descargar guía principios para mejorar la seguridad

Anuncio
Software IBM
White Paper de liderazgo intelectual
Tres principios rectores para mejorar la
seguridad y la conformidad de los datos
Un enfoque integral de la protección de datos ante un panorama de amenazas complejo
Octubre 2012
2
Tres principios rectores para mejorar la estrategia de seguridad y conformidad de los datos
Resumen ejecutivo
Los titulares relativos a la creciente frecuencia de robos de
información e identidades han llamado la atención sobre las
violaciones de la seguridad y la privacidad de los datos y sus
consecuencias, lo que ha dado lugar a la promulgación de
normas en todo el mundo cuyos detalles pueden diferir, pero
cuyo incumplimiento puede tener como resultado importantes
sanciones financieras, el encausamiento penal y la pérdida de
fidelidad de los clientes.
Por otra parte, la explosión de la información, el auge de los
dispositivos móviles, el número creciente de usuarios y los
nuevos modelos de computación, como el cloud, el social
business y Big Data, crean nuevas vulnerabilidades. Para
proteger sus datos confidenciales y satisfacer sus obligaciones
de conformidad, las organizaciones han de adoptar un enfoque
más proactivo y sistemático.
Dado que los datos son un componente vital de las operaciones
de negocio diarias, es esencial asegurar la privacidad y proteger
los datos allá donde residan. Cada tipo de información tiene sus
propios requisitos de protección, por lo que las organizaciones
deben protegerla con un enfoque integral:
•
•
•
•
Conocer dónde residen los datos: no es posible proteger
los datos confidenciales sin saber dónde se encuentran y sus
relaciones dentro de la empresa.
Proteger datos confidenciales estructurados y no
estructurados: debe evitarse el acceso no autorizado a datos
estructurados alojados en bases de datos. Los datos no
estructurados de documentos, formularios, archivos de
imagen, sistemas GPS, etc., requieren políticas de privacidad
para eliminar toda información confidencial y continuar
intercambiando los datos de negocio necesarios.
Proteger entornos ajenos a la producción: es necesario
proteger los datos en entornos no destinados a la producción,
como el desarrollo, la formación y el control de calidad,
permitiendo al mismo tiempo su uso en procesos
pertenecientes a estos.
Proteger y supervisar constantemente el acceso a los
datos: las bases de datos, los data warehouses, los el
intercambio de archivos y los sistemas Hadoop empresariales
requieren supervisión en tiempo real para garantizar la
protección y la auditoría del acceso a los datos. Deben
implantarse controles basados en políticas para detectar
rápidamente actividades no autorizadas o sospechosas y
•
alertar al personal pertinente. También es preciso proteger
repositorios de datos confidenciales contra nuevas amenazas
u otras actividades malintencionadas y buscar sin cesar
posibles debilidades.
Demostrar la conformidad para superar las auditorías:
no basta con adoptar un enfoque integral de la seguridad y la
privacidad; las organizaciones deben también demostrar la
conformidad ante auditores externos.
Las soluciones de seguridad y privacidad de los datos de IBM®
han sido concebidas para apuntalar dicho enfoque integral y
dotarlo de inteligencia para abordar proactivamente las
amenazas de TI y los riesgos empresariales. IBM ha establecido
tres simples principios rectores (Conocer y definir, Asegurar y
proteger y Supervisar y auditar) para ayudar a las organizaciones a
mejorar la seguridad y la conformidad sin afectar a los sistemas
de producción ni a unos presupuestos ya de por sí limitados.
¿A qué se debe el interés que suscita la
protección de los datos?
La seguridad de los datos es un blanco permanente. A medida
que estos crecen aparecen amenazas más sofisticadas y
proliferan las normas, mientras que la inestabilidad económica
dificulta su protección. Nuevos vectores de ataque, como las
amenazas informáticas (gusanos, troyanos, rootkits, rogues,
dialers y spyware), unidos a la complejidad de los cambios que
experimentan las arquitecturas de TI (la virtualización, el Big
Data, las iniciativas empresariales abiertas, la consumerización
y la movilidad de los empleados) obligan a las organizaciones a
interesarse por la protección de los datos (véase la Figura 1).
Según un informe de octubre de 2011, “Databases are More at
Risk Than Ever”, para el que se encuestó a 355 profesionales de
la seguridad, una cuarta parte de ellos opinaba que una fuga de
datos durante 2012 era probable o inevitable. Solamente el 36%
de las organizaciones ha tomado medidas para evitar que sus
aplicaciones sufran ataques mediante inyección SQL y más del
70% tardan más de tres meses en aplicar parches críticos, lo que
proporciona a los atacantes las oportunidades que buscan. La
mayoría eran incapaces de detectar si se había producido algún
acceso o cambio no autorizado en sus bases de datos. En muchos
casos una fuga podía pasar inadvertida durante meses, como
mínimo, ya que solamente el 40% de las organizaciones auditan
sus bases de datos regularmente.
Las estrategias de prevención son casi inexistentes en la
Software IBM
3
mayoría de las empresas. Solo una cuarta parte de los
encuestados afirma poder poner coto al abuso de los privilegios
por parte de usuarios autorizados, especialmente en los de
mayor rango, como los administradores de bases de datos, antes
de que se produzcan. Únicamente el 30% cifra información
confidencial o de identificación personal pese a que la
normativa mundial sobre privacidad exige que los datos en
reposo estén cifrados. La mayoría, además, admite tener datos
confidenciales en entornos ajenos a la producción al alcance de
desarrolladores, personal de pruebas e incluso personal externo.
seguridad fue la explotación de contraseñas por defecto o
fácilmente adivinables (en un 29% de los casos), seguida por
backdoors abiertas mediante malware (26%), el uso de
credenciales robadas (24%), la explotación de backdoors o de
canales de mando y control (23%) y los keyloggers y el spyware
(18%). Los ataques mediante inyección SQL representaron el
13% de las violaciones. En cuanto a los blancos, el 90% de las
fugas investigadas por Verizon correspondieron a servidores,
especialmente servidores de punto de venta, servidores web y
de aplicaciones y servidores de bases de datos.
