Privacidad de datos: Descripción general

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se presenta el concepto y las consideraciones de implementación para un encargado de la privacidad de datos o un administrador que controlan la exposición de datos confidenciales en Security Analytics. Además, se incluye información sobre casos de uso recomendados.

Nota: Un plan de privacidad de datos es pertinente a la mayoría de los componentes de Security Analytics. La persona que configura la privacidad de datos debe comprender los componentes de red de Security Analytics, la configuración de hosts y servicios de Security Analytics como se describe en la Guía de introducción de hosts y servicios y los tipos de información que se deben proteger.

Las disposiciones normativas de algunos lugares, como la Unión Europea (UE), exigen que los sistemas de información cuenten con medios de protección de los datos confidenciales. Todos los datos que puedan identificar directa o indirectamente “quién hizo qué y cuándo” se pueden considerar datos confidenciales. Algunos ejemplos son nombres de usuario, direcciones de correo electrónico y nombres de host. Security Analytics proporciona una gama de controles que los clientes pueden aprovechar para proteger los datos confidenciales. Estos controles se pueden usar en una variedad de combinaciones para proteger los datos confidenciales, sin que la funcionalidad analítica disminuya considerablemente.

Una función de usuario para un Encargado de la privacidad de datos (DPO) se agregó en Security Analytics 10.5 para apoyar la administración de datos confidenciales. El DPO puede configurar Security Analytics para limitar la exposición de metadatos y contenido crudo (paquetes y registros) mediante una combinación de técnicas. Entre los métodos disponibles para proteger los datos en Security Analytics se incluyen:

  • Ocultamiento de datos
  • Aplicación de la retención de datos
  • Registro de auditoría

Ocultamiento de datos

Security Analytics ofrece opciones configurables para el ocultamiento de datos. Los encargados de la privacidad de datos y los administradores pueden especificar qué claves de metadatos son confidenciales en su ambiente y limitar dónde se muestran los valores de metadatos y los datos crudos para ellas en la red de Security Analytics. En lugar de los valores originales, Security Analytics puede proporcionar representaciones ocultas para permitir la investigación y la analítica. Además, los DPO y los administradores pueden impedir la persistencia de valores de metadatos confidenciales y registros o paquetes crudos.

Tres métodos actúan en conjunto para implementar el ocultamiento de datos:

  • Ocultamiento de valores de metadatos para claves de metadatos confidenciales con un valor de sal opcional. Las claves de metadatos configuradas como protegidas se representan con valores ocultos en el momento de la creación en un Decoder o un Log Decoder. Para implementarlo, debe configurar el algoritmo hash y el valor de sal de Decoder y Log Decoder, y configurar claves de idioma confidenciales como protegidas en todos servicios de Security Analytics Core.
  • Acceso basado en funciones (RBAC) a los registros o los paquetes crudos y los valores de metadatos confidenciales. El DPO puede usar funciones con funcionalidades de permisos granulares para restringir lo que puede ver un analista en comparación con un encargado de la privacidad de datos durante la configuración, el análisis y la investigación. En la Guía de administración de usuarios y seguridad del sistema se proporciona un análisis en profundidad de la implementación del RBAC en Security Analytics. Para implementarlo, debe configurar la visibilidad de metadatos y contenido por función en Brokers, Concentrators, Decoders, Log Decoders y Archivers individuales.
  • Impedimento de la persistencia de valores de metadatos confidenciales y registros o paquetes crudos. Para implementarlo, debe configurar como transitorias las claves de metadatos en los analizadores para Decoders y Log Decoders individuales.

Nota: De acuerdo con los permisos de la función Analista predeterminada de Security Analytics, un analista al cual se le impide ver ciertos metadatos puede exportar y descargar PCAP para las claves de metadatos restringidas desde Investigation y ver los datos en una aplicación de otros fabricantes, como Wireshark. Para impedir esto, el DPO debe quitar el permiso sdk.packets de la función Analista predeterminada. Sin embargo, tenga presente que la eliminación del permiso sdk.packets para la función Analista limita la exportación o la descarga de PCAP para todos los analistas con esa función, lo cual les impide realizar ciertos tipos de análisis. Si los analistas deben tener la capacidad de exportar o descargar PCAP, un DPO puede aprovechar la función de auditoría global de Security Analytics para capturar eventos relacionados con tales exportaciones o descargas, y monitorear infracciones de política en los registros de auditoría.

