www.isaca.org.uy

Seguridad en tiempos de Big Data

A/C Rodrigo Guirado, CISA, CGEIT, CRISC

Director de Consultoría – PwC Uruguay

www.isaca.org.uy

Agenda

• ¿Qué es realmente “Big Data”?

• ¿Cómo usar “Big Data” en seguridad?

• ¿Qué aspectos de seguridad deben ser

tenidos en cuenta cuando una organización

empieza a trabajar en “Big Data”?

www.isaca.org.uy

www.isaca.org.uy

Definición “original”

• Doug Laney (febrero, 2001)

• Volume

• Velocity

• Variety

• Otros modelos incluyen otras características pero estos

son suficientes para entender las diferencias

conceptuales básicas.

• Es importante notar también que al hablar de “Big Data”

en realidad lo relevante es el análisis de dicha

información y eso lleva también a cierta confusión

(accidental y voluntaria) de los términos.

www.isaca.org.uy

Drivers de “Big Data”

• Reducción extrema de los costos de hardware

(particularmente en lo referido a storage y potencia de

sistemas distribuidos).

• Desarrollo de tecnologías de almacenamiento y

procesamiento distribuido de datos:

• MapReduce (Google)

• Hadoop (Apache)

• Desarrollo de “NoSQL” y sistemas de visualización

modernos

• DBMS “column-based” / Procesamiento “in-memory”

• Herramientas de visualización (Tableau, etc.)

www.isaca.org.uy

Big Data “para” Seguridad

• Uno de los principales problemas para seguridad de la

información en la actualidad es que la mayoría de los

mecanismos tradicionales (elementos de seguridad

perimetral, monitoreo de “signatures”, etc.) son cada vez

menos efectivos contra las nuevos riesgos.

• Adicionalmente, el lograr una visión integrada de la

situación detectada/reportada por una gran cantidad de

elementos de seguridad puede resultar extremadamente

difícil (lo cual de hecho generó una nueva familia de

herramientas/prácticas usualmente denominadas “SIEM”

– Security Information and Event Management).

www.isaca.org.uy

Big Data “para” Seguridad

• Lo anterior va llevando a la necesidad de dar una mayor

relevancia a los aspectos “de inteligencia” además de los

tradicionales de prevención automatizada.

• De alguna forma, en el pasado posiblemente se veía a

estas prácticas de inteligencia como algo “proactivo y

deseable” mientras que en la actualidad están

empezando a ser absolutamente requeridas para poder

atacar los nuevos riesgos.

• Considerando que dicha inteligencia se obtiene a través

de la consolidación, análisis y procesamiento de gran

cantidad de información de diferentes fuentes, es natural

que las nuevas herramientas de Big Data

puedan ayudar significativamente.

www.isaca.org.uy

Big Data “para” Seguridad

• En términos generales, la idea es poder procesar grandes

cantidades de información tales como:

• logs

• transacciones

• tráfico de red

para poder detectar situaciones y comportamientos que

representen potenciales violaciones de seguridad.

• Es importante tener en cuenta que además del análisis

en si mismo, debe pensarse en una infraestructura que

permita “capturar todo” (elementos de red, sistemas de

storage, middleware, etc.)

www.isaca.org.uy

Big Data “para” Seguridad

• Algunos de los ejemplos que podrían ser detectados por

este estilo de soluciones (considerando además los

cambios en los procedimientos de análisis) incluyen:

• Detección de fraudes y transacciones irregulares

(observar que esto en muchos casos se consideraba

“fuera” del alcance de las tareas de Seguridad de la

Información).

• Detección de APTs (“Advanced Persistent Threats”).

• Detección/análisis de ataques “zero-day”.

• Detección/análisis de Botnets.

www.isaca.org.uy

Big Data “para” Seguridad

• En esencia, lo que promueve está nueva visión es

agregar a todos los mecanismos automatizados de

detección/control, que ya existen, nuevas capas de

análisis.

• De este modo, la organización gana en la capacidad de

detección de amenazas a través de cualquier

apartamiento sobre la operación normal.

