Este documento resume los conceptos clave de enmascaramiento de datos y robo de identidad. Explica que el enmascaramiento de datos protege la privacidad al ocultar información personal en entornos no productivos. También destaca los beneficios como mejorar la seguridad, cumplir con las leyes de privacidad y facilitar las pruebas. Sin embargo, enmascarar los datos con precisión es complejo debido a retos como mantener la utilidad y relaciones entre los datos.
3. Privacidad de Datos
Definición
• La relación entre la tecnología y la expectativa de
privacidad en almacenamiento e intercambio de información
personal, evitando que esta se use, divulgue o utilice
indebidamente.
• Incluye: nombres, numeros de seguro socia, direcciones,
numeros de telefonos, tarjetas de credito, registros
finanieros, registros medicos, etc.
• La información es el activo más valioso de una organización
4. Como se esta manejando?
Tendencias globales:
• Mayor preocupacion por proteger los datos
• Nuevas legislaciones y regulciones
• Incremento en el robo de datos
• Incremento en el gasto de sistemas de proteccion de
datos
• Tendencia a compartir informacion
5. Dudas sobre la
confidencialidad
Los consumidores están cada vez más preocupados con
la protección de su información personal.
Aproximadamente el 64% de los clientes tiene el temor de que sus datos
sean robados, superando a la contaminación ambiental, terrorismo, perdida
de trabajo, enfermedad, etc.
La privacidad de los datos obtuvo el puesto mas alto entre
todos los temas sobre seguridad de la información, según los
medios de comunicación en el año 2005.
6. Ambiente Legislativo
Canada:
• PIPEDA
• Provincial Privacy Laws
Estados Unidos:
• Gramm-Leach-Bliley
• Sarbanes Oxley Act
• Health Insurance Portability and Accountability Act
• California Senate Bill 1386
7. Ataques Internos
Accenture e InformationWeek: Las violaciones a la seguridad
desde el interior son cada vez mas comunes.
Gartner: El 70% de los incidentes de seguridad son
provocados desde el interior de la compañía.
Forrester: El 80% de las amenazas de seguridad vienen del
interior y solo el 65% son detectadas.
Ernst & Young: Un ataque interno a la información sensible o
privilegiada causa en promedio $2.7dlls millones en daños, a
comparación con un ataque desde fuera donde su costo
promedio es de $57 mil dlls (Casi 50 veces mas costoso)
8. Definición de Data Masking
Medidas convencionales de seguridad:
1. Encriptación: Protege los datos mientras se encuentran en reposo.
2. Firewalls & contraseñas: protege los datos contra amenazas externas.
Medidas de Seguridad Emergentes – Data Masking:
Enmascaramiento de Datos es otra solución necesaria para la protección de
datos de amenazas de seguridad internas y externas.
También se conoce como la ocultación de datos, des-identificación de
datos, despersonalización de datos, codificación de datos, etc.
9. Definición de Data Masking
El proceso por el cual la información en una base de datos está
enmascarada o "des-identificado”
Permite la creación de datos reales en entornos ajenos al de
producción sin el riesgo de exposición de información
confidencial a usuarios no autorizados
El enmascaramiento de datos garantiza la protección
de información sensible de una gran cantidad de amenazas que
pueden provenir tanto de afuera como de adentro de la
organización
10. Definición de Data Masking
A diferencia de los datos cifrados, la información enmascarada
mantiene su facilidad de uso para actividades como el
desarrollo de software y pruebas.
Técnicas que abarca:
Mutación.
Generación.
Algorítmica.
Carga.
Personalización.
11. Definición de Data Masking
Los ambiente no-productivos son vulnerables a las amenazas
a la seguridad de la información privilegiada que no cuenta
con la autentificación para su acceso y revisión.
Data Masking se utiliza en ambientes no productivos para
algunas tareas como las que se listan a continuación:
Desarrollo de software y pruebas de implementacion.
Minería de datos/ investigación.
Subcontratación y descentralización.
12. Beneficios del
enmascaramiento
Incrementa la protección y control del robo de datos.
Aplica la necesidad de autentificación
Algunas investigaciones en el 2006 encontraron que entre el 80 y 90 por
ciento de las compañías de Fortune 500 y organismos gubernamentales
han experimentado el robo de datos.
Reduce las restricciones sobre los datos.
Proporciona datos realistas para los ambientes de pruebas,
desarrollo, capacitación, outsourcing, minería de datos / de
investigación, etc.
13. Beneficios del
enmascaramiento
Permite el desarrollo de software y el intercambio de datos, en
ambientes con baja seguridad.
Apoya el cumplimiento de las políticas y legislaciones sobre
privacidad de datos
• El enmascaramiento de datos muestra el manejo dado por las empresas
para el cumplimiento de las legislaciones sobre privacidad de datos.
Mejora la confianza del cliente
• Proporciona una mayor sensación de seguridad a los clientes, empleados
y proveedores
14. Caso de Negocio y ROI
El caso de negocio y el retorno de la inversión normalmente
se basan en factores de mitigación de riesgo tales como:
1. Demandas civiles
2. Gastos comerciales y multas legales
3. Riesgos personales
4. La pérdida de clientes
15. Caso de Negocio y ROI
1. Demandas civiles
• Costosas defensas y litigios
• Esfuerzo y tiempo para la preparación de la defensa
1. Gastos de negocio y multas legales
• Seguros
• Gastos de auditoria
• Detección y notificación de los costos
• Pagos a los clientes afectados.
