Académique Documents
Professionnel Documents
Culture Documents
EL ENMASCARAMIENTO
COMO SOLUCIN
Esto es as porque la calidad y la seguridad de los datos de
prueba afecta a la de las aplicaciones, lo que est llevando a las
organizaciones a reconsiderar la manera en la que utilizan los
datos de prueba. En realidad, cambiar el modo de trabajar es
un imperativo pero, con el creciente volumen de normativas que
exigen un mayor control sobre los datos, el desvo de recursos
que conlleva la generacin de datos de prueba no se contempla
como algo estrictamente necesario.
Sin embargo, los mtodos actuales de generacin de datos
de prueba estn expuestos a errores, pero cuando la calidad
de stos tiene implicaciones directas en la calidad de la
aplicacin resultante no hay espacio para el error. En muchas
organizaciones, el nmero real de fallos de produccin
puede medirse y la introduccin de metodologas de prueba
estructuradas se deriva en una reduccin de fallos en la fase
de pruebas.
En el informe Safeguarding Data in Production & Development:
A survey of IT Practitioners realizado y publicado por Ponemon
Institute en junio de 2012 se pone de manifesto la vulnerabilidad
continua de los datos sensibles y confdenciales debido a la falta
de controles y salvaguardas que eviten el acceso a empleados
y terceros no autorizados al capital informativo de la compaa.
A QUIN VAN DIRIGIDAS
LAS SOLUCIONES
DE ENMASCARAMIENTO?
Organizaciones que
Estas son algunas de las conclusiones del informe:
Un 50% de los encuestados (663 profesionales de seguridad)
refere algn caso de datos comprometidos o robados por un
insider malicioso.
El acceso sin restricciones de los administradores de base de
datos eleva el riesgo: el 73% manifesta que sus DBAs pueden
ver datos sensibles en modalidad de texto claro, lo que dispara
el riesgo de una violacin.
Los call centers colaboran a poner en el punto de mira los
datos sensibles de los clientes, ya que el 76% asegura que su
personal del centro de atencin telefnica ve o probablemente
pueda ver informacin sensible, como son los datos de la tarjeta
de crdito, de forma explcita.
El 68% de las compaas tiene difcultades para restringir
el acceso de los usuarios a los datos sensibles, el 66% tiene
difcultades para cumplir las regulaciones en materia de
privacidad y datos y el 55% no est seguro de ser capaz de
detectar casos de robo/prdida de sus propios entornos.
Aunque el coste de una violacin a la seguridad de los datos
sea elevado, slo el 33% de los encuestados reconoce tener un
presupuesto acorde para reducir las amenazas desde dentro.
Existen dos maneras de aplicar las tcnicas de enmascaramiento.
Mientras que el enmascaramiento persistente de datos
resguarda los datos, enmascarndolos, en entornos de
desarrollo y pruebas, el dinmico ofrece enmascaramiento en
tiempo real y basado en roles de datos sensibles en los entornos
de produccin (aquellos en los que residen los datos tal y como
son).
El enmascaramiento persistente garantiza la privacidad de
los datos mediante la creacin de copias enmascaradas para
desarrollo, pruebas y formacin, manteniendo unos procesos
ptimos. Enmascaramiento de datos escalable para aplicaciones
heterogneas.
El enmascaramiento dinmico de datos surgi como una
tecnologa de proteccin de datos fexible que aborda una serie
de brechas en las soluciones existentes.
Ofrece seguridad y supervisin de bases de datos en tiempo
real basadas en polticas. Puede integrarse con software de
autenticacin y ofrece enmascaramiento y bloqueo de datos en
tiempo real.
Los encuestados en Safeguarding Data in Production &
Development: A survey of IT Practitioner deja claro que las
empresas buscan, principalmente, tres cosas: resguardar los
datos sin impactar en el cdigo o en el rendimiento de las bases
de datos y las aplicaciones; enmascarar de forma dinmica
informacin sensible basndose en el nivel de privilegios del
usuario y, fnalmente, cubrir con una red protectora los entornos
de produccin.
PERSISTENTE
Y DINMICO
Reduccin dramtica del riesgo
de sufrir una brecha en los datos
Ajustar de forma sencilla
las soluciones de enmascaramiento de datos
para distintos requisitos regulatorios
Eliminar los costes derivados
del dao a la reputacin
Incrementar la productividad
a travs de acceso rpido protegido
a los datos de produccin
QU SE OBTIENE CON
LA TECNOLOGA DE
ENMASCARAMIENTO?
El cifrado y el enmascaramiento son tecnologas
complementarias que brindan seguridad al
mismo tiempo que le permiten al usuario fnal
llevar a cabo su trabajo. Aunque se tiende a
pensar que el enmascaramiento es equivalente
al cifrado, hay una diferencia fundamental entre
los dos: la informacin cifrada necesariamente
debe descifrarse, quedando expuestos los datos
originales.