Cambios en los entornos de TI y evolución de las
iniciativas de negocio
Obligaciones de conformidad normativa
Las políticas de seguridad y las tecnologías asociadas deben
evolucionar cuando las organizaciones adoptan iniciativas
como la externalización, la virtualización, el cloud, la movilidad,
la Empresa 2.0, el Big Data y el social business, lo que implica
pensar en dónde residen los datos y cómo se accede a ellos.
También han de tener en cuenta un amplio conjunto de datos
confidenciales estructurados y no estructurados, como
información de clientes, secretos industriales, propiedad
intelectual, planes de desarrollo, diferenciadores competitivos,
etc.
Hackers más inteligentes y mejor preparados
Muchas organizaciones tienen dificultades para salvar la brecha
existente entre las capacidades de los hackers y la seguridad. La
variabilidad, la complejidad y la mayor escala de los ataques
externos son causa de inquietud. En el pasado, la preocupación
más grave consistía en evitar brotes de virus o breves ataques
de denegación de servicio que interrumpían temporalmente las
operaciones de negocio. Hoy en día los hackers están mejor
preparados e interconectados: pueden emplear las redes
sociales, adquirir aplicaciones de “hacking” e incluso ser
patrocinados por ciertos estados. Cuando penetran el
perímetro y se infiltran en la red, las nuevas amenazas
persistentes avanzadas (APTs) explotan las lagunas de
conocimiento de los empleados y procesan combinaciones
aleatorias de debilidades y vulnerabilidades tecnológicas para
robar datos de clientes o datos corporativos, como secretos
industriales, lo que puede causar pérdidas de negocio por valor
de miles de millones de dólares, además de exponer a la
organización a sanciones y demandas y perjudicar su reputación
de manera irreparable.
Según el informe Verizon Data Breach Investigations Report
de 2012, el método más común empleado para violar la
Existen demasiadas y muy diversas obligaciones normativas
como para mencionarlas aquí, pero afectan a las
organizaciones de todo el planeta. Algunas de las más
destacadas son la Sarbanes-Oxley Act (SOX), la Health
Insurance Portability and Accountability Act (HIPAA), la
Payment Card Industry Data Security Standard (PCI-DSS)
(cuyo cumplimiento se ha afianzado fuera de Norteamérica), la
Federal Information Security Management Act (FISMA) y la
Directiva sobre privacidad europea. Al creciente número de
normas se suma la mayor presión a favor de demostrar la
conformidad al momento. Las empresas deben demostrar
inmediatamente sus progresos ante el negocio y los accionistas
so pena de dañar su reputación y sufrir graves sanciones.
La explosión de la información
La explosión de la información digital desborda todas las
escalas. En 2009 existían unos 0,8 zettabytes de datos en todo
el mundo. Se calcula que en 2012 eran 1,8 ZB. Es una cifra
impresionante, especialmente cuando se piensa que un
zettabyte equivale a un billón de gigabytes. Esto ha convertido
el acceso a información pública y privada en parte de la vida
cotidiana, además de conllevar un incremento del volumen,
variedad y velocidad de los datos. Las organizaciones deben
conocer los retos que conlleva Big Data, como infraestructuras
de cloud de gran escala, la diversidad de fuentes y formatos, la
naturaleza fluida de la adquisición de datos y la agregación de
estos en grandes cantidades.
Las aplicaciones de negocio esenciales recopilan esta
información con fines legítimos pero, debido al carácter
interconectado de Internet y los sistemas de información, así
como el de las aplicaciones ERP, CRM o de negocio propias, es
fácil que los datos confidenciales sean objeto de robo o de uso
indebido.
4
Tres principios rectores para mejorar la estrategia de seguridad y conformidad de los datos
Amenazas internas
Un elevado porcentaje de las fugas de datos se deben en
realidad a debilidades internas que pueden ir desde empleados
que hacen un uso indebido de los números de tarjetas de pago
y otra información privada a aquellos que guardan datos
confidenciales en portátiles que luego son sustraídos. Pero las
organizaciones son responsables de proteger esos datos donde
quiera que residan, ya se trate de socios de negocio,
consultores, contratistas, proveedores u otras partes externas.
En resumen: las organizaciones dedican especial atención a la
seguridad y la privacidad de los datos. No quieren limitarse a
desarrollar soluciones puntuales para problemas específicos
sino dotar de políticas y procedimientos de privacidad y
seguridad a la empresa. Incorporar la seguridad en las políticas
de negocio y de TI resulta especialmente importante a la hora
de adentrarse en esta nueva era de la computación.
Seguridad frente a privacidad
La seguridad y la privacidad son conceptos relacionados
pero diferentes. La seguridad consiste en bloquear la
infraestructura para impedir o conceder el acceso a
ciertas áreas o datos en función del grado de autorización.
Por el contrario, las restricciones por motivos de
privacidad controlan el acceso de los usuarios autorizados
a un conjunto concreto de datos. La privacidad asegura
que aquellos que vean un subconjunto de esos datos lo
hagan con un propósito de negocio legítimo y no abusen
de sus privilegios. Dicho propósito de negocio viene
dictado por el cargo que desempeñan, definido a su vez,
por la política normativa o de gestión, o por ambas.
