data masking

Enmascarmiento de datos por robo de

identidad

Data Masking: Robo de identidad

Agenda

Privacidad de Datos Ambiente Legislativo, Robo de datos y resultados de

investigaciones. Definicion de Enmascaramiento de Datos Caso de Negocio Requerimiento para enmascaramiento de Datos Modelo de Enmascaramiento de datos Comentarios

Privacidad de Datos

Definición• La relación entre la tecnología y la expectativa de

privacidad en almacenamiento e intercambio de información personal, evitando que esta se use, divulgue o utilice indebidamente.

• Incluye: nombres, numeros de seguro socia, direcciones, numeros de telefonos, tarjetas de credito, registros finanieros, registros medicos, etc.

• La información es el activo más valioso de una organización

Como se esta manejando?

Tendencias globales:

• Mayor preocupacion por proteger los datos• Nuevas legislaciones y regulciones • Incremento en el robo de datos• Incremento en el gasto de sistemas de proteccion de

datos• Tendencia a compartir informacion

Dudas sobre la confidencialidad

Los consumidores están cada vez más preocupados con la protección de su información personal.

Aproximadamente el 64% de los clientes tiene el temor de que sus datos sean robados, superando a la contaminación ambiental, terrorismo, perdida de trabajo, enfermedad, etc.

La privacidad de los datos obtuvo el puesto mas alto entre todos los temas sobre seguridad de la información, según los medios de comunicación en el año 2005.

Ambiente Legislativo

Canada:• PIPEDA• Provincial Privacy Laws

Estados Unidos:• Gramm-Leach-Bliley• Sarbanes Oxley Act• Health Insurance Portability and Accountability Act• California Senate Bill 1386

Ataques Internos

Accenture e InformationWeek: Las violaciones a la seguridad desde el interior son cada vez mas comunes.

Gartner: El 70% de los incidentes de seguridad son provocados desde el interior de la compañía.

Forrester: El 80% de las amenazas de seguridad vienen del interior y solo el 65% son detectadas.

Ernst & Young: Un ataque interno a la información sensible o privilegiada causa en promedio $2.7dlls millones en daños, a comparación con un ataque desde fuera donde su costo promedio es de $57 mil dlls (Casi 50 veces mas costoso)

Definición de Data Masking

Medidas convencionales de seguridad:1. Encriptación: Protege los datos mientras se encuentran en reposo.

2. Firewalls & contraseñas: protege los datos contra amenazas externas.

Medidas de Seguridad Emergentes – Data Masking:

Enmascaramiento de Datos es otra solución necesaria para la protección de datos de amenazas de seguridad internas y externas.

También se conoce como la ocultación de datos, des-identificación de datos, despersonalización de datos, codificación de datos, etc.


El proceso por el cual la información en una base de datos está enmascarada o "des-identificado”

Permite la creación de datos reales en entornos ajenos al de producción sin el riesgo de exposición de información confidencial a usuarios no autorizados

El enmascaramiento de datos garantiza la protección de información sensible de una gran cantidad de amenazas que pueden provenir tanto de afuera como de adentro de la organización


A diferencia de los datos cifrados, la información enmascarada mantiene su facilidad de uso para actividades como el desarrollo de software y pruebas.

Técnicas que abarca:Mutación.Generación.Algorítmica.Carga.Personalización.


Los ambiente no-productivos son vulnerables a las amenazas a la seguridad de la información privilegiada que no cuenta con la autentificación para su acceso y revisión.

Data Masking se utiliza en ambientes no productivos para algunas tareas como las que se listan a continuación:Desarrollo de software y pruebas de implementacion.Minería de datos/ investigación.Subcontratación y descentralización.

Beneficios del enmascaramiento

Incrementa la protección y control del robo de datos. Aplica la necesidad de autentificación

Algunas investigaciones en el 2006 encontraron que entre el 80 y 90 por ciento de las compañías de Fortune 500 y organismos gubernamentales han experimentado el robo de datos.

Reduce las restricciones sobre los datos.

Proporciona datos realistas para los ambientes de pruebas, desarrollo, capacitación, outsourcing, minería de datos / de investigación, etc.

Beneficios del enmascaramiento

Permite el desarrollo de software y el intercambio de datos, en ambientes con baja seguridad.

Apoya el cumplimiento de las políticas y legislaciones sobre privacidad de datos

• El enmascaramiento de datos muestra el manejo dado por las empresas para el cumplimiento de las legislaciones sobre privacidad de datos.

Mejora la confianza del cliente• Proporciona una mayor sensación de seguridad a los clientes, empleados

y proveedores

Caso de Negocio y ROI

El caso de negocio y el retorno de la inversión normalmente se basan en factores de mitigación de riesgo tales como:

1. Demandas civiles

2. Gastos comerciales y multas legales

3. Riesgos personales

4. La pérdida de clientes


1. Demandas civiles• Costosas defensas y litigios• Esfuerzo y tiempo para la preparación de la defensa

1. Gastos de negocio y multas legales• Seguros • Gastos de auditoria• Detección y notificación de los costos• Pagos a los clientes afectados.


