La necesidad de protección de la privacidad y la confidencialidad atraviesa industrias y fronteras globales. Aunque proteger los datos es un paso necesario tanto en los ambientes de Producción como en los ambientes no-productivos, deben aplicarse medidas diferentes en dichas áreas. Los métodos para proteger la privacidad en ambientes de producción simplemente no soportan las necesidades de los equipos de desarrollo, testing, quality assurance y training.
La solución OPTIM Data Privacy de IBM permite a las compañías un método para des-identificar datos en una forma válida para su utilización en ambientes no productivos,mientras se protege la privacidad de los datos. Implementar Optim ayuda a las organizaciones a cumplir con las regulaciones de privacidad de la información y a proteger la confidencialidad de la información
sensible a través de la organización.
Por lo general, en los niveles de utilización de los sistemas se emplean procedimientos de seguridad mucho más estrictos que en los ambientes de testing, desarrollo o entrenamiento. Sin embargo, por requerimientos de las organizaciones globales y por las regulaciones gubernamentales cada vez más exigentes, en muchos mercados es necesario definir programas para garantizar la seguridad y la protección, aún en dichos ambientes.
Hoy en día, la gente común paga sus facturas, accede a las cuentas bancarias y realiza compras desde su PC, notebook o teléfono celular. Toda la información que es colectada, manejada y almacenada tiene un alto atractivo potencial para quienes pretenden sacar beneficios de ellos, tanto legal como ilegalmente.
Asegurar que los datos confidenciales se mantengan protegidos y seguros a través de todos los sistemas de una organización se ha convertido en un factor crítico para muchos negocios.
Quienes roban información se aprovechan de las vulnerabilidades en redes, sistemas de identificación y en la infraestructura, deficiencias que presentan muchas empresas en sus servidores, puntos de acceso y bases de datos.
Casi todos los países disponen de legislación sobre la privacidad de los datos personales que utilizan empresas y organizaciones, y también existen leyes y resoluciones específicas para establecer procedimientos y políticas para el cuidado de los datos en los sectores que manejan información crítica, como los bancos y las entidades financieras.
El incumplimiento de estas reglas puede causar innumerables problemas, incluyendo costos legales, indemnizaciones, procesamiento para los ejecutivos, daños irreversibles en la imagen y la marca, y amenazas sobre la continuidad del negocio.
Los datos que las organizaciones debe prestar sumo cuidado en proteger son:
- Datos de Clientes, incluyendo nombres, direcciones, números de cuenta e información de pago de tarjetas de crédito.
- Datos de Empleados, incluyendo nombres, números de servicios sociales y de salud, direcciones de correo y números de teléfono.
- Secretos de Comercialización, incluyendo datos financieros, costos de mercaderías vendidas (listas de inventarios), información acerca de novedades en actualizaciones de productos.
Toda esta información es manejada en múltiples bases de datos de producción y en otros repositorios de la compañía, donde por lo general se han tomado ciertos recaudos de seguridad para restringir el acceso y salvaguardar su confidencialidad
Los métodos estándar para proteger la privacidad en los ambientes de Producción suelen no ser efectivos cuado son aplicados a los ambientes “no productivos”, en los cuales los desarrolladores, testers y docentes requieren acceso a los datos reales. Es habitual que las compañías utilicen datos reales de clientes para el testeo de las aplicaciones durante el proceso de desarrollo. No se trata de un acto doloso, sino de un “descuido” con un costo potencial insospechado para cualquier organización.
Los ambientes “no productivos”, pueden causar un tremendo problema a la organización y deben ser tratados con los más altos niveles de seguridad. Los acuerdos de confidencialidad estándar que se suelen firmar entre una empresa y sus empleados, suelen ser poco efectivos para disuadir a un empleado descontento que tenga la intención de tomar una base de datos con información crítica que puede tener un valor incalculable en otra empresa o en la calle. Una notebook de un desarrollador conteniendo una base de datos de testing puede ser perdida o robada. Bases de Datos clonadas y remitidas a través de la web pueden ser fácilmente interceptadas.
La realidad es que las bases de datos de testing no precisan contener información de identificación verdadera, sino que sólo deben tener datos que “parezcan” reales.
Algunas compañías suponen que alcanza con encriptar los datos. Pero la encripción no siempre es adecuada para los ambientes no productivos. El proceso de encripción disfraza los datos y los convierte en un formato decodificado para protegerlos dentro de una base de datos. Los datos son entonces desencriptados a su original estado para poder ser visto en las interfases de usuario, reportes y otras actividades de desarrollo y testing. Con frecuencia, los desarrolladores y testers verán los datos desencriptados cuando trabajen con las pantallas de la aplicación, ingresen datos, corran reportes y cuando realicen sus actividades de desarrollo y testing. A pensar de que la encripción puede ser un buen escudo de protección ante el robo de los datos directamente desde la base, no sirve ante el apropiación de
los datos una vez desencriptados (por ejemplo, si los usuarios hacen copias de datos ya desencriptados).
los datos una vez desencriptados (por ejemplo, si los usuarios hacen copias de datos ya desencriptados).