Algunos ejemplos de soluciones de seguridad para los
datos incluyen la supervisión de la actividad en la base de
datos y las evaluaciones de vulnerabilidad de esta. En
cambio, las soluciones de privacidad pueden modificar y
enmascarar los datos. En un caso reciente que ilustra esta
diferencia, varios facultativos del UCLA Medical Center
fueron sorprendidos examinando el historial médico de la
conocida cantante Britney Spears. Se respetaron las
políticas de seguridad del hospital, ya que los médicos
necesitan acceder a los historiales, pero se vulneró la
privacidad, ya que lo hicieron movidos por la curiosidad y
sin una finalidad médica válida.
Hay mucho en juego: riesgos asociados a
las lagunas en privacidad y seguridad
En el caso de producirse un uso indebido de los datos, las
empresas y sus responsables se exponen a sufrir sanciones que
van desde los 5.000 hasta el millón de dólares al día, e incluso
penas de prisión. Según el estudio del Ponemon Institute
“2011: Cost of Data Breach Study” (publicado en marzo de
2012), el coste medio de una fuga de datos durante 2011 fue de
5,5 millones de dólares. Las fugas que tuvieron lugar en 2011
costaron por término medio a las empresas en cuestión 194
dólares por registro comprometido. El número de registros
filtrados en cada incidente de ese mismo año varió entre los
4.500 y los más de 98.000. El número medio de registros
filtrados fue de 28.349.
La fuga más cara estudiada por el Ponemon Institute (2010
Annual Study: U.S. Cost of a Data Breach, 2011) costó 35,3
millones de dólares. La menos onerosa costó 780.000 dólares,
lo que supone 30.000 dólares más (un 4%) con respecto a 2009.
Al igual que en años anteriores, el coste parece guardar
proporción directa con el número de registros comprometido.
Estas duras sanciones son solo uno de los perjuicios que puede
sufrir una organización; otros efectos negativos incluyen la
caída del precio de las acciones debido a la preocupación de los
inversores y la publicidad negativa asociadas a una fuga de
datos; la marca puede sufrir, además, un daño irreparable
debido a la pérdida de confianza en la empresa.
Algunas de las cinco fuentes de riesgo más comunes son:
•
•
•
Privilegios excesivos y abuso de los usuarios. Cuando se
conceden a usuarios o aplicaciones privilegios de acceso que
superan los requisitos de su función, estos pueden emplearse
para acceder a información confidencial.
Ampliación no autorizada de los privilegios. Los atacantes
pueden aprovechar las vulnerabilidades del software de
gestión de bases de datos para incrementar el nivel de los
privilegios de acceso.
Inyección SQL. En estos ataques un usuario explota las
vulnerabilidades de las aplicaciones web y los procedimientos
almacenados para enviar consultas no autorizadas a la base de
datos, a menudo con privilegios elevados. Empleando este
método los atacantes pueden incluso llegar a gozar de acceso
sin restricciones a toda la base de datos.
Software IBM
•
•
Denegación de servicio. Puede conseguirse a través de
numerosas técnicas. Las más comunes incluyen el
desbordamiento de buffer, el deterioro de los datos, la
sobrecarga de la red y el consumo de recursos. Esta última es
exclusiva de las bases de datos y suele pasarse por alto.
Exposición de datos de copias de seguridad. Algunos
ataques recientes especialmente difundidos consistieron en la
sustracción de cintas y discos duros con copias de seguridad
que carecían de cifrado.
Virus, malware, gusanos, troyanos
Infractor interno
Robo de dispositivos con datos
Inyección SQL
Phishing
Ataques desde web
Ingeniería social
Otros
Figura 1: Análisis de ataques malintencionados o delictivos conforme al
estudio 2011 Cost of Data Breach Study del Ponemon Institute (publicado
en marzo de 2012)
Obstáculos para la implementación:
dificultades para proteger los datos
Así las cosas, con el mercado pendiente de la seguridad y los
riesgos claramente documentados, ¿por qué las organizaciones
no han adoptado un enfoque integral para la protección de los
datos? ¿Por qué se dejan abrumar por las nuevas amenazas?
Lo cierto es que existen numerosas dificultades y
complicaciones. En primer lugar, aunque hay disponibles
numerosas soluciones orientadas a un enfoque o un aspecto
concreto de la protección de datos, solo algunas abarcan todo
el conjunto de amenazas y de tipos y fuentes de datos con el fin
de ofrecer una estrategia integral capaz de adaptarse y
responder a las nuevas amenazas y modelos de computación.
En segundo lugar, pocas organizaciones disponen de la
5
financiación o los recursos necesarios para implementar otra
iniciativa en la que los procesos tienen especial peso. Las
organizaciones deben integrar políticas de seguridad y
privacidad en sus operaciones diarias y obtener el apoyo de
toda la empresa, incluyendo personal de TI, responsables de
negocio, operaciones y el departamento legal. Los requisitos de
privacidad varían en función del rol y saber quién necesita
acceder a qué datos no es tarea fácil. En tercer lugar, los
métodos manuales o de creación propia que muchas
organizaciones utilizan hoy en día aumentan por lo general los
riesgos y la ineficiencia, ya que normalmente no son capaces de
proteger un conjunto diverso de tipos de datos estructurados y
no estructurados ni amplían su escala cuando la organización
crece. Por último, la proliferación de normas de conformidad
sujetas a estrictos plazos incrementa la presión operativa en
lugar de aclarar las prioridades.
