Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Enmascaramiento de Datos PDF
Enmascaramiento de Datos PDF
Son buenas noticias pero bajar la guardia no es una opción, especialmente cuando las conocidas como
Amenazas Persistentes Avanzadas (APT, en sus siglas en inglés) perfeccionan sus métodos.
¬
creatividad para infiltrarse en las organizaciones y arrebatarles
uno de sus principales activos, los datos, se perfecciona cada día. No es sólo el miedo a las
sanciones económicas que
En este sentido, Gartner asegura que la aceleración de los ataques
supone el no cumplimiento
avanzados, dirigidos y orquestados con planificación e intención
de persistir en el logro de sus objetivos, es continua. En los últimos de las leyes lo que moviliza
cuatro años se ha multiplicado por cinco el número de amenazas a las organizaciones
pero lo más destacable es el cambio en la naturaleza de éstas: a adoptar políticas de
de ser generales y dispersas se han convertido en persistentes, seguridad. El daño a la
avanzadas y perfectamente orientadas. reputación y la pérdida de
la confianza de los clientes
Ante este panorama las organizaciones se enfrentan a un escenario que supone no proteger
de amenazas evolutivas contra las que no están lo suficientemente adecuadamente los datos
preparadas. Son amenazas avanzadas que han atravesado sus
y que este hecho sea del
técnicas de protección tradicionales y se encuentran alojadas y
sin detectar en sus sistemas, insiste Gartner. dominio público es el
principal motivo por el que
Que los datos corporativos se ven comprometidos y atacados las organizaciones buscan
desde su origen -la propia base de datos- es un hecho que también proteger su información
refrenda la consultora Verizon, que asegura que la mayor parte
de los ataques y prácticamente la totalidad (98%) de los datos
robados en 2011 fueron orquestados por grupos organizados
externos a la “víctima” por medio de técnicas muy depuradas. Los últimos años han sido bastante “movidos” en esa línea:
en 2011 Anonymous lanzó un ataque contra Sony en el que
Si a ello se suma el mal uso de los privilegios de acceso a la fueron “hackeadas” más de 77 millones de cuentas de usuarios
información por parte de los empleados; los ataques de hackers de la PlayStation Network con el consiguiente robo de datos
y la difusión de un malware cada vez más sofisticado, la situación asociados. Sony dio el sitio de baja durante semanas hasta
deja poco espacio para la confianza y los resultados de una falta poder ofrecer de nuevo el servicio con seguridad. El ataque
de protección generan escenarios poco deseables. implicará un impacto a largo plazo que superará ampliamente
los 1.000 millones de dólares de pérdidas.
ARGENTINA
Ley de Protección de Datos Personales
CHILE
Ley sobre Protección de la Vida Privada
y Protección de Datos de Carácter Personal
COLOMBIA
Al parecer, los ciberdelincuentes habrían conseguido acceder a Ley Estatutaria de Protección
la base de datos de Epsilon y hacerse con información personal de Datos Personales
de los clientes relacionados con esta compañía, que mueve
anualmente más de 40.000 millones de anuncios. ECUADOR
Ley Orgánica de Transparencia
En enero de 2012, Anomynous volvió a saltar a los titulares y Acceso a la Información Pública
de todo el mundo al lanzar un hackeo masivo contra varias
instituciones gubernamentales estadounidenses (el FBI y ESPAÑA
el Departamento de Justicia, entre ellas) y de la industria
Ley Orgánica de Protección de Datos (LOPD)
discográfica como respuesta al cierre de Megaupload. Con más
de 27.000 ordenadores implicados y cerca de 10.000 personas
MÉXICO
tras ellos, se trata de uno de los mayores ataques informáticos
Ley Federal de Protección de
registrado, por encima incluso del que se produjo tras la clausura
Datos Personales en Posesión de Particulares
de WikiLeaks.
