En esta función de invitado especial, Scott Lucas, director de marketing de Concentric, sugiere que el cumplimiento es un tema complejo y, en este artículo, aborda la superficie de lo que necesitará para su entorno normativo y de datos en particular. Tener una comprensión clara de cómo descubrir, evaluar y proteger datos estructurados y no estructurados, y sus diferencias, le brinda la base que necesita para un programa eficaz y manejable para proteger la PII que administra. Concentric es una nueva empresa que utiliza el aprendizaje profundo para proteger de forma autónoma millones de documentos que contienen datos no estructurados en la empresa. La solución de inteligencia semántica de Concentric elimina la necesidad de reglas complejas o entrada de usuario poco confiable para hacer que la seguridad de los datos no estructurados sea precisa, procesable y continua.
Como soy tacaño y tengo algunos destornilladores, he reparado mi parte de electrodomésticos grandes. No hace mucho, en medio de una reparación más urgente de lo habitual, necesitaba una pieza. Abandonando Amazon en favor de una satisfacción más inmediata en una tienda local de repuestos para electrodomésticos, me dirigí a una tienda de un centro comercial no muy lejos de mi casa.
Si se pudieran fotografiar datos no estructurados, se vería como ese taller: piezas para cada tipo de electrodomésticos apiladas al azar en estantes que se extienden profundamente en los huecos traseros del edificio, y no hay una etiqueta de número de pieza o un lector de código de barras a la vista. El anciano en el mostrador preguntó qué necesitaba, desapareció en la parte de atrás por un minuto o dos y emergió con una brillante cerilla nueva para la parte rota que sostenía en mi mano.
->
->
Si el descubrimiento de datos no estructurados fuera tan fácil. Para los equipos de TI que están lidiando con los mandatos de privacidad, el descubrimiento de datos es un problema real, tanto para los no estructurados y datos estructurados. Las regulaciones como el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA) describen las expectativas para el manejo de información de identificación personal (PII). El cumplimiento y la protección de datos son los objetivos, pero las tácticas que utilizará para millones de archivos de usuarios finales frente a los millones de registros en sus bases de datos son bastante diferentes.
Paso 1: no puede protegerlo, si no puede encontrarlo
La protección de PII comienza con el descubrimiento de PII. Para las bases de datos, el descubrimiento puede ser una tarea única para localizar PII en la colección de datos estructurados de una organización. Para los datos no estructurados, el descubrimiento es un proceso continuo. De cualquier manera, el descubrimiento es un paso que no se puede omitir.
Es fácil comprender por qué es difícil encontrar PII en datos no estructurados. Una organización típica gestiona más de 10 millones de archivos que contienen de todo, desde información de marketing hasta contratos con clientes e invitaciones de picnic de la empresa. Descubrir la PII en archivos no estructurados sigue siendo uno de los desafíos de seguridad de datos más difíciles que existen.
Es más difícil entender por qué el descubrimiento de datos estructurados puede ser complicado. Datos estructurados debería proporcionan un mapa fácil de PII, pero los diseños de bases de datos a menudo son anteriores a las regulaciones de privacidad modernas y, como resultado, pocas bases de datos se diseñaron teniendo en cuenta la privacidad. La información confidencial a menudo se encuentra dispersa en diferentes bases de datos, en diferentes tablas y en diferentes campos. A veces, la PII se duplica en tablas o bases de datos. Encontrarlo todo puede ser más difícil de lo que piensas.
En ambos casos, el descubrimiento automatizado de PII puede ayudar a los profesionales de TI a asegurarse de haber encontrado los datos de PII que necesitan proteger. En el mundo de los datos no estructurados, las reglas y los programas de clasificación de usuarios finales se han utilizado durante mucho tiempo en un intento de identificar la PII, pero no han sido efectivos ni manejables. Las recientes innovaciones en inteligencia artificial son prometedoras en la automatización de la tarea de descubrimiento de datos para ambos tipos de datos.
Paso 2: una vez que haya encontrado los datos privados, debe evaluarlos
Comprender qué está en riesgo comienza con una evaluación clara y completa de quién puede acceder a la PII. Una vez más, las diferencias son marcadas al evaluar el riesgo en datos estructurados y no estructurados. A continuación, se incluyen algunas cosas que se deben tener en cuenta al evaluar el «quién y cómo» del acceso a la PII en una base de datos estructurada.
