subsanar lagunas en la seguridad de los datos · seguridad en big data 4. seguridad de los datos en...

Software IBM

Subsanar lagunas en la seguridad de los datosProtección de datos unificada para cuatro entornos de datos clave

Subsanar lagunas en la seguridad de los datos

2

1 2 3 4 5 6 7Introducción Diversidad

de los datos Conozca dónde residen los datos confidenciales o fundamentales para el negocio

Seguridad en Big Data Transforme los entornos Big Data en plataformas seguras para crecer

Seguridad de los datos en entornos de cloud y virtualesPrevenga fugas de datos en infraestructuras privadas y de cloud

Seguridad de los datos de la empresaProteja fuentes de datos heterogéneas

Seguridad de las aplicaciones de la empresaAplicaciones empresariales multinivel seguras

Por qué IBM InfoSphere GuardiumDespliegue soluciones de monitorización de actividades y protección de auditoría de nueva generación

Comprehensive data protection for physical, virtual and cloud infrastructures


3

Introducción

La seguridad de los datos plantea un reto en las múltiples dimensiones de los complejos entornos de TI modernos. Múltiples rutas de acceso y niveles de permisos han creado un amplio conjunto de amenazas para la seguridad y vulnerabilidades. Las “murallas” tradicionales, como firewalls y sistemas IDS/IPS, ya no bastan para defenderse contra atacantes que pueden franquear fácilmente el perímetro defensivo al tratarse de medidas de seguridad incapaces de distinguir ni prevenir el tráfico no autorizado aparentemente legítimo.

Las organizaciones deben adoptar un enfoque más proactivo y sistemático para proteger sus datos confidenciales y satisfacer los requisitos de conformidad que abarque complejos sistemas dispersos geográficamente en plena explosión de la información digital.

Existen datos confidenciales en bases de datos comerciales, como Oracle, Microsoft SQL Server, IBM DB2® y Sybase, en data warehouses como Teradata e IBM PureData™/Netezza, al igual que en entornos Big Data, incluyendo las plataformas Hadoop, IBM BigInsights™ y Cloudera.

Altos ejecutivos, directivos de gobierno y responsables de negocio en general trabajan para establecer una estrategia de seguridad de los datos que cuente con las políticas y controles adecuados para salvaguardar con diligencia los datos de la empresa, cumplir los requisitos de conformidad y sustentar un programa de gobierno sostenible.

La conformidad se inicia disponiendo de la información que los auditores precisan y asegurándose de que exista un proceso que haga esto repetible. Numerosas normas sobre privacidad, como HIPAA, PCI-DSS, Sarbanes-Oxley (SOX) y la directiva de

protección de datos europea obligan a las organizaciones a demostrar que sus datos son seguros y protegen la privacidad mediante procesos estandarizados, controles automáticos e informes regulares.

La mayoría de las organizaciones emplean actualmente alguna forma de seguridad manual de los datos, como activar los registros nativos, escribir scripts personalizados para extraer y transformar datos, implementar políticas para los dispositivos físicos o incluso ignorar todas las cuestiones relacionadas con la seguridad. Estos métodos se consideran laboriosos, proclives a errores, arriesgados y costosos. Otras desventajas incluyen la sobrecarga del rendimiento, así como una separación insuficiente de los deberes (los administradores de BB.DD., o DBAs, pueden manipular fácilmente el contenido de los registros, lo que afecta al rechazo negativo o “non-repudiation”).

1. Introducción 2. Diversidad de los datos

3. Seguridad en Big Data

4. Seguridad de los datos en entornos de cloud y virtuales

5. Seguridad de los datos de la empresa

6. Seguridad de las aplicaciones de la empresa

7. Por qué IBM InfoSphere Guardium


4

La implementación en silos para cada fuente de datos es, asimismo, sumamente arriesgada. Las organizaciones que carecen de controles de seguridad adecuados para sus infraestructuras de datos o plataformas analíticas están mucho más expuestas a sufrir una incidencia negativa con efectos potencialmente graves, como la pérdida de clientes, de cuota de mercado o hasta de su reputación o sus ingresos.

