Big Data en seguridad: ¿Should I stay or should I go?

Conocer qué está pasando ahora mismo, qué me ocurrió en el pasado sin que yo lo advirtiera, o qué puede ocurrir en el futuro, suena interesante desde el punto de vista de la seguridad, ¿no?. Los análisis de datos aislados o los reportes prefabricados de logs de un firewall, un IDS o un sistema antivirus corporativo, no están mal, pero, para qué negarlo, no dan respuesta a las preguntas del principio, o al menos no ofrecen la respuesta que nos gustaría.

Entre proyecto y proyecto he podido dedicar un tiempo a comprender el análisis de datos masivo o big data desde dentro, y la experiencia ha sido más que positiva. Nada como volver a tomar apuntes y ejecutar un Linux para abrir la mente.

Siempre me ha gustado trabajar con métricas, indicadores y su algoritmia, tuve un buen maestro, lo cual, me llevó a proyectos con cuadros de mando de seguridad y reporting de eventos con base en aproximaciones más artesanales que analíticas, algo que es de gran utilidad si se tiene claro lo que se desea medir, pero la capacidad de procesado y análisis sigue siendo muy acotada. Es en este punto en el que entran marcos como hadoop, los cuales combinados con motores de flujos y eventos ofrecen una enorme posibilidad de cálculo: mayor capacidad de análisis de datos, datos de mayor antigüedad (muestra exponencialmente más extensa) y mejor contextualización.

Recibir en la puerta de tu casa el disco que estabas deseando sin haberlo pedido, obtener ofertas y descuentos en productos o servicios de los cuales eres usuario empedernido… ¿los Reyes Magos?, ¿Papá Noel? – No, ¡big data!

Con una capacidad de procesar registros históricos e información proveniente de múltiples bases de datos, encontrar patrones predefinidos es más probable, pudiendo incluso detectar situaciones o hechos que antes simplemente éramos incapaces de descubrir. De esta manera, al extenderse el análisis, tendremos un mayor número de inputs para nutrir a nuestro cuadro de mando. Pero, ¿esto implica mayor conocimiento?

Pues no necesariamente, puesto que como se explicaba al comienzo del artículo, tener más capacidad de procesado o análisis es una gran ventaja, pero si no se tiene claro lo que se desea obtener y no se fija una algoritmia, consistente en una red de métricas dependientes y orientadas a indicadores concretos y precisos, el proyecto podría no ser todo lo satisfactorio que cabría esperar.

El éxito reside en combinar con pericia esa capacidad de análisis con una labor específica de gobierno de la seguridad, teniendo claro qué es lo que necesitamos, y cómo lo queremos. Sólo a raíz del establecimiento de un conjunto de métricas e indicadores concreto y certero, el análisis de datos masivo añadirá valor a la función de seguridad, de lo contrario habrá que prepararse para un nuevo big fail.

Fuentes de referencia:

  • Big Data Analytics for Security Intelligence – CLOUD SECURITY ALLIANCE.
  • Big Data fuels Intelligence-driven security – RSA.
  • Big Data Security and Privacy Requirements v1.1 – NIST.
  • Security Metrics: Replacing Fear, Uncertainty, and Doubt – Andrew Jaquith.