«Big Data CISO» (Chief Information Security Officer for Big Data projects) es el nombre que utilizo para identificar las funciones de un experto en seguridad informática dentro de un proyecto de Big Data.
Habitualmente, los grandes protagonistas de los proyectos de «Big Data» son los arquitectos de sistemas, expertos en Hadoop, administradores de bases de datos heterogéneas, analistas de BI, etc. Y los expertos en seguridad quedan relegados a un segundo plano o a una aparición tardía en el proyecto cuando surge algún problema.
La lista de funciones que un experto en seguridad debe realizar en un proyecto de «Big Data» es, a su vez, una lista de comprobación (checklist) para que cualquier jefe de proyecto compruebe si se ha olvidado de la seguridad al plantear su proyecto (como siempre).
Análisis regulatorio
Relacionado especialmente con el posible manejo de datos personales. El objetivo es evaluar el proyecto en su conjunto, analizar su posible impacto en la privacidad, identificar posibles riesgos regulatorios y definir e implantar medidas correctivas que eliminen cualquier riesgo regulatorio (demandas, sanciones, crisis de reputación, etc.).
El análisis regulatorio debería incluir, al menos:
- Leyes nacionales (en España, LOPD 15/1999 y RLOPD 1720/2007) y directivas y buenas prácticas procedentes de órganos reguladores estatales (en España, la Agencia Española de Protección de Datos – AEPD-).
- Leyes supranacionales (en la Unión Europea, la Directiva 95/46/CE del Parlamento Europeo y del Consejo.).
- Acuerdos internacionales para la transferencia internacional de datos (como el derogado recientemente “Safe Harbour”).
Auditoría de seguridad
Análisis y detección de fuentes de posibles amenazas. El objetivo es certificar que el sistema es seguro frente a los diferentes tipos de amenazas: denegación de servicio, fuga de información, acceso no autorizado, modificación de datos sin autorización, etc.
Como segundo objetivo, la auditoría de seguridad permite diseñar medidas correctivas que refuercen la seguridad del sistema.
La auditoría de seguridad se compone de varias actividades:
- Enumeración del sistema analizado: obtención de información relevante del sistema mediante la investigación del mismo sin autorización previa.
- Determinación de la superficie de ataque.
- Localización de vulnerabilidades.
- Hacking ético. Ataques simulados que miden la seguridad del sistema frente a posibles ataques reales.
Prevención de amenazas
A partir del resultado de la auditoría de seguridad se identifican y clasifican las posibles amenazas: acceso no autorizado, manipulación de datos, fuga de información, entrada en el sistema de datos procedentes de fuentes no confiables, etc.
Una vez clasificadas las amenazas se definen medidas preventivas que eliminen o reduzcan estas amenazas. En todos los casos, las medidas a aplicar deberán ser valoradas mediante matrices que valoren el coste (económico, tiempo, esfuerzo), el nivel de protección ofrecido y la probabilidad de aparición de las amenazas que se quieren contrarrestar.
Las principales medidas preventivas a aplicar:
- Control de acceso para usuarios, fuentes de datos y aplicaciones.
- Definición de roles de seguridad.
- Definición de niveles de acceso para las fuentes y datos manejados.
- Cifrado, anonimización y enmascaramiento de datos.
- Filtrado de metadatos.
- Mecanismos de distribución segura de datos que impidan el duplicado de información sensible y su manipulación por sistemas no seguros (dispositivos de almacenamiento no controlados, aplicaciones “Big Data” no controladas, etc.).