Saltar al contenido

7 criterios clave de seguridad para herramientas de datos: una guía del comprador

15 de julio de 2023

¿Cuántas herramientas SaaS especializadas tiene su empresa para mover, analizar y perfilar datos entre departamentos? Si eres como la mayoría de las empresas digitales de hoy, la respuesta es «más y más».

En la última década, la descentralización de las competencias de datos y la mayor adopción de modelos de implementación basados ​​en la nube han dado como resultado una gama más amplia que nunca de herramientas de datos en el mercado y una mayor necesidad que nunca de usarlas. Incluyen:

  • Plataformas de extracción, transformación, carga (ETL) y extracción, carga, transformación (ELT)
  • Plataformas de información como servicio (iPaaS)
  • Soluciones de almacenamiento de datos
  • Soluciones de visualización de datos
  • Motores de ML/IA que incorporan modelos de datos y construyen modelos de ingeniería de IA sobre ellos

El uso de tales herramientas para construir una arquitectura de datos componible es clave para mantenerse ágil en el mundo de los negocios digitales en rápida evolución, pero plantea dos preguntas importantes sobre la seguridad: ¿Cómo podemos garantizar que los proveedores de soluciones de datos SaaS mantengan seguros nuestros datos y los de nuestros clientes? ¿Qué mecanismos de seguridad ofrecen estas herramientas para ayudar nosotros como usuarios evitar la fuga de datos confidenciales?

Con las multas de GDPR y los incidentes de piratería en aumento, las empresas deberían responder estas preguntas antes de comprar.

7 criterios de seguridad para guiar a los compradores de herramientas de datos

A continuación se presentan siete criterios a tener en cuenta al evaluar la idoneidad de cualquier herramienta de datos para su inclusión en su pila de datos.

Certificación SOC 2 Tipo 2

SOC 2 (System and Organization Controls 2) es un tipo de informe de auditoría que mide la seguridad con la que las organizaciones de servicios, en particular las que brindan servicios basados ​​en la nube, manejan los datos de los clientes. Más específicamente, es una evaluación independiente de los controles de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

Mientras que los informes de tipo 1 son solo instantáneas de los controles de una organización en un momento específico, los informes de tipo 2 evalúan la eficacia de los controles de una organización de servicios durante un período de tiempo más largo (mínimo 6 meses).

Recomendado:  Cuando la ciencia de los datos se une al SEO técnico

Por lo tanto, la certificación SOC 2 Tipo 2 es el estándar sobre cómo los proveedores de servicios en la nube deben administrar los datos de los clientes.

Certificación o Cumplimiento ISO 27001

ISO 27001 es un estándar internacional para sistemas de gestión de seguridad de la información (SGSI) y sus requisitos. La certificación o el cumplimiento de esta norma es un sustituto razonable o un complemento adecuado de la certificación SOC 2 Tipo 2. (Sin embargo, la certificación SOC 2 Tipo II es más exhaustiva porque requiere una verificación in situ por parte de un auditor independiente).

El estándar prevé seis áreas de seguridad de datos: política de seguridad de la empresa, gestión de activos, seguridad física y ambiental, control de acceso, gestión de incidentes y cumplimiento normativo.

Cumplimiento de importantes estándares locales y regionales de protección de datos

Dichos estándares incluyen GDPR para Europa, CCPA e HIPAA en los EE. UU., LGPD para Brasil y POPIA para Sudáfrica.

Aunque no es posible obtener la certificación para todos estos (por ejemplo, no existe la certificación GDPR), los proveedores de herramientas de datos que operan en estas áreas deben tomar medidas para garantizar el cumplimiento. Afortunadamente, si un proveedor de herramientas de datos tiene la certificación SOC 2 Tipo 2, también cumple de manera predeterminada con los estándares mencionados anteriormente.

Capacidad de enmascaramiento/exclusión de datos

Las capacidades de enmascaramiento y exclusión de datos son algo que buscaría específicamente en una herramienta de integración de datos, porque evitan el flujo de información de identificación personal (PII) y otros datos confidenciales de un sistema a otro por completo.

