Elaborado por Materia para OpenMind Recomendado por Materia
4
Inicio Gestión de la seguridad de datos y herramientas de Business Intelligence
22 octubre 2019

Gestión de la seguridad de datos y herramientas de Business Intelligence

Tiempo estimado de lectura Tiempo 4 de lectura

Los datos suponen, a la vez, una ventaja y un riesgo para cualquier organización. Algunas historias terroríficas sobre robo de bases de datos de clientes colosales tienen más repercusión mediática que muchos asesinatos, y se convierten en verdaderos problemas de relaciones públicas para las empresas que los sufren, hasta tal punto de hacer tambalearse desde la confianza de sus clientes hasta el propio valor de mercado de las mismas.

Los casos de Yahoo en 2013 (3.000 millones de cuentas afectadas, Marriot hoteles entre 2014 y 2018 (500 millones de clientes afectados) y la más reciente de Sephora en el sudeste asiático, cuya magnitud aún se desconoce, son algunos de los casos más sonados de los últimos años.

No hay organización a salvo, ni hay fórmula mágica para garantizar la protección total de los datos. Sin embargo, las ventajas que ofrecen los sistemas de Business Intelligence y CRM superan tanto a estas desventajas que, lejos de prescindir de ellos, lo que las organizaciones se esfuerzan por hacer es encontrar maneras razonables de garantizar sus seguridad.

A continuación enumeramos algunos de los aspectos a tener en cuenta cuando nos planteamos la gestión de la seguridad de los datos a cierta escala.

Identificar Vulnerabilidades

Como regla general, cualquier flujo de datos es vulnerable por definición y susceptible de ser interceptado y utilizado como punto de acceso al sistema. Cualquier acceso autorizado a los datos de una base de datos o su copia a un repositorio externo puede convertirse en una fuente de problemas. Si el ataque tiene éxito, sus instigadores podrían modificar, borrar o crear nuevos registros. Aunque algunos ataques requieren el consentimiento humano, otros son más suvbersivos.

Una de las maneras más sencillas de blindarse contra este tipo de problemas es mantener los sistemas de datos permanentemente actualizados a la última versión. Al contrario de lo que sucede con los sistemas de gestión de contenidos, por ejemplo, la mayoría de las versiones de las suites de Business Intelligence no implementan nuevas funcionalidades, sino que se limitan a “parchear” las vulnerabilidades detectadas, de cara a hacerlos más seguros.

Cifrado de Comunicaciones

Aunque el cifrado de datos entraña mayores costes y la dedicación de recursos adicionales, se trata de dinero bien empleado. Las herramientas de Business Intelligence son blancos prioritarios para los hackers porque es ahí donde residen las ventajas competitivas y controlar los datos implica controlar la empresa en su conjunto.

Sin caer en la paranoia, una posibilidad que siempre debería considerarse es la posibilidad de un ataque de intermediario (man-in-the-middle attack), que permitiría a los hackers interceptar y descifrar cualquier segmento de comunicación. Es imposible garantizar la seguridad de los datos almacenados en un servidor sin mantenerlos permanentemente cifrados, por lo que es aconsejable mantenerlos permanentemente cifrado con un mecanismo de autentificación de doble factor.

Managing Data Security for Business Intelligence Tools-Es imposible garantizar la seguridad de los datos almacenados datos en un servidor sin mantenerlos permanentemente cifrados
Es imposible garantizar la seguridad de los datos almacenados datos en un servidor sin mantenerlos permanentemente cifrados

Otra medida adicional de protección consiste en segmentar el almacenamiento de datos y distribuirlo entre diferentes servidores, con ciertas redundancias para protegerse contra ataques centrales. De esta manera, el almacenamiento de datos se convierte en un gran puzle que sólo nosotros somos capaces de resolver.

Reforzar las políticas para el uso de dispositivos personales

Otro razón para implantar mecanismos de cifrado es la tendencia a instalar herramientas de Business Intelligence en dispositivos personales de los empleados (teléfonos móviles y tabletas). Se trata de dispositivos que, con frecuencia, se utilizan en contextos no asegurados, como redes wifi públicas, y que, por lo tanto, pueden exponer los datos corporativos a accesos no autorizados.

