Reducción de riesgos con minimización de datos



Poner a su empresa en una dieta de datos que reduzca la cantidad de datos confidenciales que almacena o usa es una forma inteligente de lograr el cumplimiento de GDPR y CCPA.

A medida que continuamos navegando por un panorama normativo en constante cambio para los problemas de privacidad, las organizaciones deben comenzar a pensar en las políticas, los procedimientos y la supervisión relacionados con la privacidad como algo imprescindible, no algo agradable.

Un primer paso sólido para reducir el riesgo que presentan sus datos confidenciales es minimizar la cantidad de datos confidenciales que se almacenan y utilizan. La minimización de datos es el concepto de que solo se conservan los datos confidenciales necesarios para el negocio toda otra información confidencial (irrelevante u obsoleta) se elimina de forma segura. Minimizar la cantidad de datos confidenciales lessen el riesgo de una organización de divulgación inadecuada y minimize el costo de almacenamiento. La minimización de datos es un requisito del Artículo 5 (1) (c) del Reglamento Normal de Protección de Datos (GDPR) y un tema recurrente en toda la Ley de Privacidad del Consumidor de California (CCPA), que requiere la divulgación de la información que se mantiene y cómo se usa .

Una estrategia preferred que hemos observado es que las empresas sigan una «dieta de datos». Igualar la minimización de datos a seguir una dieta les da a los empleados una referencia con la que pueden relacionarse. Cuando está a dieta, la comida se ve a través de una lente de «necesidad»: ¿Necesito esta comida? ¿Esta comida proporcionará lo que necesito?

Cuando se trabaja para minimizar los datos confidenciales, la pregunta es: ¿Necesitamos estos datos confidenciales para realizar negocios en este momento? ¿Necesitaremos estos datos confidenciales para realizar negocios en el futuro?

Si la respuesta es no, los datos confidenciales deben eliminarse de forma segura.

Si la respuesta a cualquiera de las preguntas es sí, el siguiente paso es reducir la visibilidad de los datos confidenciales. Cada vez que se ve información confidencial, se genera un riesgo adicional. El uso de información confidencial de una manera que permite que la empresa funcione, pero muestra la información confidencial al menor número de personas, ayuda a gestionar el riesgo. Tanto GDPR como CCPA tienen pautas estrictas sobre notificación de incumplimiento y la seguridad de los datos confidenciales. Un paso lógico para proteger los datos confidenciales y reducir el riesgo de divulgación incorrecta (incumplimiento) es reducir el número de personas que pueden ver los datos.

Una forma de lograr esto es a través del enmascaramiento de datos. El enmascaramiento de datos permite a una organización utilizar un sustituto efectivo (mantener la integridad estructural) de los datos reales cuando no se requieren los datos reales. El enmascaramiento de datos generalmente se clasifica como estático, dinámico o sobre la marcha.

Enmascaramiento de datos estáticos: Los datos se enmascaran en la base de datos authentic y luego se copian a otra base de datos, como un entorno de prueba. Solo los usuarios con acceso a la foundation de datos primary pueden ver los datos reales. Por ejemplo, mientras Diana prueba una nueva aplicación de computer software, está utilizando una copia de la base de datos que reemplazó los datos confidenciales (datos confidenciales alterados en reposo en la foundation de datos copiada). Esto proporciona a Diana datos representativos de alta calidad sin revelar información confidencial.

Enmascaramiento dinámico de datos: Los datos se enmascaran en tiempo genuine, lo que hace que los resultados de la consulta de la base de datos sean falsos, por lo que los datos reales nunca se muestran a los usuarios que acceden a la base de datos initial. Debido a la complejidad de evitar que los datos enmascarados se escriban en la base de datos, el enmascaramiento dinámico de datos es mejor para situaciones de solo lectura. Solo los usuarios autorizados de la foundation de datos original pueden ver los datos reales. Por ejemplo, Mark, un representante de servicio al cliente, está enviando una consulta SQL a una base de datos que contiene información confidencial que Mark no necesita para realizar su trabajo. El proxy de la foundation de datos identifica a Mark y modifica la consulta SQL antes de que se aplique a la foundation de datos para que los datos enmascarados se devuelvan a Mark.

Enmascaramiento de datos sobre la marcha: Los datos se enmascaran en tiempo real, de manera comparable al enmascaramiento dinámico de datos, excepto que el enmascaramiento ocurre en la memoria de una aplicación de foundation de datos en lugar de en la foundation de datos. Por lo tanto, la información confidencial nunca está en la aplicación. Solo los usuarios con acceso autorizado pueden ver los datos reales. Por ejemplo, Whitney está utilizando una aplicación de auditoría para realizar una auditoría interna en RRHH. La aplicación de auditoría tiene acceso a la foundation de datos necesaria, pero la secuencia de comandos se escribe de modo que cualquier información confidencial solicitada por la aplicación quede enmascarada antes de la entrega.

Una vía identical al enmascaramiento de datos es la codificación de datos, donde los datos confidenciales se ocultan o eliminan. Este es un proceso permanente. Los datos originales no pueden derivarse de los datos codificados y, por lo tanto, solo pueden utilizarse cuando los datos se están duplicando. A diferencia del enmascaramiento de datos, los datos codificados no siempre conservan la integridad estructural.

Al tomar medidas para minimizar los datos confidenciales que se almacenan o utilizan y limitar la visibilidad de la información a la menor cantidad posible de personas y sistemas, su organización está en camino de reducir el riesgo y lograr el cumplimiento de las normas de privacidad.

Contenido relacionado:

Bethany es auditora sénior de tecnología de la información de la oficina de Fort Wayne, Ind., En The Mako Team, donde aporta una sólida experiencia en auditoría y consultoría sobre riesgos y controles. En sus años de experiencia en auditoría, ha trabajado con una lista Fortune 500 que cotiza en bolsa … Ver biografía completa

Más thoughts





Enlace a la noticia original