Data Masking: ¿a quién va dirigido y por qué implementarlo?

En algunas situaciones, encriptar los datos puede ofrecer la protección necesaria, pero para los entornos operacionales, de desarrollo y de prueba no se trata de una solución tan práctica como el data masking. Los usuarios autorizados necesitan ver los datos y las aplicaciones que procesan esa información no están diseñadas para operar contra datos encriptados.

Créditos fotográficos: LagartoFilm

Qué negocios pueden beneficiarse del data masking

En muchos escenarios empresariales, es necesario ser capaz de “esconder” lo que técnicamente se conoce como información personal identificable, mientras se mantiene la integridad referencial del entorno original. Existen varias vías para acometer este asunto pero el término general acuñado para denominar este proceso es Data Masking o Enmascaramiento de Datos.

Ante la necesidad del cumplimiento normativo sobre la privacidad de los datos y de la multiplicidad de estudios e informes sobre las brechas en seguridad sufridas por grandes y muy conocidas compañías, hoy día es más esencial que nunca considerar con extremo cuidado el uso de los datos personales en los entornos de pruebas.

Esto es así porque la calidad y la seguridad de los datos de prueba afecta a la de las aplicaciones, lo que está llevando a las organizaciones a reconsiderar la manera en la que utilizan los datos de prueba. En realidad, cambiar el modo de trabajar es un imperativo pero, con el creciente volumen de normativas que exigen un mayor control sobre los datos, el desvío de recursos que conlleva la generación de datos de prueba no se contempla como algo estrictamente necesario.

Vulnerabilidad continua de los datos empleados en entornos de prueba y desarrollo

Los métodos actuales de generación de datos de prueba están expuestos a errores, pero cuando la calidad de éstos tiene implicaciones directas en la calidad de la aplicación resultante no debería dejarse espacio para el error y es ahí donde interviene el data masking.

En muchas organizaciones, el número real de fallos de producción puede medirse y la introducción de metodologías de prueba estructuradas se deriva en una reducción de fallos en la fase de pruebas. En el informe Safeguarding Data in Production & Development: A survey of IT Practitioners realizado y publicado por Ponemon Institute en junio de 2012 se pone de manifiesto la vulnerabilidad continua de los datos sensibles y confidenciales debido a la falta de controles y salvaguardas que eviten el acceso a empleados y terceros no autorizados al capital informativo de la compañía.

Éstas son algunas de las conclusiones del informe:

• Un 50% de los encuestados (663 profesionales de seguridad) refiere algún caso de datos comprometidos o robados por un insider malicioso.
• El acceso sin restricciones de los administradores de base de datos eleva el riesgo: el 73% manifiesta que sus DBAs pueden ver datos sensibles en modalidad de texto claro, lo que dispara el riesgo de una violación.
• Los call centers colaboran a poner en el punto de mira los datos sensibles de los clientes, ya que el 76% asegura que su personal del centro de atención telefónica ve o probablemente pueda ver información sensible, como son los datos de la tarjeta de crédito, de forma explícita.
• El 68% de las compañías tiene dificultades para restringir el acceso de los usuarios a los datos sensibles, el 66% tiene dificultades para cumplir las regulaciones en materia de privacidad y datos y el 55% no está seguro de ser capaz de detectar casos de robo/pérdida de sus propios entornos. Aunque el coste de una violación a la seguridad de los datos sea elevado, sólo el 33% de los encuestados reconoce tener un presupuesto acorde para reducir las amenazas desde dentro.

¿Están tus datos seguros? ¿Utilizas el data masking en tu negocio para proteger su integridad en entornos depruebas y desarrollo?