El enmascaramiento de datos es una estrategia utilizada para proteger los datos sensibles de un conjunto de datos mediante la transformación de éstos en otros que mantengan la coherencia y la consistencia del conjunto original. Un buen data masking, no solo tiene que mantener una coherencia de datos y las relaciones entre tablas sino que además tiene que tener la misma distribución estadística que la fuente original.

También conocido como “anonimización”, “ofuscación” o “tokenización” de datos busca generar conjuntos de datos realistas y anónimos basados en datos reales de producción, que puedan ser utilizados para fines alternativos como análisis, generación de pruebas, capacitación o formación, sin comprometer la seguridad de los datos reales. Por ello, para mantener los datos reales seguros, el proceso de enmascaramiento de datos es irreversible, el usuario no podrá, desde los datos enmascarados, obtener los datos reales.

A lo largo del tiempo y gracias a la tecnología, se han creado dos estrategias para realizar este proceso, el data masking estático (SDM) y el data masking dinámico (DDM).

Data masking estático (SDM)

Es utilizado para la transformación permanente del dato. Desde un almacén de datos, se selecciona todos los datos sensibles que queremos transformar y realizamos el proceso.

La fuente de datos resultante es la misma, reemplazando el dato original por el dato transformado. Al provocar la pérdida del dato anterior, es un sistema no aplicable a bases de datos de producción ya que altera permanentemente los datos.

Por otro lado, se trata de un sistema seguro ya que al no albergar datos sensibles, si un atacante obtiene la base de datos, no tendrán acceso a los datos confidenciales.

A nivel de ejecución, en este tipo de enmascaramiento, las transformaciones se realizan por adelantado para evitar que afecte al rendimiento de las transacciones.

Por último, este tipo de estrategia simplifica enormemente las tareas de seguridad, ya que gracias a la sustitución permanente de los datos, no se requiere de crear un plan de seguridad muy detallado a nivel de objeto, ya que los datos más sensibles han quedado reemplazados.

Data masking dinámico (DDM)

El data masking dinámico es utilizado para la transformación de datos sensibles sin alterar la fuente de datos original. Esto permite una trazabilidad del dato y sobre todo, que puedan utilizarse distintas reglas de transformación utilizando una misma fuente de dato original.

Esta estrategia puede funcionar en tiempo real pero no resulta muy adecuada en entornos muy dinámicos con un alto uso de lectura o escritura dado que los nuevos datos enmascarados pueden reescribirse y corromper la base de datos. Para ello es necesario implementar nuevas estrategias de enmascaramiento que eviten la corrupción de los nuevos datos.

Comparación entre ambas estrategias:

¿Cuál es la mejor estrategia?

Como hemos visto, ninguna estrategia es mejor que otra en términos absolutos, todo depende de las necesidades de cada empresa y de sus estrategias de testing y almacenamiento y securización de los datos.

Existen multitud de herramientas para realizar ambos tipos de data masking. En Gigantics nos enfocamos en la seguridad, coherencia y velocidad de creación de datos anonimizados. Gracias al uso de la inteligencia artificial, realizando una estrategia de SDM, ayudamos a las empresas a minimizar los tiempos de creación de nuevos datasets pudiendo provisionar entornos no productivos en apenas unos minutos. De esta manera las empresas solo tienen que ocuparse de crear procesos de seguridad para las bases de datos de producción, minimizando el riesgo de una brecha de seguridad desde otros entornos.

Si te ha sido útil el artículo y quieres saber más información acerca del data masking y de cómo se puede aplicar a tu empresa para aumentar la seguridad de tus bases de datos, contacta con nosotros sin compromiso.