ISACA Journal
Volume 3, 2,018 

Translated Articles 

Ciberseuridad vs. gestión de datos maestros 

Chip Jarnagin, CISSP, CSM, PMP, and Sonja Hammond, CISSP, ITIL Foundation, PCI-ISA 

La exposición de datos de hasta 14 millones de clientes de Verizon en julio de 20171 fue una vergüenza enorme, especialmente para una organización que se presenta como una consultora de ciberseguridad premium. Después de todo, Verizon produce su Informe de Investigación de Incumplimiento de Datos anualmente, que documenta las ciberamenazas más grandes que sus clientes podrían enfrentar el próximo año y cómo evitarlos. La ironía es que Verizon se ha convertido en un punto de datos para sus informes futuros.

Como sucedió en otras infracciones, un proveedor externo fue responsable de la configuración incorrecta que permitía el acceso abierto a la información del usuario de Verizon. Este incidente refuerza la preocupación sobre cómo los profesionales de seguridad pueden mantenerse al tanto de todos los datos y todas las configuraciones existentes en los departamentos de la empresa. La buena noticia es que, en los últimos años, muchas organizaciones de TI han iniciado proyectos de gestión de datos maestros (MDM) para ayudar a rectificar esta situación.

Tener configuraciones estándar documentadas y personal capacitado para seguir estos estándares ayuda. Pero es bien sabido que uno de los principales factores de riesgo es la gente, y la gente comete errores. Ya sean intencionales o no, los errores introducen la oportunidad de infracciones. Uno de esos errores puede ocurrir cuando el equipo de seguridad cibernética de una organización no participa como parte interesada en proyectos de TI como MDM.

Qué es MDM?

MDM2 es un esfuerzo por racionalizar bases de datos dispares y superpuestas para garantizar la precisión, la integridad y la coherencia de los datos corporativos. Varias bases de datos con múltiples versiones de datos que pueden no ser consistentes en el panorama de la base de datos de una organización pueden ser causadas por silos dentro de la organización, fusiones y adquisiciones, y otros problemas.

El ejemplo más común de por qué esto es un problema es cuando la información de un cliente no es precisa en todas las bases de datos. Esto puede ocasionar malas comunicaciones dañinas con los clientes que, en última instancia, pueden dañar la reputación de la organización.

Hay dos métodos para recopilar datos en un entorno MDM: consolidado y federado. En un sistema consolidado, los datos se recopilan y se distribuyen desde una fuente centralizada. En un sistema federado, hay una vista virtual de los datos, que se recopilan y distribuyen desde múltiples fuentes.

Por qué MDM es una preocupación de seguridad cibernética

En un momento en que MDM y Business Intelligence (BI) son términos comunes en el mundo de los negocios, las organizaciones todavía están tratando de descubrir cómo mantener actualizados los datos en múltiples sistemas y, su mayor desafío, cómo informar sobre los datos. La mayor preocupación para cualquier profesional de seguridad es el hecho de que los datos tienen un riesgo corporativo significativo.

Con información de identificación personal (PII), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley Sarbanes-Oxley de los EE. UU. (SOX) y el Reglamento General de Protección de Datos de la UE ( GDPR), por mencionar solo algunas leyes y regulaciones generales que rigen cómo proteger los datos, la dificultad viene con saber a dónde van todos los datos y cómo se usan. ¿Se almacenan de forma distribuida, atraviesan múltiples redes y residen en múltiples centros de datos? ¿Alguien en la organización realmente sabe? Rara vez hay un diagrama de datos que indique dónde se almacena toda la información. Incluso el equipo de MDM tiene dificultades para realizar un seguimiento de cada nueva aplicación y herramienta de generación de informes que extrae datos a otro lugar.

Estas incógnitas ponen a MDM bajo el alcance de la gestión de riesgos. Mientras que muchos recurrirán a un marco como la serie 27000 de la Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (IEC) o la publicación especial (SP) 800-53 del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Y adoptarán un enfoque de cumplimiento , hay muchos ejemplos de incumplimiento de protección de la información confidencial.

Sin embargo, otro riesgo comercial yace en las sombras, donde no existe una supervisión real. La mayoría de los profesionales de ciberseguridad nunca consideran que la calidad de la información sea un riesgo para la seguridad. Pero, si se divulga información incorrecta sobre un problema grave, el riesgo de reputación puede afectar los ingresos de la organización. Una vez que eso sucede, la recuperación es difícil y, a veces, casi imposible. Dado el alcance de este tipo de riesgo, una de las consideraciones debería ser en qué punto debería estar el equipo de riesgo operativo.involucrado.

