Después de tantos años trabajando en proyectos de SIEM, en A3Sec hemos identificado cuatro inquietudes clave que nuestros clientes con frecuencia desean resolver, para tomar la mejor decisión frente a la adquisición de un sistema SIEM para sus organizaciones: problemática, solución, riesgos del proyecto y costos.
Aunque los riesgos de implementación de un proyecto dependen mucho de las características propias de la organización, los costos sí pueden ser relativamente similares.
Costos de un SIEM: aspectos claves
Para tener claridad y poder comparar diferentes propuestas de SIEM, voy a enumerar una serie de elementos que se deben tener en cuenta para comprender el costo total de esta solución.
Arquitectura: este aspecto es importante dimensionarlo en tres elementos clave. El primero es el licenciamiento de la solución, la cual se sintetiza en eventos por segundo y número de usuarios.
Para definir los eventos por segundo o cantidad de datos procesados o indexados, es necesario identificar todas las fuentes de información que serán integradas en el sistema SIEM. Existen herramientas que ayudan a definirlo dependiendo del tipo de fuente. Mediante cálculos de tamaños promedio de los logs y de otras variables se puede llegar a la cantidad exacta.
El segundo elemento depende de los centros de procesamiento de datos. Es importante tener claro cómo recolectamos la información desde la fuente, ubicación geográfica de los centros de datos, infraestructura en la nube, servicios externos y plataformas particulares (iSeries y Switch Transaccional, entre otros).
Y, por último, el tercer punto clave se refiere a que muchos fabricantes tienen una propuesta de valor orientada al hardware, equipos para ser utilizados en las instalaciones del cliente.
Algunos cuentan con una imagen virtual para ser implementada y otras organizaciones inician una solución nativa en la nube, de fácil despliegue y escalabilidad para la empresa.
Costos de Software y Hardware: al tener clara la arquitectura nos enfrentamos a varios elementos en el establecimiento del costeo, por ejemplo, costos de licencias de uso, hardware, mantenimiento y soporte.
Aunque las licencias de SIEM se han comercializado como CapEx (licencia perpetua), la mayoría ha migrado de modelo optando por una suscripción con OpEx.
El modelo de licenciamiento no es simple en muchos proveedores, tiene un servicio base y muchas funcionalidades se activan aumentando el costo del licenciamiento.
Por último, se deben tener en cuenta elementos adicionales que pueden requerir la inclusión de una pieza de software de terceros, por ejemplo, agentes para extraer información de sistemas como iSeries y Switches Transaccionales, entre otros.
Con respecto al hardware en la arquitectura de la solución SIEM, la mayoría de las propuestas de los fabricantes se soporta en tres componentes: Sonda (Colector de logs), Logger (Repositorio de logs) e Inteligencia (Explotación de logs).
Cada uno de estos componentes puede ser físico, virtual o nativo en la nube. Al instalarlo internamente en la organización, este costo se convierte en CapEx, mientras que el modelo OpEx se aplica cuando identificamos soluciones que se prestan como un servicio.
Al adquirir la solución con el modelo CapEx se deben incluir los costos del espacio en el centro de datos y los servicios para mantener operando la infraestructura en nuestras instalaciones.
Por último, los servicios profesionales hacen referencia a la instalación y configuración, soporte y mantenimiento ante posibles fallas, desarrollos propios, configuración de nuevas integraciones o modelos de detección, administración de la herramienta, monitoreo, threathunting y respuesta.
¿Quisieras conocer el costo aproximado en la implementación de un sistema SIEM, según la compañía y sus necesidades? Agenda con una cita con nuestros expertos.