Enmascaramiento dinámico de datos: la pieza faltante en la seguridad de DBaaS

El control de acceso efectivo es un desafío importante en los almacenes de datos empresariales, especialmente aquellos construidos en plataformas como Snowflake, BigQuery y Redshift. Estos almacenes centralizan grandes volúmenes de datos sensibles, los cuales crecen y evolucionan continuamente a medida que las organizaciones dependen de ellos para el análisis y la expansión del negocio. A pesar de esta naturaleza dinámica, los controles de acceso a nivel de datos suelen ser estáticos —si es que se implementan—, lo que expone estos repositorios de datos críticos a posibles riesgos de seguridad.

Una de las capacidades más solicitadas en un modelo de seguridad centrado en los datos es el enmascaramiento dinámico de datos. El enmascaramiento dinámico ofusca o aplica hash automáticamente a datos sensibles, como números de cuentas financieras, para usuarios no autorizados, al tiempo que permite la visibilidad total a quienes tienen los privilegios de acceso adecuados. Por ejemplo, tus analistas de datos pueden necesitar ver datos de compras parciales para fines analíticos, pero ciertamente no necesitan los números de cuenta reales e identificables en texto claro.

Un caso de estudio del mundo real en Snowflake

Uno de nuestros clientes utilizó recientemente la clasificación de Cyera y los flujos de trabajo de remediación para enmascarar automáticamente datos sensibles en Snowflake. Aquí tienes una mirada paso a paso de cómo lo abordaron, mostrando el flujo de trabajo de extremo a extremo en acción.

Antecedentes:

• El almacén de datos del cliente solía guardar con frecuencia los datos de transacciones de clientes con los números de cuenta en texto claro.
• A medida que se añadían nuevos conjuntos de datos, estos números de cuenta quedaban frecuentemente expuestos a todo el equipo de analítica de datos, lo que generaba riesgos de seguridad y cumplimiento.
• El objetivo: detectar automáticamente los números de cuenta y enmascarar los datos para evitar que los analistas de datos vean los números de cuenta completos (en su lugar, solo los últimos seis dígitos).

Política de enmascaramiento:

• El cliente definió una política de enmascaramiento personalizada para ocultar todos los dígitos excepto los últimos seis de los números de cuenta. Solo los administradores del almacén tenían permiso para ver los números de cuenta completos en texto sin formato.
• Tradicionalmente, los administradores dependen de comandos SQL manuales para aplicar, modificar o eliminar políticas de enmascaramiento, un proceso ineficiente y propenso a errores que tiene dificultades para mantenerse al día con entornos de datos en constante evolución.

Clasificación de datos mediante Cyera:

• Cyera escaneó la base de datos de Snowflake e identificó columnas que contenían números de cuenta en texto sin formato.
• El cliente configuró un flujo de trabajo para tomar la clasificación identificada por Cyera y aplicar una política de enmascaramiento dinámico a las columnas que contienen números de cuenta.
• Si bien el caso de uso inicial de este cliente era sencillo, el motor de clasificación avanzado de Cyera aprende continuamente del entorno para detectar y enmascarar automáticamente nuevos tipos de datos.

Dinámico Aplicación:

• Este flujo de trabajo se ejecuta conforme se escanean nuevos datos. En lugar de identificar y aplicar manualmente las políticas de enmascaramiento, el cliente confía en Cyera para rastrear nuevas columnas que contienen números de cuenta a medida que se crea la data en Snowflake, eliminando la necesidad de intervención manual.

Conclusión clave:

• Con Cyera, las organizaciones pueden identificar dinámicamente los datos sensibles, aplicar las políticas de enmascaramiento correctas y mantenerlas actualizadas sin trabajo manual interminable. Esto elimina una gran carga operativa y asegura que, si nuevos datos (p. ej., nuevas columnas, tablas o bases de datos) incluyen información sensible, se enmascaren automáticamente.

Habilitar la remediación dinámica a gran escala

Si bien esto destaca el enmascaramiento de números de cuenta en Snowflake, forma parte de un marco de remediación más amplio que estamos construyendo en Cyera. Además del enmascaramiento, las organizaciones pueden aprovechar nuestra plataforma para:

• Clasificación y etiquetado de datos
  
  • La clasificación automatizada de Cyera etiqueta los datos para garantizar que toda la información sensible esté correctamente etiquetada y gobernada, para enmascararla dinámicamente más adelante.
• Controles de acceso dinámico
  
  • El motor de clasificación de Cyera ayuda a hacer cumplir políticas de privilegios mínimos basadas en la sensibilidad de los datos en tiempo real. Cyera brinda a los equipos de seguridad y cumplimiento una visibilidad continua sobre dónde reside la información sensible, cómo se utiliza y quién tiene acceso a ella. Nuestra plataforma puede automatizar los controles de acceso para minimizar los permisos excesivos y garantizar que la información sensible se mantenga segura.
• Aplicación del cumplimiento
  
  • Cyera actualiza automáticamente los permisos para datos nuevos o reclasificados, lo cual es crucial para cumplir con estándares regulatorios estrictos como DORA, GDPR y HIPAA.

Estos permiten beneficios, tales como: 

• Menor sobreexposición: Los usuarios y los roles ya no tienen privilegios amplios que no necesitan.
• Remediación rápida y automatizada: nada de revisiones manuales ni scripts complejos para enmascarar columnas sensibles.
• Seguridad continua: A medida que los datos cambian o aparece nueva información, Cyera actualiza la clasificación, la sensibilidad y las políticas correspondientes, asegurando que tu postura de seguridad nunca sea estática.

Protege tus datos, no solo el perímetro

Los datos son el nuevo perímetro. A medida que crece la adopción de la nube, los controles de acceso tradicionales basados en la red o en las aplicaciones no logran evitar el acceso no autorizado a datos sensibles. Los actores de amenazas modernos pueden eludir fácilmente las defensas perimetrales mediante ataques de phishing, credenciales comprometidas o incluso insiders maliciosos.

Los controles de acceso basados en aplicaciones suelen depender de permisos estáticos y carecen de visibilidad sobre los datos subyacentes, lo que los vuelve ineficaces frente al compromiso de credenciales y las amenazas internas.

Para abordar esto, las organizaciones están pasando de “¿A qué recursos de la red debería acceder un usuario?” a “¿A qué datos específicos, y bajo qué condiciones, debería poder acceder un usuario?”

Hoy en día, proteger los datos en reposo y en tránsito, así como controlar quién tiene acceso a ellos, requiere un enfoque centrado en los datos. La plataforma de Cyera ofrece automatización de extremo a extremo—desde la clasificación hasta los controles de acceso, el enmascaramiento dinámico y más allá—garantizando que tus equipos puedan enfocarse en la innovación sin sacrificar el cumplimiento ni la seguridad.

Solicita una demostración hoy para experimentar la plataforma de Cyera.