Un Security Event Manager (SEM) es un programa de software que se utiliza para analizar registros de eventos en una red informática con el fin de encontrar acciones que puedan presentar un riesgo de seguridad. Estas acciones se separan de otros eventos y luego se ponen a disposición de los profesionales de seguridad para que actúen de manera adecuada. El uso de este tipo de software permite a los profesionales de tecnología de la información (TI) identificar y actuar más rápidamente ante las amenazas potenciales a una red. Hay varios programas diferentes que se han desarrollado como administrador de eventos de seguridad, aunque la mayoría de ellos funcionan de manera bastante similar.
A veces denominados información de seguridad o administrador de eventos e información de seguridad, estos programas suelen ser sistemas automatizados que se pueden utilizar de diversas formas. En general, un administrador de eventos de seguridad se instala en un sistema informático, como una red, y monitorea las actividades en ese sistema. Estos programas monitorean específicamente los registros producidos en base a eventos que ocurren durante el funcionamiento básico de la red. Un registro es un registro de actividad en un sistema, y acciones como que alguien inicie sesión en el sistema, un usuario que proporcione una contraseña incorrecta y los datos que se reciben pueden crear eventos en ese registro.
El software del administrador de eventos de seguridad monitorea los datos recopilados por estos registros y busca tipos específicos de eventos. Luego, el gerente los registra y los envía a los administradores y profesionales de tecnología de la información o seguridad de TI autorizados para acceder al sistema. Esto permite que alguien vea información sobre posibles amenazas de seguridad contra una red mucho más rápidamente, en lugar de revisar toda la información registrada en los registros de actividad. El uso de un administrador de eventos de seguridad no es estrictamente necesario para una red segura, pero ciertamente puede facilitar la detección de posibles ataques o problemas internos.
Sin embargo, una de las principales fallas de un administrador de eventos de seguridad dentro de la seguridad de la red es que solo puede detectar ataques o actividad inusual una vez que han ocurrido. Esto significa que dichos programas no suelen ser eficaces como elementos disuasorios o como formas de proteger un sistema contra un ataque. La mayoría de los profesionales de TI usan métodos como firewalls y pruebas de penetración continuas de una red para buscar debilidades que alguien pueda usar para atacar ese sistema. Esto les permite asegurarse de que la red sea segura, mientras utilizan un administrador de eventos de seguridad para buscar fallas que puedan haber pasado por alto o para encontrar posibles compromisos dentro del sistema. Sin embargo, estos programas SEM generalmente deben actualizarse regularmente, ya que los piratas informáticos pueden desarrollar nuevas formas de ataque que eviten la detección.