En una encuesta reciente, preguntamos a profesionales de ciberseguridad si enmascaran sus datos. Los resultados no sorprenden. El 90 % de los encuestados afirmó que el enmascaramiento de datos es importante. El 40 % ya enmascara sus datos y cerca del 50 % necesita enmascararlos, pero aún no lo ha hecho. Solo un 10 % no considera importante el enmascaramiento de datos.

Para las empresas que necesitan enmascarar sus datos, quisimos comprender sus prioridades y plazos. El 70 % de los encuestados afirmó que el enmascaramiento de datos es una prioridad este año, mientras que el 30 % indicó que es una prioridad, pero que actualmente no dispone de presupuesto para ello.

Riesgos

Es evidente que la mayoría de los profesionales coinciden en que el enmascaramiento es importante, pero ¿por qué? Los datos sin protección son, obviamente, una mala idea, pero ¿cómo puede alguien robarlos? ¿Representa un riesgo tan elevado la copia de datos fuera de producción?

Existen varias vías para comprometer los datos en entornos que no son de producción:

1. Amenaza interna. Muchas personas tienen acceso a estos datos. Desarrolladores, testers, administradores y más. La mayoría tiene acceso a todos los datos, no solo a fragmentos. Al menos el 20 % de las filtraciones de datos se deben a amenazas internas, y no es algo que debamos ignorar.
2. Hackers. Cuando los hackers se infiltran en la organización, les resulta mucho más fácil acceder a sistemas de prueba y desarrollo inseguros. Las políticas de contraseñas no siempre se respetan, no se presta mucha atención a los protocolos de seguridad, muchos sistemas tienen acceso a internet y los usuarios también navegan por sitios web desde allí. Esto dista mucho de ser un entorno seguro.
3. Intrusión física. No solemos pensar en la presencia de personas en la empresa. Sin embargo, representa un riesgo significativo. Para los hackers, acceder a sistemas de prueba y desarrollo inseguros es mucho más fácil que entrar en una sala de servidores que requiere una tarjeta de acceso.
4. Datos fuera del perímetro. También existen equipos que salen de la empresa o a los que se accede desde allí. El robo de un portátil de desarrollador con una copia de datos confidenciales puede ser catastrófico. Un tester que trabaja desde casa con información confidencial puede ser igualmente problemático.

En resumen, dejar datos confidenciales fuera del entorno de producción seguro sin protección es buscarse problemas que rozan la negligencia criminal. Por lo tanto, no sorprende que el 90 % de los profesionales de seguridad consideren que el enmascaramiento es vital.

Alternativas al Enmascaramiento

No enmascarar los sistemas que no son de producción deja los datos confidenciales peligrosamente expuestos, pero ¿cuáles son las alternativas? ¿Existe alguna manera de evitar el enmascaramiento sin un riesgo de seguridad excesivo?

Las alternativas existen, pero no son atractivas:

1. Proteger todos los sistemas que no son de producción. Proteger cada sistema es extremadamente costoso y muy poco práctico. Sin embargo, algunas organizaciones, principalmente gubernamentales, siguen este camino. Dichas organizaciones exigen estrictos controles de seguridad y antecedentes para todo el personal y clasifican toda su red como información clasificada.
2. No copiar datos fuera de producción. No copiar datos confidenciales fuera de producción suele perjudicar las pruebas y el desarrollo. Sin embargo, es un enfoque posible que algunas organizaciones han adoptado. Si bien es más seguro que el enmascaramiento, este enfoque conlleva altos costos indirectos. Los costos de prueba y desarrollo son mucho mayores, los ciclos de desarrollo son más largos y la calidad del software es menor.
3. Un enfoque mixto. Una alternativa intermedia consiste en copiar los datos confidenciales de producción solo a un número reducido de entornos de preproducción altamente seguros y proteger únicamente estos. Esto busca mitigar los problemas de calidad de las pruebas y evitar costos de seguridad prohibitivos.

En todos los casos, el costo final de no enmascarar es significativamente mayor que el de enmascarar. Si bien estos enfoques pueden tener otras ventajas, en la mayoría de los casos, el enmascaramiento es el enfoque preferido, adoptado por 9 de cada 10 profesionales de seguridad.