PERÚ
Ley de protección de Datos Personales
LA LEY
ES LA LEY URUGUAY
Ley de Protección de Datos
y Acción de Habeas Data
En todos los rincones del mundo, las entidades reguladoras
obligan a las organizaciones a cumplir con los requisitos de
protección de datos mediante leyes que protegen la privacidad.
Los términos de las distintas legislaciones varían pero la Todas estas leyes marcan la pauta en sus
intención es siempre la misma: proteger la información de respectivos países acerca del tratamiento que
las organizaciones han de dar a los datos de
carácter personal de aquellos que no están autorizados a
carácter personal que atesoran en sus sistemas.
acceder a ella.
Su incumplimiento ha acarreado cuantiosas
sanciones en paralelo a un descrédito público que
No es sólo el miedo a las sanciones económicas que supone el se traduce en pérdida de confianza y daños en la
no cumplimiento de las leyes lo que moviliza a las organizaciones reputación.
a adoptar políticas de seguridad. El daño a la reputación y la
pérdida de la confianza de los clientes que supone no proteger
adecuadamente los datos y que este hecho sea del dominio
público es el principal motivo por el que las organizaciones
buscan proteger su información.
LA NUBE
Según datos de 2011 recogidos por Iron Mountain, el 35% COMO ELEMENTO
de las empresas que no recuperan los datos en el plazo de TRANSFORMADOR
un día sufren daños irreparables en su negocio en términos
económicos y de reputación. El porcentaje aumenta al 65% si el
plazo de recuperación aumenta a una semana. La virtualización y la informática en la nube están transformando
la manera en que se conciben las estructuras de TI. Sucede
que bajo esta nueva forma de hacer las cosas hay que prestar
especial vigilancia a la seguridad, ya que se multiplican los
¬
privilegios a múltiples servidores y aplicaciones.
La virtualización y la
informática en la nube Según los resultados del estudio independiente Security―An
están transformando la Essential Prerequisite for Success in Virtualisation, realizado
manera en que se conciben por KuppingerCole (consultora y analista especializada en
las estructuras de TI. seguridad de la información centrada en identidades) las
Bajo esta nueva forma de organizaciones tanto europeas como estadounidenses tienen
hacer las cosas hay que que proteger más intensamente sus infraestructuras virtuales
prestar especial vigilancia para no ponerlas en riesgo. El informe, que recoge las opiniones
de 335 directivos de negocio y de TI de 15 países, desvela que
a la seguridad, ya que se
las tecnologías y políticas de seguridad de la virtualización que
multiplican los privilegios se aplican hoy día en las compañías no se ocupan lo suficiente
a múltiples servidores y de los privilegios de los administradores ni de la dispersión de
aplicaciones. los datos.
¬ Las organizaciones necesitan
“esconder” lo que técnicamente
se conoce como información
Esto es así porque la calidad y la seguridad de los datos de
prueba afecta a la de las aplicaciones, lo que está llevando a las
organizaciones a reconsiderar la manera en la que utilizan los
personal identificable, mientras se datos de prueba. En realidad, cambiar el modo de trabajar es
un imperativo pero, con el creciente volumen de normativas que
mantiene la integridad referencial
exigen un mayor control sobre los datos, el desvío de recursos
del entorno original. Existen varias
que conlleva la generación de datos de prueba no se contempla
vías para acometer este asunto como algo estrictamente necesario.
pero el término general acuñado
para denominar este proceso es Sin embargo, los métodos actuales de generación de datos
ENMASCARAMIENTO DE DATOS. de prueba están expuestos a errores, pero cuando la calidad
de éstos tiene implicaciones directas en la calidad de la
aplicación resultante no hay espacio para el error. En muchas
Concretamente, el 81% de las firmas encuestadas considera organizaciones, el número real de fallos de producción
esta última como una amenaza “muy importante” o “importante”, puede medirse y la introducción de metodologías de prueba
ya que encierra el riesgo de que la información viaje sin control estructuradas se deriva en una reducción de fallos en la fase
por los entornos virtualizados y pueda terminar en entornos de pruebas.
menos seguros.
