En el post anterior vimos los riesgos m谩s relevantes asociados al Big Data, siguiendo esa l铆nea, en este veremos cuales son los controles a realizar y las medidas de seguridad a tener en cuenta para mantener a raya esos riesgos.
Para refrescar lo que vimos en el anterior post, empezaremos listando los que son los principales riesgos a los que se enfrenta la industria del Big Data:
- Como debe ser gestionada la estrategia y los recursos entorno al Big Data
- Desarrollo e implementaci贸n en proyectos de Big Data
- Privacidad y seguridad de los datos
- Utilizaci贸n de tecnolog铆as open source y cloud
- Computaci贸n segura en marcos de programaci贸n distribuida
- Mejores pr谩cticas en base de datos no relacionales
- Registro de Transacciones y almac茅n de datos seguros
- Monitoreo de la seguridad en tiempo real
- Control de acceso criptogr谩fico
Para poder alcanzar las necesidades de los objetivos de negocio, es necesario atacar estos riesgos y mejorar la habilidad con la que se hace uso del Big Data. Con intenci贸n de mejorar esto, ISACA estableci贸 los ocho pasos o controles que describiremos a continuaci贸n.
- Establecer prioridades con los datos: todos los datos no tienen la misma importancia dentro de un negocio, por lo que es imprescindible detectar cuales son los procesos cr铆ticos y asegurarse de que estos tienen preferencia.
- Entender qu茅 sucede con los datos: es fundamental monitorear todos los datos de la compa帽铆a, para analizar y tomar decisiones basadas en los resultados.
- Los datos son preciados, deber铆an ser asegurados de esa forma: se debe tener un apropiado conocimiento de la performance de los procesos de manejo de datos.
- Proveer gu铆as claras de seguridad: se deben considerar todas las fuentes de informaci贸n de las que se est谩n obteniendo los an谩lisis y evaluar las vulnerabilidades de cada una.
- Asegurar futuros sistemas de prueba: las compa帽铆as deber铆an invertir en herramientas que ayuden a asegurar que sus datos sean acertados, actualizados y limpios a medida que el Big Data crece.
- Tomar la nube en consideraci贸n: Los controles apropiados deben ser puestos en su lugar para confiar en el proveedor de servicios en la nube con los datos sensibles.
- Encontrar un director de datos.
- Finalmente, asegurar conformidad con las relevantes regulaciones y leyes actuales: Controles de seguridad l贸gicos y f铆sicos de acceso son necesarios para prevenir acceso sin autorizaci贸n a los datos sensibles y valiosos. Es importante, mantenerse informado acerca de propuestas legislativas y usar la oportunidad de emplear las mejores pr谩cticas en cuanto al ciclo de vida de los datos.
Haciendo 茅nfasis en este 煤ltimo consejo de ISACA, veremos las cl谩usulas recogidas de la ISO 27002 relacionadas con el Big data en lo referente a la seguridad f铆sica y l贸gica.

Seguridad f铆sica
Cl谩usula | Descripci贸n |
11.1.1 Per铆metro de seguridad f铆sica | Se deben definir per铆metros de seguridad que sean usados para proteger las 谩reas que contengan tanto informaci贸n cr铆tica como sensible, as铆 como las instalaciones donde se procesa. |
11.1.2 Controles F铆sicos de entrada | Se deben proteger las 谩reas que se consideren necesarias por controles apropiados de entrada que garanticen que s贸lo el personal autorizado tiene acceso. |
11.1.4 Protecci贸n contra amenazas externas y medioambientales | Se deben aplicar procedimientos contra desastres naturales o ataques intencionados como inundaciones, fuegos o explosiones. |
11.2.1 Protecci贸n y emplazamiento f铆sico del equipo | El lugar de trabajo debe reducir los riesgos provenientes de amenazas medioambientales y peligros provocados por accesos no autorizados. |
11.2.2 Utilidades de apoyo | El equipamiento debe estar protegido ante fallos el茅ctricos y otras interrupciones causadas por fallos en otros sistemas de apoyo. |
11.2.3 Seguridad en el cableado | Los cables de alimentaci贸n y telecomunicaciones que transporten datos o servicios de informaci贸n de apoyo deben estar protegidos contra toda interferencia o da帽o. |
11.2.4 Mantenimiento del equipo | El equipo debe ser correctamente mantenido de acuerdo con las recomendaciones y especificaciones del fabricante para asegurar su continuidad, disponibilidad e integridad. |