Presupuestos y Prioridades

Los presupuestos son actualmente ajustados, según diversas encuestas de Blue Core Research y otras entidades. Sin embargo, invertir en ciberseguridad en general y en enmascaramiento de datos en particular tiene una alta prioridad. Incluso con fondos limitados, las empresas invierten fuertemente en seguridad de la información. Dentro de la seguridad de la información, incluso cuando los presupuestos se reducen, el enmascaramiento sigue siendo una alta prioridad para el 70 % de los encuestados.

Llevamos varios años realizando estas encuestas y los resultados son siempre similares. Aunque el número de empresas que enmascaran datos sigue aumentando, este incremento es mucho menor que el de las que afirman que planean hacerlo en el transcurso del año. Como en años anteriores, no esperamos que la mayoría de las personas enmascaren sus datos para fin de año.

¿Pero por qué?

Si el enmascaramiento de datos es importante y las empresas siguen afirmando que lo harán, ¿por qué no lo hacen ya todos?

Hay dos razones. La primera es que, cuando los planes se topan con la realidad, las cosas no siempre salen según lo previsto. Aunque queramos creer que podemos hacer y alcanzar ciertos objetivos, a veces la realidad nos obliga a hacer menos de lo planeado.

La segunda razón, sin embargo, es mucho más importante. Las estadísticas muestran que muchos proyectos de enmascaramiento fracasan. Aunque las empresas presupuestan e invierten, el resultado final es que los datos no se enmascaran. Comprender las razones de estos fracasos y abordarlas es clave para garantizar que los presupuestos y esfuerzos se utilicen con prudencia y que el proyecto de enmascaramiento sea un éxito.

Desafíos del Enmascaramiento

Entonces, ¿cuál es el problema con el enmascaramiento de datos? Parece una tarea sencilla, entonces, ¿por qué fracasan los proyectos?

Hay varias razones:

Localizar los datos que se van a enmascarar es otro pequeño desafío. No es un problema grave, pero sí intimida a los clientes y dificulta el proyecto. De nuevo, la orientación y la experiencia pueden ayudar a resolver este problema.

El rendimiento es probablemente el mayor problema. Si el enmascaramiento tarda demasiado en completarse, resulta inutilizable. Este es un problema común que provoca que muchos proyectos de enmascaramiento queden archivados. Las razones pueden ser las limitaciones de rendimiento de la solución, la implementación y la optimización, o el desafío de rendimiento más común y difícil: los disparadores. Los disparadores forman parte del diseño de la base de datos, son esenciales para la integridad de los datos y pueden provocar que el enmascaramiento se ejecute indefinidamente. Es un problema complejo de resolver, pero es posible con las herramientas adecuadas, algo de esfuerzo y conocimientos.

La calidad de los datos es otro problema importante. Muchos proyectos de enmascaramiento generan datos enmascarados que dan lugar a pruebas deficientes. Si los datos enmascarados no imitan bien los datos originales, no replicarán los problemas que presentan estos. Esto significa que desarrollar o probar con los datos enmascarados es inútil. En consecuencia, los equipos de control de calidad y desarrollo exigen acceso a los datos originales.

Los requisitos y objetivos son un obstáculo común. Muchos proyectos de enmascaramiento se prolongan durante meses, intentando definir los requisitos y objetivos, y finalmente fracasan. Cuando nadie sabe qué hacer y todos se pasan la tarea unos a otros, no se consigue nada. La solución consiste en que cada persona aporte sus conocimientos y se combinen. Sin embargo, esto requiere experiencia y orientación sobre qué preguntas formular y cómo gestionar este tipo de proyecto.

Reflexión Final

Todos saben que el enmascaramiento de datos es importante, y muchas empresas planean implementarlo próximamente. Sin embargo, para tener éxito se necesitan los ingredientes adecuados. Esto es cierto para cualquier proyecto, pero es especialmente crucial en el enmascaramiento de datos.

A diferencia de muchos proyectos de seguridad, el enmascaramiento de datos tiene entregables muy específicos. No basta con decir «Está protegido» aunque la solución no haga nada. Hay que entregar datos que serán utilizados por otros equipos, y estos equipos deben aceptar los datos proporcionados. Para ello, hay que encontrar millones de valores y reemplazarlos de forma realista.

No es tan difícil como parece, pero es fundamental contar con la tecnología adecuada y con alguien comprometido con su éxito, desde la gestión del proyecto hasta la resolución de problemas técnicos.

Contactanos hoy mismo y permitinos ayudarte a planificar y ejecutar tu proyecto de enmascaramiento de datos.