Sergey Nivens - Fotolia
Cómo las técnicas de ofuscación de datos pueden ayudar a proteger a las empresas
Las técnicas de ofuscación de datos pueden ayudar a las empresas a proteger la información corporativa y a limitar los riesgos de exposición o fuga de datos. El experto Ajay Kumar explica cómo funcionan estas técnicas.
El impacto de una brecha de datos puede ser desastroso para una organización, y puede incluir pérdida de confianza y fidelidad del cliente, sanciones financieras y otras consecuencias. El costo promedio total de una brecha de datos es de 4 millones de dólares, un aumento de 29% desde 2013 de acuerdo con el "Estudio del Costo de Brechas de Datos 2016" publicado por el Instituto Ponemon. El costo promedio por registro violado es de 158 dólares, mientras que el costo promedio por registro para las industrias de salud y de venta al por menor es de 355 y 129 dólares, respectivamente. A pesar del alto riesgo de la amenaza, las empresas siguen siendo víctimas de las brechas de datos a nivel mundial, y eso plantea preocupaciones significativas sobre la protección de los datos que las organizaciones poseen, procesan y almacenan.
Mientras que las amenazas externas siguen siendo una prioridad alta, la amenaza a los datos sensibles también viene de las amenazas internas. La amenaza de los empleados que roban información de los clientes, información de identificación personal o datos de tarjetas de crédito son reales debido al hecho de que, en la mayoría de los casos, los usuarios privilegiados, como los administradores de sistemas o los administradores de bases de datos, tienen acceso autorizado a los datos. A menudo, los datos reales del entorno de producción se copian en el entorno de no producción, que es menos seguro y no se gestiona con los mismos controles de seguridad que el entorno de producción, y los datos resultantes pueden ser expuestos o robados.
Las técnicas de ofuscación de datos ofrecen diferentes maneras de asegurar que los datos permanezcan protegidos de caer en manos equivocadas, y menos personas pueden acceder a la información confidencial, mientras se cumple con los requisitos del negocio.
¿Qué es la ofuscación de datos?
En el mundo de la tecnología, la ofuscación de datos, que también se conoce como enmascaramiento de datos, es el proceso de reemplazar información sensible existente en entornos de prueba o de desarrollo con la información que parece información real de producción, pero no sirve para nadie que desee darle mal uso. En otras palabras, los usuarios de los entornos de prueba o de desarrollo no necesitan ver los datos reales de producción, siempre y cuando lo que estén viendo parezca real y sea coherente. Por lo tanto, las técnicas de ofuscación de datos se utilizan para proteger los datos mediante la desidentificación de la información sensible contenida en entornos de no producción, o enmascarando la información identificable con valores realistas, lo que permite a las empresas mitigar el riesgo de exposición de datos.
La necesidad de técnicas de ofuscación de datos
Las organizaciones a menudo necesitan copiar datos de producción almacenados en bases de datos de producción hacia bases de datos de no producción o prueba. Esto se realiza para completar de manera realista la prueba de funcionalidad de la aplicación, y cubrir escenarios en tiempo real o casos de prueba, para minimizar los errores o defectos de producción. Como resultado de esta práctica, un entorno de no producción puede convertirse en un blanco fácil para los ciberdelincuentes o empleados malintencionados que buscan datos sensibles que pueden ser expuestos o robados. Debido a que un entorno de no producción no está tan estrechamente controlado o administrado como el entorno de producción, podría costar millones de dólares para que las organizaciones remedien el daño a la reputación o al valor de la marca, en caso de que ocurra un incidente de brecha de datos.
Los requisitos reglamentarios son otro factor clave para la ofuscación de datos. Por ejemplo, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) alienta a los comerciantes a mejorar la seguridad de los datos de las tarjetas de pago con la adopción amplia de medidas consistentes de seguridad de datos, que proporcionan una base de requisitos técnicos y operacionales. PCI DSS requiere que los datos e información de los comerciantes "no se utilizan para pruebas y desarrollo". La exposición inadecuada de los datos, ya sea por accidente o un incidente malicioso, podría tener consecuencias devastadoras y podría conducir a excesivas multas o acciones legales impuestas por la violación de las reglas.
Casos de uso de ofuscación de datos
Un caso de uso típico para las técnicas de ofuscación de datos podría ser cuando una base de datos de un entorno de desarrollo es manejada y administrada por un proveedor o subcontratista; la ofuscación de datos se vuelve extremadamente importante para permitir que el proveedor externo pueda realizar sus deberes y funciones según sea necesario. Mediante la aplicación de técnicas de ofuscación de datos, una empresa puede reemplazar la información confidencial con valores similares en la base de datos, y no tiene que preocuparse porque el proveedor externo exponga esa información durante el desarrollo.
Otro caso de uso típico podría ser en la industria minorista, donde un minorista necesita compartir datos de puntos de venta de clientes con una empresa de investigación de mercado para aplicar algoritmos avanzados de análisis y analizar los patrones y tendencias de compra de los clientes. Pero, en lugar de proporcionar los datos reales de los clientes a la empresa de investigación, el minorista ofrece un sustituto que se parece a los datos reales de los clientes. Este enfoque ayuda a las empresas a minimizar el riesgo de exposición o fugas de datos a través de un socio comercial u otro tipo de organización externa.