México. El uso de soluciones de Big Data es cada vez más diseminado por las diferentes organizaciones tras la toma de una decisión bastante relevante en torno a la seguridad de la información, sobre todo en cómo es que ésta interfiere en el uso de esos datos y cómo las propias empresas están preparándose para las demandas de este nuevo escenario.
De acuerdo con la compañía Comstor, muchas veces las organizaciones no asocian que la seguridad de la información sólo podrá existir en el uso de Big Data si hubiera una integración de las acciones para la prevención de riesgos. De nada sirve solo redefinir los procesos de TI para lidiar con las grandes cantidades de datos si la empresa no está atenta a los procesos de seguridad que ayuden a mantener seguros los datos de la organización.
Eso sucede porque hay poco control sobre la gigantesca montaña de datos generados que están influyendo diariamente en las bases de las instituciones. Teniendo como prerrogativa que grandes datos pueden venir de cualquier lugar y asumir varios formatos, todo cuidado es poco. Y muchas de las soluciones tecnológicas actuales para tratamiento de datos no habilitan requisitos mínimos de seguridad durante la instalación del producto. Algunos sólo exigen un registro o contraseña de acceso al local de almacenamiento de datos.
Otro hecho importante en ese contexto es la exposición de datos en la red y hasta el comprometimiento de las bases de datos a partir de las exclusiones, modificaciones o bien el compartir la información. Un ejemplo bastante frecuente en la actualidad es el movimiento de los servicios de datos tradicionales para el gran mercado de datos utilizando el ambiente de la Nube. De esa forma, una vez que grandes cantidades de datos son almacenados en la Nube, es necesario tener medidas de seguridad adecuadas para esos datos.
La tarea de los CIO es convertir la seguridad de los datos en una gran prioridad. De esa forma, Comstor hace algunas sugerencias pueden fortalecer la gobernabilidad de Big Data:
1.- Controles prioritarios de seguridad
Las mayores fallas de seguridad en soluciones de Big Data están justamente en la falta de mecanismos de autentificación. Estos pueden ser caracterizados desde la inexistencia de registros de usuarios y contraseñas, hasta por la falta de canales de seguros para acceso a las bases de datos, como el uso de criptografía. En este contexto, la figura de un gestor de seguridad sería bastante útil en la definición de políticas de seguridad, tanto para validar requisitos necesarios a la protección de los datos cuando se capacitan equipos internos que lidian con esas soluciones enfocadas en seguridad de la información, además de la validación eventual de equipos externos de seguridad, por medio de consultorías.
Entre otras medidas que pueden ser adoptadas en proyectos de Big Data, están la adecuación a las normas y leyes, control de acceso a la información más estratégica, selección de las informaciones disponibles en el ambiente de datos y revisión de autenticidad de la información, con origen garantizado. Finalmente, usar el enmascaramiento de los datos puede ser una salida interesante para escribir elementos de datos confidenciales para que esos datos no sean compartidos con personas fuera de la empresa.
2.- Revisión de control del acceso de usuarios a las bases de datos.
Periódicamente el gestor de TI o el de seguridad de la información deben revisar los permisos de acceso a los datos en los repositorios de la empresa. Esto puede ser hecho cada seis meses o a cada año, y deben ser revisados todos los niveles de usuarios de la organización, ajustando permisos de acceso con base en las responsabilidades de trabajo. Una recomendación importante: cuando los empleados se desliguen de la empresa, estos deben ser inmediatamente removidos del acceso.
3.- Monitoreo de comportamiento del usuario
De nada sirven todas las medidas mencionadas arriba si el usuario no sigue las normas de seguridad. Por eso, el monitoreo constante de ese público es de suma importancia. El monitoreo de los hábitos de acceso de los usuarios pueden generar modelos de comportamiento que tendrán informaciones importantes sobre cómo, cuándo y con qué frecuencia una persona ingresa a los repositorios de datos, generando alertas en caso de alguna anomalía o sean detectados usos fuera de los padrones de ese usuario.
