Upload
sergio-sanchez
View
1.416
Download
3
Embed Size (px)
DESCRIPTION
Porque es importante el enmascaramiento de datos y cuando ocupar enmascaramiento de datos en las empresas. Como seleccionar una herramienta para enmascarar datos.
Citation preview
Enmascarmiento de datos por robo de
identidad
Data Masking: Robo de identidad
Agenda
Privacidad de Datos Ambiente Legislativo, Robo de datos y resultados de
investigaciones. Definicion de Enmascaramiento de Datos Caso de Negocio Requerimiento para enmascaramiento de Datos Modelo de Enmascaramiento de datos Comentarios
Privacidad de Datos
Definición• La relación entre la tecnología y la expectativa de
privacidad en almacenamiento e intercambio de información personal, evitando que esta se use, divulgue o utilice indebidamente.
• Incluye: nombres, numeros de seguro socia, direcciones, numeros de telefonos, tarjetas de credito, registros finanieros, registros medicos, etc.
• La información es el activo más valioso de una organización
Como se esta manejando?
Tendencias globales:
• Mayor preocupacion por proteger los datos• Nuevas legislaciones y regulciones • Incremento en el robo de datos• Incremento en el gasto de sistemas de proteccion de
datos• Tendencia a compartir informacion
Dudas sobre la confidencialidad
Los consumidores están cada vez más preocupados con la protección de su información personal.
Aproximadamente el 64% de los clientes tiene el temor de que sus datos sean robados, superando a la contaminación ambiental, terrorismo, perdida de trabajo, enfermedad, etc.
La privacidad de los datos obtuvo el puesto mas alto entre todos los temas sobre seguridad de la información, según los medios de comunicación en el año 2005.
Ambiente Legislativo
Canada:• PIPEDA• Provincial Privacy Laws
Estados Unidos:• Gramm-Leach-Bliley• Sarbanes Oxley Act• Health Insurance Portability and Accountability Act• California Senate Bill 1386
Ataques Internos
Accenture e InformationWeek: Las violaciones a la seguridad desde el interior son cada vez mas comunes.
Gartner: El 70% de los incidentes de seguridad son provocados desde el interior de la compañía.
Forrester: El 80% de las amenazas de seguridad vienen del interior y solo el 65% son detectadas.
Ernst & Young: Un ataque interno a la información sensible o privilegiada causa en promedio $2.7dlls millones en daños, a comparación con un ataque desde fuera donde su costo promedio es de $57 mil dlls (Casi 50 veces mas costoso)
Definición de Data Masking
Medidas convencionales de seguridad:1. Encriptación: Protege los datos mientras se encuentran en reposo.
2. Firewalls & contraseñas: protege los datos contra amenazas externas.
Medidas de Seguridad Emergentes – Data Masking:
Enmascaramiento de Datos es otra solución necesaria para la protección de datos de amenazas de seguridad internas y externas.
También se conoce como la ocultación de datos, des-identificación de datos, despersonalización de datos, codificación de datos, etc.
Definición de Data Masking
El proceso por el cual la información en una base de datos está enmascarada o "des-identificado”
Permite la creación de datos reales en entornos ajenos al de producción sin el riesgo de exposición de información confidencial a usuarios no autorizados
El enmascaramiento de datos garantiza la protección de información sensible de una gran cantidad de amenazas que pueden provenir tanto de afuera como de adentro de la organización
Definición de Data Masking
A diferencia de los datos cifrados, la información enmascarada mantiene su facilidad de uso para actividades como el desarrollo de software y pruebas.
Técnicas que abarca:Mutación.Generación.Algorítmica.Carga.Personalización.
Definición de Data Masking
Los ambiente no-productivos son vulnerables a las amenazas a la seguridad de la información privilegiada que no cuenta con la autentificación para su acceso y revisión.
Data Masking se utiliza en ambientes no productivos para algunas tareas como las que se listan a continuación:Desarrollo de software y pruebas de implementacion.Minería de datos/ investigación.Subcontratación y descentralización.
Beneficios del enmascaramiento
Incrementa la protección y control del robo de datos. Aplica la necesidad de autentificación
Algunas investigaciones en el 2006 encontraron que entre el 80 y 90 por ciento de las compañías de Fortune 500 y organismos gubernamentales han experimentado el robo de datos.
Reduce las restricciones sobre los datos.
Proporciona datos realistas para los ambientes de pruebas, desarrollo, capacitación, outsourcing, minería de datos / de investigación, etc.
Beneficios del enmascaramiento
Permite el desarrollo de software y el intercambio de datos, en ambientes con baja seguridad.
Apoya el cumplimiento de las políticas y legislaciones sobre privacidad de datos
• El enmascaramiento de datos muestra el manejo dado por las empresas para el cumplimiento de las legislaciones sobre privacidad de datos.
Mejora la confianza del cliente• Proporciona una mayor sensación de seguridad a los clientes, empleados
y proveedores
Caso de Negocio y ROI
El caso de negocio y el retorno de la inversión normalmente se basan en factores de mitigación de riesgo tales como:
1. Demandas civiles
2. Gastos comerciales y multas legales
3. Riesgos personales
4. La pérdida de clientes
Caso de Negocio y ROI
1. Demandas civiles• Costosas defensas y litigios• Esfuerzo y tiempo para la preparación de la defensa
1. Gastos de negocio y multas legales• Seguros • Gastos de auditoria• Detección y notificación de los costos• Pagos a los clientes afectados.