En el informe Safeguarding Data in Production & Development:
Los entornos cloud, y en general todos los que implican A survey of IT Practitioners realizado y publicado por Ponemon
outsoucing en la operación de los sistemas de información, Institute en junio de 2012 se pone de manifiesto la vulnerabilidad
son especialmente sensibles a este problema dada la escasa continua de los datos sensibles y confidenciales debido a la falta
o nula relación entre los usuarios con la empresa propietaria de de controles y salvaguardas que eviten el acceso a empleados
la información, su alta rotación y la deslocalización geográfica. y terceros no autorizados al capital informativo de la compañía.
es ENMASCARAMIENTO DE DATOS.
Utilizan datos reales
Ante la necesidad del cumplimiento normativo sobre la privacidad en entornos de no producción
de los datos y de la multiplicidad de estudios e informes sobre
las brechas en seguridad sufridas por grandes y muy conocidas
compañías, hoy día es más esencial que nunca considerar con CUALQUIER organización
extremo cuidado el uso de los datos personales en los entornos que posea datos de carácter personal
de pruebas. y crítico para el negocio
Estas son algunas de las conclusiones del informe: El enmascaramiento persistente garantiza la privacidad de
los datos mediante la creación de copias enmascaradas para
Un 50% de los encuestados (663 profesionales de seguridad) desarrollo, pruebas y formación, manteniendo unos procesos
refiere algún caso de datos comprometidos o robados por un óptimos. Enmascaramiento de datos escalable para aplicaciones
insider malicioso. heterogéneas.
El acceso sin restricciones de los administradores de base de El enmascaramiento dinámico de datos surgió como una
datos eleva el riesgo: el 73% manifiesta que sus DBAs pueden tecnología de protección de datos flexible que aborda una serie
ver datos sensibles en modalidad de texto claro, lo que dispara de brechas en las soluciones existentes.
el riesgo de una violación.
Ofrece seguridad y supervisión de bases de datos en tiempo
Los call centers colaboran a poner en el punto de mira los real basadas en políticas. Puede integrarse con software de
datos sensibles de los clientes, ya que el 76% asegura que su autenticación y ofrece enmascaramiento y bloqueo de datos en
personal del centro de atención telefónica ve o probablemente tiempo real.
pueda ver información sensible, como son los datos de la tarjeta
de crédito, de forma explícita. Los encuestados en Safeguarding Data in Production &
Development: A survey of IT Practitioner deja claro que las
El 68% de las compañías tiene dificultades para restringir empresas buscan, principalmente, tres cosas: resguardar los
el acceso de los usuarios a los datos sensibles, el 66% tiene datos sin impactar en el código o en el rendimiento de las bases
dificultades para cumplir las regulaciones en materia de de datos y las aplicaciones; enmascarar de forma dinámica
privacidad y datos y el 55% no está seguro de ser capaz de información sensible basándose en el nivel de privilegios del
detectar casos de robo/pérdida de sus propios entornos. usuario y, finalmente, cubrir con una red protectora los entornos
de producción.
Aunque el coste de una violación a la seguridad de los datos
sea elevado, sólo el 33% de los encuestados reconoce tener un
presupuesto acorde para reducir las amenazas desde dentro.
PERSISTENTE
Y DINÁMICO
Incrementar la productividad
a través de acceso rápido protegido
a los datos de producción
DISTINTOS PERFILES, ENMASCARAR VS CIFRAR
UNA MISMA SOLUCIÓN
Dentro del amplísimo campo de la seguridad, ¿qué análisis cada vez que así se requiera. Por ejemplo: en esa
matiz aportan las soluciones de enmascaramiento? “sub-base de datos”, Juan Oñate ya no existe, sino que
ahora soy José Martínez. Mi número de teléfono o código
Muchas grandes compañías tienen implementados tampoco existe, sino que es el que se ha determinado
múltiples resortes para que no se produzca acceso a previamente y mi fecha de nacimiento no es la mía pero
los datos productivos pero, al tiempo, tienen multitud tiene el formato de una fecha.
