Big Data introduce la variable del “tiempo real” en el análisis forense. Los principales retos son cumplir con un marco regulatorio aún inmaduro y concienciar a las empresas de la importancia de eliminar datos duplicados u obsoletos

Aunque aún se encuentra en una fase incipiente, cada vez son más las empresas que se suben al carro de Big Data, una revolución imparable con innegables ventajas y con la privacidad como cuestión más espinosa. El análisis de grandes volúmenes de datos, la mayoría procedentes de fuentes no estructuradas, conlleva la extracción de información de valor que antes no proporcionaban ni las herramientas más avanzadas de Business Intelligence. Estos datos permiten conocer a fondo todas las variables, interpretar el presente para hacer predicciones y tomar las mejores decisiones para el negocio.

Sin embargo, la industria de la Seguridad de la Información y las instituciones que velan por el cumplimiento normativo se afanan por encontrar el equilibrio entre analítica y privacidad. Son varias las cuestiones que asaltan a las entidades públicas y privadas y que invitan a la reflexión: ¿Son confiables las fuentes de las que proceden los datos analizados? ¿El análisis de datos no puede acarrear conflictos con los organismos reguladores? ¿Pueden mis competidores saber más cosas sobre mi organización si entra en el ‘juego’ de Big Data?

La metodología de análisis forense se ve abocada a ampliar su radio de acción y a ser más precisa en tareas como la identificación, captura, revisión y análisis de los datos. El procedimiento basado en detección y análisis de evidencias se ve trastocado con una variable que marca la diferencia: el tiempo real. Los fallos de seguridad en un entorno de Big Data demandan un examen exhaustivo de lo ocurrido, poniendo el foco en fuentes de datos como social media, emails, datos de geolocalización, metadatos y transacción de logs, entre otros aspectos.

En este nuevo marco de actuación, aumenta la importancia del borrado de los datos. ¿Por qué? Para facilitar, en primer lugar, un análisis efectivo de la información orientado a lograr resultados de valor y, por otro lado, para evitar fallos o fuga de datos confidenciales a un paradero no controlado. En este sentido, los expertos abogan por eliminar duplicados, datos incorrectos o desactualizados, así como archivos que lleven a una situación de conflicto ante la falta de unificación de criterios (formato de fecha, códigos postales, códigos de país, etc.).

Visualizar más allá

La monitorización del tráfico de red se torna fundamental para el propósito de hallar evidencias de intrusiones o fallos de seguridad. Aquí es donde Forensics bebe del real-time. Las herramientas más efectivas son aquellas capaces de ofrecer una captura completa de lo que está sucediendo en la red, de todos los paquetes de datos. La visualización es la clave.

Los proveedores de soluciones de análisis forense se encuentran ante el reto de brindar a sus clientes respuestas ajustadas en tiempo y forma, incluso trabajando sobre fuentes de datos no estructurados. Este mercado camina poco a poco hacia la madurez, por medio de algunas herramientas desarrolladas sobre Hadoop, la distribución más importante de código abierto en el espacio de Big Data. No reemplaza las bases datos o las aplicaciones existentes, sino que interactúa con la infraestructura de cada organización.

Tras el lanzamiento de una de las soluciones estrella de análisis forense de su compañía, Brendan Hannigan, máximo responsable de IBM Security Systems decía que "cada brecha de seguridad es una carrera contra el tiempo”. El valor de una herramienta de análisis forense es poder aprovechar todas las capacidades de inteligencia de seguridad, en palabras del directivo. “Nuestra misión es ayudar al equipo de TI a prevenir las amenazas emergentes y determinar mejor el impacto de cualquier intrusión”, apuntaba con acierto Hannigan. 

Apoyo normativo

Las recientes medidas aprobadas en un contexto global relativas a la legislación antisoborno y anticorrupción (ABAC) como la US Foreign Corrupt Practice Act (FCPA) y, la más reciente UK Bribery Act, sirven de guías orientadas a un cumplimiento efectivo. Adoptar procedimientos de análisis forense en la monitorización y testeo mejora el compromiso con el Compliance y la prevención del fraude al mismo tiempo que proporciona tranquilidad al consejo de administración.

Una imagen forense de un equipo informático ofrece toda la información del dispositivo, incluso la que se ha eliminado. Es decir, que los analistas forenses pueden operar sobre cualquier disco duro para extraer la huella digital de todo lo que ha sucedido. Entonces, ¿estarían obrando estos profesionales de acuerdo con la ley si analizan elementos cuya información debería haber sido borrada?

En primer lugar, la cuestión es conocer si las empresas españolas están obligadas a borrar los datos de sus discos duros en caso de retirar un equipo informático. Así es, según reza la Ley Orgánica de Protección de Datos (LOPD): “Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior”.

En cualquier caso, esta problemática legal no afecta en demasía a los desafíos más apremiantes del análisis forense, cuyo principal frente abierto es abordar incidencias “en tiempo real”. La elaboración de informes periciales sobre hechos del “pasado” es un área importante de su actividad, pero no la única ni la más importante.

A modo de resumen, tal y como recoge en un informe la principal asociación internacional de auditores de seguridad de la información (ISACA), los desafíos que afrontan los profesionales para atender las demandas de sus clientes son los siguientes:

• Identificarlos datos triviales, redundantes y obsoletos en los diferentes repositorios/bases de datos.
• Tener localizados los datos personales y de carácter sensible
• Clasificarperiódicamente la información y optimizar las acciones de seguridad y procesamiento de datos.
• Hacer uso de la analítica forense siempre que se considere necesario. Las soluciones de monitorización en tiempo real contribuyen a mejorar los resultados.
• Revisar cuáles son aquellos archivos/datos que están sujetos a requerimientos de Compliance (normativas sectoriales, nacionales e internacionales).