MDM en el dominio de la ciberseguridad

Entonces, ¿qué debería hacer el equipo de ciberseguridad para minimizar y mitigar el riesgo inherente a MDM? Asegurar adecuadamente MDM es similar a asegurar otras aplicaciones, procesos y datos. Hay cinco áreas que se deben considerar:

  1. Gobernabilidad de MDM
  2. El proyecto inicial de MDM
  3. Los estándares y políticas que rodean a MDM
  4. Asegurar las herramientas de MDM
  5. Asegurar los procesos de MDM

Gobernabilidad de MDM
En algunos grupos de ciberseguridad, el término “gobernanza” se usa indistintamente con “cumplimiento”. En este artículo, el término “gobernanza” se define en congruencia con el gobierno corporativo con respecto a los derechos de decisión: quién posee qué decisiones y en qué nivel con respecto a MDM. Obviamente, esto debe definirse por adelantado.

Los detalles del diseño de gobernanza de una organización para MDM se decidirán dentro del marco corporativo actual/de TI/ciberseguridad vigente en la organización. Las siguientes recomendaciones de delineación de la gobernanza de MDM pueden servir como punto de partida para la discusión:

  • La empresa posee las decisiones sobre los datos y las aplicaciones, pero no las herramientas o procesos que rodean los datos.
  • TI posee las decisiones sobre el almacenamiento físico de datos, las plataformas/ubicaciones para las aplicaciones que usan los datos, y las herramientas y procesos que rodean los datos.
  • El equipo de ciberseguridad es el propietario de las decisiones relacionadas con la seguridad de MDM y los datos.

El proyecto inicial de MDM
El equipo de ciberseguridad claramente debe participar como parte interesada al comienzo de cualquier iniciativa de MDM para ayudar a definir y aplicar las normas y políticas de ciberseguridad relevantes.

La relación del equipo de ciberseguridad con la organización de TI de la empresa y los usuarios debe ser lo suficientemente buena como para que el equipo esté informado de los proyectos relacionados con los datos durante la planificación/etapas iniciales. Dicho esto, el equipo debe estar constantemente atento a los proyectos de MDM (o cualquier proyecto que involucre datos, para el caso) ya que las empresas y las organizaciones de TI no siempre entienden la necesidad de la participación necesaria del equipo.

Como mínimo, la ciberseguridad debe ser un participante en el comité de arquitectura que revise cada proyecto durante las fases de planificación e inicio.

Los estándares y políticas que rodean a MDM
Los procesos básicos deben incluir un buen control de acceso a los datos diseñado en función de las funciones del puesto y de la necesidad de conocerlo. Además, los datos deben estar protegidos durante el almacenamiento y la transmisión. Por lo tanto, el cifrado debe ser un requisito estándar para cualquier dato sensible o propietario.

La retención de datos debe definirse con cronogramas de respaldo altamente detallados, fechas de vencimiento y métodos de destrucción. Se debe prestar especial atención cuando los datos y los informes se descargan a computadoras de escritorio/portátiles para su manipulación por parte de los analistas de negocios.

Con los conceptos básicos en su lugar, el equipo de MDM debe mantener un mapa de datos actual (se pueden encontrar tutoriales3 sobre la creación de mapas de datos en Internet), que debe actualizarse como parte de cada proyecto de MDM y/o cambio de datos. Como mínimo, el mapa de datos debe revisarse trimestralmente para garantizar que refleje el verdadero panorama de datos.

Como parte de la gestión del mapa de datos, el equipo de ciberseguridad debe garantizar que haya una visión clara de cuándo y por qué razón los datos abandonan la red de la organización. Es extremadamente importante, sin importar el tipo, que los datos sean identificados, documentados, clasificados y rastreados, junto con la identidad del destinatario. La clasificación incluye el tipo de datos y el nivel de sensibilidad de los datos. El seguimiento es importante para garantizar que la empresa sepa qué información se envía a dónde. Toda esta información se convierte en parte del mapa de datos y debe actualizarse como parte de cualquier evento de control de cambios asociado.

Asegurar las herramientas de MDM
Asegurar las herramientas de MDM de la empresa no es diferente de la aplicación de estándares y procesos de ciberseguridad a otras aplicaciones de TI. Es importante estar absolutamente seguro de que las configuraciones de seguridad de las herramientas tienen opciones correctas y que las políticas y los procedimientos de administración de identidades y acceso de la organización (IAM) para acceder a las herramientas están firmemente establecidos y son revisados periódicamente para verificar su cumplimiento. Además, se debe tener cuidado para asegurar que se sigan los estándares de ciberseguridad para el parcheo de seguridad.

Asegurar los procesos de MDM
Dependiendo de la organización y cómo el equipo de ciberseguridad está involucrado en proyectos e implementaciones de TI, MDM puede ser revisado como parte del proceso de ciclo de desarrollo de software (SDLC), otra consideración para la junta de revisión arquitectónica o un elemento para el proceso de control de cambios. La clave es tener las oportunidades necesarias para evaluar los datos, su sensibilidad y cómo se los protege. Una revisión no es suficiente, ya que muchas veces durante la vida de una aplicación se manipularán los datos, lo que puede cambiar los requisitos de seguridad de los datos.