Según el Informe de tendencias y riesgos del primer semestre de 2012 de IBM X-Force, “se requiere un enfoque más integral de todo el ecosistema. Los usuarios deben concienciarse de lo visibles que son sus datos online, conocer quién tiene acceso a ellos y saber cómo pueden utilizarse en su contra. Esto incluye no solo sus redes sociales, sino también la elección y el

uso de aplicaciones móviles. Las aplicaciones móviles, una tendencia en auge, solicitan un gran número de permisos, lo que reduce la capacidad de los usuarios para detectar intenciones potencialmente maliciosas”.

Por fortuna, hoy en día existen soluciones de nueva generación para el seguimiento de las actividades relacionadas con los datos y la protección de las auditorías que permiten realizar auditorías detalladas e independientes del sistema de gestión de bases de datos (DBMS) con un efecto mínimo sobre el rendimiento y reduciendo al mismo tiempo los costes operativos.

Tanto las violaciones y las amenazas para la seguridad como los problemas de conformidad pueden producirse en cualquier entorno. Un control y un seguimiento insuficiente de los privilegios de acceso de los usuarios, combinados con la falta de visibilidad del uso indebido o el abuso de esos privilegios y la ausencia de controles de seguridad de los datos, aumentan en poco tiempo los riesgos para la seguridad que afronta la organización, siendo indiferente si utiliza un entorno Big Data, empresarial, virtual o de cloud. La clave de la protección de los datos reside en conocer e implementar una solución de seguridad y privacidad válida para cualquier entorno.








5

Debido a que los datos son un componente vital de las operaciones de negocio diarias, es esencial garantizar la privacidad y proteger los datos allá donde residan. Cada tipo de información tiene diferentes requisitos de protección y privacidad, por lo que, a la hora de desarrollar una estrategia de seguridad y privacidad, es importante tener en cuenta todos los tipos de datos que existen en la empresa.

Datos estructurados: basados en un modelo, están disponibles en formatos estructurados, como bases de datos o XML.

Datos no estructurados: se encuentran en formularios o documentos redactados a mano o mecanografiados, como en el caso de documentos de procesadores de textos, mensajes de correo electrónico, imágenes y archivos de audio y vídeo digital.

Diversidad de los datos

Datos online: son aquellos datos utilizados diariamente en las actividades del negocio, como metadatos, datos de configuración o archivos de registro.

Datos offline: datos conservados en cintas de copia de seguridad o dispositivos de almacenamiento.

No es preciso proteger todos los datos en la misma medida; algunos de ellos pueden considerarse de bajo riesgo, por lo que no valen el tiempo y el esfuerzo que requeriría protegerlos. Por otra parte, quizá no sea obligatorio proteger otros datos de más

valor, como las especificaciones de diseño o los datos de propiedad intelectual, pero no cabe dudar de que las organizaciones querrán mantenerlos a buen recaudo aplicando estrictos controles de seguridad.

Las organizaciones deberían pensar en la posibilidad de adoptar un proceso automático para confirmar la integridad de los datos identificando relaciones entre ellos y definiendo objetos de negocio, una labor que podría necesitar meses de análisis manuales sin garantía alguna de que llegue a completarse ni de que el resultado sea correcto.








6

Requisitos de seguridad y conformidad de los datos en toda la empresa

Descubrimiento y clasificación de datos confidenciales

Descubrir y conocer datos confidenciales y sus relaciones antes de transferirlos para establecer políticas adecuadas en etapas posteriores.

Control de acceso y modificación de los datosEstablecer políticas que determinen qué usuarios y aplicaciones pueden acceder a los datos o modificarlos.

Monitorización y auditoría de actividades relacionadas con los datos en tiempo real

Conocer quién, qué, cuándo, cómo y dónde se accede a los datos e informar al respecto con fines de conformidad.

Protección de datos Transformar los datos mediante enmascaramiento o cifrado.

Prevención de la pérdida de datos Establecer un rastro de auditoría del acceso y el uso de los datos para evitar su pérdida.

Gestión de vulnerabilidades Conocer las debilidades e imponer políticas que las subsanen.

Gestión de la conformidad Crear un marco de informes de conformidad para gestionar su generación, distribución y aprobación.







Dado que es seguro que los datos continuarán creciendo y sus estructuras serán más complejas, un enfoque unificado e integrado minimizará riesgos y vulnerabilidades.


