Evento de seguridad

A el evento de seguridad es un cambio en las operaciones diarias de una red o un servicio de tecnología de la información que indique que se puede haber violado una política de seguridad o que puede haber fallado una protección de seguridad. En un contexto informático, los eventos incluyen cualquier suceso identificable que tenga importancia para el hardware o software del sistema. Los eventos de seguridad son aquellos que pueden tener importancia para la seguridad de los sistemas o los datos.

La primera indicación de un evento puede provenir de una alerta definida por software o de que los usuarios finales notifiquen a la mesa de ayuda que, por ejemplo, los servicios de red se han ralentizado. Como regla general, un evento es una ocurrencia o situación relativamente menor que se puede resolver con bastante facilidad y los eventos que requieren que un administrador de TI tome medidas se clasifican como incidentes. Un ticket de la mesa de ayuda de un solo usuario que informa que cree que ha contraído un virus es un evento de seguridad, porque podría indicar un problema de seguridad. Sin embargo, si se encuentra evidencia del virus en la computadora del usuario, se puede considerar un incidente de seguridad. 

Según un informe del proveedor de detección de amenazas Damballa, las organizaciones encuestadas tenían un promedio de 10,000 eventos de seguridad al día. Los productos de seguridad, como el software antivirus, pueden reducir la cantidad de eventos de seguridad y muchos procesos de respuesta a incidentes se pueden automatizar para hacer que la carga de trabajo sea más manejable. Los eventos que no requieren la acción de un administrador pueden ser manejados automáticamente por productos de administración de eventos e información de seguridad (SIEM).