El cifrado hace que se difculte el robo de
informacin mientras es transmitida por algn
medio, pero no impide el robo o abuso de ella
antes de que el cifrado ocurra, o cuando el
descifrado tiene lugar.
En contraste, el enmascaramiento garantiza que
la informacin original nunca estar disponible
para el usuario fnal, ya que l solamente tendr
acceso a la informacin enmascarada.
Las soluciones de encriptacin slo protegen
a los escasos DBAs de infraestructura que
pueden extraer informacin del servidor de
base de datos y de los archivos de datos en l
almacenados.
La encriptacin no securiza a usuarios fnales,
partners, equipos de soporte, desarrolladores y
DBAs de aplicaciones que an tienen acceso a
los valores sin encriptar.
Algunos fabricantes de soluciones de
encriptacin codifcan la base de datos
completa, sin dar opcin a hacerlo en celdas,
flas o columnas de forma aislada.
La encriptacin no enmascara, bloquea,
monitoriza, carga, reporta o crea rastros de
auditora en el nivel de acceso de usuario fnal.
Por su parte, el enmascaramiento protege
los datos contra el abuso en el destino de
la transmisin, en caso de que sta se haya
realizado, y puede tambin protegerlos contra
robo tanto en trnsito como en el destino de la
misma.
El enmascaramiento hace que los datos
permanezcan vlidos. Naturalmente, cada
vez que se cambia un dato se reduce su
autenticidad, pero este es precisamente el punto
central. Los datos enmascarados deben ser lo
sufcientemente reales para garantizar que el
usuario fnal obtiene los mismos resultados,
aunque est usando solamente una fraccin de
la informacin original.
Algunos ejemplos de enmascaramiento de
datos: quitar los tres ltimos dgitos del Cdigo
Postal, reemplazar todos los dgitos de los
nmeros de cuenta o de tarjetas dbito o crdito
con excepcin de los cuatro ltimos, no divulgar
los salarios excesivamente altos, o cambiar sus
valores numricos preservando un signifcado,
sustitucin de un nombre por otro.
DISTINTOS PERFILES,
UNA MISMA SOLUCIN
EL RESPONSABLE DE OPERACIONES
Cmo dar seguridad a los datos incluso
para algunos usuarios con privilegios?
EL DIRECTOR DE APLICACIONES
No podemos modifcar nuestras aplicaciones
para enmascarar datos sensibles
EL ADMINISTRADOR DE BASE DE DATOS
La monitorizacin no es sufciente y, adems,
no quiero tener que enfrentarme a Tokens
EL DIRECTOR DE SOPORTE
A LA PRODUCCIN
Necesito una tecnologa transparente
que no impacte en el rendimiento
Cada responsable corporativo
tiene sus propios planteamientos
de seguridad segn su funcin
Cada responsable corporativo
tiene sus propios planteamientos
de seguridad segn su funcin
LA RESPUESTA
ENMASCARAMIENTO DE DATOS
ENMASCARAR VS CIFRAR
Ayudamos al cliente a refexionar
sobre cules son las polticas
de enmascaramiento que quiere
implantar en su organizacin
Juan Oate, CEO de PowerData
Entrevista a
anlisis cada vez que as se requiera. Por ejemplo: en esa
sub-base de datos, Juan Oate ya no existe, sino que
ahora soy Jos Martnez. Mi nmero de telfono o cdigo
tampoco existe, sino que es el que se ha determinado
previamente y mi fecha de nacimiento no es la ma pero
tiene el formato de una fecha.
Respetando unas reglas se confgura, entonces, un
entorno diferente al original pero que mantiene los
rasgos.
As es. Un nombre es un nombre, una fecha es una fecha,
una cantidad una cantidad. Todo aquello que se cambia
es consistente. Si se cambiara un nmero por una letra se
perdera esa consistencia, los datos no se reconoceran y
no podra hacerse ningn tipo de anlisis.
El proceso tambin implica crear bases de datos
reducidas?
La tecnologa de enmascaramiento persistente se
relaciona con la tecnologa de subsetting. En los
proyectos, el cliente decide qu porcentaje de la base
de datos quiere extraer y crea una sub-base de datos
enmascarada.
Dentro del amplsimo campo de la seguridad, qu
matiz aportan las soluciones de enmascaramiento?
Muchas grandes compaas tienen implementados
mltiples resortes para que no se produzca acceso a
los datos productivos pero, al tiempo, tienen multitud
de departamentos y de empresas subcontratadas
desarrollando proyectos y en ese espacio es donde pueden
producirse brechas. Mediante el enmascaramiento se
busca que nadie que trabaje interna o externamente en
un proyecto tenga acceso a datos reales, evitando que
las bases de datos circulen con ligereza.
