data masking

21

Upload: powerdatagrupo

Post on 14-Jun-2015

352 views

Category:

Documents


3 download

TRANSCRIPT

Page 1: Data Masking
Page 2: Data Masking

Proteja la privacidad de su información y garantice el cumplimiento de las

normativas de su negocio.

Proyectos de Enmascaramiento de Datos según Regulación gubernamental en Perú

Juan Manuel Valverde, PMPProject Manager

Lima 8 de mayo de 2013

Page 3: Data Masking

Nuestras capacidades – Enmascaramiento

Cómo desplegamos nuestra oferta en gestión de datos

NECESIDAD DE NEGOCIO

Mejorar la toma de decisiones

Actualizar el negocio

Mejorar la eficiencia para reducir costes

Armonizar culturas corporativas en fusiones y adquisiciones

Fidelizar clientes

Outsourcing de funciones

Gestión de riesgos

Aumentar la eficiencia de la red de partners

Proveer seguridad a la información

Análisis extremo para perfeccionar el conocimiento de los clientes

INICIATIVAS TI

Inteligencia de negocio

Retirada de sistemas heredados

Gestión del ciclo de vida de las aplicaciones

Consolidación de aplicaciones

Centros de relación

suministrador-cliente

SaaS

Reducción de riesgos

cumplimiento normativo

Integración B2B

Enmascaramiento de datos

Captura de datos estructurados y no estructurados

PROYECTOS

Data warehouse

Migración de datos

Gestión de datos

Consolidación de datos

Gestión de Datos Maestros

Sincronización de datos

Procesamiento de eventos complejos

Intercambio de datos B2B

Enmascarmiento

Permanente o dinámico

Proyectos de Big Data

Page 4: Data Masking

Nuestros proyectos en Enmascaramiento

Enmascaramiento de datos

Sincronización/replicación de datos transaccionales

Data warehousing

Migraciones de datos y aplicaciones

Administración de entornos de integración

de datos

Implementación de centros de competencia

de integración

Conocimiento experto en tecnologías líderes

Inteligencia de Negocio

Page 5: Data Masking

Seguridad Informática

Seguridad de la

Información

• Protección contra la pérdida y modificación no autorizada

• Motivación: Interés propio, continuidad operacional

Protección de Datos

• Protección datos en si mismo y el contenido de la información sobre personas, para evitar el abuso de esta

• Motivación: obligación jurídica, ética personal y evitar consecuencias negativas para las personas

SeguridadInformática

Page 6: Data Masking

Situación de la Privacidad de los Datos

Ponemon Institute: 2012 The Risk of Insider Fraud, Second Annual Study• En promedio, toma 87 días identificar que está ocurriendo un

fraude interno y más de tres meses (105 días) en llegar a la causa principal del fraude.

• De acuerdo al 73% de los encuestados, el acto ilegal de un empleado ha causado pérdidas financieras y posiblemente daño a la imagen de la marca.

Deloitte: 2013 TMT Global Security Study• 74% de los problemas de seguridad que se reportan se

debieron a servicios tercerizados (outsourcing) o a errores u omisiones de los empleados.

• 67% de las compañías realiza esfuerzos para controlar el acceso a los datos por los servicios tercerizados.

ACIS/ISACA/CISRT: IV Encuesta Latinoamericana de Seguridad de la Información: Tendencias 2012:• 45% de los incidentes de seguridad que NO se denuncian se

debe a que puede provocar una publicación de noticias desfavorables en los medios o pérdida de imagen.

• 42% de los profesionales encuestados considera que la falta de apoyo de la Áreas o Departamentos impide tener una adecuada política de seguridad de la información.

Page 7: Data Masking

Situación de la Privacidad de los Datos

Page 8: Data Masking

Regulación de Protección de Datos en Perú

NTP-ISO/IEC 27001-2008

•Norma Técnica Peruana•Tecnología de la información•Técnicas de seguridad•Sistemas de Gestión de Seguridad de la Información•Requisitos.•Diciembre 2008

RM-Nº129-2012-PCM

•Adecuación de las Empresas Públicas a la Gestión de la Seguridad de la Información•Mayo 2012

Circular SBS-NºG-140-2009

•Gestión de la Seguridad de la Información•Abril 2009

Circular SBS-NºG-167-2012

•Gestión de la Seguridad de la Información

•Subcontratación y responsabilidad del contratista en el aseguramiento de protección de datos.

•Noviembre 2012

Ley Nº29733

•Ley de Protección de Datos Personales•Definición, Tratamiento, Derechos, Infracciones y Sanciones•Julio 2011

DS-Nº003-2013-JUS

•Reglamento de la Ley de Protección de Datos Personales Ley Nº29733•Marzo 2013

Page 9: Data Masking

Los Datos deben ser Protegidos

Datos Sensibles

datos que el compromiso con respeto a la confidencialidad, la integridad y/o disponibilidad podría afectar negativamente algún interés.