Es necesario adoptar un nuevo enfoque de la protección de
datos que asegure la integración de las normas de seguridad y
privacidad en las mejores prácticas e impulse los resultados
económicos en lugar de frenarlos. Determinar cómo abordar la
seguridad y la privacidad de los datos es una prioridad
importante debido al gran número de factores y el elevado
riesgo que presenta.
Adoptar un enfoque integral de la
seguridad y la privacidad de los datos
Las organizaciones deben abordar de manera integral la
protección de diversos tipos de datos en entornos físicos, de
cloud y Big Data e incluir datos estructurados y no
estructurados, tanto en entornos de producción como ajenos a
esta (desarrollo, pruebas y formación). Este método puede
ayudar a concentrar recursos limitados sin agregar más
procesos ni aumentar la complejidad. También ayuda a las
organizaciones a demostrar la conformidad sin interrumpir
procesos de negocio vitales ni las operaciones diarias.
A la hora de comenzar, es necesario plantear seis preguntas
clave cuyo fin es ayudar a centrar la atención en las
vulnerabilidades más importantes:
1.¿Dónde residen los datos confidenciales dentro de la
empresa?
2.¿Cómo proteger, supervisar y auditar el acceso a las bases de
datos empresariales?
6
Tres principios rectores para mejorar la estrategia de seguridad y conformidad de los datos
3.¿Cómo proteger los datos frente al acceso autorizado y no
autorizado?
4.¿Es posible salvaguardar los datos confidenciales de los
documentos y compartir simultáneamente los datos de
negocio necesarios?
5.¿Es viable proteger los datos en entornos ajenos a la
producción y utilizarlos al mismo tiempo para fines de
formación, desarrollo de aplicaciones y pruebas?
6.¿Qué tipos de cifrado son los más adecuados?
La respuesta a estas preguntas es la base de un enfoque integral
de la protección de los datos cuya escala crezca a medida que
las organizaciones se adaptan a la nueva era de la computación.
También llaman la atención sobre áreas clave que pueden estar
pasando por alto con los métodos empleados actualmente.
1.Ninguna organización puede proteger dato alguno si
desconoce que existe. Los datos confidenciales residen en
formatos estructurados y no estructurados en entornos de
producción o ajenos a esta. Es importante definir y
documentar todos los activos de datos y sus relaciones, sin
importar su fuente, y clasificar los datos, conocer sus
relaciones y definir niveles de servicio. El proceso de
descubrimiento analiza los valores y las pautas de los datos
para identificar las relaciones que vinculan elementos
dispares en unidades de información lógicas u “objetos de
negocio” (como “cliente”, “paciente” o “factura”).
2.La supervisión de actividades monitoriza el acceso de
usuarios y aplicaciones, tengan o no privilegios, de manera
independiente de las funciones de registro y auditoría
originales de la base de datos. Puede funcionar como control
de compensación para toda cuestión relacionada con la
separación de deberes de los usuarios con privilegios al
observar todas las actividades de los administradores.
También mejora la seguridad detectando actividades de
lectura y actualización inusuales en integración de datos,
data warehousing, intercambios de archivos o sistemas
Hadoop desde la capa de aplicación. La agregación, la
correlación y la generación de informes de incidencias
proporcionan capacidad de auditoría sin necesidad de activar
las funciones originales. Estas soluciones deben ser capaces
de detectar actividades malintencionadas o accesos
indebidos por parte de usuarios con privilegios.
3.Los datos deben protegerse mediante diversas técnicas de
transformación, como el cifrado, el enmascaramiento y la
modificación. Definir usos válidos para los datos en el negocio
dictará la política de transformación más adecuada. Podría
establecerse, por ejemplo, una política destinada a enmascarar
los datos en pantalla o sobre la marcha para evitar que los
empleados del centro de asistencia telefónica vean el número
de identificación nacional del cliente o bien ocultar las cifras
de ingresos en los informes compartidos con socios de negocio
o proveedores externos.
4.La modificación puede eliminar datos confidenciales de
formularios y documentos en función del rol o la finalidad de
negocio. Los médicos, por ejemplo, necesitan conocer
síntomas y pronósticos, mientras que un empleado de
facturación debe poder ver el número de seguro y la
dirección de facturación del paciente. El reto consiste en
establecer una protección adecuada sin dejar de satisfacer las
necesidades del negocio y asegurar que los datos sean
conocidos únicamente cuando sea estrictamente necesario.
Estas soluciones deben proteger la información confidencial
en documentos no estructurados, formularios y gráficos.
5.Evitar la identificación a través de los datos en entornos
ajenos a la producción es una simple cuestión de eliminar,
enmascarar o transformar sistemáticamente aquellos
elementos que podrían utilizarse para identificar a una
persona. Esto permite que desarrolladores, probadores y
formadores utilicen datos realistas y obtengan resultados
válidos al tiempo que se cumplen las normas sobre
protección de datos. Generalmente se considera aceptable
usar datos depurados de esta manera en entornos ajenos a la
producción, ya que incluso en caso de robo, revelación o
pérdida, nadie podrá utilizarlos.
6.El cifrado no es nada nuevo y existen muchos métodos
distintos. Numerosas regulaciones, como PCI DSS, imponen
explícitamente su uso, además de permitir el establecimiento
de disposiciones “safe harbor” en un gran número de normas.
