¿Qué es la enmascaramiento de datos?
El enmascaramiento de datos, también conocido como ofuscación de datos, es el proceso de reemplazar información sensible con datos realistas pero no auténticos. Su propósito principal es proteger la información confidencial, como datos personales, almacenada en bases de datos propietarias. Sin embargo, el enmascaramiento efectivo encuentra un equilibrio entre seguridad y utilidad, garantizando que los datos ofuscados siguen siendo adecuados para actividades corporativas esenciales como pruebas de software y desarrollo de aplicaciones.
El enmascaramiento es invaluable en escenarios como:
- una empresa necesita dar acceso a sus bases de datos a empresas de IT terciaras y externalizadas. Al enmascarar datos, es muy importante hacer que se vean y aparezcan coherentes para que los hackers y otros actores malintencionados crean que están tratando con datos genuinos.
- una empresa necesita mitigar los errores de los operadores. Las empresas generalmente confían en que sus empleados tomarán buenas y seguras decisiones, sin embargo, muchas violaciones son el resultado de errores de los operadores. Si los datos están enmascarados, los resultados de tales errores no son tan catastróficos. Además, vale la pena mencionar que no todas las operaciones en bases de datos necesitan el uso de datos completamente reales y precisos.
- una empresa lleva a cabo pruebas impulsadas por datos.
El enmascaramiento puede ser útil para todas las empresas que tratan con los siguientes tipos de datos:
- Información de identificación personal (PII)
- Información de salud protegida (ePHI)
- Información de tarjetas de pago (PCI-DSS)
- Propiedad intelectual
Todo estos datos tienen que ser protegidos en cumplimiento con las normativas nacionales e internacionales de protección de datos sensibles.
En este artículo vamos a examinar más detenidamente el enmascaramiento estático, el enmascaramiento dinámico y el enmascaramiento in-situ.
Ejemplos de Datos Enmascarados
En el siguiente ejemplo puedes ver cómo se veía la columna de la Tarjeta antes del enmascaramiento:
SQL> select * from scott.emp;
EMPNO ENAME JOB MGR HIREDATE CARD
--------- --------- ---------- ------- --------- -------------------
1 SMITH CLERK 0 17-DEC-80 4024-0071-8423-6700
2 SCOTT SALESMAN 0 20-FEB-01 4485-4392-7160-9980
3 JONES ANALYST 0 08-JUN-95 6011-0551-9875-8094
4 ADAMS MANAGER 1 23-MAY-87 5340-8760-4225-7182
4 rows selected.
Y después del enmascaramiento:
SQL> select * from scott.emp;
EMPNO ENAME JOB MGR HIREDATE CARD
--------- --------- ---------- ------- --------- -------------------
1 SMITH CLERK 0 17-DEC-80 XXXX-XXXX-XXXX-6700
2 SCOTT SALESMAN 0 20-FEB-01 XXXX-XXXX-XXXX-9980
3 JONES ANALYST 0 08-JUN-95 XXXX-XXXX-XXXX-8094
4 ADAMS MANAGER 1 23-MAY-87 XXXX-XXXX-XXXX-7182
4 rows selected.
Puedes enmascarar diferentes campos usando diferentes métodos. Con DataSunrise puedes usar, por ejemplo, los siguientes métodos:
| Método de Enmascaramiento | Datos Originales | Datos Enmascarados |
|---|---|---|
| Enmascaramiento de tarjetas de crédito | 4111 1111 1111 1111 | 4111 **** **** 1111 |
| Enmascaramiento de correo electrónico | [email protected] | j***e@e*****e.com |
| Enmascaramiento de URL | https://www.example.com/user/profile | https://www.******.com/****/****** |
| Enmascaramiento de números de teléfono | +1 (555) 123-4567 | +1 (***) ***-4567 |
| Enmascaramiento de dirección IP aleatoria IPv4 | 192.168.1.1 | 203.45.169.78 |
| Enmascaramiento aleatorio Fecha/Hora con año constante para columnas string | 2023-05-15 | 2023-11-28 |
| Enmascaramiento aleatorio de Fecha/Hora y Hora a partir del intervalo para columnas string | 2023-05-15 14:30:00 | 2024-02-19 09:45:32 |
| Enmascaramiento por vacío, NULL, valor substring | Información Sensible | NULL |
| Enmascaramiento por valores fijos y aleatorios | John Doe | Usuario Anónimo 7392 |
| Enmascaramiento usando una función personalizada | Secret123! | S****t1**! |
| Enmascaramiento del primer y último carácter de las cadenas | Contraseña | *asswor* |
| Enmascaramiento de cualquier dato sensible en un texto plano | Mi SSN es 123-45-6789 y mi DOB es 01/15/1980 | Mi SSN es XXX-XX-XXXX y mi DOB es XX/XX/XXXX |
| Enmascaramiento por valores de diccionarios predefinidos | John Smith, Ingeniero de Software, Nueva York | Ahmet Yılmaz, Analista de Datos, Chicago |
Pasos del Enmascaramiento de Datos
Cuando se trata de implementación práctica, necesitas la mejor estrategia que funcione dentro de tu organización. A continuación se presentan los pasos que debes seguir para hacer efectivo el enmascaramiento:
- Encuentra tus datos sensibles. El primer paso es recuperar e identificar datos que pueden ser sensibles y requerir protección. Es mejor utilizar una herramienta de software especializada para eso, como DataSunrise sensitive data discovery con el uso de relaciones de tabla.
