS integra esa telemetría en el motor de correlación junto con los datos de red y de los puntos finales, lo que proporciona a los equipos de seguridad visibilidad sobre la capa de aplicaciones, donde cada vez más operan los atacantes.
Implementación rápida para empresas en expansión
Las empresas que crecen rápidamente no tienen tiempo para proyectos de implementación de SIEM que duran meses. El SIEM en la nube puede estar operativo en cuestión de días, recopilando datos de fuentes existentes a través de conectores preconfigurados sin necesidad de adquirir infraestructura ni realizar configuraciones de red complejas.
Prestación de servicios de seguridad como servicio
Para las organizaciones que prestan servicios de seguridad a terceros, incluidos los equipos de TI responsables de varias unidades de negocio y los MSP que gestionan entornos de clientes, un SIEM en la nube con arquitectura multitenant permite gestionar de forma práctica una única instancia de SIEM que abarca todos los entornos, con visibilidad e informes independientes para cada uno de ellos. La alternativa, un SIEM local independiente para cada entorno, resulta insostenible desde el punto de vista operativo y financiero a gran escala.
Cumplimiento normativo en infraestructuras distribuidas y multinube
Los sistemas SIEM locales tienen dificultades para generar un registro de cumplimiento completo cuando la infraestructura se encuentra repartida entre múltiples ubicaciones, proveedores de nube y segmentos de red, ya que los registros deben pasar por el agregador local antes de poder ser analizados, lo que genera latencia y posibles lagunas. El SIEM en la nube ingiere datos directamente desde fuentes distribuidas a través de la API, generando un registro de logs continuo e ininterrumpido independientemente del origen de los datos subyacentes. En combinación con un almacenamiento elástico que nunca obliga a elegir entre el periodo de retención y el coste, esto hace que el SIEM en la nube sea especialmente adecuado para organizaciones con arquitecturas complejas y multientorno que necesitan cumplir con HIPAA, PCI-DSS, el RGPD o SOC 2 en todas ellas simultáneamente.
Qué hay que tener en cuenta al elegir un SIEM en la nube
Para evaluar las soluciones SIEM en la nube, es necesario ir más allá de la simple lista de características estándar. Las capacidades pueden parecer similares entre los distintos proveedores. Las diferencias que realmente importan en la práctica residen en la profundidad de la implementación, la calidad de la detección y cómo se adapta el modelo operativo a su equipo.
Amplitud y calidad de los conectores
¿Cuántas integraciones nativas incluye la solución y cuál es su nivel de profundidad? Un proveedor con 60 conectores nativos que generan datos limpios y normalizados resulta más útil que uno con 200 integraciones superficiales que requieren un trabajo de personalización exhaustivo. Pregunte específicamente por las plataformas en la nube, las aplicaciones SaaS y las herramientas de puntos finales de su entorno actual. Obtenga más información sobre la importancia de las integraciones SIEM.
Transparencia del modelo de precios
Los modelos de precios de los SIEM en la nube varían considerablemente. Los precios basados en la ingesta penalizan a las organizaciones a medida que sus entornos crecen y aumentan los volúmenes de datos, lo que puede hacer que los costes sean impredecibles. Los precios basados en el número de usuarios ofrecen costes más predecibles y no disuaden a las organizaciones de ingestar los datos que necesitan. Es importante comprender el modelo de precios antes de comprometerse con un proveedor.
Calidad en la detección, no solo número de reglas
Pregunte cómo se mantienen y actualizan las reglas de correlación. Un SIEM en la nube con una amplia biblioteca de reglas obsoletas ofrece menos protección que uno con un conjunto más reducido pero que se mantiene de forma activa. Pregunte con qué rapidez se añaden nuevas reglas en respuesta a las amenazas emergentes y si las fuentes de inteligencia sobre amenazas se incorporan automáticamente.
Retención de registros y rendimiento de las búsquedas
Compruebe el periodo de retención y asegúrese de que los registros históricos sigan siendo totalmente consultables. Algunos proveedores almacenan los registros a largo plazo en un sistema de almacenamiento en frío cuya consulta puede llevar horas, lo que hace que la investigación forense resulte inviable. Un periodo de retención con capacidad de búsqueda de 400 días o más es el mínimo necesario para cumplir con la mayoría de los marcos de cumplimiento sin comprometer la capacidad de investigación.
Residencia de los datos y cumplimiento normativo
Los proveedores de SIEM en la nube almacenan los datos de registro en su propia infraestructura, lo que significa que la ubicación de dichos datos es relevante a efectos de cumplimiento normativo. El RGPD impone restricciones a la transferencia de datos personales fuera de la UE. La HIPAA y el FedRAMP establecen sus propios requisitos en el contexto estadounidense. Antes de comprometerse con una implementación, compruebe que el proveedor elegido ofrezca opciones de almacenamiento de datos regionales que se ajusten a los marcos normativos pertinentes. Se trata de una consideración específica de la nube que no se plantea con los sistemas SIEM locales.
gestionado frente a autónomo: un SIEM en la nube autónomo sigue requiriendo personal de análisis para investigar alertas, ajustar reglas y gestionar integraciones. Un SIEM en la nube cogestionado o totalmente gestionado complementa esto con el soporte del centro de operaciones de seguridad (SOC) proporcionado por el proveedor. Para los equipos con personal de seguridad limitado, el modelo gestionado cambia significativamente lo que es viable desde el punto de vista operativo. Para obtener más información sobre el modelo de servicio gestionado, consulta nuestra guía sobre SIEM gestionado.
Kaseya SIEM: Nativo de la nube, diseñado para equipos reducidos
El SIEM en la nube no es un producto concreto. Se trata de un modelo de prestación de servicios que abarca desde el registro básico alojado en la nube hasta operaciones de seguridad totalmente gestionadas y potenciadas por la inteligencia artificial. La solución adecuada es aquella que se adapta a la complejidad de su entorno, a la capacidad de su equipo y a los requisitos de cumplimiento normativo que debe cumplir.
Kaseya SIEM es una solución SIEM nativa en la nube y de gestión compartida, diseñada específicamente para proveedores de servicios de gestión (MSP) y equipos de TI que necesitan una detección de nivel empresarial sin las exigencias de personal e infraestructura que requieren las implementaciones tradicionales de SIEM. Correlaciona los datos sobre amenazas a través de más de 60 conectores nativos que abarcan terminales, aplicaciones en la nube, redes, proveedores de identidad y correo electrónico, con una retención de registros consultables de 400 días que cumple los requisitos de auditoría sin límites de caducidad.
Las reglas de respuesta automatizada gestionan simultáneamente las medidas de contención tanto en la nube como en los terminales, bloqueando cuentas, aislando dispositivos y señalando las sesiones que están a punto de caducar sin necesidad de intervención manual. La investigación basada en inteligencia artificial permite a los analistas consultar los datos de seguridad en lenguaje natural, detectar activos comprometidos e identificar anomalías sin necesidad de escribir consultas manuales. Además, los propios analistas de Kaseya supervisan, clasifican y responden a las amenazas las 24 horas del día, los 7 días de la semana, con el respaldo de la misma inteligencia artificial que reduce el ruido y acelera la respuesta.
Para los equipos que están evaluando opciones de SIEM en la nube, la pregunta que hay que plantearse no es solo qué solución cuenta con más funciones. Se trata de saber qué solución su equipo puede realmente utilizar a pleno rendimiento desde el primer día y qué proveedor asume la responsabilidad compartida de los resultados.