de departamentos y de empresas subcontratadas
desarrollando proyectos y en ese espacio es donde pueden
producirse brechas. Mediante el enmascaramiento se Respetando unas reglas se configura, entonces, un
busca que nadie que trabaje interna o externamente en entorno diferente al original pero que mantiene los
un proyecto tenga acceso a datos reales, evitando que rasgos.
las bases de datos circulen con ligereza.
Así es. Un nombre es un nombre, una fecha es una fecha,
una cantidad una cantidad. Todo aquello que se cambia
Al hablar de enmascaramiento encontramos que hay es consistente. Si se cambiara un número por una letra se
dos formas de aplicarlo: persistente y dinámicamente. perdería esa consistencia, los datos no se reconocerían y
¿En qué consiste cada una? no podría hacerse ningún tipo de análisis.
“
Somos expertos en el proceso pero
En el enmascaramiento cada compañía tiene sus propios
persistente existe una requisitos y necesita crear sus propias
base de datos original reglas dependiendo de la naturaleza de
y una base de datos los datos, la criticidad de los mismos,
enmascarada que del uso que se va a hacer de ellos, de
puede ser completa la frecuencia con que se actualizan…
o puede tratarse de En definitiva, ayudamos al cliente
un subconjunto. En a reflexionar sobre cuáles son las
el enmascaramiento políticas de enmascaramiento que
dinámico solo existe la quiere proveer a su entorno.
base de datos original y el
“
enmascarado se establece
directamente cuando se Ayudamos al cliente a reflexionar
accede a ella sobre cuáles son las políticas de
enmascaramiento que quiere implantar
en su organización.
Ayudando a las organizaciónes
a enmascarar sus datos
La oferta de PowerData
¿Cómo proteger cientos de aplicaciones y bases de datos de los fallos humanos, negligencias o malas
intenciones de usuarios internos, equipos de soporte, desarrolladores propios y de terceros y DBAs, al tiempo
que se les permite hacer su trabajo?
Para responder a esta batería de cuestiones, las soluciones de enmascaramiento desarrolladas por la firma
Informatica y que PowerData implanta y comercializa permiten a las organizaciones abordar las regulaciones
actuales y futuras en materia de privacidad de datos a través de una combinación integral de funciones de
anonimización de datos, bloqueo, auditoría y alertas en un único entorno.
SOLUCIONES DE
ENMASCARAMIENTO
5 6 7 8
LATINOAMÉRICA ESPAÑA
info@powerdataam.com info@powerdata.es
www.powerdataam.com www.powerdata.es
Argentina Madrid
Avenida Leandro N Alem 530, Piso 4 C/ Miguel Yuste, 17, 4º C
CD C100 1AAN Ciudad Autónoma de Buenos Aires 28037 Madrid
Tel: (+54) 11 4314 1370 T (+34) 911 29 72 97
Chile Barcelona
Av. Presidente Errázuriz Nº 2999 - Oficina 202 C/ Frederic Mompou, 4B 1º, 3º
Las Condes, Santiago CP 7550357 08960 Sant Just Desvern
Tel: (+56) 2 892 0362 T (+34) 934 45 60 01
Colombia Valencia
Calle 100 No. 8A-55 Torre C. Of. 718 Edificio Europa - 5º I Avda, Aragón, 30
Bogotá 46021 Valencia
Tel: (+57 1) 616 77 96 T (+34) 960 91 60 25
México
Alfredo de Musset, 28
Polanco, Miguel Hidalgo,
11550 Ciudad de México, D.F.
Tel: +52 (5255) 5281 2992
Perú
Calle Los Zorzales Nº 160, piso 9
San Isidro, Lima
Tel: (+51) 1634 4901