• Es importante notar que si bien esto claramente realza la

función de seguridad de la información y permite que la

misma ofrezca más valor a la organización, puede

requerir por otro lado una suerte de “reconversión” de sus

profesionales.

www.isaca.org.uy

Seguridad “para” Big Data

• Visto desde el otro punto de vista, la introducción de

prácticas de análisis de Big Data en cualquier

organización (algo cada vez más común) tiene una serie

de aspectos que deben ser considerados desde las áreas

de seguridad de la información y auditoría.

• En los términos más generales, cuanto más información

se esté procesando, mayor riesgo existe de incumplir

normativas asociadas a temas tales como:

• Privacía de la información (incluyendo datos

personales) especialmente en sectores normados.

• Propiedad intelectual.

www.isaca.org.uy

Seguridad “para” Big Data

• En cuanto a las implementaciones propiamente dichas,

existen múltiples aspectos a evaluar.

• Sistemas/procesamiento distribuido:

• La mayor parte de las soluciones actuales se basan

en sistemas básicamente centralizados – cuando el

procesamiento se realiza en forma distribuida

(MapReduce, etc.), la seguridad de cada “nodo”, de

todos los canales de comunicación y de la solución

general de coordinación de tareas pasa a ser

fundamental.

• Lo anterior se puede ver dificultado aun más cuando

se utilizan soluciones tipo “nube”.

www.isaca.org.uy

Seguridad “para” Big Data

• Nuevas tecnologías

• Cada uno de los componentes de la solución

(Hadoop, bases de datos NoSQL, sistemas de

visualización, etc.) pueden tener requerimientos de

seguridad específicos y no necesariamente contarse

con la experiencia para evaluar y administrar

adecuadamente los mismos.

• Como con cualquier tecnología, a medida que se

desarrolle su uso también se desarrollarán ataques

sobre las mismas – es importante recordar que

usualmente la seguridad suele “venir atrás” de las

nuevas funcionalidades.

www.isaca.org.uy

Seguridad “para” Big Data

• Aspectos tradicionales

• Autenticación – no solamente de usuarios, sino de

todos los componentes que formen parte del ambiente

o solución considerado.

• Integridad de los datos – mayores dificultades por la

distribución de los mismos, la utilización de

tecnologías diferentes de las usuales para manejarlos,

la diversidad de los mismos y un “ciclo de vida” mucho

más corto (tiempos mucho menores entre la

generación, almacenamiento y procesamiento de un

dato).

www.isaca.org.uy

Seguridad “para” Big Data

• Aspectos tradicionales

• Perfiles de acceso – al tener acceso a mayor cantidad

de información y tener mecanismos más poderosos

para procesar la misma, el contar con mecanismos

con una granularidad adecuada para definir los

accesos es crítico (si bien existe la “ventaja” de que

en general los accesos serán mayormente de lectura).

• Interconexión / interfaces – la seguridad de las

interfaces (donde los diversos sistemas / bases de

datos / etc. “exponen” sus datos a los concentradores

/ visualizadores) es fundamental.

www.isaca.org.uy

Seguridad “para” Big Data

• Aspectos tradicionales

• Infraestructura – naturalmente que en sistemas con un

alto grado de distribución la administración de

seguridad de la propia infraestructura se dificulta

significativamente. La utilización de herramientas

centralizadas de configuración/control y la utilización

de estándares pasará de ser una buena práctica a un

requerimiento ineludible.

• Telecomunicaciones – del mismo modo que en lo

referente a infraestructura, todos los datos en viaje

deberán contar con una protección adecuada

(situación que hoy es relativamente rara

redes internas).

www.isaca.org.uy

Conclusiones

• Con los avances tecnológicos de los últimos años, la

adopción de prácticas de “Big Data” (en algún grado) por

parte de las organizaciones no es un tema de “si” sino de

“cuándo”.

• En tal sentido, las áreas de seguridad de la información y

auditoría deberían empezar a avanzar en el estudio del

tema con dos focos principales:

• Garantizar que la introducción de estas tecnologías y

prácticas no comprometa el nivel de seguridad y

control existente.

• Aprovechar al máximo las nuevas funcionalidades

disponibles para seguir agregando más

valor al negocio.

www.isaca.org.uy

Preguntas?

Muchas Gracias A/C Rodrigo Guirado, CISA, CGEIT, CRISC

Director de Consultoría – PwC Uruguay

rodrigo.guirado@uy.pwc.com