Data Masking: Un paso más allá en la seguridad de su información corporativa

Si todavía no conoces qué es data masking, te recomendamos la lectura de nuestro extenso artículo "Enmascaramiento de datos. ¿Qué es?¿Qué debo tener en cuenta?" en el que damos un repaso a distintos e importantes aspectos del data masking.

Para que te hagas una idea de la importancia que puede tener la implantación de un sistema de data masking en una empresa, ahí van algunos datos: en 2011, prácticamente el 90% de las organizaciones estadounidenses sufrieron filtraciones o brechas en sus datos y, en un 39% de los casos eran trabajadores de la propia firma quienes estaban involucrados en esta situación. Así lo demuestran los datos del último estudio U.S. Cost of a Data Breach realizado por Ponemon Institute que destaca el hecho de que, por primera vez en siete años, el coste de estas brechas descendió respecto al año anterior. El informe revela que los fallos de seguridad costaron a las compañías estadounidenses 194 dólares por cada registro de cliente comprometido frente a los 214 de 2010. El impacto en el gasto organizacional también se redujo, análogamente de 7,2 millones de dólares de 2010 a los 5,5 de 2011.

El data masking es necesario, no se puede bajar la guardia

Son buenas noticias pero bajar la guardia no es una opción, especialmente cuando las conocidas como Amenazas Persistentes Avanzadas (APT, en sus siglas en inglés) perfeccionan sus métodos.

Nadie está a salvo. Las malas intenciones no descansan y la creatividad para infiltrarse en las organizaciones y arrebatarles uno de sus principales activos, los datos, se perfecciona cada día.

En este sentido, Gartner asegura que la aceleración de los ataques avanzados, dirigidos y orquestados con planificación e intención de persistir en el logro de sus objetivos, es continua. En los últimos cuatro años se ha multiplicado por cinco el número de amenazas pero lo más destacable es el cambio en la naturaleza de éstas: de ser generales y dispersas se han convertido en persistentes, avanzadas y perfectamente orientadas.

Ante este panorama las organizaciones se enfrentan a un escenario de amenazas evolutivas contra las que no están lo suficientemente preparadas. Son amenazas avanzadas que han atravesado sus técnicas de protección tradicionales y se encuentran alojadas y sin detectar en sus sistemas, insiste Gartner.

Que los datos corporativos se ven comprometidos y atacados desde su origen -la propia base de datos- es un hecho que también refrenda la consultora Verizon, que asegura que la mayor parte de los ataques y prácticamente la totalidad (98%) de los datos robados en 2011 fueron orquestados por grupos organizados externos a la “víctima” por medio de técnicas muy depuradas.

Si a ello se suma el mal uso de los privilegios de acceso a la información por parte de los empleados en aquellas empresas donde no existe un software de data masking implantado; los ataques de hackers y la difusión de un malware cada vez más sofisticado, la situación deja poco espacio para la confianza y los resultados de una falta de protección generan escenarios poco deseables. 

Algunos de los últimos ataques contra datos sensibles

Los últimos años han sido bastante “movidos” en esa línea:

• En 2011 Anonymous lanzó un ataque contra Sony en el que fueron “hackeadas” más de 77 millones de cuentas de usuarios de la PlayStation Network con el consiguiente robo de datos asociados. Sony dio el sitio de baja durante semanas hasta poder ofrecer de nuevo el servicio con seguridad. El ataque implicará un impacto a largo plazo que superará ampliamente los 1.000 millones de dólares de pérdidas.
• También en 2011, millones de usuarios de banca on line de todo el mundo contuvieron la respiración. Para operar en línea se utilizan unos pequeños dispositivos que generan un número temporal pseudo-aleatorio que ayuda en el proceso de autenticación a la hora de operar en línea. En marzo de ese mismo año se hizo público que la información del diseño de esos dispositivos había sido robada como parte de una nueva familia de ataques.
• En abril de 2011 entidades bancarias como JPMorgan Chase, Citigroup o Capital One enviaron un mensaje a sus clientes advirtiéndoles sobre el riesgo de convertirse en víctimas de ataques de phishing en los días sucesivos. La razón de esta advertencia residía en un ataque hacker dirigido contra la firma Epsilon, que gestiona la publicidad vía email de grandes compañías estadounidenses. Al parecer, los ciberdelincuentes habrían conseguido acceder a la base de datos de Epsilon y hacerse con información personal de los clientes relacionados con esta compañía, que mueve anualmente más de 40.000 millones de anuncios.
• En enero de 2012, Anomynous volvió a saltar a los titulares de todo el mundo al lanzar un hackeo masivo contra varias instituciones gubernamentales estadounidenses (el FBI y el Departamento de Justicia, entre ellas) y de la industria discográfica como respuesta al cierre de Megaupload. Con más de 27.000 ordenadores implicados y cerca de 10.000 personas tras ellos, se trata de uno de los mayores ataques informáticos registrado, por encima incluso del que se produjo tras la clausura de WikiLeaks.

Conclusión

Trabajar con datos de producción siempre es un desafío. Sin embargo, pese a las alarmantes noticias que nos llegan, en la actualidad, la mayoría de las organizaciones ya son conscientes de esto e intentan aplicar medidas de seguridad para asegurar su entorno de producción de cara al exterior.

Pero cuando se trata de entornos no productivos como el entorno de desarrollo de la propia empresa o el entorno de pruebas, etc., todavía nos encontramos con problemas. Al no ser común el uso de técnicas de data masking, la seguridad no es la adecuada.

La protección de los datos sensibles no es solamente una responsabilidad moral de una organización, sino que en muchos casos también es una exigencia legal. Estos datos pueden pertenecer al cliente o a los empleados de la organización. Es necesario utilizar herramientas de data masking adecuadas para asegurar que los datos que residen en la organización permanecen seguros mientras nuestro equipo de desarrollo realiza sus trabajos. 

Si quieres información acerca de Data Masking, te puede interesar nuestro artículo sobre "Enmascaramiento de Datos".