1

Seguridad y Controles en Big Data

En el post anterior vimos los riesgos más relevantes asociados al Big Data, siguiendo esa línea, en este veremos cuales son los controles a realizar y las medidas de seguridad a tener en cuenta para mantener a raya esos riesgos.

Para refrescar lo que vimos en el anterior post, empezaremos listando los que son los principales riesgos a los que se enfrenta la industria del Big Data:

  • Como debe ser gestionada la estrategia y los recursos entorno al Big Data
  • Desarrollo e implementación en proyectos de Big Data
  • Privacidad y seguridad de los datos
  • Utilización de tecnologías open source y cloud
  • Computación segura en marcos de programación distribuida
  • Mejores prácticas en base de datos no relacionales
  • Registro de Transacciones y almacén de datos seguros
  • Monitoreo de la seguridad en tiempo real
  • Control de acceso criptográfico

Para poder alcanzar las necesidades de los objetivos de negocio, es necesario atacar estos riesgos y mejorar la habilidad con la que se hace uso del Big Data. Con intención de mejorar esto, ISACA estableció los ocho pasos o controles que describiremos a continuación.

  • Establecer prioridades con los datos: todos los datos no tienen la misma importancia dentro de un negocio, por lo que es imprescindible detectar cuales son los procesos críticos y asegurarse de que estos tienen preferencia.
  • Entender qué sucede con los datos: es fundamental monitorear todos los datos de la compañía, para analizar y tomar decisiones basadas en los resultados.
  • Los datos son preciados, deberían ser asegurados de esa forma: se debe tener un apropiado conocimiento de la performance de los procesos de manejo de datos.
  • Proveer guías claras de seguridad: se deben considerar todas las fuentes de información de las que se están obteniendo los análisis y evaluar las vulnerabilidades de cada una.
  • Asegurar futuros sistemas de prueba: las compañías deberían invertir en herramientas que ayuden a asegurar que sus datos sean acertados, actualizados y limpios a medida que el Big Data crece.
  • Tomar la nube en consideración: Los controles apropiados deben ser puestos en su lugar para confiar en el proveedor de servicios en la nube con los datos sensibles.
  • Encontrar un director de datos.
  • Finalmente, asegurar conformidad con las relevantes regulaciones y leyes actuales: Controles de seguridad lógicos y físicos de acceso son necesarios para prevenir acceso sin autorización a los datos sensibles y valiosos. Es importante, mantenerse informado acerca de propuestas legislativas y usar la oportunidad de emplear las mejores prácticas en cuanto al ciclo de vida de los datos.

Haciendo énfasis en este último consejo de ISACA, veremos las cláusulas recogidas de la ISO 27002 relacionadas con el Big data en lo referente a la seguridad física y lógica.

Controles ISO 27002-2013 [3]

Seguridad física

Cláusula Descripción
11.1.1 Perímetro de seguridad física Se deben definir perímetros de seguridad que sean usados para proteger las áreas que contengan tanto información crítica como sensible, así como las instalaciones donde se procesa.
11.1.2 Controles Físicos de entrada Se deben proteger las áreas que se consideren necesarias por controles apropiados de entrada que garanticen que sólo el personal autorizado tiene acceso.
11.1.4 Protección contra amenazas externas y medioambientales Se deben aplicar procedimientos contra desastres naturales o ataques intencionados como inundaciones, fuegos o explosiones.
11.2.1 Protección y emplazamiento físico del equipo El lugar de trabajo debe reducir los riesgos provenientes de amenazas medioambientales y peligros provocados por accesos no autorizados.
11.2.2 Utilidades de apoyo El equipamiento debe estar protegido ante fallos eléctricos y otras interrupciones causadas por fallos en otros sistemas de apoyo.
11.2.3 Seguridad en el cableado Los cables de alimentación y telecomunicaciones que transporten datos o servicios de información de apoyo deben estar protegidos contra toda interferencia o daño.
11.2.4 Mantenimiento del equipo El equipo debe ser correctamente mantenido de acuerdo con las recomendaciones y especificaciones del fabricante para asegurar su continuidad, disponibilidad e integridad.
11.2.5 Eliminación de activos El equipo, información, o software no debe ser sacado de su emplazamiento físico o lógico sin una autorización previa.

Seguridad lógica

6.1.5 Seguridad de la información en la administración de proyectos La seguridad de la información debe abordarse en la gestión del proyecto, independientemente del tipo de proyecto, y debería estar integrada en los métodos de administración de proyectos de la organización, para asegurar que los riesgos de la seguridad de la información son identificados y dirigidos como parte íntegra del mismo
8.2.1 Clasificación de la información La información debe ser clasificada en función de sus requisitos legales, valor, criticidad y sensibilidad.
8.3.2 Eliminación de medios Los dispositivos deben ser borrados de manera segura cuando ya no sean necesario usando procedimientos formales.
9.2.5 Repaso de los derechos de acceso de los usuarios Se debe revisar de manera frecuente el acceso de los usuarios sobre todo después de ascensos, degradaciones, despidos o cualquier otro cambio significativo.
10.1.1 Política en el uso de controles criptográficos Se debe desarrollar e implementar una política de uso de controles criptográficos para la protección de la información.
12.2.1 Controles contra el malware Se deben implementar controles de detección, prevención y recuperación que garanticen la protección contra el malware, así como concienciar a los trabajadores.
12.3.1 Información de respaldo Se debe establecer una política de respaldo que defina y establezca los requisitos de la empresa en cuanto a respaldo de la información, del software y de los sistemas.
13.1.1 Controles de Red Las redes deben ser controladas y gestionadas para proteger la información de los sistemas y aplicaciones. Se deben implementar controles que garanticen la seguridad de la información en red y la protección de los servicios conectados desde accesos no autorizados.
14.2.8 Pruebas de Seguridad del Sistema Se deben realizar pruebas de seguridad, tanto para los sistemas nuevos como para los actualizados, durante el periodo de desarrollo.
16.1.2 Reportar eventos de seguridad de la información Los eventos de seguridad de la información deben ser comunicados por los canales administrativos apropiados tan rápido como sea posible.
16.1.3 Informar sobre las debilidades en la seguridad de la información Los empleados y contratistas que usen los sistemas de información de la organización están obligados a reportar cualquier debilidad detectada.
16.1.6 Aprendiendo de los incidentes de seguridad de la información La información obtenida de los análisis de incidentes debe usarse para reducir el impacto de futuros sucesos
18.1.3 Protección de archivos Se debe tener en cuenta la forma en la que la organización clasifica sus archivos y el período de tiempo durante el que los almacena a la hora de seleccionar el medio en el que va a guardar la información para protegerla de accesos no autorizados o descargas ilegales.

Ahora que ya conocemos diferentes controles que debemos llevar a cabo relacionados con el Big Data y debido a la longitud del post, lo daré por acabado aquí, dejando como tarea para el próximo y último post una pequeña reflexión sobre los controles nombrados a lo largo de este documento.

Referencias

[1] «Seguridad y Control en Big Data», Academia.
https://www.academia.edu/28496329/Seguridad_y_Control_en_Big_Data

[2] «Auditoría de Proyectos Big Data, Cloud Computing y Open Data», Universidad Complutense de Madrid.
https://eprints.ucm.es/50039/1/TFG%20BertaMontes.pdf

[3] «Controles ISO 27002-2013», ISO 27000.
https://www.iso27000.es/assets/files/ControlesISO27002-2013.pdf