Permisos y jerarquías

Si el conocimiento es poder, entonces el acceso al mismo debería estar restringido en base a roles. Es importante crear normas de permiso para cada usuario de la organización o diseñar grupos de usuarios con derechos específicos. Cada usuario debe disponer de los permisos necesarios para cumplir sus tareas diarias sin depender de terceros, pero sujetos a las restricciones adecuadas para proteger información delicada.

También es aconsejable establecer mecanismos de control para registrar el historial de cambios cada archivo, así como el listado de autores correspondiente. También se puede restringir el acceso a la información sensible en una red corporativa en función de la dirección IP. En organizaciones que permiten a sus empleados trabajar en remoto, esta opción puede resultar complicada de poner en práctica.

Una manera innovadora de restringir el acceso es utilizar tecnologías biométricas de reconocimiento de imagen para la asignación de permisos, como las tecnologías de reconocimiento facial o de retina, tecnologías que ya utilizan los cuerpos de seguridad para la detección de sospechosos en multitudes.

Un último consejo: Una manera de evitar bastantes problemas a lo largo del tiempo es designar al menos dos responsables capaces de dar acceso a la información sensible.

Protección por contraseña y control de accesos

Otro aspecto clave en la seguridad, y uno de los principales puntos débiles en la mayoría de los sistemas de Business Intelligence, son las contraseñas. Un error humano puede poner en jaque una red mucho más rápido que cualquier ataque pirata.

Managing Data Security for Business Intelligence Tools-password
Conviene poner en práctica programas de formación de gestión de contraseñas y definir normas claras para obligar a los usuarios a cambiar sus contraseñas con regularidad.

Retraso de tráfico de red (Tarpitting)

El “tarpitting” es un método que consiste en ralentizar deliberadamente el servidor cuando detecta un volumen de operaciones anormal, como en el caso del spam. Otorga a la organización un tiempo extra para detectar ataques y puede contribuir a disuadir posibles ataques.

¿Listo para la nube?

Las soluciones de Business Intelligence y la nube son tecnologías que se complementan a la perfección.

El proveedor de servicios en una nube es responsable de la seguridad de los datos de Business Intelligence que sus clientes alojan en ella. Es por ello que conviene elegir servicios con buena reputación, como los que ofrecen los gigantes del sector: Amazon, Google, o IBM, entre otros. Estas empresas disponen de la infraestructura, conocimientos y recursos financieros necesarios para garantizar la máxima seguridad y disponibilidad de la información. Conviene recordar que un servidor local está expuestos a los mismos riesgos que uno en la nube, pero supone un coste mucho más elevado, y no garantiza un nivel de protección mayor.

El uso de Business Intelligence como medida de seguridad

Finalmente, los propios sistemas de Business Intelligence pueden utilizarse para mejorar la seguridad de los datos de una empresa. Definiendo una “vista de seguridad” en el panel del sistema de Business Intelligence, se puede controlar el número de emails enviados, el volumen de datos transferidos y la localización de las direcciones IPs desde la que se está accediendo a los datos. Si esto supone una carga de trabajo excesiva para los equipos internos, siempre se puede recurrir a ayuda externa.

Business Intelligence y la seguridad: Una lista de control

Existen tres niveles de seguridad para una herramienta de Business Intelligence; y los tres deben ser de máxima calidad.

the DREAD risk assessment model to scan for vulnerabilities and run external penetration tests
Modelo de evaluación de riesgo DREAD (Daño potencial, Reproducibilidad, Explotabilidad, Usuarios Afectados, Detectabilidad)

A nivel de procesos, el uso de este modelo DREAD permite detectar vulnerabilidades y ejecutar pruebas de penetración externa. A nivel de sistema/objeto, conviene asegurarse de solicitar integraciones con los sistemas actuales y establecer claramente la jerarquía de usuarios. Finalmente, a nivel datos, es recomendable solicitar seguridad a nivel de línea para proteger los activos de datos internos.

 

Comentarios sobre esta publicación

El nombre no debe estar vacío
Escribe un comentario aquí…* (Máximo de 500 palabras)
El comentario no puede estar vacío
*Tu comentario será revisado antes de ser publicado
La comprobación captcha debe estar aprobada