Esto exime a las organizaciones de informar de una fuga de
datos si estos están cifrados. La abundancia de ofertas de
distintos proveedores hace que determinar cuál es el mejor
método de cifrado resulte complicado. En el caso de los datos
estructurados, es recomendable pensar en un método a nivel
de archivo que proteja los datos estructurados del sistema de
gestión de bases de datos (DBMS) junto con archivos no
estructurados, como los registros del DBMS o los archivos
de configuración, y sea transparente para la red, el
almacenamiento y las aplicaciones. Busque una oferta que
establezca una separación de deberes clara y un sistema
unificado de gestión de políticas y de claves para centralizar y
simplificar la labor de administrar la seguridad de los datos.
Software IBM
Superar los retos de la seguridad de los
datos y la conformidad
¿Qué tiene de especial el enfoque de la protección de los datos
de IBM? Experiencia y una combinación de personas,
procesos, tecnología e información que distingue a las
soluciones de seguridad y privacidad de IBM de las soluciones
de la competencia. El objetivo de la cartera de productos de
IBM es ayudar a las organizaciones a cumplir sus obligaciones
legales, normativas y de negocio sin que esto suponga una
carga adicional. De este modo pueden dar apoyo a las
iniciativas de conformidad, reducir costes, minimizar riesgos y
sostener un crecimiento rentable. Por otra parte, IBM ha
integrado la seguridad de los datos en un marco de seguridad
general. El IBM Security Framework (véase la Figura 2) y las
prácticas recomendadas asociadas proporcionan la experiencia,
el análisis de datos y los modelos de madurez necesarios para
que los clientes de IBM tengan oportunidad de innovar con
plena confianza.
Servicios profesionales
Servicios de cloud y
gestionados
Infraestrutura
Aplicaciones
Datos
Personas
Con el fin de abordar la seguridad y la conformidad de los
datos, IBM ha definido tres principios rectores destinados a
establecer un enfoque integral de la protección de datos:
Conocer y definir, Asegurar y proteger y Supervisar y auditar.
Siguiendo estos principios las organizaciones podrán mejorar
su posición de seguridad general y cumplir sus obligaciones de
conformidad con toda tranquilidad.
Conocer y definir
Las organizaciones deben descubrir dónde residen los datos
confidenciales, definir los tipos existentes y establecer métricas
y políticas para garantizar su protección a lo largo del tiempo.
Los datos pueden estar distribuidos de manera escasamente
documentada en múltiples aplicaciones, bases de datos y
plataformas. Muchas organizaciones depositan una confianza
excesiva en los expertos en sistemas y aplicaciones para este
propósito. En ocasiones la información es parte de la lógica de
la aplicación y puede haber relaciones ocultas bajo la superficie.
Encontrar datos confidenciales y descubrir relaciones entre
ellos requiere un análisis minucioso. Las fuentes y las
relaciones deben ser perfectamente conocidas y documentadas
para que no haya datos vulnerables. Las organizaciones
solamente podrán definir políticas de privacidad y seguridad
adecuadas cuando conozcan todo el conjunto.
Inteligencia de seguridad,
analíticas y CRG
Seguridad avanzada e
investigación de
amenazas
7
Software y
equipos
Figura 2: IBM es el único proveedor que ofrece un sofisticado marco de
seguridad con inteligencia aplicable a personas, datos, aplicaciones e
infraestructura.
IBM InfoSphere® Discovery ha sido concebido para
identificar y documentar los datos de los que dispone, dónde
se encuentran y los vínculos que mantienen de un sistema a
otro capturando de manera inteligente estas relaciones y
determinando las transformaciones y normas de negocio
aplicadas. Automatiza la identificación y definición de las
relaciones de los datos en entornos heterogéneos y complejos.
Sin un proceso automático que identifique las relaciones entre
datos y defina objetos de negocio, las organizaciones pueden
dedicar meses a realizar análisis manuales, sin garantía alguna
de que sean completos ni correctos. IBM InfoSphere
Discovery, por el contrario, puede ayudar a identificar
relaciones correcta y automáticamente y a definir objetos de
negocio en apenas una fracción del tiempo invertido en
procesos manuales o crear perfiles. Admite una amplia gama de
fuentes de datos empresariales, como bases de datos
relacionales o jerárquicas y cualquier otra fuente de datos
estructurados representada en formato de archivo de texto.
8
Tres principios rectores para mejorar la estrategia de seguridad y conformidad de los datos
En resumen, IBM InfoSphere Discovery ayuda a:
•
•
•
•
•
Localizar e inventariar las fuentes de datos de la empresa
Identificar y clasificar datos confidenciales
Conocer las relaciones existentes entre los datos
Definir y documentar normas de privacidad
Documentar y gestionar requisitos y amenazas permanentes
garantiza el bloqueo completo de todos los datos de la
organización.
Es recomendable emplear diferentes tecnologías para proteger
cada tipo de dato (estructurado, no estructurado, offline y
online), sin olvidar nunca que dichos tipos existen tanto en
entornos de producción como en entornos ajenos a esta.
Asegurar y proteger
Las soluciones de seguridad y privacidad de los datos deben
abarcar una empresa heterogénea y proteger tanto datos
estructurados como no estructurados en entornos de
producción o ajenos a ella (véase la Figura 3). Las soluciones
IBM InfoSphere ayudan a proteger datos confidenciales en
aplicaciones ERP/CRM, bases de datos, data warehouses,
intercambios de archivos y sistemas Hadoop, así como en
formatos no estructurados, como formularios y documentos.
Sus principales tecnologías incluyen la supervisión de
actividades y el enmascaramiento, modificación y cifrado de los
datos. InfoSphere Guardium proporciona controles y
capacidades para toda la empresa en numerosas plataformas y
fuentes de datos, reforzando la inversión realizada en
plataformas como RACF on System z, las cuales cuentan con
modelos de seguridad integrados que emplean fuentes como
DB2 for z/OS, IMS y VSAM. La protección de datos integral
Datos estructurados: se basan en un modelo de datos y están
disponibles en formatos estructurados, como bases de datos o
XML.