7

El crecimiento de la cantidad de datos que absorben los entornos Big Data obligará a las organizaciones a afrontar riesgos significativos para los repositorios que albergan esos datos. El desequilibrio entre la seguridad y la calidad de los datos menoscaba la confianza en la toma de decisiones. Los estudios demuestran, sin lugar a dudas, que los directivos que desconfían de la información analítica encuentran motivos para rechazarla a menos que aprendan a confiar en los datos y tengan la seguridad de que están protegidos.

Se da la paradoja de que, pese a que las organizaciones pueden procesar más información que nunca, se ven incapaces de saber a ciencia cierta de qué datos disponen y cómo protegerlos frente a ataques internos y externos.

Los proyectos Big Data dominan los datos que circulan a gran velocidad dentro de las organizaciones en nuevos formatos como redes sociales, repositorios de datos no estructurados, feeds de webs, sensores, etiquetas RFID, smartphones, vídeos y datos GPS, por citar tan solo unos pocos. No es posible pasar por alto el riesgo de accesos no autorizados, fugas de datos y ataques informáticos en los entornos Big Data.

Seguridad en Big Data

Los entornos Big Data son difíciles de proteger conllevan retos específicos:

• Son entornos distribuidos carentes de esquemas en los que es posible unir y combinar datos de múltiples fuentes de manera arbitraria, por lo que establecer controles de acceso es problemático.

• La misma naturaleza de Big Data, compuesto por conjuntos de datos a gran escala (con un volumen, variedad y velocidad elevados), dificulta controlar la integridad de los datos.

• La combinación de datos de toda la empresa implica que los repositorios contendrán datos confidenciales.

• Los repositorios Big Data son otra fuente más de datos que debe ser protegida, pero la escala que la mayoría de los métodos de seguridad y conformidad de los datos pueden abarcar es insuficiente.








8

Según el Informe de tendencias y riesgos del primer semestre de 2012 de IBM X-Force, “se requiere un enfoque más integral de todo el ecosistema. Los usuarios deben concienciarse de lo visibles que son sus datos online, conocer quién tiene acceso a ellos y saber cómo pueden utilizarse en su contra. Esto incluye no solo sus redes sociales, sino también la elección y el uso de aplicaciones móviles. Las aplicaciones móviles, una tendencia en auge, solicitan un gran número de permisos, lo que reduce la capacidad de los usuarios para detectar intenciones potencialmente maliciosas”.

En sistemas Big Data la seguridad no es optativa, sino un imperativo. Estos entornos permiten a las empresas combinar cada vez más datos, pero los controles de seguridad que incorporan son escasos y es muy posible que una fuga no sea descubierta antes de que cause daños graves.

Su estrategia de seguridad debe dotar de seguridad a Big Data para ayudar a:

• Mejorar la toma de decisiones de seguridad basándose en conocimiento útil y priorizado extraído al monitorizar entornos Big Data como, por ejemplo, Hadoop.

• Detectar el momento en el que un ataque dirigido avanzado ha superado los controles de seguridad convencionales y penetrado en la organización.

• Infundir confianza en la integridad de los datos de negocio para hacerse con la ventaja competitiva.








9

Al transferirse las cargas de trabajo a clouds privados, la protección de los datos en entornos virtuales es más importante que nunca. Los centros de datos deben ser más flexibles, especialmente cuando se combinan cargas de trabajo con distintos niveles de confianza en el mismo hardware físico.

Los clouds privados ofrecen capacidades que amplían las posibilidades de innovación del modelo de negocio. Un cloud privado podría, por ejemplo, comercializar instantáneamente nuevas ofertas y servicios en todo el planeta para acelerar la monetización, reduciendo al mismo tiempo los costes de TI y de infraestructura. Pero a pesar de sus numerosas ventajas, también constituyen un nuevo vector de ataque. ¿Cómo puede su organización, por lo tanto, disfrutar de esas ventajas al tiempo que protege sus datos confidenciales?

Seguridad de los datos en entornos de cloud y virtuales

Las estrategias de protección integrales para entornos de cloud privados deben alertar a los administradores de seguridad de cualquier comportamiento sospechoso, como una actividad inusual en la red. Los procesos de seguridad han de rastrear los datos constantemente dentro del entorno de cloud privado e informar de las personas que acceden a los datos en aplicaciones, bases de datos, data warehouses y archivos compartidos.