- Analiza la situación. En esta etapa, el equipo de seguridad de datos debe comprender dónde están los datos sensibles, quién necesita acceso a ellos y quién no. Puedes usar acceso basado en roles. Todas las personas que tienen un cierto rol pueden ver datos sensibles originales o enmascarados.
- Aplica el enmascaramiento. Hay que tener en cuenta que en organizaciones muy grandes, no es factible suponer que se puede usar solo una herramienta de enmascaramiento en toda la empresa. En cambio, podrías necesitar diferentes tipos de enmascaramiento.
- Prueba los resultados del enmascaramiento. Este es el paso final del proceso. Se requiere aseguramiento de la calidad y pruebas para garantizar que las configuraciones de enmascaramiento dan los resultados requeridos.
Tipos de Enmascaramiento de Datos
Para obtener información más detallada sobre los tipos de enmascaramiento y sus implementaciones utilizando soluciones nativas y de terceros, visite nuestro canal de YouTube y explore nuestra completa lista de reproducción de enmascaramiento.
Enmascaramiento Dinámico
El Enmascaramiento Dinámico es un proceso de enmascaramiento de datos en el momento en que se realiza una consulta a una base de datos con datos privados reales. Esto se hace modificando la consulta o la respuesta. En esto los datos se enmascaran al vuelo, es decir, sin guardarlo en un almacenamiento de datos transicional.
Enmascaramiento Estático
Como lo sugiere el nombre, cuando se enmascara datos de manera estática, los administradores de bases de datos necesitan crear una copia de los datos originales y mantenerla en algún lugar seguro y reemplazarla con un conjunto de datos falsos. Este proceso implica duplicar el contenido de una base de datos en un entorno de prueba, que la organización puede compartir con contratistas externos y otras partes externas. Como resultado, los datos sensibles originales que necesitan protección permanecen en la base de datos de producción y una copia enmascarada se traslada al entorno de prueba. Sin embargo, por mucho que parezca perfecto trabajar con contratistas de terceros usando enmascaramiento estático, para aplicaciones que necesitan datos reales de bases de datos de producción, los datos estáticamente enmascarados pueden ser un gran problema.
Enmascaramiento In-situ
El enmascaramiento in-situ al igual que el enmascaramiento estático también crea datos de prueba basados en datos de producción reales. Este proceso generalmente consta de 3 pasos principales:
- Copiado de datos de producción tal cual a una base de datos de prueba.
- Eliminación de datos de prueba redundantes para disminuir el volumen de almacenamiento de datos y acelerar los procesos de prueba.
- Reemplazo de todos los datos PII en una base de datos de prueba con valores enmascarados – este paso se llama enmascaramiento in-situ.
La forma de copiar datos de producción queda fuera del alcance del enmascaramiento de datos in-situ en sí. Por ejemplo, puede ser un procedimiento ETL o la recuperación de una copia de seguridad de una base de datos de producción o algo más. Lo más importante aquí es que el enmascaramiento in-situ se aplica a una copia de una base de datos de producción para enmascarar los datos PII que contiene.
Condiciones que debe Cumplir el Enmascaramiento de Datos
Como se mencionó anteriormente, cualquier dato involucrado en el enmascaramiento tiene que permanecer significativo en varios niveles:
- Los datos deben seguir siendo significativos y válidos para la lógica de la aplicación.
- Los datos deben someterse a suficientes cambios para que no se puedan volver a ingeniería inversa.
- Los datos ofuscados deben seguir siendo consistentes entre varias bases de datos dentro de una organización cuando cada base de datos contiene el elemento de datos específico que se está enmascarando.
Enmascaramiento de Datos con DataSunrise
El enmascaramiento es una característica crucial de cualquier solución de seguridad de datos. Nos enorgullece ofrecer las capacidades de enmascaramiento de DataSunrise, que proporcionan una de las soluciones de enmascaramiento más robustas y completas pero fáciles de usar en el mercado. En la imagen a continuación, puedes ver la configuración del enmascaramiento para un campo de correo electrónico. Hay decenas de tipos de enmascaramiento disponibles. Simplemente seleccionas la base de datos y los datos a enmascarar (o la ubicación de datos no estructurados), estableces el tipo de enmascaramiento, y tus datos están listos para pasar los controles de cumplimiento normativo.
Conclusión
DataSunrise te ofrece la posibilidad de enmascaramiento de datos estático y dinámico para proteger tus datos (también el enmascaramiento de XML, JSON, CSV y texto no estructurado en Amazon S3). Además, el descubrimiento de datos con relaciones de tabla será una herramienta adicional indispensable en la protección de tus datos. Nuestro conjunto de seguridad garantiza la protección de los datos en tus bases de datos, en la Nube y On-Premises. Prueba ahora todas nuestras capacidades para estar seguro de que todo está bajo tu control.
