Security Information and Event Management (SIEM): definición
Security Information and Event Management, abreviado como SIEM, es una categoría de sistemas diseñada para la recopilación centralizada, la normalización, la correlación y el análisis de eventos de seguridad procedentes de múltiples fuentes informáticas. El concepto combina dos áreas anteriores: SIM (Security Information Management), es decir, el almacenamiento y la generación de informes de logs, y SEM (Security Event Management), es decir, el análisis de eventos y la respuesta operativa. Esta división fue ampliamente descrita por Gartner a mediados de los años 2000 y sigue utilizándose como punto de referencia en la arquitectura de los SOC y en los sistemas de cumplimiento normativo.
En la práctica, un sistema SIEM recibe logs, eventos y alertas de servidores, estaciones de trabajo, aplicaciones, firewalls, sistemas IAM, EDR, bases de datos y servicios en la nube, y a partir de ellos construye una visión unificada del incidente. En el contexto de la anonimización de fotos y vídeos, SIEM no se utiliza para difuminar rostros ni matrículas. Su función consiste en supervisar la seguridad del proceso de tratamiento de materiales, controlar el acceso a los archivos, detectar usos indebidos y documentar eventos relevantes para el cumplimiento del RGPD y del principio de responsabilidad proactiva del artículo 5, apartado 2, del RGPD.
Desde la perspectiva del Delegado de Protección de Datos, es importante distinguir lo siguiente: SIEM opera sobre metadatos y logs de seguridad, mientras que el difuminado de rostros y matrículas lo realiza un software independiente de anonimización de imágenes, como Gallio PRO. Gallio PRO procesa fotos y vídeos en modo por lotes o por tareas, detectando y difuminando automáticamente rostros y matrículas. No realiza anonimización de vídeo en streaming ni anonimización en tiempo real. Además, no almacena logs que contengan datos de detección de rostros y matrículas, ni logs que incluyan datos personales o categorías especiales de datos personales.
El papel de SIEM en la seguridad de la anonimización de fotos y vídeos
En un entorno de tratamiento de material visual, SIEM tiene principalmente una función de control y de evidencia. Ayuda a responder preguntas como: quién accedió a un archivo, cuándo se ejecutó una tarea de anonimización, si una exportación se realizó conforme a los permisos y si se produjo una copia no autorizada de los datos de origen.
En este modelo, SIEM respalda varias áreas operativas críticas:
- monitorización del acceso a carpetas con material original y anonimizado,
- correlación de eventos de inicio de sesión, escalado de privilegios y exportación de archivos,
- detección de patrones de uso inusuales, por ejemplo, la descarga masiva de grabaciones,
- generación de informes de eventos para auditorías de seguridad y controles de cumplimiento,
- retención de logs de acuerdo con la política de la organización y los requisitos de investigación.
Conviene subrayar una limitación funcional. SIEM no evalúa la calidad de la anonimización de imágenes, no mide la eficacia de la detección de rostros y no sustituye la validación técnica o funcional del proceso de difuminado. Estas tareas siguen siendo responsabilidad del sistema de procesamiento de imágenes y de los procedimientos del operador.
Cómo funciona SIEM en la práctica
La arquitectura SIEM suele basarse en varias etapas de tratamiento de datos. Cada una de ellas es importante para la fiabilidad del análisis posterior de incidentes relacionados con material fotográfico y de vídeo.
El flujo típico incluye:
- ingestión: recopilación de logs desde agentes, syslog, API o colectores,
- parsing y normalización: conversión de distintos formatos a un modelo de datos común,
- enriquecimiento: incorporación de contexto, por ejemplo, información sobre el usuario, la dirección IP, la ubicación del host o la clasificación del activo,
- correlación: unión de múltiples eventos en un escenario de seguridad,
- alerting: generación de alertas basadas en reglas o modelos analíticos,
- retención y generación de informes: conservación de datos para auditoría, investigación y cumplimiento normativo.
En un entorno on-premise, habitual en el tratamiento de grabaciones sensibles, SIEM puede funcionar localmente y analizar eventos de servidores de archivos, controladores de dominio, sistemas de backup y aplicaciones de anonimización. Este modelo limita la exposición de datos fuera de la organización y se ajusta a la práctica frecuente de minimizar la transferencia de material visual.
Parámetros y métricas clave de SIEM
La evaluación de un sistema SIEM requiere parámetros medibles. A diferencia de los modelos de IA para la detección de rostros, donde se analizan métricas como precision o recall, en SIEM tienen más relevancia el rendimiento del procesamiento de eventos, la latencia del análisis y la calidad de la detección de incidentes.