16. Caso de Negocio y ROI
1. Riesgo Personal
• Los individuos dentro de la organización puede enfrentarse a penas
de cárcel, recortes salariales o pérdida del empleo
2. Perdida de clientes
• Publicidad negativa
• Daños difíciles de reparar
• Imagen corporativa danada
• Aproximadamente el 40% de los estadounidenses pone fin a
su relación con una organización que experimenta el robo de datos
17. Caso de Negocio y ROI
Como cuantificar el ROI en una solución de enmascaramiento?
1. Se basan en una estimación en el ahorro de mitigación de riesgos:
– Observar las referencias de la industria.
– Entender como los incumplimientos afectan o impactan a otros negocios dentro de la
industria.
– Prever las posibles situaciones en caso de incumplimiento.
1. Factores asociados a los ahorros:
– Aprovechar y externalizar las oportunidades derivadas del ahorro de costos
operativos
– Permitir a los usuarios de la informacion utilizar los datos de forma y lugares virtuales
– Menos gastos administrativos y menos burocracia.
18. Una mirada al futuro…
Lo que dicen los expertos en seguridad:
• La gestión de la seguridad, privacidad y la identidad
se mantendrá como prioridad en los gastos
asociados a la seguridad de la información.
• la incidencia en las violaciones de datos seguirá
aumentando a menos que las empresas apliquen
medidas adicionales para proteger los
datos sensibles, tanto en entornos de producción y
no producción
19. Complicaciones del
enmascaramiento
1. Utilidad de los datos - los datos enmascarados deben lucir
y actuar como los datos reales
2. Datos relacionados – el relacionamiento se debe de
mantener después del enmascaramiento
3. Procesos de negocio – se deben de adaptar a los procesos
existentes
4. Facilidad de uso – se debe equilibrar la facilidad de
uso con la necesidad de ocultar los datos de forma
inteligente
5. Personalizable - debe ser capaz de adaptarse a las
necesidades específicas del negocio
20. Complicaciones del enmascaramiento
1. Utilidad de los datos – los datos enmascarados deben lucir y
actuar como los datos reales.
pruebas y desarrollos adecuados
modificación de aplicaciones
validación de datos
2. Relación de los datos – deberán de mantenerse después del
enmascaramiento
relacionamiento a nivel de base de datos
relacionamiento a nivel aplicaciones
sincronización de datos (inter-relación entre bases de datos)
21. Complicaciones del enmascaramiento
1. Procesos existentes de negocio – los datos deberán de
encajar con los procesos actuales
coherencia con los procesos de IT y de actualización
automatización del proceso de enmascaramiento.
2. Facilidad de uso – se deberá de equilibrar la facilidad de uso
con la necesidad de ocultar los datos de forma inteligente
necesidad de contar con datos útiles que no revelen información
sensible
el conocimiento de especialización de los temas
IT/privacidad/algoritmos deberá de ser pre-configurado y
construido en el proceso de enmascaramiento.
22. Complicaciones del enmascaramiento
1. Personalizable – debera de ser capaz de adaptarse a
las necesidades especificas del negocio
cualquier actualizacion y/o proceso debera de tener la
carateristica de ser facilmente actualizado y/o
personalizao
debera de contar con la capacidad para personalizar los
metodos de enmascaramiento y la solucion a
implementar.
23. Requerimientos del producto
Se deberan de evaluar las siguientes categorias
1. Soporte a base de datos
2. Soporte a aplicaciones
3. Soporte a plataformas
4. Requerimientos funcionales
24. Requerimientos del producto
Soporte a Soporte a diferentes tipos de datos
Soporte a sistemas distribuidos y mainframe
base de Soporte a múltiples conexiones de bases de datos al
mismo tiempo
datos Soporte a bases de datos relacionales manteniendo su
integridad por medio de metadatos.
Mantener los indexes, triggers, etc.
Interfaz común independientemente del tipo de base de
datos
Facilidad en el soporte de cambios o actualizaciones en
las bases de datos
25. Requerimientos del producto
Soporte a Capacidad para trabajar con aplicaciones empresariales
y aquellas hechas a la medida
aplicaciones El soporte a la aplicación deberá de permitir el fácil
mantenimiento de la integridad relacional
Deberá de contar con una interfaz común sin importar la
aplicación
Permitirá la fácil actualización y cambios dentro de las
aplicaciones
26. Requerimientos del producto
Soporte a Amplio soporte a plataformas – manejo de
estandares
plataformas Evitar diferentes versiones para diferentes
plataformas
Soporte a multiples conexiones de bases de datos,
aunque esten en diferentes plataforms
Soporte al mantenimiento de la integridad relacional
definida en las diferentes bases o aplicaciones –
sincronizacion con ambientes integrados
Interfaz comun/independiente a la plataforma
Permitirá la fácil actualización y cambios dentro de
las aplicaciones
27. Requerimientos del producto
Funcionalidad Solución a nivel de empresa
Intuitiva, interfaz grafica del usuario (GUI) fácil de
usar
Misma interfaz para todas las bases de datos,
plataformas y tipos de aplicación
Procesos repetibles/recreables
Métodos de enmascaramiento pre-cargados
Capacidad para secuencias de comando
Métodos de enmascaramiento fuertes y seguros
Evitar el mapeo manual
28. Requerimientos del producto
Funcionali Analizar las dependencias – la lógica para
enmascarar los datos deberá de estar en el orden
dad correcto
(continua Calculo de datos correctos
ción) Mantener la correcta funcionalidad de los datos
Enmascarar e importar los datos de otras fuentes
(ver a futuro)
Integrar el proceso dentro del flujo normal de
procesamiento de negocio. Automatización del
proceso de enmascaramiento