¿Qué es el enmascaramiento de datos?
El enmascaramiento de datos, también conocido como ofuscación de datos, es el proceso de reemplazar información sensible con datos realistas pero no auténticos. Su principal propósito es proteger la información confidencial, como datos personales, almacenada en bases de datos propietarias. Sin embargo, el enmascaramiento efectivo logra un equilibrio entre seguridad y utilidad, asegurando que los datos ofuscados sigan siendo adecuados para actividades corporativas esenciales como pruebas de software y desarrollo de aplicaciones.
El enmascaramiento resulta invaluables en escenarios tales como:
- una empresa necesita dar acceso a sus bases de datos a empresas de TI externas y terceros. Cuando se enmascaran los datos, es muy importante que parezcan consistentes para que los hackers y otros actores malintencionados crean que están tratando con datos genuinos.
- una empresa necesita mitigar errores de los operadores. Las empresas suelen confiar en sus empleados para tomar decisiones correctas y seguras, sin embargo, muchas brechas son el resultado de errores de los operadores. Si los datos están enmascarados, los resultados de tales errores no son tan catastróficos. Además, cabe mencionar que no todas las operaciones en las bases de datos necesitan el uso de datos completamente reales y precisos.
- una empresa realiza pruebas impulsadas por datos.
En este artículo vamos a analizar con más detalle el enmascaramiento estático, el enmascaramiento dinámico y el enmascaramiento in situ.
Ejemplos de datos enmascarados
En el ejemplo a continuación puedes ver cómo se veía la columna de la Tarjeta antes de enmascarar:
SQL> select * from scott.emp;
EMPNO ENAME JOB MGR HIREDATE CARD
--------- --------- ---------- ------- --------- -------------------
1 SMITH CLERK 0 17-DEC-80 4024-0071-8423-6700
2 SCOTT SALESMAN 0 20-FEB-01 4485-4392-7160-9980
3 JONES ANALYST 0 08-JUN-95 6011-0551-9875-8094
4 ADAMS MANAGER 1 23-MAY-87 5340-8760-4225-7182
4 rows selected.
Y después de enmascarar:
SQL> select * from scott.emp;
EMPNO ENAME JOB MGR HIREDATE CARD
--------- --------- ---------- ------- --------- -------------------
1 SMITH CLERK 0 17-DEC-80 XXXX-XXXX-XXXX-6700
2 SCOTT SALESMAN 0 20-FEB-01 XXXX-XXXX-XXXX-9980
3 JONES ANALYST 0 08-JUN-95 XXXX-XXXX-XXXX-8094
4 ADAMS MANAGER 1 23-MAY-87 XXXX-XXXX-XXXX-7182
4 rows selected.
DataSunrise te permite aplicar diferentes métodos de enmascaramiento a cada campo. Puedes elegir entre opciones preestablecidas o crear reglas de enmascaramiento personalizadas para tipos de datos específicos. El enmascaramiento que conserva el formato mantiene la estructura de los datos mientras protege la información sensible. Esto asegura que los datos enmascarados siguen siendo utilizables y conservan sus propiedades estadísticas.
| Método de Enmascaramiento | Datos Originales | Datos Enmascarados |
|---|---|---|
| Enmascaramiento de tarjeta de crédito | 4111 1111 1111 1111 | 4111 **** **** 1111 |
| Enmascaramiento de correo electrónico | [email protected] | j***e@e*****e.com |
| Enmascaramiento de URL | https://www.example.com/user/profile | https://www.******.com/****/****** |
| Enmascaramiento de números de teléfono | +1 (555) 123-4567 | +1 (***) ***-4567 |
| Enmascaramiento de dirección IP v4 aleatoria | 192.168.1.1 | 203.45.169.78 |
| Enmascaramiento de fecha/hora aleatoria con año constante para tipos de columna de cadena | 2023-05-15 | 2023-11-28 |
| Enmascaramiento de fecha/hora y hora aleatoria desde intervalo para tipo de columna de cadena | 2023-05-15 14:30:00 | 2024-02-19 09:45:32 |
| Enmascaramiento por vacío, valor NULL, valor de subcadena | Información Sensible | NULL |
| Enmascaramiento por valores fijos y aleatorios | John Doe | Usuario Anónimo 7392 |
| Enmascaramiento usando una función personalizada | Secret123! | S****t1**! |
| Enmascarar primeros y últimos caracteres de las cadenas | Contraseña | *asswor* |
| Enmascarar cualquier dato sensible en un texto plano | Mi NSS es 123-45-6789 y mi fecha de nacimiento es 01/15/1980 | Mi NSS es XXX-XX-XXXX y mi fecha de nacimiento es XX/XX/XXXX |
| Enmascaramiento por valores de diccionarios predefinidos | John Smith, Ingeniero de Software, Nueva York | Ahmet Yılmaz, Analista de Datos, Chicago |
Pasos para el enmascaramiento de datos
Cuando se trata de implementación práctica, necesitas la mejor estrategia que funcione dentro de tu organización. A continuación se presentan los pasos que debes seguir para hacer efectivo el enmascaramiento:
- Encuentra tus datos sensibles. El primer paso es recuperar e identificar los datos que pueden ser sensibles y requerir protección. Es mejor utilizar una herramienta de software automática especial para ello, como el descubrimiento de datos sensibles de DataSunrise con el uso de relaciones de tablas.