Parámetro | Importancia práctica | Unidad típica
|
|---|---|---|
EPS - Events Per Second | Número de eventos procesados por segundo | eventos/s |
Latency | Tiempo desde la aparición del log hasta la correlación o la alerta | ms, s, min |
MTTD | Tiempo medio de detección de un incidente | min, h |
MTTR | Tiempo medio de respuesta o de remediación de un incidente | min, h, días |
False Positive Rate | Porcentaje de alertas operativamente erróneas | % |
Retención de logs | Periodo de disponibilidad de los datos para auditoría e investigación | días, meses, años |
En entornos relacionados con la protección de datos también son importantes la integridad de los logs, la sincronización temporal y la posibilidad de demostrar la cadena de custodia. En la práctica se utilizan firmas, sumas de verificación, WORM o repositorios con capacidad de modificación restringida.
SIEM, RGPD, registro de logs y minimización de datos
El uso de SIEM en entornos de anonimización de imágenes requiere precaución, ya que los propios logs pueden convertirse en un soporte de datos personales. Las direcciones IP, los identificadores de usuario, los nombres de archivo o las rutas de recursos pueden permitir la identificación de una persona física o revelar el contexto del tratamiento.
Por este motivo, las buenas prácticas incluyen:
- minimizar el alcance de los atributos registrados en los logs,
- definir la finalidad y la base jurídica del tratamiento de los logs de seguridad,
- limitar la retención al periodo justificado por el riesgo y las obligaciones probatorias,
- controlar el acceso a la consola SIEM y a los datos de origen,
- aplicar seudonimización o enmascaramiento parcial de campos cuando no sean operativamente necesarios.
En el contexto de Gallio PRO, es importante destacar que el sistema no almacena logs con datos de detección de rostros y matrículas. Esto reduce el riesgo de tratamiento secundario de datos biométricos o de información sobre objetos concretos detectados en la imagen. Así, SIEM puede supervisar las operaciones del sistema y la seguridad del acceso, pero sin asumir datos de detección relativos a las personas visibles en fotos y grabaciones.
Retos y limitaciones de SIEM en entornos foto y vídeo
El mayor problema no suele ser la falta de logs, sino su exceso y su falta de coherencia. Los entornos que procesan vídeo generan grandes volúmenes de eventos procedentes de cabinas de almacenamiento, servidores GPU, almacenamiento masivo y aplicaciones de negocio. Sin una normalización adecuada, esto conduce a ruido analítico.
Entre las principales limitaciones se encuentran:
- el alto coste de retención e indexación de grandes volúmenes de eventos,
- el riesgo de registrar en exceso metadatos relacionados con el material original,
- la necesidad de ajustar continuamente las reglas de correlación,
- la dependencia de la calidad de la detección respecto de la calidad de las fuentes de logs,
- la imposibilidad de evaluar directamente si los rostros y las matrículas se han difuminado correctamente.
Por ello, SIEM debe entenderse como una capa de supervisión, y no como un mecanismo de anonimización. Un proceso seguro requiere la combinación de varios elementos: políticas de acceso, un sistema de anonimización de imágenes, control de calidad de los resultados y registro exclusivo de aquellos eventos necesarios para detectar incidentes.
Referencias normativas y fuentes sobre SIEM
El concepto SIEM no corresponde a un único estándar técnico descrito en una sola norma. Sus funciones y aplicaciones derivan de un conjunto de estándares de seguridad, prácticas operativas y requisitos legales. En entornos de tratamiento de fotos y grabaciones, conviene remitirse a los siguientes documentos.
- Reglamento (UE) 2016/679 - RGPD, en particular el artículo 5, apartado 1, letras c y f; el artículo 5, apartado 2; el artículo 24; el artículo 25 y el artículo 32.
- ISO/IEC 27001:2022 - requisitos para un sistema de gestión de la seguridad de la información.
- ISO/IEC 27002:2022 - controles de seguridad, incluidos el registro de logs, la monitorización y el control de acceso.
- NIST SP 800-61 Rev. 2 - Computer Security Incident Handling Guide, 2012.
- NIST SP 800-92 - Guide to Computer Security Log Management, 2006.
- ENISA - publicaciones y buenas prácticas en materia de registro de logs, monitorización de seguridad y detección de incidentes en organizaciones de la UE.
En la práctica de auditoría, estos documentos se utilizan de forma conjunta. El RGPD establece los principios de licitud, minimización y responsabilidad proactiva. Las normas ISO y las publicaciones del NIST precisan cómo llevar a cabo el registro de logs, la monitorización y la respuesta a incidentes de manera coherente y controlable.