Big Data: asegurar el acceso y asumir la responsabilidad ISMS.online

Big Data: asegurar el acceso y asumir la responsabilidad

Por Dan Raywood • 11 de abril de 2023

Big Data ha sido una tendencia crítica en TI durante la última década y, a medida que se crean más datos constantemente, la pregunta para las empresas es dónde se almacenan, quién tiene acceso a ellos y cómo acceden a ellos. Dan Raywood analiza estas cuestiones.

Durante la última década, el concepto de Big Data se ha vuelto más frecuente a medida que se crean más datos y se requieren tecnologías para analizarlos y procesarlos.

Para determinar los desafíos, primero es importante comprender de dónde proviene el Big Data. Según un libro blanco de 2001 de Doug Laney, Big Data se crea por: Volumen, en el sentido de que consta de enormes cantidades de datos; Velocidad, tal como se crea en tiempo real; y Variedad, ya que existen tipos estructurados, semiestructurados y no estructurados.

un blog de SAS Además, señaló el aumento del volumen por parte de las organizaciones que recopilan datos de diversas fuentes, incluidas transacciones, dispositivos inteligentes (IoT), equipos industriales, videos, imágenes, audio, redes sociales y más. Además, la cantidad de datos creados por estas fuentes ha aumentado la velocidad, ya que "los datos llegan a las empresas a una velocidad sin precedentes y deben manejarse de manera oportuna".

SAS también señaló dos elementos más: la variabilidad, ya que los flujos de datos son impredecibles y las empresas necesitan gestionar cargas máximas de datos diarias, estacionales y provocadas por eventos; y Veracidad, referente a la calidad de los datos. "Debido a que los datos provienen de tantas fuentes diferentes, es difícil vincular, unir, limpiar y transformar datos entre sistemas".

Por tanto, el Big Data se compone de un gran número de instancias, lo que ha creado estos 'lagos de datos' que están resultando difíciles de gestionar.

A principios de este año, asistí a una conferencia en Londres donde uno de los oradores, Tim Ayling, vicepresidente de seguridad de datos de Imperva para EMEA, habló sobre los desafíos de Big Data y afirmó que "no dedicamos suficiente tiempo a analizar los datos por pura complejidad” y preguntó a la audiencia si podían identificar dónde están sus datos, quién tiene acceso a ellos y cómo acceden a ellos.

En una conversación con ISMS después del evento, le preguntamos por qué cree que gestionar y controlar el acceso es un gran desafío para las empresas. Afirma que la cantidad de datos es una de las razones del problema. Hay “una comprensión para la gente de que los datos ahora están en todas partes, y hay muchos de ellos y algunos de ellos los conocemos, algunos de ellos son datos ocultos que podrían estar en cualquier lugar y simplemente han sido creados sin ningún proceso detrás de ellos”. Esto ha provocado la gran variedad de datos con los que las empresas tienen que lidiar ahora.

Afirma que antes de que Big Data se convirtiera en la norma, los datos a menudo estaban en bases de datos Oracle o SQL, pero ahora están estructurados y no estructurados y en bases de datos que las empresas ni siquiera conocen.

En lo que respecta al acceso, el desafío es que múltiples partes interesadas tengan acceso, y ahí es donde se pierde el control. Ayling está de acuerdo y dice que los humanos quieren hacer las cosas lo más fáciles posible para ellos mismos y, a pesar de la política corporativa, los empleados seguirán utilizando herramientas de consumo para transferir archivos en aras de la eficiencia.

Rowenna Fielding, directora de Miss IG Geek Ltd, dice que el acceso a 'Big Data' no es diferente de los controles de acceso para cualquier otro activo de información: debería ser algo necesario y con el mínimo privilegio.

"El desafío de la moda de los 'lagos de datos' es que los propósitos son a menudo especulativos, es decir, 'ejecutarlo todo a través de un algoritmo y ver si aparece algo útil', lo que dificulta la verificación y la limitación del acceso según el propósito", afirma. .

“Idealmente, una organización de 'Big Data' debería tener un equipo de analistas de datos conscientes de la ética y conocedores de la ley que puedan trabajar con las partes interesadas para convertir las consultas en consultas de datos (y ser capaces de asesorar sobre limitaciones o sesgos dentro del conjunto) en lugar de otorgar acceso directo, pero la proliferación de plataformas en la nube está diseñada para hacer que la extracción de datos sea fácil y accesible, [y esto] disuade a las organizaciones de imponer, o incluso considerar, implementar controles restrictivos”.

Una opción para el acceso administrado podría ser una política basada en roles. Espectral dice que esto puede ayudar a controlar el acceso a las numerosas capas de los canales de Big Data. "El principio de privilegios mínimos es un buen punto de referencia para el control de acceso al limitar el acceso sólo a las herramientas y datos que son estrictamente necesarios para realizar las tareas de un usuario".

¿Es posible el concepto de privilegio mínimo, o incluso confianza cero, y acceso necesario? Ayling dice que la respuesta obvia es "sí" porque significa que todos tienen los privilegios correctos, "pero soñar con ello y hacerlo son cosas muy diferentes".

El usuario promedio tiene acceso a archivos y aplicaciones, pero ¿con qué frecuencia llama al servicio de asistencia técnica o a un administrador y les dice que ya no necesita acceder a ellos? Ayling dice: "Todos hemos estado en lugares donde se necesita un nivel de acceso a algo para una tarea en particular, y lo más fácil es darte acceso global, y estás dentro, y literalmente tienes todo porque ese es el cosa fácil de hacer. Eso no es nada inusual”.

Sobre el control del acceso a Big Data, Fielding dice que es "un error ser demasiado prescriptivo sobre los métodos y mecanismos de control porque no existe una respuesta única para todos".

Ella dice que los mismos principios de confidencialidad, integridad y disponibilidad se aplican tanto a datos estructurados informalmente a gran escala como a hojas de cálculo, correos electrónicos o computadoras portátiles; sin embargo, el proceso de determinar quién necesita qué, cuándo y dónde se vuelve más complicado.

La gestión del acceso es más que simplemente saber quién tiene acceso y garantizar que los atacantes no entren en su red. Se trata de limitar el acceso a los datos y garantizar que los empleados sólo puedan ver información relevante para su trabajo. Este es un factor crítico del Anexo A.27001 de ISO 9 y, a medida que Big Data se ha vuelto más evidente en el funcionamiento del mundo, limitar el acceso a ellos también debe considerarse y debe ser parte de su estrategia de riesgo.

Big Data es una tendencia milenaria de TI en general, y nosotros, en ciberseguridad, nos hemos centrado en analizarlos, almacenarlos y acceder a ellos. Ese último punto es el más crítico para la seguridad de los datos y la información: hay que poner controles de acceso al Big Data lo antes posible, ya que el volumen, la velocidad y la variedad aumentan constantemente y no queremos llegar tarde para tomar medidas. .

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Lea más de Dan Raywood

La seguridad cibernética 30 Septiembre 2025

¿La violación de GROK generará grandes preocupaciones de seguridad?

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Un incidente reciente ha suscitado inquietud sobre el manejo de datos por parte de las herramientas GenAI. ¿Es hora de garantizar que sus datos no terminen en sus archivos?

Daniel Raywood

La seguridad cibernética 29 May 2025

El marco de ciberseguridad y privacidad del NIST se renueva

Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a la práctica...?

Daniel Raywood

La seguridad cibernética 21 de enero de 2025

Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias globales de ciberseguridad mostraron cómo las vulnerabilidades a menudo se explotan como ataques de día cero. Ante una situación tan impredecible...

Daniel Raywood