3 Requisitos Esenciales para la Clasificación Avanzada de Datos de Información de Identificación Personal (PII)

Apr 21, 2023
Share

La tecnología de clasificación de datos se ha mantenido prácticamente igual durante más de una década. A pesar de la introducción de cierta automatización, en gran medida ha sido un proceso manual que ha frustrado a profesionales de seguridad, datos, TI y otros empleados de las empresas. Si, por ejemplo, consulta informes de análisis o artículos antiguos sobre el tema de mediados de la década de 2010, notará que los problemas que lamentaban los profesionales entonces son similares a los que nos aquejan hoy.

Pero se está produciendo un cambio importante en el ámbito de la seguridad de datos, impulsado por la tecnología nativa de la nube y sin agentes. Hablaremos de eso en un minuto, pero vamos a cubrir lo siguiente: clasificación de datos que muchos profesionales han experimentado y analizan por qué se está convirtiendo rápidamente en un enfoque obsoleto.

Clasificación de datos de ayer

¿Cuáles son los retos de la clasificación de datos de ayer?

Difícil de implementar

La clasificación de datos de ayer es difícil de implementar. Los equipos primero deben inventariar sus datos, decidir qué almacén de datos quieren clasificar y luego involucrar al equipo de desarrollo para que les ayude a configurar manualmente las conexiones a ese almacén de datos.

Dado que la herramienta debe apuntar a almacenes de datos específicos, solo se pueden clasificar los almacenes de datos conocidos. Además, como el proceso es muy laborioso, los equipos limitan el alcance de su iniciativa de clasificación a un pequeño subconjunto del entorno.

Proporciona información limitada

La clasificación de datos de ayer proporciona dos resultados principales: sensibilidad y etiquetas semánticas.

La sensibilidad o confidencialidad indica el nivel de riesgo que corren los datos en caso de que se vean comprometidos. Algunas etiquetas comunes de sensibilidad incluyen «muy sensible», «sensible», «solo para uso interno» y «público». Tanto la nomenclatura como el número de etiquetas de sensibilidad varían considerablemente entre las distintas organizaciones. En ausencia de una gobernanza y una alineación adecuadas en torno a las etiquetas de sensibilidad, este número puede dispararse. Esto da lugar a un etiquetado de datos confuso e inconsistente.

Las clases de datos semánticas, o simplemente "clases de datos", son una breve descripción del tipo de datos. Muchas herramientas, como catálogos de datos, DLP y nubes públicas, ofrecen funcionalidades básicas para la clasificación de datos. A menudo, el resultado de las clases de datos de estas herramientas son etiquetas que describen o reflejan esencialmente lo que se encuentra en el nombre del encabezado de la columna dentro de una tabla. No se proporciona ningún contexto adicional para describir los datos en sí.

Requiere intervención humana constante.

Incluso con solo dos salidas principales (sensibilidad y etiquetas semánticas), los resultados de la clasificación son incompletos e inexactos. No es raro ver que una herramienta de clasificación asigne etiquetas solo a algunos de los datos, pero omita otros. Los patrones predefinidos que aprovecha la clasificación de datos de ayer no pueden mantenerse al día con la creciente variedad y formato de datos que se encuentran en almacenes de datos.

La falta de exhaustividad y precisión en los resultados de la clasificación obliga a que alguien revise y valide manualmente dichos resultados. Esto impide que la iniciativa de clasificación pueda ampliarse para seguir el ritmo del creciente volumen de datos.

¿Qué es la clasificación avanzada de datos PII?

La clasificación de datos es el proceso de organizar los datos en categorías relevantes para facilitar su recuperación, clasificación, uso, almacenamiento y protección. Además, la Clasificación Avanzada de Información Personalmente Identificable (PII, por sus siglas en inglés) es una solución nativa de la nube y sin agentes que no solo clasifica los datos, sino que también captura un contexto profundo sobre ellos con alta precisión y rapidez.

Los tres requisitos esenciales de la Clasificación Avanzada de Información de Identificación Personal (PII) son:

  • Velocidad y precisión
  • Contexto profundo
  • Identificación dinámica

Velocidad y precisión

Dado que los datos cambian y se mueven constantemente, la clasificación debe ser fácil y rápida.

  • En cuestión de minutos, se conecta a sus entornos en la nube.
  • En cuestión de horas, obtendrá un inventario de almacenamiento de datos, que incluye: las que no conocías
  • En cuestión de días, recibirá clasificaciones junto con un contexto de datos detallado que rodea a sus datos confidenciales.