Al hablar de enmascaramiento encontramos que hay
dos formas de aplicarlo: persistente y dinmicamente.
En qu consiste cada una?
Evidentemente, se trata de dos tecnologas distintas. El
enmascaramiento persistente es el ms comn e implica
convertir la base de datos productiva en una base de
datos en la que se encuentra la informacin traducida-
enmascarada con un valor de referencia distinto al
original, pero que conserva la coherencia. Todos los
campos que se quieren enmascarar (nombres, nmeros
de cuenta, ingresos anuales) quedan registrados de
forma persistente y estn disponibles para hacer un
En el enmascaramiento persistente, por tanto, existe una
base de datos original y una base de datos enmascarada
que puede ser completa o puede tratarse de un
subconjunto, como acostumbra a ser. Al fnal se establecen
dos bases de datos: la original y la enmascarada.
Y el enmascaramiento dinmico en qu consiste,
entonces?
En el enmascaramiento dinmico solo existe la base de
datos original y cuando se accede a ella se establece una
capa de enmascaramiento por medio de la cual, aunque
el registro original sea mi nombre, Juan Oate, lo que se
ve es Jos Martnez. Y esto se hace dinmicamente, no
se ha grabado. Lo traduce enmascarado con una serie de
reglas que son muchas y complicadas, pero lo hace de
modo dinmico. No existe un registro enmascarado en una
sub-base de datos como ocurre con el enmascaramiento
persistente.
Y qu diferencias existen a la hora de implantarlos?
Cada uno se aplica segn las necesidades de cada
organizacin. En el persistente, una vez que se ha hecho
la copia, el proceso de enmascarar ha terminado. El
dinmico implica un acceso continuo a los tipos de datos
y ah hay involucradas otras tecnologas adyacentes.
Hay algn tipo de empresa ms susceptible que otra
de aplicar la tecnologa de enmascaramiento?
Todas las empresas que manejan datos sensibles
necesitan enmascarar sus datos. La seguridad es una
cuestin horizontal y un imperativo que han de seguir
las compaas si no quieren verse expuestas a prdidas
en sus datos que se derivaran en multas gravosas
y causaran un dao irreparable en su reputacin.
Dicho esto, es cierto que hay sectores ms sensibles
que otros: fnanciero, utilities, telco y retail son los ms
proclives a implantar el enmascaramiento mientras que
en la Administracin Pblica existe un desarrollo menor
de estas prcticas.
PowerData implanta y desarrolla las
soluciones de enmascaramiento de
la compaa Informatica aportando
la experiencia de proyecto y una
metodologa orientada a resultados.
Cmo se desarrollan este tipo de
proyectos?
La tecnologa de enmascaramiento es
muy importante para nosotros, ya que
el 25% del global de venta de licencias
corresponde a esta tecnologa. Lo
que marca la diferencia en el caso
de PowerData es la experiencia
adquirida en implantar una solucin
expresamente dedicada y probada.
Entendemos las necesidades del cliente,
sabemos lo que es relevante para l en
su entorno de actividad, conocemos
las reglas de su negocio, aportamos
fexibilidad y eso implica un alto valor
aadido. Los proyectos abarcan desde
la defnicin de polticas de seguridad,
el anlisis de los datos, los privilegios
de los usuarios y el despliegue de la
informacin enmascarada. En dos o tres
meses puede completarse un proyecto
completo que, bsicamente, consisten
en ayudar al cliente a decidir qu quiere
enmascarar, cmo quiere hacerlo,
qu reglas de enmascaramiento es
necesario aplicar... No es un trabajo
extenso y rpidamente se pueden ver
los resultados. Adems, el personal
involucrado no es mucho: dos-tres
personas trabajando con el cliente.
Somos expertos en el proceso pero
cada compaa tiene sus propios
requisitos y necesita crear sus propias
reglas dependiendo de la naturaleza de
los datos, la criticidad de los mismos,
del uso que se va a hacer de ellos, de
la frecuencia con que se actualizan
En defnitiva, ayudamos al cliente
a refexionar sobre cules son las
polticas de enmascaramiento que
quiere proveer a su entorno.
Ayudamos al cliente a refexionar
sobre cules son las polticas de
enmascaramiento que quiere implantar
en su organizacin.
EL VALOR DE
En el enmascaramiento
persistente existe una
base de datos original
y una base de datos
enmascarada que
puede ser completa
o puede tratarse de
un subconjunto. En
el enmascaramiento
dinmico solo existe la
base de datos original y el
enmascarado se establece
directamente cuando se
accede a ella