Aplicación de la retención de datos

Security Analytics puede asegurarse de que los datos se conserven solo el tiempo que sea necesario o lo que se especifique. Un administrador puede configurar la retención de datos mediante el uso de umbrales de antigüedad y tiempo por servicio. Los programadores que se ejecutan en cada servicio eliminan automáticamente los datos que alcanzan esos umbrales. Cuando los datos se eliminan, dejan de estar disponibles a través de las interfaces del usuario, las consultas o las llamadas a la interfaz de programación de aplicaciones (API). Algunos de los componentes de Security Analytics también son compatibles con la depuración de datos por medio de sobrescrituras.

Un administrador puede administrar la retención de datos de varias maneras:

  • Configurar durante cuánto tiempo persisten los datos en el almacenamiento del sistema.
  • Para los servicios Core, quitar estratégicamente los datos confidenciales que se pueden haber escrito mediante la configuración de la eliminación automática de datos de una antigüedad específica.
  • Configurar Security Analytics de modo que los datos originales no se envíen ni se guarden en los otros componentes. Si los datos confidenciales llegan a otra base de datos en los servidores de Reporting Engine, Malware Analysis y Security Analytics, la retención de datos también se puede administrar ahí. Esta configuración para Event Stream Analysis se administra en la vista Explorador de servicios.

Nota: si se presenta una situación en la cual el DPO decide que los datos ya recopilados son confidenciales una vez que el sistema está funcional, el administrador puede sobrescribir manualmente los datos de las bases de datos o los archivos donde están guardados.

Registro de auditoría

Los administradores pueden aprovechar los registros de auditoría que crea Security Analytics mediante la función Registro de auditoría global. La función del registro de auditoría genera entradas del registro de auditoría acerca de muchas actividades y los siguientes son ejemplos de entradas del registro que son pertinentes a la privacidad de datos:

  • Modificaciones a permisos y usuarios asignados a funciones.
  • Intentos de inicio de sesión en Security Analytics fallidos y correctos y cierres de sesión.
  • Eliminación de datos.
  • Exportaciones y descargas de datos.
  • Navegación de usuarios a interfaces del usuario y consultas que realizaron los usuarios.
  • Intentos (satisfactorios o no) de ver o modificar datos confidenciales, incluida una identificación del usuario que hizo los intentos.

Todas las entradas del registro de auditoría son parte de una pista de auditoría estándar para Security Analytics. Los administradores pueden configurar Security Analytics de modo que reenvíe registros de auditoría a un destino especificado, incluidos sistemas de otros fabricantes, para proporcionar funcionalidades adicionales de filtrado y creación de informes. Para obtener más información acerca del registro de auditoría global, consulte Configurar el registro de auditoría global en la guía Configuración del sistema.

Componentes que cubre la función de privacidad de datos

En la siguiente figura se identifican con una marca de verificación verde los componentes de Security Analytics que cubre la función de privacidad de datos de 10.5 o superior. Las funciones de privacidad de datos no son compatibles con los componentes marcados con una X. En la Guía de introducción de Security Analytics se proporciona una descripción funcional de los componentes de Security Analytics.

Nota: Las funciones de privacidad de datos de Security Analytics no son compatibles con Warehouse, ya que este puede recibir metadatos protegidos a través de Warehouse Connector, a menos que se configure explícitamente su filtrado mediante filtros de metadatos de Warehouse Connector. Si los metadatos protegidos llegan a Warehouse, los usuarios que tienen acceso directo a él pueden consultarlos. Los encargados de la privacidad de datos deben impedir esto mediante controles administrativos, técnicos y procedimentales fuera de Security Analytics.

Implementación de las funciones de privacidad de datos por componente

En la siguiente tabla se identifican las funciones de privacidad de datos compatibles con cada componente de Security Analytics. Para cada componente, una marca de verificación indica si el componente es compatible con el ocultamiento de datos, la aplicación de la retención de datos, la sobrescritura de datos y el registro de auditoría.