Datos no estructurados: están presentes en formularios o
documentos manuscritos o mecanografiados o en repositorios
de datos, como en el caso de documentos de procesadores de
texto, mensajes de correo electrónico, imágenes, archivos de
audio o vídeo digitales, datos GPS, etc..
Datos online: son aquellos utilizados en apoyo del negocio,
como metadatos, datos de configuración o archivos de registro.
Datos offline: son aquellos conservados en cintas de copia de
seguridad o dispositivos de almacenamiento.
Datos fuera de bases de datos
Datos en BBDD heterogéneas
as de pro
em
d
st
Si
Datos
offline
produc
ci
• Cifrado de datos
• Modificación de los datos
• Supervisión de actividades
• Enmascaramiento de datos
a la
Datos extraídos de
las bases de datos
(Hadoop, intercambio en SharePoint,
.TIF, .PDF, .doc, documentos escaneados)
s
• Supervisión de actividades
• Evaluación de vulnerabilidades
• Enmascaramiento de datos
• Cifrado de datos
Datos no
estructurados
y
ción ajeno
uc
Datos
estructurados
ón
(Oracle, DB2, Netezza, Informix,
Sybase, Sun MySQL, Teradata)
Datos
online
Datos usados a diario
• Supervisión de actividades
• Evaluación de vulnerabilidades
• Enmascaramiento de datos
• Cifrado de datos
Figura 3: A la hora de desarrollar una estrategia de privacidad y seguridad, es importante tener en cuenta todos los tipos de datos en entornos de producción
y ajenos a la producción
Software IBM
Cabe recordar que estos cuatro tipos básicos han
experimentado una explosión en términos de volumen,
variedad y velocidad. Muchas organizaciones desean incluir
estos tipos en sistemas Big Data, como Netezza o Hadoop,
para analizarlos en profundidad.
IBM InfoSphere Guardium® Activity Monitor and
Vulnerability Assessment es una solución de seguridad que
abarca todo el ciclo de seguridad y conformidad de las bases de
datos por medio de una consola web unificada, un almacén de
datos back-end y un sistema de automatización del flujo de
trabajo con el que podrá:
•
•
•
•
•
•
•
Evaluar las vulnerabilidades y fallos de configuración de
bases y repositorios de datos
Asegurar que la configuración queda bloqueada después de
implementar los cambios recomendados
Obtener una visibilidad total de todas las transacciones
realizadas en fuentes de datos, sea cual sea su plataforma o
protocolo, con un rastro de auditoría a prueba de
manipulaciones que refuerza la separación de deberes
Supervisar e imponer políticas para el acceso a datos
confidenciales, acciones de los usuarios con privilegios,
control de cambios, actividades de los usuarios de
aplicaciones y excepciones de seguridad, como los inicios de
sesión fallidos
Automatizar todo el proceso de auditoría de conformidad,
sin omitir la distribución de informes a los equipos de
supervisión, la aprobación y la jerarquización, usando
informes preconfigurados para SOX, PCI DSS y privacidad
Crear un solo repositorio de auditoría centralizado para los
informes de conformidad empresariales, la optimización del
rendimiento y la investigación forense
Escalar fácilmente desde una sola base de datos a proteger
miles de bases de datos, data warehouses, sistemas de
intercambio de archivos o sistemas Hadoop en centros de
datos distribuidos por todo el mundo
Tradicionalmente, proteger la información no estructurada de
formularios, documentos y gráficos consistía en eliminar
manualmente el contenido electrónico o utilizar un rotulador
negro para borrar u ocultar información confidencial en papel.
Pero esto puede causar errores, omitir información y dejar atrás
datos confidenciales ocultos en los archivos. El enorme
volumen actual de formularios y documentos electrónicos lo
hace poco práctico y aumenta el riesgo para la organización.
9
IBM InfoSphere Guardium Data Redaction protege la
información confidencial enterrada en documentos y
formularios no estructurados contra la revelación involuntaria.
Esta solución automática aumenta la eficacia del proceso de
modificación detectando la información confidencial y
eliminándola de la versión del documento puesta a disposición
de los lectores que carezcan de privilegios. Basado en las
técnicas de modificación de software más avanzadas del sector,
InfoSphere Guardium Data Redaction ofrece asimismo la
flexibilidad que supone la revisión y supervisión manual en
caso de ser necesario.
IBM InfoSphere Optim™ Data Masking Solution ofrece un
conjunto completo de técnicas de enmascaramiento de datos
capaces de satisfacer sus obligaciones de conformidad y
privacidad de los datos cuando lo necesite, incluyendo:
•
•
•
•
Capacidades de enmascaramiento sensibles a la aplicación
para asegurar que los datos enmascarados, como nombres y
direcciones, tengan la misma apariencia que la información
original (véase la Figura 4)
Rutinas de enmascaramiento de datos predefinidas y
contextuales que facilitan la ocultación de elementos como
números de tarjetas de pago, números de la seguridad social
y direcciones postales y de correo electrónico
Capacidades de enmascaramiento persistentes que sustituyen
valores de manera homogénea en aplicaciones, bases de
datos, sistemas operativos y plataformas de hardware.
Enmascaramiento estático o dinámico para entornos de
producción o ajenos a la producción.
Con InfoSphere Optim, las organizaciones pueden eliminar la
información identificativa de un modo válido para su uso en
entornos de desarrollos, pruebas y formación al tiempo que
protegen la privacidad de los datos.