Datos Personales Sensibles

Información que describe, localiza o indica algo

acerca de un individuo incluyendo transacciones financieras, el número de

identificación del gobierno, la historia clínica, ascendencia,

religión, ideología política, antecedentes penales o laborales y fotografías.

Datos Uso Interno (o de Negocio) Sensibles

Información que puede ser utilizada por otros

competidores en contra de los objetivos de la

empresa como: clasificación de clientes, bonos de

trabajadores, fórmulas de medicamentos o niveles de pureza de químicos, datos

resultados de investigación y desarrollo, etc.

Datos No Restringidos Sensibles

Información que puede difundirse libremente a cualquiera, que ha sido puesto a disposición del público, como:  contenido

de la web pública, dirección de correo electrónico del distrito, información del

distrito o escuela, puestos de trabajo, documentos

publicados, ubicación de oficinas o campamentos.

Ley Nº 29733 LPDP: datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad.

Page 10: Data Masking

Enmascaramiento de Datos (Data Masking) es la sustitución de la información sensible existente en las bases de datos con información que parece real, pero NO es útil para cualquiera que deseara darle un mal uso.

OFUSCACIÓNOcultar el valor original de los datos.

ENMASCARAMIENTOLa conversión de los datos en una mediante un proceso (datos normalmente sensibles a los datos no sensibles de la mismo tipo

y formato).

MÁSCARAFachada o un método de ocultación / Función que transforma los datos en algo nuevo pero similar. Máscaras debe ocultar los

datos originales y no debe ser reversible.

Enmascaramiento de Datos

Page 11: Data Masking

Tipos de Enmascaramiento de Datos

• DM Estático o Persistente– Toma como entrada los datos de producción.– Aplica transformaciones para “desidentificar” los

registros y eliminar la información sensible.– Conserva la estructura de los datos mediante el

mantenimiento de integridad referencial entre bases de datos.

– Proporciona alta calidad y datos de prueba realistas para su uso en entornos de no producción.

ERP

Facturación

Clientes CRMData Warehouse

Producción

DESA

PRUEBAS

OTROS

• DM Dinámico– Crea una capa adicional de seguridad entre bases

de datos y aplicaciones.– Enmascara selectivamente la información sensible

de los usuarios que no requieran de dichos datos para hacer su trabajo.

– Provee seguridad muy fina basada en roles– Permite funciones de seguridad que se definen a

través de múltiples bases de datos y aplicaciones

Page 12: Data Masking

Reglas de Enmascaramiento de Datos

• no se debería obtener la data original sensible.El enmascaramiento NO DEBE ser revesible

• mantener la comprensión de significado de los datos.Los resultados del enmascaramiento DEBEN ser una representación de los

datos fuente

• si una llave principal y foránea es enmascarada las relaciones también son enmascaradas.

La Integridad Referencial DEBE ser mantenida

• NO es necesario enmascarar todo.Solo enmascarar datos NO sensibles

si estos pueden ser usados para recrear datos sensibles

• las bases de datos de desarrollo y pruebas necesitan ser una representación del cambio constante en producción.

El enmacaramiento DEBE ser un proceso repetitivo

Page 13: Data Masking

ENMASCARAMIENTO DE DATOS

Incrementa la protección contra el robo de datos.

Reduce las restricciones en el uso de los datos.

Provee datos reales para pruebas, desarrollo,

bases compartidas con terceros, data mining,

etc.

Habilita los desarrollo de software descentralizado e intersistema, además

de los datos compartidos.

Soporta el cumplimiento de las leyes y políticas

de privacidad.

Mejora la confianza y sensación de seguridad del cliente y el entorno

de trabajo.

Beneficios del Enmascaramiento de Datos

Ley Nº 29733 LPDP: Las sanciones son de hasta 10 UIT (S/.36 mil) por cada falta y la reincidencia en faltas puede tener un costo “significativamente alto”

Page 14: Data Masking

Participantes en Enmascaramiento de Datos

Grupo Roles Tareas

Riesgo y Cumplimiento de Normativa

•Oficial de Riesgo •Supervisa el ambiente regulatorio•Oficial de Cumplimiento •Define los requerimientos iniciales de enmascaramiento de datos

•Oficial de Seguridad •Crea las especificaciones organizacionales en términos de negocio •Audita los resultados del enmascaramiento de datos

Analistas de Datos

•Analista de Datos •Revisa las especificaciones de enmascaramiento de datos

•Administradores de Datos •Implementa reglas y prueba dichas reglas vía simulación o vista previa de los datos

