PDF de programación - implicaciones de seguridad de big data

Implicaciones de Seguridad de Big Data



Implicaciones de seguridad de Big Data



Estudio elaborado por el capítulo español de Cloud Security Alliance

Coordinador



Miguel Ángel Pantoja (Hewlett-Packard Enterprise)



Autores



Luis Buezo (Hewlett-Packard Enterprise)

Mariano J. Benito (GMV)

Beatriz Blanco (Amadeus)

Humbert Costas (Ackcent Cybersecurity)

Sara Degli-Esposti (ISMS Forum)

Óscar Escudero

Enrique Aristi Rodríguez (UCI E.F.C.)



Copyright

Todos los derechos reservados. Puede descargar, almacenar, utilizar o imprimir el presente
Estudio de Cloud Security Alliance España e ISMS Forum Spain, atendiendo a las siguientes
condiciones: (a) el Estudio no puede ser utilizado con fines comerciales; (b) en ningún caso el
Estudio puede ser modificado o alterado en ninguna de sus partes; (c) el Estudio no puede ser

publicado sin consentimiento; y (d) el copyright no puede ser eliminado del mismo.



2015 CLOUD SECURITY ALLIANCE ESPAÑA | 3



Implicaciones de Seguridad de Big Data



Contenido


Introducción .................................................................................................................................. 5
1. Gobierno, Riesgo y Cumplimiento Normativo .......................................................................... 7
1.1 Privacidad ............................................................................................................................ 7
Amenazas, problemas o contradicciones .............................................................................. 7

Controles, soluciones o compromisos existentes en la práctica........................................... 7

1.2 Legislación sobre protección de datos ................................................................................ 8
Amenazas, problemas o contradicciones .............................................................................. 8

Controles, soluciones o compromisos existentes en la práctica........................................... 9

1.3. Evaluación y gestión de riesgos .......................................................................................... 9
2. Protección de activos .............................................................................................................. 10
2.1. Seguridad de las infraestructuras..................................................................................... 10
Amenazas, problemas o contradicciones ............................................................................ 10

Controles, soluciones o compromisos existentes en la práctica......................................... 11

2.2. Seguridad de datos ........................................................................................................... 12
Amenazas, problemas o contradicciones ............................................................................ 12

Controles, soluciones o compromisos existentes en la práctica......................................... 13

3. Gestión del Ciclo de Vida del Dato .......................................................................................... 14
3.1 Gestión de accesos e identidades ..................................................................................... 14
Amenazas, problemas o contradicciones ............................................................................ 14

Controles, soluciones o compromisos existentes en la práctica......................................... 14

4. Operaciones ............................................................................................................................ 15
4.1. Continuidad de Negocio ............................................................................................... 15

Amenazas, problemas o contradicciones ............................................................................ 15

Controles, soluciones o compromisos existentes en la práctica......................................... 15

4.2. Interoperabilidad.............................................................................................................. 16
Controles, soluciones o compromisos existentes en la práctica......................................... 16

5. Seguridad en el Desarrollo de Software .................................................................................. 17
Amenazas, problemas o contradicciones ............................................................................ 17

Controles, soluciones o compromisos existentes en la práctica......................................... 18

Glosario ....................................................................................................................................... 19
Notas ........................................................................................................................................... 22



2015 CLOUD SECURITY ALLIANCE ESPAÑA | 4



Implicaciones de Seguridad de Big Data



Introducción


El conjunto de nuevas soluciones tecnológicas que permiten a las organizaciones gestionar
mejor su información, comúnmente conocidas como “Big Data”, tienen un protagonismo
creciente en todo tipo de organizaciones públicas y privadas. Hoy en día se generan más datos,
se analiza más información y se consumen más resultados de análisis que nunca antes. El
tiempo que media entre la aparición de los datos y la toma de decisiones basada en los
mismos es cada vez menor, y cada vez mayor la importancia económica y social de dichas
decisiones.

Big Data se caracteriza por la recopilación en tiempo real, el almacenamiento y el análisis de
ingentes cantidades de datos en distintos formatos. Las organizaciones están poniendo los
datos en el centro de su gestión y de su operación. Esto amplía sus posibilidades de acción y
competencia pero trae consigo riesgos nuevos, posiblemente no contemplados íntegramente
en los análisis de seguridad convencionales.

Big Data son soluciones tecnológicas relativamente nuevas y que aún está en fases iniciales de
adopción en muchas organizaciones, lo cual es un riesgo en sí mismo. Por su naturaleza, Big
Data se consume en gran medida desde el Cloud. Es pertinente, pues, que el Capitulo Español
del Cloud Security Alliance (CSA-ES) aborde la cuestión. Los campos técnicos y las aplicaciones
de Big Data están en expansión y, aunque algunas están empezando a madurar, es el
momento de insistir en la seguridad.

El “ecosistema Hadoop” que, aunque no sea el único, sí es el principal entorno técnico que se
identifica con Big Data, se desarrolló en sus comienzos con una atención muy limitada a la
seguridad. Aunque esto se está corrigiendo, no deja de constituir una potencial fuente de
riesgo. También lo es que Hadoop esté pasando de ser un sistema de propósito limitado
(fundamentalmente, almacenamiento barato linealmente escalable y procesamiento por lotes
de datos no estructurados) a dar pasos hacia un verdadero sistema operativo distribuido
(almacenamiento; gestión de recursos y programación; motores de procesamiento por lotes,
online y cuasi tiempo real; contenedores; incluso monitores transaccionales).

Si como infraestructura va adquiriendo un propósito general, el concepto de “Data Lake” le
confiere un papel creciente en la arquitectura de datos empresarial. No se trata sólo de un
almacenamiento de bajo coste, sino de la residencia compartida de todo tipo de datos que son
accedidos simultáneamente por una variedad de motores de análisis sin apenas fricción. La
potencia de este concepto sólo es comparable a la de los riesgos que introduce. El gobierno de
los datos se convierte en una disciplina fundamental que corre paralela a la del gobierno de la
seguridad.



2015 CLOUD SECURITY ALLIANCE ESPAÑA | 5



Implicaciones de Seguridad de Big Data



Por su propia naturaleza, Big Data obtiene conocimiento de donde al principio sólo hay datos.
Aparece aquí un potencial conflicto de propiedad y de privacidad. No siempre quienes generan
los datos son conscientes del valor que contienen, incluso económico, y los ceden a empresas
y administraciones públicas sin reflexión ni contrapartida. Surgen situaciones inesperadas de
generación de información personalmente identificable, de forma que los metadatos superan
en importancia a los propios datos. Se alzan voces que advierten de nuevas formas de control
social y que reclaman la distribución libre del conocimiento de las dinámicas humanas que
permite Big Data. Se habla de “Open Data” en analogía con el movimiento “Open Source” en el
que precisamente se basa Hadoop.

Aunque todavía en fases iniciales, no es exagerado decir que campos de aplicación como
“Smart Cities”, “Internet of Things” y la pléyade de realizaciones del “Machine Learning” van a
cambiar nuestras sociedades y que junto con sus indudables beneficios vendrán los riesgos. Se
unirán a
las redes de distribución de energía, de
telecomunicaciones o de producción de bienes básicos. Podrían ser incluso más vulnerables:
son concebibles, por ejemplo, ataques de inyección de datos maliciosos a los sistemas de
supervisión y control de fábricas o ciudades basados en Big Data.

Big Data, Cloud, movilidad y seguridad son los cuatro pilares de la IT de nuestro tiempo. Las
interacciones entre los cuatro son numerosas. Este estudio quiere poner de manifiesto