- Analiza la situación. En esta etapa, el equipo de seguridad de datos debe entender dónde están los datos sensibles, quién necesita acceso a ellos y quién no. Puedes utilizar el acceso basado en roles. Todo aquel que tenga un cierto rol puede ver los datos sensibles originales o enmascarados.
- Aplica el enmascaramiento. Uno debe tener en cuenta que en organizaciones muy grandes, no es factible suponer que sólo una herramienta de enmascaramiento puede ser utilizada en toda la empresa. En su lugar, podrías necesitar diferentes tipos de enmascaramiento.
- Prueba los resultados del enmascaramiento. Este es el paso final del proceso. Se requiere aseguramiento de la calidad y pruebas para garantizar que las configuraciones de enmascaramiento proporcionan los resultados requeridos.
Tipos de enmascaramiento de datos
Para obtener información más detallada sobre los tipos de enmascaramiento y sus implementaciones utilizando soluciones nativas y de terceros, visita nuestro canal de YouTube y explora nuestra completa lista de reproducción de enmascaramiento.
Enmascaramiento Dinámico
El Enmascaramiento Dinámico es un proceso de enmascaramiento de datos en el momento en que se realiza una consulta a una base de datos con datos privados reales. Se hace a través de la modificación de la consulta o la respuesta. En esto, los datos se enmascaran al vuelo, es decir, sin guardarlos en un almacenamiento de datos transicional.
Enmascaramiento Estático
Como su nombre indica, cuando se enmascaran los datos de manera estática, los administradores de bases de datos necesitan crear una copia de los datos originales, mantenerla segura y reemplazarla por un conjunto falso de datos. Este proceso implica duplicar el contenido de una base de datos en un entorno de pruebas, que la organización puede compartir con contratistas de terceros y otras partes externas. Como resultado, los datos sensibles originales que necesitan protección permanecen en la base de datos de producción y una copia enmascarada se mueve al entorno de prueba. Sin embargo, aunque parezca perfecto trabajar con contratistas de terceros usando enmascaramiento estático, para las aplicaciones que necesitan datos reales de las bases de datos de producción, los datos enmascarados estáticamente pueden ser un gran problema.
Enmascaramiento en el mismo lugar (In-Place)
El enmascaramiento in situ, al igual que el enmascaramiento estático, también crea datos de prueba basados en datos de producción reales. Este proceso suele constar de 3 pasos principales:
- Copiar los datos de producción tal cual a una base de datos de pruebas.
- Eliminar los datos de prueba redundantes para disminuir el volumen de almacenamiento de datos y acelerar los procesos de prueba.
- Reemplazar todos los datos PII en una base de datos de prueba con valores enmascarados – este paso se llama enmascaramiento in situ.
La forma de copiar los datos de producción se deja fuera del alcance del propio enmascaramiento de datos in situ. Por ejemplo, puede ser un procedimiento ETL o una copia de seguridad-recuperación de una base de datos de producción o algo más. Lo más importante aquí es que el enmascaramiento in situ se aplica a una copia de una base de datos de producción para enmascarar los datos personales que contiene.
Condiciones que debe cumplir el enmascaramiento de datos
Como se mencionó anteriormente, cualquier dato involucrado en el enmascaramiento tiene que seguir siendo significativo a varios niveles:
- Los datos tienen que seguir siendo significativos y válidos para la lógica de la aplicación.
- Los datos deben sufrir suficientes cambios para que no puedan ser revertidos a su estado original.
- Los datos ofuscados deben permanecer consistentes en múltiples bases de datos dentro de una organización cuando cada base de datos contiene el elemento de datos específico que está siendo enmascarado.
Enmascaramiento de Datos con DataSunrise
El enmascaramiento es una característica crucial de cualquier solución de seguridad de datos. Nos enorgullece ofrecer las capacidades de enmascaramiento de DataSunrise, que proporcionan una de las soluciones de enmascaramiento más fáciles de usar, pero a la vez más robustas y completas del mercado. En la imagen de abajo, puedes ver la configuración de enmascaramiento para un campo de correo electrónico. Hay docenas de tipos de enmascaramiento disponibles. Simplemente selecciona la base de datos y los datos a enmascarar (o la ubicación de datos no estructurados), establece el tipo de enmascaramiento, y tus datos estarán listos para pasar las verificaciones de cumplimiento normativo.
Conclusión
DataSunrise te proporciona la posibilidad de enmascaramiento de datos estático y dinámico para proteger tus datos (también enmascaramiento de XML, JSON, CSV, y texto no estructurado en Amazon S3). Además, la detección de datos con relaciones de tablas será una herramienta adicional indispensable en la protección de tus datos. Nuestra suite de seguridad garantiza la protección de los datos en tus bases de datos en la Nube y en las instalaciones. Prueba ahora todas nuestras capacidades para asegurarte de que todo está bajo tu control.
