En el trabajo de enmascaramiento de datos se deben tener en cuenta en todo caso unos criterios para que dicho enmascaramiento se haga de una manera correcta. Lo primero que hay que tener en cuenta es la diferencia entre información sensible y datos que no entran en esta categoría. Además, es importante ser consciente de que los entornos de pruebas no son el único escenario donde puede resultar necesario recurrir al data masking.
Enmascaramiento de datos: distintos escenarios y diferentes niveles de protección
Uno de los problemas que se tienen habitualmente es que el cliente trata a las normas legales sobre datos sensibles como algo sagrado, inquebrantable y que no se puede modificar. Sin embargo, es muy diferente el cumplimiento a la generalización.
Acatar las regulaciones y normas de datos sensibles no significa tener que enmascarar todos los datos. Por ello, es importante entender que el objetivo de las normas de protección de datos es que no se pueda encontrar la versión original, algo que no implica el enmascaramiento de toda la información con la que se va a trabajar.
De hecho, enmascarar muchas columnas es una práctica asociada a inconvenientes como:
- Malgasto de tiempo y recursos.
- Aumento de coste del proyecto de enmascaramiento.
- Incremento de la posibilidad de introducción de errores.
- Apreciación distorsionada de la realidad.
La mayoría de mejores prácticas en data masking afirman que sólo se deben atacar los datos altamente sensibles, que son los que pueden ocasionar un grave daño en el caso de publicarse. Superar este límite de enmascaramiento podría significar el aplicar técnicas de data masking sin un objetivo productivo.
Pero, ¿qué datos pueden considerarse así?
La definición de datos sensibles es bastante amplia y cambia de un país a otro, de una organización a otra e incluso de un individuo a otro.
Datos como el número de la Seguridad Social se consideran extremadamente sensibles en países como Dinamarca o Estados Unidos. En España, no cabe dudas, el número de DNI estaría incluido en este mismo grupo.
Información sobre los registros de salud también se considera información sensible, igual que lo son los datos asociados a tarjetas de crédito / débito.
Tal vez te interese leer:
Identificar y clasificar los datos sensibles para el Data Masking
Pero los datos confidenciales se extienden a otros registros que almacenan las empresas, como los detalles del salario de un empleado. Del mismo modo, la propiedad intelectual o los datos de investigación también se consideran de naturaleza sensible. Resulta recomendable seguir siempre diferentes rutinas de enmascaramiento según el grado de exposición y cantidad de control requerida sobre las bases de datos (emergencia, interna o terceros).
Hay que concentrar los esfuerzos en priorizar el enmascaramiento de datos de las columnas relevantes, para poner el foco en lo que realmente se debe proteger.
Y esta norma no está únicamente asociada a entornos de pruebas. El enmascaramiento de datos se puede aplicar a todas las situaciones en las que una organización no quiere revelar datos reales.
¿La información sensible de tu organización está debidamente protegida? ¿Sabes cómo y cuándo recurrir al enmascaramiento de datos? ¿Conoces el dynamic data masking?