Los CRM y ERP, por ejemplo, son sistemas que contienen una gran cantidad de datos confidenciales sobre clientes y empleados, como información de direcciones, información de nómina, etc. Estos sistemas tienen niveles de acceso estrictamente controlados, por lo que mientras los datos confidenciales permanezcan dentro de ellos, no hay mucho riesgo de seguridad. Si su herramienta de integración de datos ofrece la funcionalidad de exclusión de datos, simplemente puede excluir o no extraer: datos confidenciales al mover conjuntos de datos entre sistemas.

Recomendado:  Yellowbrick 6 avanza en las implementaciones de almacenamiento de datos en la nube

Pero, a veces, la información sensible necesidades para ser extraído; por ejemplo, cuando una dirección de correo electrónico es el único identificador de cliente razonable para usar en sistemas posteriores. Si su herramienta de integración de datos ofrece funcionalidad de enmascaramiento, puede enmascarar o aplicar hash a estos datos durante la extracción. De esta forma, se conserva la unicidad de la dirección de correo electrónico como identificador, pero la dirección de correo electrónico en sí misma se oculta a la vista.

Control de acceso basado en roles (RBAC)

Los proveedores deberían permitirle establecer varios niveles de permisos para el uso de sus herramientas, por ejemplo, para ver, editar, autorizar, etc. Esto facilita mucho la gestión de los controles de acceso, ya que permite a los administradores asignar permisos a roles en lugar de a usuarios individuales.

Capacidad de cifrado de datos

Hay dos tipos básicos de cifrado de datos: cifrado en reposo y cifrado en tránsito. Para las herramientas que mueven datos, pregunte sobre el cifrado en tránsito (¿El proveedor admite túneles SSH y VPN?). Para las herramientas que almacenan datos, pregunte sobre el cifrado en reposo (¿Qué tipo de cifrados se utilizan? AES256 es el estándar).

Para ambos tipos de herramientas, pregunte cómo se almacenan las claves de cifrado. La práctica recomendada es utilizar un servicio de administración de claves de módulo de seguridad de hardware (HSM) de terceros, como AWS Key Management Service. Los proveedores que usan servicios como este en realidad no tienen acceso a las claves porque están encriptadas a través de la API del servicio.

Sistemas de registro y auditoría

Asegúrese de que cada herramienta tenga un sistema de registro en su lugar. De esta manera, puede mantener una visión general completa de toda la actividad dentro de la herramienta y, si alguna vez ocurre un incidente de seguridad. hace ocurra, tendrá todos los registros que necesita para realizar un análisis forense.

Recomendado:  Análisis FODA del mercado de software de Big Data 2021, panorama competitivo y crecimiento significativo

Sin bala de plata, solo diligencia debida

Aunque confiamos cada vez más en las medidas que toman los proveedores de herramientas para garantizar la seguridad de nuestros datos, nosotros mismos somos tan responsables como siempre lo hemos sido.

De hecho, no importa qué tan segura sea una herramienta de datos por parte del proveedor, aún debería brindarnos las capacidades que necesitamos para hacer nuestra parte.

Si alguna herramienta de datos determinada cumple con los criterios anteriores, sabrá que su proveedor presta la debida diligencia a la seguridad de los datos, para que usted también pueda hacerlo.

Sobre el Autor

Petr Nemeth es el fundador y director ejecutivo de Dataddo, una plataforma de integración de datos sin código totalmente administrada que conecta servicios basados ​​en la nube, aplicaciones de tablero, almacenes de datos y lagos de datos. La plataforma ofrece ETL, ELT, ETL inverso y funcionalidad de replicación de datos, así como una amplia cartera de más de 200 conectores, lo que permite a los profesionales de negocios con cualquier nivel de experiencia técnica enviar datos desde prácticamente cualquier fuente a cualquier destino. Antes de fundar Dataddo, Petr trabajó como desarrollador, analista y arquitecto de sistemas para empresas de telecomunicaciones, TI y medios en proyectos a gran escala relacionados con Internet de las cosas, big data e inteligencia empresarial.

Regístrese para recibir el boletín gratuito insideBIGDATA.

Únase a nosotros en Twitter: https://twitter.com/InsideBigData1

Únase a nosotros en LinkedIn: https://www.linkedin.com/company/insidebigdata/

Únase a nosotros en Facebook: https://www.facebook.com/insideBIGDATANOW