Esta estrategia permite bloquear por completo todos los datos de la organización allá donde residan y en todas las etapas de su utilización.

Para asegurar la protección de los datos en entornos de cloud y virtualizados, las organizaciones deben saber qué datos se destinan a estos entornos, cómo monitorizar el acceso a estos, qué tipos de vulnerabilidades existen y cómo demostrar su conformidad. La protección debe ser parte integral de los entornos de cloud y virtuales desde el primer momento.

Las organizaciones deben centralizar los controles de seguridad en entornos de cloud privados para garantizar la separación de deberes, de manera que el administrador de los datos no sea simultáneamente el administrador o el auditor de seguridad.








10

Las bases de datos y data warehouses que albergan los datos más importantes de la organización, como registros financieros, información de tarjetas de crédito y datos de particulares o clientes, continúan siendo la primera fuente de fugas, motivo por el cual están sujetas a regulaciones cada vez más estrictas, como SOX, PCI-DSS, HIPAA y otras normas sobre protección de datos y privacidad.

Estos grandes repositorios incluyen enormes volúmenes de datos estructurados de fácil acceso, lo que convierte a estas bases de datos en un blanco cada vez más habitual. Además, debido a la evolución de las

funciones de estas plataformas durante los últimos 30 años, aquellas destinadas a la implementación a gran escala incluyen un número sumamente elevado de opciones de configuración, todas las cuales han de ser perfectamente comprendidas y luego protegidas para evitar las fugas de datos.

La consecuencia es que la protección contra el fraude, las amenazas internas y los ataques externos ha empujado a las organizaciones a agilizar sus procesos de conformidad con el fin de proteger sus activos de información más vitales. Por desgracia, para muchas de ellas es difícil descubrir dónde se encuentran los datos confidenciales y cómo protegerlos.

Seguridad de los datos de la empresa

La alternativa más inteligente al tipo de protección fragmentada e inadecuada existente hoy en día en muchas organizaciones consiste en unificar las operaciones de seguridad e integridad de los datos. Esta estrategia puede materializarse con soluciones que se interconectan con las diversas fuentes y tipos de datos de toda la empresa en entornos heterogéneos con el propósito de mejorar las operaciones de seguridad e integridad.








11

Pasos para una estrategia proactiva y sistemática destinada a proteger los datos confidenciales y satisfacer los requisitos de conformidad

Saber dónde residen los datos

No es posible proteger sus datos confidenciales sin saber dónde residen y sus relaciones dentro de la empresa.

Proteger los datos confidenciales, estructurados o no

Debe evitarse el acceso no autorizado a los datos estructurados alojados en BB.DD. Los datos no estructurados requieren políticas de privacidad para ocultar los datos confidenciales sin dejar de compartir aquellos que necesita la empresa.

Proteger los entornos no destinados a producción

Los datos en entornos ajenos a la producción (desarrollo, pruebas y formación) deben protegerse para seguir siendo utilizables para las actividades de estos.

Proteger y monitorizar constantemente el acceso a los datos

Es preciso observar en tiempo real base de datos, data warehouses y archivos compartidos para proteger y auditar los accesos. Deben aplicarse controles basados en políticas para detectar actividades no autorizadas o sospechosas y alertar al personal pertinente. También es necesario proteger BB.DD. y archivos compartidos contra nuevas amenazas y detectar debilidades.

Demostrar la conformidad para superar las auditorías

No basta con un enfoque integral de la seguridad y la privacidad de los datos. Debe demostrarse, además, la conformidad ante auditores externos.

Protección de entornos no destinados a la producciónAunque los sistemas de producción esenciales reciben la máxima atención, las organizaciones deben tener en cuenta que existen datos confidenciales en muchas otras partes. ¿Cuántas veces se ha duplicado su base de datos de producción? ¿Existen copias para fines de pruebas, desarrollo, control de calidad o recuperación de desastres? ¿Se dedica a estos entornos la misma atención que a los de producción? Si disponen de los mismos datos, deberán ser tenidos en cuenta como parte de la estrategia de seguridad general. Su organización debe proteger los datos de los entornos ajenos a la producción sin que estos dejen de ser utilizables durante los procesos de desarrollo de aplicaciones, pruebas y formación.