- Las bases de datos a gran escala que admiten aplicaciones web, como las que admiten operaciones de comercio electrónico, suelen conectar esas aplicaciones a los datos mediante un puñado de cuentas de servicio. Rastrear quién tiene acceso no suele ser un problema.
- Cada vez más, las conexiones API a las bases de datos amplían el acceso, a veces fuera de la propia organización. No hace falta decir que estas conexiones necesitan una supervisión cuidadosa.
- La PII puede «escapar» del mundo estructurado al no estructurado cuando los usuarios crean informes que contienen datos de una base de datos. Esta es una vía de exposición de datos que a menudo se pasa por alto.
Evaluar el riesgo de datos no estructurados es mucho más difícil. Afortunadamente, si ha descubierto con éxito qué documentos contienen PII, la evaluación de riesgos es más manejable. Una vez que sepa dónde está la PII, querrá buscar los siguientes indicadores de riesgo:
- Uso compartido inapropiado con correos electrónicos externos o personales
- Uso compartido de enlaces, especialmente enlaces sin protección o que no caducan
- Archivos almacenados fuera de las ubicaciones designadas
- Archivos no clasificados que pueden pasar desapercibidos por los servicios de prevención de pérdida de datos
Esta puede ser una tarea abrumadora. Una vez más, las innovaciones recientes en IA pueden ayudar a su equipo a establecer un control de acceso para los archivos de sus usuarios finales.
Paso 3: una vez que haya evaluado los datos privados, es hora de protegerlos
Al igual que con las tareas de descubrimiento y evaluación, las tácticas para proteger los datos estructurados y no estructurados son bastante diferentes. A continuación, se ofrecen algunos consejos para la mitigación del riesgo de datos estructurados:
- Refactorice su base de datos para eliminar la duplicación, aclarar la estructura de los datos y facilitar el descubrimiento de la PII para quien tenga que hacer el trabajo una vez que usted se haya ido.
- Tokenice y / o cifre los campos confidenciales para agregar una capa adicional de seguridad además de sus mejores prácticas de control de acceso.
- Elimina lo que no necesitas. Un gran derrame de PII de datos de hace años innecesarios es, para ser franco, un error no forzado. No seas ese tipo.
- Explore tecnologías emergentes para seguridad API y control de acceso a bases de datos granular. La mayoría de las cuentas de servicio tienen actualmente un acceso muy amplio y un diseño o implementación de API deficientes puede ser un eslabón débil. Vea lo que puede hacer para ajustar las cosas.
Y en el lado no estructurado de las cosas, también hay tácticas emergentes a considerar:
- Esfuércese por lograr un control de acceso con privilegios mínimos a nivel de archivo para todos los datos críticos para la empresa. La seguridad a nivel de carpeta no es lo suficientemente buena.
- Supervise continuamente la situación. Los usuarios crean miles de archivos nuevos cada año y una auditoría única no es suficiente.
- Busque formas de incorporar toda su pila de seguridad en el esfuerzo de gestión de riesgos de PII. Por ejemplo, ahora puede evaluar el riesgo de forma autónoma y etiquetar automáticamente los archivos como confidenciales. Esas etiquetas ayudan a las soluciones de prevención de pérdida de datos a realizar un trabajo más rápido y preciso.
- Tenga cuidado con la forma en que comunica la situación. Inundar a sus usuarios finales con boletines de seguridad creará fatiga de alerta y anulará el propósito. Necesita información procesable de alta fidelidad.
Conclusión: cumplimiento de los mandatos de cumplimiento
El cumplimiento es un tema complejo, y este artículo solo esboza la superficie de lo que necesitará para su entorno normativo y de datos en particular. Tener una comprensión clara de cómo descubrir, evaluar y proteger datos estructurados y no estructurados, y sus diferencias, le brinda la base que necesita para un programa efectivo y manejable para proteger la PII que administra.
Suscríbase al boletín gratuito insideBIGDATA.
Únase a nosotros en Twitter: @ InsideBigData1 – https://twitter.com/InsideBigData1