Máscara
Figura 4: Los datos de identificación personal se enmascaran con datos
realistas pero ficticios
10
Tres principios rectores para mejorar la estrategia de seguridad y conformidad de los datos
IBM InfoSphere Guardium Data Encryption es una
solución manejable y escalable que cifra los datos de la
empresa sin sacrificar el rendimiento de la aplicación ni
complicar la gestión de claves. Ayuda a solventar los
problemas de los métodos puntuales o invasivos a través de un
enfoque transparente y homogéneo del cifrado y la gestión de
la seguridad de los datos. Al contrario que los métodos
invasivos, como el cifrado a nivel de columna en bases de
datos, el cifrado de archivos basado en PKI o el cifrado
puntual de origen, IBM InfoSphere Guardium Data
Encryption es transparente y fácil de gestionar. Su tratamiento
exclusivo del cifrado combina lo mejor de ambos mundos:
satisface perfectamente las necesidades de gestión de la
información y protege los datos mediante políticas. Cuenta
con agentes que actúan como una barrera transparente que
evalúa todas las peticiones de información aplicando políticas
personalizables y controla la lectura, la escritura y el acceso a
contenidos cifrados mediante un descifrado inteligente. Es
una solución sumamente eficaz e idónea para entornos
distribuidos, ya que los agentes dotan de una seguridad
centrada en los datos homogénea, auditable y no invasiva a
prácticamente cualquier archivo, base de datos o aplicación,
sin importar dónde resida.
En resumen, InfoSphere Guardium Data Encryption ofrece:
•
•
•
•
•
•
•
Un solo método de cifrado homogéneo y transparente para
empresas complejas
Un método ejecutable por las empresas basado en políticas y
auditable
Uno de los procesos de implementación más rápidos
posibles, sin necesidad de realizar cambio alguno en
aplicaciones, bases de datos o sistemas
Gestión de claves simplificada, segura y centralizada para
entornos distribuidos
Políticas de seguridad inteligentes y fácilmente modificables
para proteger los datos de manera eficaz y constante
Clara separación de deberes
Rendimiento excepcional, perfectamente capaz de cumplir
los SLAs de los sistemas esenciales para la misión
IBM Tivoli® Key Lifecycle Manager ayuda a las
organizaciones de TI a gestionar más eficazmente el ciclo de
vida de las claves de cifrado centralizando y reforzando los
procesos de gestión de claves. Puede administrar claves de
cifrado para los dispositivos de almacenamiento con
autocifrado de IBM así como para soluciones de otros
proveedores que utilicen el protocolo Key Management
Interoperability Protocol (KMIP). IBM Tivoli Key Lifecycle
Manager ofrece las siguientes ventajas:
•
•
•
•
•
•
•
Centraliza y automatiza el proceso de gestión de claves de
cifrado
Refuerza la seguridad de los datos al tiempo que reduce
considerablemente el número de claves a gestionar
Simplifica la gestión de claves de cifrado por medio de una
sencilla interfaz de configuración y gestión
Minimiza el riesgo de pérdidas o fugas de información
confidencial
Facilita la gestión de la conformidad con respecto a normas
legales como SOX e HIPAA
Sus capacidades de gestión de clave abarcan tanto productos
de IBM como de otros proveedores
Emplea estándares abiertos para aumentar la flexibilidad y
facilitar la interoperabilidad entre proveedores
Supervisar y auditar
Una vez localizados y bloqueados los datos, es preciso
demostrar la conformidad, prepararse para responder a nuevos
riesgos internos y externos y supervisar constantemente los
sistemas. Supervisar la actividad de los usuarios, la creación de
objetos, la configuración de los repositorios de datos y los
derechos de acceso ayuda a los profesionales de TI y a los
auditores a rastrear a los usuarios en aplicaciones y bases de
datos. Estos equipos pueden definir políticas de
comportamiento detalladas y recibir alertas cuando se
infringen. Las organizaciones necesitan demostrar la
conformidad rápidamente y empoderar a los auditores para
verificarla, en tanto que los informes de auditoría y las
aprobaciones facilitan el proceso, rebajando costes y
minimizando las interrupciones técnicas o del negocio. Así
pues, las organizaciones han de crear rastros de auditoría
constantes y detallados de toda actividad en sus bases de datos,
incluyendo el “quién, qué, cuándo, dónde y cómo” de cada
transacción.
IBM InfoSphere Guardium Activity Monitor audita en detalle
y de manera independiente el sistema de gestión de bases de
datos (DBMS) con un impacto mínimo sobre el rendimiento .
También ha sido diseñado para ayudar a las organizaciones a
reducir sus costes operativos mediante automatización,
políticas y repositorios de auditoría centralizados para varios
DBMS y el uso de filtros y compresión.
Software IBM
Conclusión: más conformidad y
mayor seguridad para los datos
Preservar la seguridad y la privacidad de los datos es una
responsabilidad detallada y constante que debe formar parte de
las prácticas recomendadas. IBM ofrece un enfoque integral de
la seguridad y la privacidad de los datos basado en tres
principios rectores:
1.Conocer y definir
2.Asegurar y proteger
3.Supervisar y auditar
La protección de los datos requiere un enfoque integral de 360º.
Gracias a su dilatada experiencia en el ámbito de la seguridad y
la privacidad, IBM puede ayudar a su organización a definir e
implementar tal enfoque.
