Enmascaramiento de Datos visto por uno de sus expertos: Juan Oñate, CEO de PowerData.
Dentro del amplísimo campo de la seguridad, ¿qué matiz aportan las soluciones de enmascaramiento?
Muchas grandes compañías tienen implementados múltiples resortes para que no se produzca acceso a los datos productivos pero, al tiempo, tienen multitud de departamentos y de empresas subcontratadas desarrollando proyectos y en ese espacio es donde pueden producirse brechas. Mediante el enmascaramiento se busca que nadie que trabaje interna o externamente en un proyecto tenga acceso a datos reales, evitando que las bases de datos circulen con ligereza.
Al hablar de enmascaramiento encontramos que hay dos formas de aplicarlo: persistente y dinámicamente. ¿En qué consiste cada una?
Evidentemente, se trata de dos tecnologías distintas. El enmascaramiento persistente es el más común e implica convertir la base de datos productiva en una base de datos en la que se encuentra la información traducida- enmascarada con un valor de referencia distinto al original, pero que conserva la coherencia. Todos los campos que se quieren enmascarar (nombres, números de cuenta, ingresos anuales) quedan registrados de forma persistente y están disponibles para hacer un análisis cada vez que así se requiera. Por ejemplo: en esa “sub-base de datos”, Juan Oñate ya no existe, sino que ahora soy José Martínez. Mi número de teléfono o código tampoco existe, sino que es el que se ha determinado previamente y mi fecha de nacimiento no es la mía pero tiene el formato de una fecha.
Respetando unas reglas se configura, entonces, un entorno diferente al original pero que mantiene los rasgos.
Así es. Un nombre es un nombre, una fecha es una fecha, una cantidad una cantidad. Todo aquello que se cambia es consistente. Si se cambiara un número por una letra se perdería esa consistencia, los datos no se reconocerían y no podría hacerse ningún tipo de análisis.
¿El proceso también implica crear bases de datos reducidas?
La tecnología de enmascaramiento persistente se relaciona con la tecnología de subsetting. En los proyectos, el cliente decide qué porcentaje de la base de datos quiere extraer y crea una sub-base de datos enmascarada.
En el enmascaramiento persistente, por tanto, existe una base de datos original y una base de datos enmascarada que puede ser completa o puede tratarse de un subconjunto, como acostumbra a ser. Al final se establecen dos bases de datos: la original y la enmascarada.
¿Y el enmascaramiento dinámico en qué consiste, entonces?
En el enmascaramiento dinámico solo existe la base de datos original y cuando se accede a ella se establece una capa de enmascaramiento por medio de la cual, aunque el registro original sea mi nombre, Juan Oñate, lo que se “ve” es José Martínez. Y esto se hace dinámicamente, no se ha grabado. Lo traduce enmascarado con una serie de reglas que son muchas y complicadas, pero lo hace de modo dinámico. No existe un registro enmascarado en una sub-base de datos como ocurre con el enmascaramiento persistente.
¿Y qué diferencias existen a la hora de implantarlos?
Cada uno se aplica según las necesidades de cada organización. En el persistente, una vez que se ha hecho la copia, el proceso de enmascarar ha terminado. El dinámico implica un acceso continuo a los tipos de datos y ahí hay involucradas otras tecnologías adyacentes.
¿Hay algún tipo de empresa más susceptible que otra de aplicar la tecnología de enmascaramiento?
Todas las empresas que manejan datos sensibles necesitan enmascarar sus datos. La seguridad es una cuestión horizontal y un imperativo que han de seguir las compañías si no quieren verse expuestas a pérdidas en sus datos que se derivarían en multas gravosas y causarían un daño irreparable en su reputación. Dicho esto, es cierto que hay sectores más sensibles que otros: financiero, utilities, telco y retail son los más proclives a implantar el enmascaramiento mientras que en la Administración Pública existe un desarrollo menor de estas prácticas.
La IA y el gobierno de datos transforman organizaciones. Descubre casos reales y beneficios que revolucionan la toma de decisiones empresariales.
Descubre por qué las cuestiones relativas a la seguridad informática en las empresas son cuestión de prevención de data loss y data leakage
El Market Intelligence es toda la información que recopilamos, que se relacionan con el mercado, los clientes y la competencia. Conoce cómo lograrla.