Cuando los datos son exportados fuera de la base de datos y se vuelcan en una planilla de calculo o cualquier otro formato de archivo, la encripción no funciona como mecanismo de protección y por ende, los datos se encuentran en riesgo. Si los datos pueden ser vistos, pueden ser copiados.
La mejor solución es la de asegurar que los datos estén protegidos en caso de caer en las manos equivocadas. El punto es no tanto evitar que los roben, sino evitar que puedan usarlos una vez que los roben.
Des-Identificar o Enmascarar es un camino que asegura que el robo, la exposición o perdida de datos no pueda ser utilizada por nadie. En un ambiente no productivo, el enmascaramiento de datos es un proceso que remueve o transforma sistemáticamente elementos de datos confidenciales que pueden identificar a un individuo, cliente o cuenta bancaria. Las técnicas de enmascaramiento habilitan a los desarrolladores, testers y entrenadores a utilizar datos realistas y producir resultados válidos, mientras siguen cumpliendo con las reglas de protección de la privacidad.
Muchas organizaciones cuentan con un proceso establecido en relación al manejo de información (data management) como así también en cuanto hace al gobierno de los datos (data governance). Contar con prácticas bien definidas para proteger los datos a través de todo el ciclo de vida de los mismos y de las aplicaciones ayuda a mantenerlos protegidos en todas las actividades de desarrollo, testing y entrenamiento.
Con Optim, las compañías pueden des-identificar los datos en una forma que es valida para el uso en los ambientes de desarrollo, testing y training, protegiendo la privacidad.
Optim provee una variedad de capacidades de enmascaramiento probadas para des-identificar los datos de una organización. Usando datos numéricos o de caracter, números secuenciales, expresiones aritméticas, antigüedad de fechas y otras técnicas.
Optim sustituye datos de clientes con contexto adecuado por datos ficcionados que se parecen a la información original y producen resultados de test acertados. Optim es escalable a través de las aplicaciones, bases de datos, sistemas operativos y plataformas de hardware.
La capacidad para asegurar datos confidenciales ayuda a reducir riesgos legales que podrían derivar en penalidades financieras. Adicionalmente, la compañía podrá mantener ventajas competitivas con el cuidado de la privacidad, reforzando la confianza de los clientes, y desarrollando mejores oportunidades de negocios.
OPTIM provee:
- Capacidades de des-identificacion que encmascaran los datos de la aplicación con datos realistas, pero ficcionados.
- Capacidades de reconocimiento de enmnascaramiento para las aplicaciones, que aseguran que los datos enmascarados conservan la estructura y las características de la información original.
- Preservación del contexto a través de rutinas empaquetadas de enmascaramiento que hacen muy simple la des-identificación de los elementos de datos como números de tarjetas de pago, números de documentación de identidad y direcciones de correo.
- Capacidades de enmascaramiento persistentes que propagan los valores enmascarados reemplazados consistentemente a través de las aplicaciones, bases de datos, sistemas operativos y plataformas de hardware.
- Integridad referencial de los datos enmascarados que aseguran que el desarrollo y testing sean exitosos.
- Ayuda para el cumplimiento de las regulaciones y requerimientos nacionales y globales de privacidad de datos.
- Fácil implementación y simplicidad de uso.
Con Optim, las compañías pueden des-identificar los datos en una forma que es valida para el uso en los ambientes de desarrollo, testing y training, protegiendo la privacidad.
Optim provee una variedad de capacidades de enmascaramiento probadas para des-identificar los datos de una organización. Usando datos numéricos o de caracter, números secuenciales, expresiones aritméticas, antigüedad de fechas y otras técnicas.
Optim sustituye datos de clientes con contexto adecuado por datos ficcionados que se parecen a la información original y producen resultados de test acertados. Optim es escalable a través de las aplicaciones, bases de datos, sistemas operativos y plataformas de hardware.
Optim respeta el contexto de negocios de elementos de datos específicos. Por ejemplo, capacidades preempaquetadas aseguran enmascarar números de Documento de Identidad, números de Tarjetas de Crédito y direcciones de email.
La capacidad para asegurar datos confidenciales ayuda a reducir riesgos legales que podrían derivar en penalidades financieras. Adicionalmente, la compañía podrá mantener ventajas competitivas con el cuidado de la privacidad, reforzando la confianza de los clientes, y desarrollando mejores oportunidades de negocios.