11.2.5 Eliminaci贸n de activos | El equipo, informaci贸n, o software no debe ser sacado de su emplazamiento f铆sico o l贸gico sin una autorizaci贸n previa. |
Seguridad l贸gica
6.1.5 Seguridad de la informaci贸n en la administraci贸n de proyectos | La seguridad de la informaci贸n debe abordarse en la gesti贸n del proyecto, independientemente del tipo de proyecto, y deber铆a estar integrada en los m茅todos de administraci贸n de proyectos de la organizaci贸n, para asegurar que los riesgos de la seguridad de la informaci贸n son identificados y dirigidos como parte 铆ntegra del mismo |
8.2.1 Clasificaci贸n de la informaci贸n | La informaci贸n debe ser clasificada en funci贸n de sus requisitos legales, valor, criticidad y sensibilidad. |
8.3.2 Eliminaci贸n de medios | Los dispositivos deben ser borrados de manera segura cuando ya no sean necesario usando procedimientos formales. |
9.2.5 Repaso de los derechos de acceso de los usuarios | Se debe revisar de manera frecuente el acceso de los usuarios sobre todo despu茅s de ascensos, degradaciones, despidos o cualquier otro cambio significativo. |
10.1.1 Pol铆tica en el uso de controles criptogr谩ficos | Se debe desarrollar e implementar una pol铆tica de uso de controles criptogr谩ficos para la protecci贸n de la informaci贸n. |
12.2.1 Controles contra el malware | Se deben implementar controles de detecci贸n, prevenci贸n y recuperaci贸n que garanticen la protecci贸n contra el malware, as铆 como concienciar a los trabajadores. |
12.3.1 Informaci贸n de respaldo | Se debe establecer una pol铆tica de respaldo que defina y establezca los requisitos de la empresa en cuanto a respaldo de la informaci贸n, del software y de los sistemas. |
13.1.1 Controles de Red | Las redes deben ser controladas y gestionadas para proteger la informaci贸n de los sistemas y aplicaciones. Se deben implementar controles que garanticen la seguridad de la informaci贸n en red y la protecci贸n de los servicios conectados desde accesos no autorizados. |
14.2.8 Pruebas de Seguridad del Sistema | Se deben realizar pruebas de seguridad, tanto para los sistemas nuevos como para los actualizados, durante el periodo de desarrollo. |
16.1.2 Reportar eventos de seguridad de la informaci贸n | Los eventos de seguridad de la informaci贸n deben ser comunicados por los canales administrativos apropiados tan r谩pido como sea posible. |
16.1.3 Informar sobre las debilidades en la seguridad de la informaci贸n | Los empleados y contratistas que usen los sistemas de informaci贸n de la organizaci贸n est谩n obligados a reportar cualquier debilidad detectada. |
16.1.6 Aprendiendo de los incidentes de seguridad de la informaci贸n | La informaci贸n obtenida de los an谩lisis de incidentes debe usarse para reducir el impacto de futuros sucesos |
18.1.3 Protecci贸n de archivos | Se debe tener en cuenta la forma en la que la organizaci贸n clasifica sus archivos y el per铆odo de tiempo durante el que los almacena a la hora de seleccionar el medio en el que va a guardar la informaci贸n para protegerla de accesos no autorizados o descargas ilegales. |
Ahora que ya conocemos diferentes controles que debemos llevar a cabo relacionados con el Big Data y debido a la longitud del post, lo dar茅 por acabado aqu铆, dejando como tarea para el pr贸ximo y 煤ltimo post una peque帽a reflexi贸n sobre los controles nombrados a lo largo de este documento.
Referencias
[1] 芦Seguridad y Control en Big Data禄, Academia.
https://www.academia.edu/28496329/Seguridad_y_Control_en_Big_Data
[2] 芦Auditor铆a de Proyectos Big Data, Cloud Computing y Open Data禄, Universidad Complutense de Madrid.
https://eprints.ucm.es/50039/1/TFG%20BertaMontes.pdf
[3] 芦Controles ISO 27002-2013禄, ISO 27000.
https://www.iso27000.es/assets/files/ControlesISO27002-2013.pdf
jondiezb
Latest posts by jondiezb (see all)
- 隆A comerse el mundo, que no engorda! - 5 enero, 2021
- Big Data: Conclusiones y Green tendency - 24 noviembre, 2020
- Seguridad y Controles en Big Data - 23 noviembre, 2020
Muy bien; explorar un poquito, a ver qu茅 puedes encontrar sobre ISO 27045.