seguridad en tiempos de big data - isaca.org · pdf big data “para” seguridad...
TRANSCRIPT
www.isaca.org.uy
Seguridad en tiempos de Big Data
A/C Rodrigo Guirado, CISA, CGEIT, CRISC
Director de Consultoría – PwC Uruguay
www.isaca.org.uy
Agenda
• ¿Qué es realmente “Big Data”?
• ¿Cómo usar “Big Data” en seguridad?
• ¿Qué aspectos de seguridad deben ser
tenidos en cuenta cuando una organización
empieza a trabajar en “Big Data”?
www.isaca.org.uy
www.isaca.org.uy
Definición “original”
• Doug Laney (febrero, 2001)
• Volume
• Velocity
• Variety
• Otros modelos incluyen otras características pero estos
son suficientes para entender las diferencias
conceptuales básicas.
• Es importante notar también que al hablar de “Big Data”
en realidad lo relevante es el análisis de dicha
información y eso lleva también a cierta confusión
(accidental y voluntaria) de los términos.
www.isaca.org.uy
Drivers de “Big Data”
• Reducción extrema de los costos de hardware
(particularmente en lo referido a storage y potencia de
sistemas distribuidos).
• Desarrollo de tecnologías de almacenamiento y
procesamiento distribuido de datos:
• MapReduce (Google)
• Hadoop (Apache)
• Desarrollo de “NoSQL” y sistemas de visualización
modernos
• DBMS “column-based” / Procesamiento “in-memory”
• Herramientas de visualización (Tableau, etc.)
www.isaca.org.uy
Big Data “para” Seguridad
• Uno de los principales problemas para seguridad de la
información en la actualidad es que la mayoría de los
mecanismos tradicionales (elementos de seguridad
perimetral, monitoreo de “signatures”, etc.) son cada vez
menos efectivos contra las nuevos riesgos.
• Adicionalmente, el lograr una visión integrada de la
situación detectada/reportada por una gran cantidad de
elementos de seguridad puede resultar extremadamente
difícil (lo cual de hecho generó una nueva familia de
herramientas/prácticas usualmente denominadas “SIEM”
– Security Information and Event Management).
www.isaca.org.uy
Big Data “para” Seguridad
• Lo anterior va llevando a la necesidad de dar una mayor
relevancia a los aspectos “de inteligencia” además de los
tradicionales de prevención automatizada.
• De alguna forma, en el pasado posiblemente se veía a
estas prácticas de inteligencia como algo “proactivo y
deseable” mientras que en la actualidad están
empezando a ser absolutamente requeridas para poder
atacar los nuevos riesgos.
• Considerando que dicha inteligencia se obtiene a través
de la consolidación, análisis y procesamiento de gran
cantidad de información de diferentes fuentes, es natural
que las nuevas herramientas de Big Data
puedan ayudar significativamente.
www.isaca.org.uy
Big Data “para” Seguridad
• En términos generales, la idea es poder procesar grandes
cantidades de información tales como:
• logs
• transacciones
• tráfico de red
para poder detectar situaciones y comportamientos que
representen potenciales violaciones de seguridad.
• Es importante tener en cuenta que además del análisis
en si mismo, debe pensarse en una infraestructura que
permita “capturar todo” (elementos de red, sistemas de
storage, middleware, etc.)
www.isaca.org.uy
Big Data “para” Seguridad
• Algunos de los ejemplos que podrían ser detectados por
este estilo de soluciones (considerando además los
cambios en los procedimientos de análisis) incluyen:
• Detección de fraudes y transacciones irregulares
(observar que esto en muchos casos se consideraba
“fuera” del alcance de las tareas de Seguridad de la
Información).
• Detección de APTs (“Advanced Persistent Threats”).
• Detección/análisis de ataques “zero-day”.
• Detección/análisis de Botnets.
www.isaca.org.uy
Big Data “para” Seguridad
• En esencia, lo que promueve está nueva visión es
agregar a todos los mecanismos automatizados de
detección/control, que ya existen, nuevas capas de
análisis.
• De este modo, la organización gana en la capacidad de
detección de amenazas a través de cualquier
apartamiento sobre la operación normal.