El proceso no requiere agentes ni genera gastos generales, y no hay degradación del rendimiento. Está altamente automatizado y utiliza aprendizaje automático no supervisado para analizar petabytes de datos a velocidades increíbles.

Pero esa velocidad no es útil a menos que la clasificación de datos sea muy precisa. La clasificación constituye la base de la prevención de pérdida de datos (DLP) y políticas de gobernanza de acceso a datos (DAG). La clase de datos nos indica qué controles son más apropiados para el nivel de riesgo que presentan los datos. Nos indica qué protecciones se aplican a los datos, quién debe tener acceso a los datos y cómo debe ser ofuscadoUna clasificación de alta precisión permite que las políticas DLP y DAG funcionen de manera más eficaz para proteger los datos confidenciales.

Las políticas DLP funcionan detectando la sensibilidad o clasificación de los datos y aplicando acciones de protección predefinidas. Por ejemplo, puede configurar una política DLP para bloquear la copia o el traslado de datos clasificados como de alto riesgo a un entorno no autorizado. Si la clasificación de sensibilidad es incorrecta (por ejemplo, si los datos de alto riesgo se marcan como públicos), la política DLP no actuará cuando se intente copiar o trasladar dichos datos.

Al igual que las políticas DLP, las políticas DAG utilizan etiquetas de sensibilidad o clasificación como condiciones para la acción. Las políticas DAG determinan quién debe tener acceso a los datos y cómo deben ofuscarse, ya sea dejándolos en texto plano o encriptados. Por ejemplo, puede configurar una política DAG para encriptar datos altamente sensibles y restringir el acceso solo al departamento propietario de los datos. Cuando una etiqueta de sensibilidad es incorrecta, el método de ofuscación y controles de acceso porque los datos no se aplicarán correctamente.

Al garantizar que la clasificación sea fácil de implementar, se ejecute rápidamente y dé como resultado clases de datos muy precisas, Cyera ayuda a las empresas a mantenerse al día con el ritmo de los cambios en la nube.

Contexto profundo

El contexto se puede dividir en cuatro categorías: datos, superficie, controles y riesgo.

  • Contexto de los datos: nos indica las características que definen los datos.
  • Contexto superficial: nos informa sobre el entorno donde se almacenan los datos.
  • Contexto de los controles: nos indica qué medidas de protección están implementadas para garantizar la seguridad y la integridad.
  • Contexto de riesgo: nos indica los marcos que regulan los datos.

Analicemos cómo el contexto profundo de los datos, dividido en estas categorías, influye en nuestra postura de seguridad, utilizando ejemplos recientes de filtraciones de datos.

Ejemplo 1: News Corp 2022

hackers Periodistas de News Corp fueron el objetivo quienes cubrían temas geopolíticos controvertidos. Los hackers habían infiltrado la red de News Corp durante dos años, lo que les brindó amplia oportunidad para realizar labores de reconocimiento e identificar vulnerabilidades. Decenas de empleados vieron comprometida su información personal.

Contexto de los datos:

  • Función del sujeto de datos: Los hackers atacaron específicamente empleados.
  • Residencia: Los periodistas en ciertas regionesEs probable que los objetivos fueran países como Estados Unidos o Taiwán.
  • Identificabilidad: Algunos tipos de datos, como el nombre, el género o la edad, pueden considerarse sensibles, pero, por sí solos, no permiten identificar a una persona específica. La identificabilidad de los datos nos indica si la información comprometida puede vincularse a un individuo concreto. De ser así, resulta más valiosa para los ciberdelincuentes.
  • Unicidad: El contexto revela clases de datos exclusivas de una empresa. Por ejemplo, las "áreas temáticas" de los periodistas, como clase de datos, probablemente sean exclusivas de News Corp y de las empresas de medios de comunicación.

Ejemplo 2: Bonobos, una subsidiaria de Walmart 2021

hackers obtuvo acceso a una base de datos de respaldo En un entorno de nube externa, se robó un archivo SQL de 70 GB que contenía direcciones de clientes, números parciales de tarjetas de crédito e historiales de contraseñas.

Contexto de los controles:

  • Método de protección: Afortunadamente, solo se almacenaron los últimos cuatro dígitos de los números de tarjeta de crédito y las contraseñas se cifraron mediante hash. El contexto nos indica si los datos fueron anonimizados, cifrados, transformados mediante otro método o expuestos en texto plano.
  • Copias de seguridad: Los hackers se infiltraron en una copia de seguridad. El contexto revela la existencia de copias de seguridad y si estas contienen o no datos confidenciales.