Las soluciones IBM son abiertas, modulares y compatibles con
todos los aspectos de la seguridad y la privacidad de los datos,
incluyendo datos estructurados, semiestructurados y no
estructurados, allá donde residan. Las soluciones IBM admiten
prácticamente todas las principales bases de datos y sistemas
operativos empresariales, incluyendo IBM DB2®, Oracle,
Teradata, Netezza®, Sybase, Microsoft SQL Server, IBM
Informix®, IBM IMS™, IBM DB2 for z/OS, IBM Virtual
Storage Access Method (VSAM), Microsoft Windows, UNIX,
Linux e IBM z/OS®. InfoSphere es también compatible con las
aplicaciones ERP y CRM más importantes, como Oracle
E-Business Suite, PeopleSoft Enterprise, JD Edwards
EnterpriseOne, Siebel y Amdocs CRM, así como con la
mayoría de los paquetes o aplicaciones personalizadas. IBM
permite supervisar el acceso a software de intercambio de
archivos, como Microsoft SharePoint e IBM FileNet, además
de ser igualmente compatible con sistemas basados en Hadoop,
como Cloudera e InfoSphere BigInsights.
11
bloques simultáneamente para acelerar el proceso y generar más
valor. La plataforma IBM InfoSphere constituye una base para
proyectos que hagan un uso intensivo de la información al
ofrecer el rendimiento, la escalabilidad y la aceleración
necesarios para simplificar los retos más complejos y suministrar
información de confianza a su negocio en menos tiempo.
Acerca de IBM Security
La cartera de productos de seguridad de IBM dispone de la
inteligencia de seguridad requerida para ayudar a las
organizaciones a proteger a su personal, infraestructura, datos
y aplicaciones de manera integral. IBM ofrece soluciones para
la gestión de identidades y acceso, protección de bases de datos,
desarrollo de aplicaciones, gestión de riesgos, gestión de
terminales, protección de la red, etc. Opera la mayor
organización de investigación, desarrollo y suministro de
seguridad del mundo, compuesta por nueve centros de
operaciones de seguridad, nueve centros de IBM Research, 11
laboratorios de desarrollo de seguridad para el software y el
Institute for Advanced Security, con delegaciones en los
Estados Unidos, Europa y Asia-Pacífico. IBM supervisa 13.000
millones de incidencias de seguridad al día en más 130 países y
ha registrado más de 3.000 patentes de seguridad.
Información adicional
Para obtener más información acerca de la seguridad IBM,
entre en: ibm.com/security.
Para saber más acerca de las soluciones IBM InfoSphere
destinadas a preservar la seguridad y la privacidad de los datos,
póngase en contacto con su representante de ventas IBM o
entre en: ibm.com/guardium.
Para saber más acerca de las nuevas características de seguridad
de IBM DB2 for z/OS, descargue el Libro rojo en
Acerca de IBM InfoSphere
www.redbooks.ibm.com/Redbooks.nsf/RedbookAbstracts/
sg247959.html
El software IBM InfoSphere es una plataforma integrada para
definir, integrar, proteger y gestionar información de confianza
en sus sistemas. Esta plataforma proporciona los bloques básicos
para disponer de información de confianza, incluyendo
integración de datos, data warehousing, gestión de datos
maestros y gobierno de la información, todo ello en torno a un
núcleo de metadatos y modelos compartidos. Se trata de una
cartera modular con la que podrá comenzar donde desee y
combinar bloques de software IBM InfoSphere con
componentes de otros proveedores o bien desplegar múltiples
Además, las soluciones de financiación de IBM Global
Financing pueden facilitar la gestión de tesorería, protegerle
contra la obsolescencia tecnológica y mejorar el coste total de
propiedad y la rentabilidad de la inversión. Nuestros Global
Asset Recovery Services ayudan, por su parte, a responder a las
cuestiones relacionadas con el medio ambiente mediante nuevas
soluciones más eficientes energéticamente. Para obtener más
información acerca de IBM Global Financing, entre en:
ibm.com/financing.
© Copyright IBM Corporation 2012
IBM Corporation
Software Group
Route 100
Somers, NY 10589
Producido en los Estados Unidos de América
Octubre 2012
IBM, el logo IBM, ibm.com, DB2, Guardium, IMS, Informix, InfoSphere,
Optim, Tivoli y z/OS son marcas comerciales de Internacional Business
Machines Corp., registradas en numerosas jurisdicciones de todo el mundo.
Otros nombres de productos y servicios pueden ser marcas comerciales de
IBM u otras empresas. Existe una lista actualizada de marcas registradas de
IBM en la Web, en el apartado “Copyright and trademark information” de
ibm.com/legal/copytrade.shtml.
Linux es una marca registrada de Linus Torvalds en los Estados Unidos,
otros países o ambos.
Microsoft, Windows, Windows NT y el logo Windows son marcas
registradas de Microsoft Corporation en los Estados Unidos, otros países o
ambos.
Netezza es una marca comercial o registrada de Netezza Corporation,
una compañía IBM.
UNIX es una marca registrada de The Open Group en los Estados Unidos
y en otros países.
Este documento se considera actualizado en la fecha inicial de su
publicación y puede ser modificado por IBM en cualquier momento. No
todas las ofertas están disponibles en todos los países en los que opera IBM.
LA INFORMACIÓN PROPORCIONADA EN ESTE DOCUMENTO
SE DISTRIBUYE “TAL CUAL”, SIN GARANTÍA ALGUNA, YA SEA
EXPRESA O IMPLÍCITA, INCLUYENDO TODA GARANTÍA DE
COMERCIALIZACIÓN, IDONEIDAD PARA UN FIN CONCRETO
O CONFORMIDAD LEGAL. Los productos IBM están garantizados de
acuerdo con los términos y condiciones de los contratos con arreglo a los
cuales son facilitados.
Recicle este documento
IMW14568-ESES-05
Descargar