Las organizaciones necesitan una solución que optimice la eficiencia operativa de toda su infraestructura de bases de datos.








12

Proteger sus aplicaciones empresariales y los repositorios de datos asociados es de suma importancia, especialmente cuando los datos consisten en información personal confidencial sujeta a normas externas como PCI DSS, SOX y HIPAA.

Sin embargo, las aplicaciones empresariales multinivel suelen ser las más difíciles de proteger por estar muy distribuidas y tener como fin permitir el acceso web por parte de clientes, proveedores y socios.

Las organizaciones necesitan una plataforma de seguridad que incluya monitorización en tiempo real, detección de fraudes a nivel de aplicación y normas específicas para aplicaciones como Oracle E-Business Suite, PeopleSoft, SAP y sistemas propios. Un método automático y centralizado de detección de fraudes que no se limite a los registros de aplicación existentes ayudará a cumplir los requisitos normativos y de auditoría más estrictos.

Las organizaciones afrontan retos muy concretos a la hora de proteger sus datos SAP confidenciales, como:

Seguridad de las aplicaciones de la empresa

Datos dispersos: la información confidencial puede residir en centenares de columnas diferentes en la base de datos, complicando en sumo grado la monitorización o el cifrado por columnas.

Rendimiento: los entornos de bases de datos SAP deben retener la máxima capacidad de respuesta, incluso al implementar medidas de seguridad.

Variedad de los datos: es preciso proteger datos estructurados y no estructurados.

Soporte: modificar las aplicaciones SAP o alterar las tablas de las bases de datos pone en peligro los contratos de soporte.

Gasto y coste total de propiedad: el desarrollo de un cifrado propio puede ser extremadamente costoso debido a la amplia variedad de aplicaciones SAP existente.

Acceso de usuarios con privilegios: un empleado con privilegios de acceso a datos SAP podría destruir los datos sin que sus actos fueran detectados.








13

Su estrategia de seguridad de los datos debe incluir a las aplicaciones con el fin de monitorizar, rastrear e informar de las actividades de aquellos usuarios que accedan a tablas importantes desde aplicaciones empresariales multinivel en lugar de acceder directamente a la base de datos. Esto se debe a que las aplicaciones empresariales utilizan normalmente un mecanismo de optimización denominado “agrupación de conexiones” (connection pooling). En un entorno agrupado, todo el tráfico de los usuarios se combina en unas pocas conexiones con la base de datos identificadas únicamente con un nombre genérico de cuenta de aplicación que enmascara la identidad de los usuarios.

Para cumplir los requisitos de conformidad y adoptar medidas de prevención del fraude, es necesario identificar a los usuarios asociados con consultas y transacciones específicas en la base de datos, así como detectar el acceso directo por parte de usuarios con privilegios.







Por otra parte, y para facilitar la toma de decisiones de negocio, es imprescindible conocer en profundidad las actividades relacionadas con los datos integrando la monitorización de actividades con herramientas de información de seguridad y gestión de incidencias de TI (SIEM) para incrementar la precisión y establecer una inteligencia de seguridad eficaz.


14

Por qué IBM InfoSphere Guardium

Hoy en día numerosas organizaciones comienzan a ser conscientes de que crear una plataforma de seguridad efectiva para sus bases de datos no es un hecho puntual sino un proceso que se desarrolla progresivamente. Las soluciones de seguridad IBM InfoSphere® Guardium® pueden ayudar a su organización a simplificar este proceso con normas y políticas preconfiguradas que eliminan cualquier conjetura a la hora de proteger el entorno de sus bases de datos.

IBM InfoSphere Guardium• Constituye la solución más simple y potente

para asegurar la privacidad y la integridad de la información de confianza en su centro de datos y reducir costes al automatizar todo el proceso de auditoría de conformidad en entornos heterogéneos. Con InfoSphere Guardium podrá monitorizar la actividad de los usuarios para detectar y responder al fraude sin provocar una interrupción generalizada de sus operaciones de TI.

• Es la solución más utilizada para evitar fugas de información del centro de datos y garantizar la integridad de los datos. InfoSphere Guardium puede identificar amenazas internas y externas y protegerle contra ellas mediante una combinación exclusiva de monitorización y auditoría, gestión de vulnerabilidades, transformación de los datos, políticas de seguridad en tiempo real e informes inteligentes.