Contexto de riesgo:

  • Riesgos regulatorios: Cumplimiento de PCI Establece requisitos en torno al almacenamiento seguro de la información de las tarjetas de crédito.

Ejemplo 3: Capital One 2019

Un hacker Se ha realizado un escaneo en busca de cuentas de AWS mal configuradas.Obtuvo acceso y descargó los datos. Robó más de 140.000 números de la Seguridad Social y causó daños por valor de 250 millones de dólares.

Contexto de los controles:

  • Acceso: El pirata informático atacó cuentas mal configuradas que probablemente tenían permisos de acceso excesivos, lo que las convertía en un objetivo fácil.

Contexto de los datos:

  • Combinaciones tóxicas: Se robaron números de la Seguridad Social con información bancaria vinculada. La combinación de ambos tipos de datos aumenta la probabilidad de que la información se utilice para actividades fraudulentas.

Contexto superficial:

  • Implementación en la nube: El hacker escaneó los almacenes de datos de AWS.
  • Tipo de entorno y volumen de datos: Es probable que el pirata informático realizara un reconocimiento para determinar los objetivos de mayor valor, que probablemente fueran entornos de producción con grandes volúmenes de datos confidenciales.

Identificación dinámica

Si los datos son fluidos, nuestra comprensión de ellos y de sus riesgos también debe serlo. La clasificación de datos de ayer proporciona una descripción estática: si un dato se etiquetaba como no sensible, seguiría siéndolo a pesar de los cambios en los datos y su entorno.

La identificación dinámica proporciona un grado de precisión extremadamente alto para nuestra comprensión de los datos, ya que registra los cambios en los datos analizando la relación entre las clases de datos dentro de un conjunto de datos. Por ejemplo, una clase de datos que contiene:

  • El “nombre de pila” no está vinculado a una persona.
  • La combinación de "nombre" + "apellido" + "edad" vincula a una persona.
  • “nombre” + “apellido” + “edad” + “número de seguro social” hace que los datos sean confidenciales o privados.

Gracias a esta capacidad, la identificación dinámica de cuándo la proximidad genera información privada y sensible nos ayuda a priorizar los problemas de defensa y garantía de cumplimiento, al informarnos sobre los niveles de riesgo cambiantes de los datos e identificar combinaciones de datos tóxicos que representan el mayor potencial de uso indebido.

La clasificación de datos de ayer no logra captar los matices: ¿se trata de información personal identificable (PII) del cliente o del empleado? Las soluciones basadas en expresiones regulares de DLP y otros proveedores pueden fácilmente tergiversar los datos, etiquetando clases de datos individuales como el correo electrónico o el nombre como PII porque carecen del contexto necesario para discernir qué es realmente PII y qué no. Por ejemplo, el correo electrónico personal es PII, pero no el correo electrónico corporativo.

Cyera es la única plataforma de seguridad de datos que ofrece identificación dinámica para la detección avanzada de información personal identificable (PII), proporcionándole una visión completa de la PII en todo su entorno de datos y una mayor visibilidad, gestión de riesgos e informes de cumplimiento más precisos. Esto le permite abordar su postura de seguridad de datos y poner en marcha una respuesta eficaz ante incidentes.

Superando el ayer

Se están haciendo muchas afirmaciones sobre lo que los proveedores de tecnología pueden ofrecer realmente en cuanto a la clasificación avanzada de información de identificación personal (PII).

Estas son algunas preguntas clave que debe hacerse al buscar una clasificación avanzada de información personal identificable (PII):

  • ¿Cuáles son ejemplos concretos del contexto que la tecnología puede revelar?
  • ¿Con qué rapidez se pueden clasificar los datos?
  • ¿Cómo se detectan y clasifican los datos que desconozco?
  • ¿Qué tan precisos son los resultados de la clasificación?
  • ¿Y me lo puedes mostrar en menos de 5 minutos?

O simplemente preguntar: "¿Qué dirías que haces aquí (para contextualizar los datos)?"

Flujo de datos animado que muestra el enfoque de Cyera para proteger la información confidencial en entornos de nube.

Avanzando con la clasificación avanzada de información de identificación personal (PII)

La plataforma de seguridad de datos de Cyera proporciona un contexto profundo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Vea qué clases de datos y contexto puede revelar Cyera sobre su entorno mediante Programar una demostración hoy.

Share