1. Riesgo Personal• Los individuos dentro de la organización puede enfrentarse a penas

de cárcel, recortes salariales o pérdida del empleo

2. Perdida de clientes• Publicidad negativa• Daños difíciles de reparar• Imagen corporativa danada• Aproximadamente el 40% de los estadounidenses pone fin a

su relación con una organización que experimenta el robo de datos


Como cuantificar el ROI en una solución de enmascaramiento?

1. Se basan en una estimación en el ahorro de mitigación de riesgos:– Observar las referencias de la industria.– Entender como los incumplimientos afectan o impactan a otros negocios dentro de la

industria.– Prever las posibles situaciones en caso de incumplimiento.

1. Factores asociados a los ahorros:– Aprovechar y externalizar las oportunidades derivadas del ahorro de costos

operativos– Permitir a los usuarios de la informacion utilizar los datos de forma y lugares virtuales– Menos gastos administrativos y menos burocracia.

Una mirada al futuro…

Lo que dicen los expertos en seguridad:

• La gestión de la seguridad, privacidad y la identidad se mantendrá como prioridad en los gastos asociados a la seguridad de la información.

• la incidencia en las violaciones de datos seguirá aumentando a menos que las empresas apliquen medidas adicionales para proteger los datos sensibles, tanto en entornos de producción y no producción

Complicaciones del enmascaramiento

1. Utilidad de los datos - los datos enmascarados deben lucir y actuar como los datos reales

2. Datos relacionados – el relacionamiento se debe de mantener después del enmascaramiento

3. Procesos de negocio – se deben de adaptar a los procesos existentes

4. Facilidad de uso – se debe equilibrar la facilidad de uso con la necesidad de ocultar los datos de forma inteligente

5. Personalizable - debe ser capaz de adaptarse a las necesidades específicas del negocio


1. Utilidad de los datos – los datos enmascarados deben lucir y actuar como los datos reales. pruebas y desarrollos adecuados modificación de aplicaciones validación de datos

2. Relación de los datos – deberán de mantenerse después del enmascaramiento relacionamiento a nivel de base de datos

relacionamiento a nivel aplicaciones

sincronización de datos (inter-relación entre bases de datos)


1. Procesos existentes de negocio – los datos deberán de encajar con los procesos actuales coherencia con los procesos de IT y de actualización automatización del proceso de enmascaramiento.

2. Facilidad de uso – se deberá de equilibrar la facilidad de uso con la necesidad de ocultar los datos de forma inteligente

necesidad de contar con datos útiles que no revelen información sensible

el conocimiento de especialización de los temas IT/privacidad/algoritmos deberá de ser pre-configurado y construido en el proceso de enmascaramiento.


1. Personalizable – debera de ser capaz de adaptarse a las necesidades especificas del negocio cualquier actualizacion y/o proceso debera de tener la

carateristica de ser facilmente actualizado y/o personalizao

debera de contar con la capacidad para personalizar los metodos de enmascaramiento y la solucion a implementar.

Requerimientos del producto

Se deberan de evaluar las siguientes categorias1.Soporte a base de datos

2.Soporte a aplicaciones

3.Soporte a plataformas

4.Requerimientos funcionales


Soporte a base de datos

Soporte a diferentes tipos de datos Soporte a sistemas distribuidos y mainframe Soporte a múltiples conexiones de bases de datos al

mismo tiempo Soporte a bases de datos relacionales manteniendo su

integridad por medio de metadatos. Mantener los indexes, triggers, etc. Interfaz común independientemente del tipo de base de

datos Facilidad en el soporte de cambios o actualizaciones en

las bases de datos


Soporte a aplicaciones

Capacidad para trabajar con aplicaciones empresariales y aquellas hechas a la medida

El soporte a la aplicación deberá de permitir el fácil mantenimiento de la integridad relacional

Deberá de contar con una interfaz común sin importar la aplicación

Permitirá la fácil actualización y cambios dentro de las aplicaciones


Soporte a plataformas

Amplio soporte a plataformas – manejo de estandares

Evitar diferentes versiones para diferentes plataformas

Soporte a multiples conexiones de bases de datos, aunque esten en diferentes plataforms

Soporte al mantenimiento de la integridad relacional definida en las diferentes bases o aplicaciones – sincronizacion con ambientes integrados

Interfaz comun/independiente a la plataforma Permitirá la fácil actualización y cambios dentro de

las aplicaciones


Funcionalidad

Solución a nivel de empresa Intuitiva, interfaz grafica del usuario (GUI) fácil de

usar Misma interfaz para todas las bases de datos,

plataformas y tipos de aplicación Procesos repetibles/recreables Métodos de enmascaramiento pre-cargados Capacidad para secuencias de comando Métodos de enmascaramiento fuertes y seguros Evitar el mapeo manual


Funcionalidad (continuación)

Analizar las dependencias – la lógica para enmascarar los datos deberá de estar en el orden correcto

Calculo de datos correctos Mantener la correcta funcionalidad de los datos Enmascarar e importar los datos de otras fuentes

(ver a futuro) Integrar el proceso dentro del flujo normal de

procesamiento de negocio. Automatización del proceso de enmascaramiento

Preguntas

http://sesa78.wordpress.com/

data masking

Technology