Las brechas de datos recientes y los incidentes de exposición de datos indican que los terceros representan una de las mayores vulnerabilidades de la actualidad. Teniendo esto en cuenta, es importante que el equipo de ciberseguridad aborde la función de revisar los contratos con terceros y garantizar el cumplimiento continuo de los mismos. Esto es necesario para asegurar los estrictos requisitos de protección de datos, definir metodologías de protección aceptables, definir la responsabilidad en caso de una violación de datos, exigir niveles de ciberseguro y definir la respuesta adecuada de los medios si existe una infracción.

Primeros pasos

Si el equipo de ciberseguridad de la organización no está involucrado con los esfuerzos de MDM, debe ser o será pronto, ya que las empresas y las organizaciones de TI aprovechan los beneficios de MDM. Con suerte, los roles y responsabilidades de cada equipo están bien definidos, lo que hará que la participación del equipo de ciberseguridad en estos nuevos esfuerzos sea más productiva.

La conversación con el equipo de MDM puede comenzar con el hecho de que los datos son activos poderosos que garantizan la seguridad de cinco estrellas y el equipo de ciberseguridad quiere ayudar al equipo de MDM a proteger sus datos. Demostrar respeto por el valor de los datos y del equipo de MDM ayudará a construir una relación basada en intereses comunes. Es fundamental evitar ser torpes, ya que esto agriará rápidamente la relación entre los equipos.

A medida que se establece la relación, se puede solicitar la documentación del proyecto. Después de un estudio en profundidad, es aconsejable comenzar con los conceptos básicos de encriptación de los datos de MDM, tanto en reposo como durante el tránsito, con un enfoque en la información sensible y valiosa. Después de abordar el cifrado, es posible comenzar a aplicar el resto de las normas y políticas de la organización de ciberseguridad al nuevo proyecto, incluido IAM, administración de parches y retención de datos. Esto permitirá que el equipo de MDM siga siendo responsable de los datos al tiempo que incorpora una vista de ciberseguridad.

Se deben analizar todas las nuevas tecnologías o procesos que requerirá el proyecto y, si es necesario, nuevos estándares de ciberseguridad y/o políticas desarrolladas para cubrirlos. Además, es importante identificar las herramientas que se utilizarán para que el equipo de seguridad cibernética pueda garantizar que estén protegidas. De forma continua, se debe evaluar la solidez de la seguridad de las herramientas de acceso que puedan usar los analistas de datos de la empresa.

Para asegurar adecuadamente los datos de MDM en el futuro, se deben desarrollar y mantener mapas de datos detallados durante el ciclo de vida de los datos. Después de la implementación inicial de MDM, la seguridad de sus datos y procedimientos debe incluirse en los procesos de revisión estándar de la organización.

En última instancia, lo más importante es que debe haber confianza, respeto mutuo y fuertes relaciones de trabajo entre las TI, la organización empresarial y el equipo de ciberseguridad. No tener esas relaciones en su lugar puede exponer a la organización al ciberriesgo.

Notas finales

1 Whittaker, Z.; “Millions of Verizon Customer Records Exposed in Security Lapse,” ZDNet, 12 July 2017, www.zdnet.com/article/millions-verizon-customer-records-israeli-data/
2 Informatica, Glossary of Terms, What Is Master Data Management (MDM)? https://www.informatica.com/services-and-training/glossary-of-terms/master-data-management-definition.html
3 Database Answers, Master Data Management Tutorial, www.databaseanswers.org/tutorial4_mdm_in_crm/index.htm

Chip Jarnagin, CISSP, CSM, PMP
Es un consultor en LatticeWorks Consulting. Tiene más de 20 años de experiencia en ciberseguridad, telecomunicaciones e informática. Su artículo “How to Tap IT’s Hidden Potential” fue publicado en The Wall Street Journal. Explica cómo superar la barrera cultural aparentemente impenetrable entre las TI y el resto de la empresa, e integrar efectivamente las TI en la estrategia comercial de la organización. Su artículo “Creating Corporate Cultures Through Mythopoetic Leadership” fue publicado en la revista académica Organizational Dynamics. Es un trabajo original que describe un marco para crear conscientemente la cultura de una organización.

Sonja Hammond, CISSP, ITIL Foundation, PCI-ISA
Es el director de seguridad de la información de Essilor of America, Inc. Ha dedicado los últimos 10 años a desarrollar programas de seguridad cibernética en Essilor, Hewlett-Packard Enterprise y Callaway Golf Company. Ella tiene más de 20 años de experiencia en TI.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.