                                                                                                         
ComponenteOcultamiento de datosAplicación de la retención de datos Sobrescritura de datosRegistro de auditoría
del almacenamiento
Decoder checkmark3.png checkmark3.png checkmark3.png checkmark3.png
Log Decoder checkmark3.png checkmark3.png checkmark3.png checkmark3.png
Agregación de metadatos
Concentrator checkmark3.png checkmark3.png checkmark3.png checkmark3.png
BrokerN/D checkmark3.png
(almacenado únicamente en la caché de DPO)1
  checkmark3.png
Analítica en tiempo real  
Investigation checkmark3.png checkmark3.png
(almacenado únicamente en la caché de DPO)2
  checkmark3.png
Event Stream Analysis checkmark3.png    checkmark3.png
Malware Analysis checkmark3.png checkmark3.png   checkmark3.png
Incident Management checkmark3.png checkmark3.png   checkmark3.png
Informes
Reporting Engine checkmark3.png checkmark3.png   checkmark3.png
Analítica a largo plazo
Archiver checkmark3.png checkmark3.png checkmark3.png
(sin comprimir)3
checkmark3.png
Warehouse    

Notas:
1. Los Brokers pueden almacenar datos en caché, los cuales se deben borrar mediante la configuración de una transferencia independiente y de otra forma de eliminación de la caché según sea necesario. El administrador puede configurar la transferencia de la caché para un Broker mediante el programador en la pestaña Archivos de la vista Configuración de servicios.
2. Datos de la caché de Investigation y del servidor de Security Analytics, los cuales se borran automáticamente cada 24 horas.
3. El procedimiento de sobrescritura que se describe en Configurar retención de datos se aplica a los datos sin comprimir.

Reglas de configuración específicas de los componentes

Los componentes y los módulos de Security Analytics que obtienen acceso a metadatos confidenciales y a sus equivalentes ocultos son Investigation, Event Stream Analysis (ESA), Malware Analysis, Incident Management y Reports. Obtienen acceso a los datos en función de los permisos definidos para la función a la cual pertenece el usuario. El administrador o el DPO configuran cada Decoder o Log Decoder para identificar claves de metadatos marcadas para ocultamiento.

Estos componentes tienen reglas adicionales que permiten verificar el funcionamiento esperado con un esquema de privacidad de datos:

  • Event Stream Analysis. Cuando ESA recibe datos confidenciales de Security Analytics Core, solo transmite la versión oculta de los datos. ESA no almacena ni muestra datos protegidos. Existen algunas reglas adicionales para configurar reglas de EPL avanzado y orígenes de enriquecimiento (las cuales se describen en el tema Datos confidenciales de la guía Alertas mediante ESA).
  • Malware Analysis. Malware Analysis hace referencia a ciertas claves de metadatos durante el puntaje, incluidas alias.host, client y otras. Para asegurarse de que no se pierda funcionalidad analítica, Malware Analysis se debe configurar como un cliente de confianza; es decir, se debe configurar de modo que se conecte a la infraestructura de Security Analytics Core con una cuenta equivalente a un usuario con la función de DPO. De lo contrario, si las claves de metadatos a las cuales hace referencia Malware Analysis se etiquetan para ocultamiento y Malware Analysis no puede acceder a ellas, algunos de los indicadores de riesgo (IOC) pueden volverse ineficaces.
  • Incident Management. Incident Management usa un archivo de mapeo de privacidad de datos para mostrar datos ocultos en alertas (consulte el tema Ocultar datos privados en la guía Incident Management) y tiene un período de retención de datos configurable para las alertas (consulte el tema Configurar un período de retención para alertas e incidentes en la guía Incident Management).
  • Informes.En Reporting Engine, cada servicio Core se agrega como dos orígenes de datos por separado con el uso de las dos cuentas de servicio por separado; un origen de datos tiene una cuenta de servicio que representa a la función Encargado de la privacidad de datos y el otro, una cuenta de servicio que representa a una función distinta a Encargado de la privacidad de datos. En el tema Configurar la privacidad de datos para Reporting Engine de la Guía de configuración de Reporting Engine se proporcionan procedimientos para configurar la privacidad de datos para Reporting Engine.

 

 

Tema relacionado

You are here
Table of Contents > Descripción general de la privacidad de datos

Attachments

    Outcomes