{"id":31066,"date":"2025-06-19T15:37:12","date_gmt":"2025-06-19T13:37:12","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31066"},"modified":"2025-06-19T15:37:12","modified_gmt":"2025-06-19T13:37:12","slug":"open-source-siem-hidden-costs","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/open-source-siem-hidden-costs\/31066\/","title":{"rendered":"Los costes ocultos de un SIEM gratuito"},"content":{"rendered":"

Seg\u00fan el informe \u201cEstado de c\u00f3digo abierto\u201d de OpenLogic, el 96\u00a0% de las organizaciones encuestadas utilizan soluciones de c\u00f3digo abierto (OSS). Estas soluciones se pueden encontrar en todos los segmentos del mercado de TI, incluidas las herramientas de seguridad de la informaci\u00f3n. Y a menudo se recomiendan para construir sistemas SIEM.<\/p>\n

A primera vista, los OSS parecen una gran opci\u00f3n. La funci\u00f3n principal de un sistema SIEM es la recopilaci\u00f3n y correlaci\u00f3n de telemetr\u00eda sistem\u00e1tica, que puedes configurar mediante herramientas de almacenamiento y procesamiento de datos conocidas. Simplemente recopila todos tus datos con Logstash, conecta Elasticsearch<\/a>, crea las visualizaciones que necesitas en Kibana<\/a>, \u00a1y listo! Una b\u00fasqueda r\u00e1pida incluso te proporcionar\u00e1 soluciones SIEM de c\u00f3digo abierto listas para usar (a menudo creadas sobre los mismos componentes). Con los SIEM, adaptar tanto la recopilaci\u00f3n como el procesamiento de datos a las necesidades espec\u00edficas de tu organizaci\u00f3n siempre es esencial, y un sistema de OSS personalizado ofrece infinitas posibilidades para eso. Adem\u00e1s, el coste de la licencia es cero. Sin embargo, el \u00e9xito de este esfuerzo depende de tu equipo de desarrollo, las caracter\u00edsticas espec\u00edficas de tu organizaci\u00f3n, cu\u00e1nto tiempo est\u00e1 dispuesta tu organizaci\u00f3n a esperar resultados y cu\u00e1nto est\u00e1 dispuesta a invertir en soporte continuo.<\/p>\n

El tiempo es oro<\/h2>\n

Una pregunta clave, cuya importancia se subestima constantemente, es cu\u00e1nto tiempo pasar\u00e1 antes de que el SIEM de tu empresa no solo entre en funcionamiento, sino que realmente comience a ofrecer un valor congruente. Los datos<\/a> de Gartner muestran que incluso un SIEM con todas las funciones y listo para usar tarda un promedio de seis meses en implementarse por completo, y una de cada diez empresas invierte un a\u00f1o en \u00e9l. Y si est\u00e1s creando tu propio SIEM o adaptando un OSS, deber\u00edas esperar que esa l\u00ednea de tiempo se duplique o triplique. Al presupuestar, multiplica ese tiempo por las tarifas por hora de tus desarrolladores. Tambi\u00e9n es dif\u00edcil imaginar a una sola persona con talento creando un SIEM completo: tu empresa necesitar\u00e1 a todo un equipo.<\/p>\n

Un error psicol\u00f3gico com\u00fan es malinterpretar la rapidez con que se desarrolla un prototipo. Puedes implementar un OSS lista para usar en un entorno de prueba en solo unos d\u00edas, pero llevarla a la calidad de producci\u00f3n puede llevar muchos meses, incluso a\u00f1os.<\/p>\n

Escasez de profesionales<\/h2>\n

Un SIEM necesita recopilar, indexar y analizar miles de eventos por segundo. Dise\u00f1ar un sistema de alta carga, o incluso adaptar uno existente, requiere habilidades especializadas y en demanda. M\u00e1s all\u00e1 de los desarrolladores, el proyecto necesitar\u00eda administradores de TI altamente cualificados, ingenieros de DevOps, analistas e incluso dise\u00f1adores de paneles.<\/p>\n

Otro tipo de escasez que los creadores de SIEM tienen que superar es la falta de experiencia pr\u00e1ctica necesaria para redactar reglas de normalizaci\u00f3n efectivas, l\u00f3gica de correlaci\u00f3n y otro contenido listo para usar en las soluciones SIEM comerciales<\/a>. Por supuesto, incluso ese contenido listo para usar requiere ajustes importantes, pero es m\u00e1s r\u00e1pido y f\u00e1cil llevarlo a los est\u00e1ndares de tu organizaci\u00f3n.<\/p>\n

Cumplimiento<\/h2>\n

Para muchas empresas, tener un sistema SIEM es un requisito normativo. Aquellos que crean una SIEM ellos mismos o implementan una soluci\u00f3n de OSS deben hacer un esfuerzo considerable para cumplir con la norma. Necesitan adaptar las capacidades de su SIEM a los requisitos normativos por su cuenta, a diferencia de los usuarios de sistemas comerciales, que a menudo vienen con un proceso de certificaci\u00f3n integrado y todas las herramientas necesarias para el cumplimiento.<\/p>\n

A veces, es posible que la gesti\u00f3n quiera implementar una SIEM solo porque \u201chay que hacerlo\u201d, con el objetivo de minimizar el gasto. Pero dado que el PCI DSS, el RGPD y otros marcos regulatorios locales se centran en la amplitud y profundidad real de la implementaci\u00f3n de SIEM, no solo en su mera existencia, un sistema SIEM simb\u00f3lico que se implement\u00f3 solo para impresionar no aprobar\u00eda ninguna auditor\u00eda.<\/p>\n

El cumplimiento no es algo que puedas considerar solo en el momento de la implementaci\u00f3n. Si, durante el mantenimiento y la operaci\u00f3n autogestionados, cualquier componente de tu soluci\u00f3n deja de recibir actualizaciones y llega al final de su vida \u00fatil, tus posibilidades de aprobar una auditor\u00eda de seguridad se desplomar\u00edan<\/a>.<\/p>\n

Bloqueo del proveedor frente a dependencia del empleado<\/h2>\n

La segunda raz\u00f3n m\u00e1s importante para que las organizaciones consideren una soluci\u00f3n de c\u00f3digo abierto siempre ha sido la flexibilidad para adaptarla a sus necesidades espec\u00edficas, adem\u00e1s de evitar depender de la hoja de ruta del desarrollo del proveedor de software y las decisiones de licencia.<\/p>\n

Ambos son argumentos convincentes y, en las grandes organizaciones, a veces pueden pesar m\u00e1s que otros factores. Sin embargo, es crucial tomar esta decisi\u00f3n con una clara comprensi\u00f3n de sus ventajas y desventajas:<\/p>\n