• Es importante notar que si bien esto claramente realza la
función de seguridad de la información y permite que la
misma ofrezca más valor a la organización, puede
requerir por otro lado una suerte de “reconversión” de sus
profesionales.
www.isaca.org.uy
Seguridad “para” Big Data
• Visto desde el otro punto de vista, la introducción de
prácticas de análisis de Big Data en cualquier
organización (algo cada vez más común) tiene una serie
de aspectos que deben ser considerados desde las áreas
de seguridad de la información y auditoría.
• En los términos más generales, cuanto más información
se esté procesando, mayor riesgo existe de incumplir
normativas asociadas a temas tales como:
• Privacía de la información (incluyendo datos
personales) especialmente en sectores normados.
• Propiedad intelectual.
www.isaca.org.uy
Seguridad “para” Big Data
• En cuanto a las implementaciones propiamente dichas,
existen múltiples aspectos a evaluar.
• Sistemas/procesamiento distribuido:
• La mayor parte de las soluciones actuales se basan
en sistemas básicamente centralizados – cuando el
procesamiento se realiza en forma distribuida
(MapReduce, etc.), la seguridad de cada “nodo”, de
todos los canales de comunicación y de la solución
general de coordinación de tareas pasa a ser
fundamental.
• Lo anterior se puede ver dificultado aun más cuando
se utilizan soluciones tipo “nube”.
www.isaca.org.uy
Seguridad “para” Big Data
• Nuevas tecnologías
• Cada uno de los componentes de la solución
(Hadoop, bases de datos NoSQL, sistemas de
visualización, etc.) pueden tener requerimientos de
seguridad específicos y no necesariamente contarse
con la experiencia para evaluar y administrar
adecuadamente los mismos.
• Como con cualquier tecnología, a medida que se
desarrolle su uso también se desarrollarán ataques
sobre las mismas – es importante recordar que
usualmente la seguridad suele “venir atrás” de las
nuevas funcionalidades.
www.isaca.org.uy
Seguridad “para” Big Data
• Aspectos tradicionales
• Autenticación – no solamente de usuarios, sino de
todos los componentes que formen parte del ambiente
o solución considerado.
• Integridad de los datos – mayores dificultades por la
distribución de los mismos, la utilización de
tecnologías diferentes de las usuales para manejarlos,
la diversidad de los mismos y un “ciclo de vida” mucho
más corto (tiempos mucho menores entre la
generación, almacenamiento y procesamiento de un
dato).
www.isaca.org.uy
Seguridad “para” Big Data
• Aspectos tradicionales
• Perfiles de acceso – al tener acceso a mayor cantidad
de información y tener mecanismos más poderosos
para procesar la misma, el contar con mecanismos
con una granularidad adecuada para definir los
accesos es crítico (si bien existe la “ventaja” de que
en general los accesos serán mayormente de lectura).
• Interconexión / interfaces – la seguridad de las
interfaces (donde los diversos sistemas / bases de
datos / etc. “exponen” sus datos a los concentradores
/ visualizadores) es fundamental.
www.isaca.org.uy
Seguridad “para” Big Data
• Aspectos tradicionales
• Infraestructura – naturalmente que en sistemas con un
alto grado de distribución la administración de
seguridad de la propia infraestructura se dificulta
significativamente. La utilización de herramientas
centralizadas de configuración/control y la utilización
de estándares pasará de ser una buena práctica a un
requerimiento ineludible.
• Telecomunicaciones – del mismo modo que en lo
referente a infraestructura, todos los datos en viaje
deberán contar con una protección adecuada
(situación que hoy es relativamente rara
redes internas).
www.isaca.org.uy
Conclusiones
• Con los avances tecnológicos de los últimos años, la
adopción de prácticas de “Big Data” (en algún grado) por
parte de las organizaciones no es un tema de “si” sino de
“cuándo”.
• En tal sentido, las áreas de seguridad de la información y
auditoría deberían empezar a avanzar en el estudio del
tema con dos focos principales:
• Garantizar que la introducción de estas tecnologías y
prácticas no comprometa el nivel de seguridad y
control existente.
• Aprovechar al máximo las nuevas funcionalidades
disponibles para seguir agregando más
valor al negocio.
www.isaca.org.uy
Preguntas?
Muchas Gracias A/C Rodrigo Guirado, CISA, CGEIT, CRISC
Director de Consultoría – PwC Uruguay