•Especifíca cómo los datos sensibles deben ser enmascarados

•Valida reglas sobre muestras de datos y muestras de especificaciones

Técnicos

•Desarrolladores •Descubre datos sensibles y relaciones entre entidades dentro y a través de las aplicaciones

•DBA •Implementa reglas complejas que requieren asistencia técnica experta

•Valida reglas sobre muestras de datos y muestras de especificaciones •Configura conexiones de datos, accesos y permisos

Aplicaciones

•Responsable de Aplicaciones •Descubre datos sensibles y relaciones entre entidades dentro y a través de las aplicaciones

•Expertos de Dominios •Asigna políticas de enmascaramiento de datos a los datos sensibles

•Especialistas en Tecnología •Valida reglas sobre muestras de datos y muestras de especificaciones

•Usuarios Funcionales y Técnicos •Determina y ejecuta el enfoque de enmascaramiento de datos (a 2 vías)

Page 15: Data Masking

Solución de Informatica®

Protección del Ambiente de Producción Dynamic Data Masking (DDM)

15

Usuario Autorizado(Analista Sr.)

Dynamic Data Maskingaplica las reglas basado en el contexto del Usuario

Base de Datos con Información sensible

Valor en Base de Datos

3890-6784-2945-0093

3245-9999-2456-7658

Valores Originales

3890-6784-2945-0093

3245-9999-2456-7658

Valores Mezclados

1234-6789-1000-4422

2233-6789-3456-5555

Usuario No Autorizado (Administrador TI)

Usuario No Autorizado (Soporte Externo)

Valores Enmascarados

xxxx-xxxx-xxxx-0093

xxxx-xxxx-xxxx-7658

Page 16: Data Masking

Solución de Informatica®

Protege Producción Y No-Producción

ERP

Facturación

Clientes CRMData Warehouse

Informatica DynamicData Masking

Producción

DESA

PRUEBAS

OTROS

InformaticaData Subset

Informatica PersistentData Masking Informatica

Test Data Management

Page 17: Data Masking

Solución de Informatica®

Subconjunto de Datos para No ProducciónFlitra la Base de Datos de Producción

Ahorro de Tiempo en esta fase

Ahorro de Espacio

ProducciónBD30TB

Subconj.10 TB

10 TB

10 TB

10 TB

10 TB

En partes en base a tiempo, función o Geografía

Page 18: Data Masking

Solución de Informatica®

Protege los Datos Sensibles en PruebasEnmascara Datos en No ProducciónAltera permanentemente los datos sensibles como tarjetas de crédito, direcciones o nombres

ID Nombre Ciudad Tarjeta Crédito

Tampa

Hartford

Modesto

Plano

Fresno

Fresno

Fresno

Fresno0964

9388

2586

7310 Jeff Richards

Rob Davis

Mark Jones

John Smith

Josh Phillips

Andy Sanders

Jerry Morrow

Mike Wilson

4198 9148 1499 1341

4298 0149 0134 0148

4981 4078 9149 1491

4417 1234 5678 9112

4198 9481 9147 0521

4298 9341 9544 9114

4981 1341 0854 0508

4417 9741 1949 9471• Mezcla ID Empleado• Substituye Nombres• Constante para Ciudad• Técnica Especial para Tarjeta de

Crédito

Variedad of Técnicas:

Page 19: Data Masking

Preguntas

Juan Manuel Valverde, PMP®

[email protected]

Page 20: Data Masking

Gracias por su atención

Page 21: Data Masking

LATINOAMÉRICA [email protected]

Chile

Av. Presidente Errázuriz Nº 2999 - Oficina 202

Las Condes, Santiago CP 7550357

Tel: (+56) 2 892 0362

Colombia

Calle 100 No. 8A-55 Torre C. Of. 718

Bogotá

Tel: (+57 1) 616 77 96Perú

Calle Los Zorzales Nº 160, piso 9

San Isidro, Lima

Tel: (+51) 1634 4901

Argentina

Avenida Leandro N Alem 530, Piso 4

CD C100 1AAN Ciudad Autónoma de Buenos Aires

Tel: (+54) 11 4314 1370México

Insurgentes Sur Nº 600 Of. 301 y 302,

Col. del Valle, Benito Juarez

Distrito Federal, México, 03100

Tel: (+52 55) 1107-0812

www.powerdataam.com

Barcelona

C/ Frederic Mompou, 4B 1º, 3º

08960 Sant Just Desvern

T (+34) 934 45 60 01

Valencia

Edificio Europa - 5º I Avda, Aragón, 30

46021 Valencia

T (+34) 960 91 60 25

Madrid

C/ Miguel Yuste, 17, 4º C

28037 Madrid

T (+34) 911 29 72 97

[email protected] www.powerdata.esESPAÑA