El siguiente paso en el proceso de enmascaramiento de datos sería identificar y clasificar los datos sensibles.
El término de datos sensibles es muy subjetivo respecto de cada organización. Muchas de las definiciones de datos sensibles están regulados por ley pero ello no significa que dichos datos sean todos los datos sensibles, ya que de por sí la palabra dato sensible se refiere a todo aquel dato que puede producir alguna sensación, y por ello dependerá de cada organización cuál es ese criterio de sensibilidad.
Para identificar y clasificar los datos sensibles se tiene en cuenta si se tienen que satisfacer normas legales y para ello se deberán ver las normas, su descripción y hacer sus equivalencias dentro del negocio al que vamos a ofrecer el servicio de enmascaramiento de datos.
Si el usuario no está seguro o no se ha hecho nunca el trabajo de determinar cuáles son los datos sensibles existen diferentes normas internacionales que podemos adoptar para que el cliente pueda tener idea de como comenzar a definir sus datos sensibles, como son las PII, PCI DSS, HIIPAA.
No obstante, se debe tener en cuenta en todo caso que a pesar de lo que está regulado por ley como dato sensible tenemos que hacer que el cliente defina dentro de su negocio a parte de dichos requerimientos legales qué datos por el bien del negocio desean enmascarar.
Se pueden definir tres categorías para los datos sensibles. Por un lado están los datos altamente sensibles, por otro lado los datos moderadamente sensibles y finalmente los demás datos, que serían los no sensibles y que no nos interesan.
Estos niveles y categorías nos permiten ver qué tipo de algoritmos de enmascaramiento vamos a realizar, ya que deberíamos enfocarnos sobre todo a los altamente sensible que son los que pueden causar algún daño directo dentro de nuestro funcionamiento de negocio, siendo los moderadamente sensibles más bien temas internos del propio negocio.
Conclusión
El objetivo de ello es determinar el alcance final del proyecto. En concreto, debemos apoyar al cliente en satisfacer sus normas legales y si no las tiene apoyarlo a que adopte alguna norma y ayudarle a que identifique dentro del negocio lo que en realidad es sensible para él, de manera que, al tener identificados cuáles son los datos sensibles para ese cliente nosotros podremos así determinar cuál es el alcance final del proyecto.
Tal vez te interese leer:
Cómo la nube impulsa la innovación en el negocio