Caso de Negocio y ROI
1. Riesgo Personal• Los individuos dentro de la organización puede enfrentarse a penas
de cárcel, recortes salariales o pérdida del empleo
2. Perdida de clientes• Publicidad negativa• Daños difíciles de reparar• Imagen corporativa danada• Aproximadamente el 40% de los estadounidenses pone fin a
su relación con una organización que experimenta el robo de datos
Caso de Negocio y ROI
Como cuantificar el ROI en una solución de enmascaramiento?
1. Se basan en una estimación en el ahorro de mitigación de riesgos:– Observar las referencias de la industria.– Entender como los incumplimientos afectan o impactan a otros negocios dentro de la
industria.– Prever las posibles situaciones en caso de incumplimiento.
1. Factores asociados a los ahorros:– Aprovechar y externalizar las oportunidades derivadas del ahorro de costos
operativos– Permitir a los usuarios de la informacion utilizar los datos de forma y lugares virtuales– Menos gastos administrativos y menos burocracia.
Una mirada al futuro…
Lo que dicen los expertos en seguridad:
• La gestión de la seguridad, privacidad y la identidad se mantendrá como prioridad en los gastos asociados a la seguridad de la información.
• la incidencia en las violaciones de datos seguirá aumentando a menos que las empresas apliquen medidas adicionales para proteger los datos sensibles, tanto en entornos de producción y no producción
Complicaciones del enmascaramiento
1. Utilidad de los datos - los datos enmascarados deben lucir y actuar como los datos reales
2. Datos relacionados – el relacionamiento se debe de mantener después del enmascaramiento
3. Procesos de negocio – se deben de adaptar a los procesos existentes
4. Facilidad de uso – se debe equilibrar la facilidad de uso con la necesidad de ocultar los datos de forma inteligente
5. Personalizable - debe ser capaz de adaptarse a las necesidades específicas del negocio
Complicaciones del enmascaramiento
1. Utilidad de los datos – los datos enmascarados deben lucir y actuar como los datos reales. pruebas y desarrollos adecuados modificación de aplicaciones validación de datos
2. Relación de los datos – deberán de mantenerse después del enmascaramiento relacionamiento a nivel de base de datos
relacionamiento a nivel aplicaciones
sincronización de datos (inter-relación entre bases de datos)
Complicaciones del enmascaramiento
1. Procesos existentes de negocio – los datos deberán de encajar con los procesos actuales coherencia con los procesos de IT y de actualización automatización del proceso de enmascaramiento.
2. Facilidad de uso – se deberá de equilibrar la facilidad de uso con la necesidad de ocultar los datos de forma inteligente
necesidad de contar con datos útiles que no revelen información sensible
el conocimiento de especialización de los temas IT/privacidad/algoritmos deberá de ser pre-configurado y construido en el proceso de enmascaramiento.
Complicaciones del enmascaramiento
1. Personalizable – debera de ser capaz de adaptarse a las necesidades especificas del negocio cualquier actualizacion y/o proceso debera de tener la
carateristica de ser facilmente actualizado y/o personalizao
debera de contar con la capacidad para personalizar los metodos de enmascaramiento y la solucion a implementar.
Requerimientos del producto
Se deberan de evaluar las siguientes categorias1.Soporte a base de datos
2.Soporte a aplicaciones
3.Soporte a plataformas
4.Requerimientos funcionales
Requerimientos del producto
Soporte a base de datos
Soporte a diferentes tipos de datos Soporte a sistemas distribuidos y mainframe Soporte a múltiples conexiones de bases de datos al
mismo tiempo Soporte a bases de datos relacionales manteniendo su
integridad por medio de metadatos. Mantener los indexes, triggers, etc. Interfaz común independientemente del tipo de base de
datos Facilidad en el soporte de cambios o actualizaciones en
las bases de datos
Requerimientos del producto
Soporte a aplicaciones
Capacidad para trabajar con aplicaciones empresariales y aquellas hechas a la medida
El soporte a la aplicación deberá de permitir el fácil mantenimiento de la integridad relacional
Deberá de contar con una interfaz común sin importar la aplicación
Permitirá la fácil actualización y cambios dentro de las aplicaciones
Requerimientos del producto
Soporte a plataformas
Amplio soporte a plataformas – manejo de estandares
Evitar diferentes versiones para diferentes plataformas
Soporte a multiples conexiones de bases de datos, aunque esten en diferentes plataforms
Soporte al mantenimiento de la integridad relacional definida en las diferentes bases o aplicaciones – sincronizacion con ambientes integrados
Interfaz comun/independiente a la plataforma Permitirá la fácil actualización y cambios dentro de
las aplicaciones
Requerimientos del producto
Funcionalidad
Solución a nivel de empresa Intuitiva, interfaz grafica del usuario (GUI) fácil de
usar Misma interfaz para todas las bases de datos,
plataformas y tipos de aplicación Procesos repetibles/recreables Métodos de enmascaramiento pre-cargados Capacidad para secuencias de comando Métodos de enmascaramiento fuertes y seguros Evitar el mapeo manual
Requerimientos del producto
Funcionalidad (continuación)
Analizar las dependencias – la lógica para enmascarar los datos deberá de estar en el orden correcto
Calculo de datos correctos Mantener la correcta funcionalidad de los datos Enmascarar e importar los datos de otras fuentes
(ver a futuro) Integrar el proceso dentro del flujo normal de
procesamiento de negocio. Automatización del proceso de enmascaramiento
Preguntas
http://sesa78.wordpress.com/