• Ayuda a proteger activos de datos valiosos, como PII, datos de clientes y de negocio, secretos corporativos, etc., promoviendo una colaboración segura y eficaz e integrando de manera efectiva la seguridad en los procesos de negocio.

Las soluciones de seguridad y privacidad de los datos IBM InfoSphere son abiertas, modulares y compatibles con todos los aspectos relacionados, incluyendo datos estructurados, semiestructurados y no estructurados, allá donde residan.

IBM InfoSphere es una plataforma destinada a definir, integrar, proteger y gestionar información de confianza en todos sus sistemas. La plataforma InfoSphere ofrece todos los bloques básicos necesarios, incluyendo integración de datos, data warehousing, gestión de datos maestros y gobierno de la información, todo ello partiendo de un núcleo de metadatos y modelos compartidos. Es una cartera modular con la que podrá comenzar donde desee y combinar dichos bloques de software básicos con componentes de otras empresas o desplegar varios bloques juntos para acelerar el proceso y generar más valor. La plataforma InfoSphere es una base empresarial para proyectos que hagan un uso intensivo de la información; cuenta con la escalabilidad, fiabilidad y rapidez que necesita para simplificar retos complejos y suministrar información de confianza a su negocio en poco tiempo.

Más información en: ibm.com/guardium







http://www.ibm.com/guardium


15

© Copyright IBM Corporation 2013

IBM Corporation Software Group Route 100 Somers, NY 10589 EE.UU.

Producido en los Estados Unidos de América Mayo 2013 Todos los derechos reservados

IBM, el logo IBM, ibm.com, DB2, InfoSphere, Guardium y Optim son marcas comerciales de International Business Machines Corporation tanto en los Estados Unidos como en otros países. Si éstos u otros términos registrados de IBM están acompañados la primera vez que aparecen por el símbolo de marca registrada (® o TM), esto indica que son marcas registradas en EEUU o de propiedad legal de IBM en el momento de publicar esta información. Dichas marcas registradas también pueden estar registradas o ser propiedad legal de IBM en otros países. Existe una lista actualizada de marcas registradas de IBM en la Web, en el apartado “Copyright and trademark information” de ibm.com/legal/copytrade.shtml

Este documento se considera actualizado en la fecha inicial de su publicación y puede ser modificado por IBM en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM. Los datos de rendimiento aquí citados han sido obtenidos en condiciones operativas específicas. Los resultados reales pueden ser diferentes. El usuario es responsable de evaluar y verificar el funcionamiento de cualquier otro producto o programa con los productos y programas de IBM. LA INFORMACIÓN PROPORCIONADA EN ESTE DOCUMENTO SE DISTRIBUYE “TAL CUAL”, SIN GARANTÍA ALGUNA, YA SEA EXPRESA O IMPLÍCITA, INCLUYENDO TODA GARANTÍA DE COMERCIALIZACIÓN, IDONEIDAD PARA UN FIN CONCRETO O CONFORMIDAD LEGAL. Los productos IBM están garantizados de acuerdo con los términos y condiciones de los contratos con arreglo a los cuales son facilitados. La capacidad de almacenamiento real disponible puede corresponder a datos comprimidos y no comprimidos, por lo que puede ser diferente y menor de la indicada. Toda afirmación relacionada con la futura orientación e intenciones de IBM está sujeta a cambio o retirada sin previo aviso y únicamente representa metas y objetivos.

Linux es una marca registrada de Linus Torvalds en los Estados Unidos u otros países.

Microsoft, Windows, Windows NT y el logo Windows son marcas registradas de Microsoft Corporation en los Estados Unidos u otros países.

UNIX es una marca registrada de The Open Group en los Estados Unidos u otros países.

Otros nombres de empresas, productos o servicios pueden ser marcas registradas o de servicio de terceros.

NIB03018-ESES-00

http://www.ibm.com/legal/us/en/copytrade.shtml

http://www.ibm.com/legal/us/en/copytrade.shtml

http://www.twitter.com/IBM_Guardium

subsanar lagunas en la seguridad de los datos · seguridad en big data 4. seguridad de los datos en...

Documents