Inconsistent Data Security Controls: When the Same Data Is Both Encrypted and Exposed
¿Cuáles son las probabilidades de que una empresa sufra una filtración de datos? Según una fuente, si formas parte de la lista Fortune 1000, entonces la probabilidad de que tu empresa haya tenido una filtración de datos en la última década es de más del 60%. Y esas cifras solo consideran los incidentes que se hicieron públicos.
Para las organizaciones grandes con datos valiosos, la pregunta deja de ser SI tus datos serán vulnerados para convertirse en CUÁNDO. Para minimizar el radio de impacto de una violación de datos y las subsecuentes multas regulatorias, el daño a la marca y el impacto en los ingresos, los defensores de datos aplican una variedad de controles de seguridad a sus datos. Esto incluye limitar quién tiene acceso y qué pueden ver.
Si bien implementar controles de seguridad de datos puede limitar el daño de una filtración de datos, esos controles a menudo no se aplican de manera uniforme a los datos.
Los investigadores de seguridad de Cyera examinaron entornos en la nube operados por distintas organizaciones y descubrieron inconsistencias en la forma en que se aplicaban los controles de seguridad de datos.
Controles de acceso basados en roles incoherentes
El control de acceso basado en roles (RBAC) autoriza y limita el acceso a los datos según el rol del usuario.
En este escenario, el rol tiene acceso a la Tabla A y la Tabla B. Ambas tablas contienen números de seguro social, una clase de datos altamente restringida. En la Tabla A, los números de seguro social están enmascarados a nivel de columna. En la Tabla B, los números de seguro social se exponen como texto sin formato.
¿Cómo sucede esto? El equipo de seguridad pretendía restringir que los usuarios de negocio vieran los números de seguro social en texto plano, sin importar dónde residieran. Aplicaron una política de enmascaramiento que cubre ciertos conjuntos de datos, pero omitieron conjuntos de datos desconocidos, que no están debidamente inventariados ni gobernados por la organización.
Enmascaramiento dinámico de datos inconsistente
Los almacenes de datos, incluidos Snowflake, Azure Synapse, AWS RedShift y Google BigQuery, admiten el enmascaramiento dinámico de datos. Esta función permite que los datos se almacenen en texto sin formato, pero se enmascaren al momento de la consulta. Con el enmascaramiento dinámico de datos, los usuarios pueden ejecutar consultas libremente pero ver datos selectivos en un formato enmascarado.
En este escenario, se aplicó el enmascaramiento dinámico de datos a clases de datos seleccionadas, pero no de manera consistente dentro de los mismos resultados de la consulta. Vemos que el nombre de la persona y el número de cuenta están enmascarados. Sin embargo, el nombre y el número de cuenta de la misma persona aparecen expuestos en texto sin formato dentro de un objeto JSON.
¿Cómo sucede esto? Las y los ingenieros de datos almacenan objetos JSON en una base de datos porque esos objetos ofrecen usos valiosos, como registrar ciertas acciones, guardar permisos y configuraciones, evitar el bajo rendimiento con datos muy anidados o informar a las y los analistas de datos sobre qué datos están disponibles para su análisis. Pero el mismo riesgo existe en cada uno de estos casos: exponer datos sensibles que muchas herramientas de descubrimiento y clasificación no pueden detectar.
Aprovecha Cyera para auditar los controles de seguridad de datos
Los entornos muestreados pertenecían a organizaciones que aplicaban controles de seguridad con herramientas heredadas disponibles en el mercado. Como consecuencia, no había buenas formas de saber qué tan efectivas eran esas implementaciones. Eso fue así hasta que adoptaron una plataforma de seguridad de datos nativa de la nube, lo que les permitió ver:
- ¿Qué clases de datos sensibles se expusieron?
- Dónde se encontraba la información sensible, incluida aquella de la que no tenían conocimiento
- Qué niveles de acceso había establecidos
- ¿Y qué métodos de ofuscación (cifrado, hash, tokenización, etc.) se usaron o faltaban?
La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tu información y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento.
Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso, y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de los datos de forma holística a lo largo de todo tu panorama de datos, somos la única solución que puede capacitar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar exposiciones y garantizar el cumplimiento sin interrumpir el negocio.
Para obtener más información sobre cómo puedes auditar la eficacia de tus controles de seguridad de datos, programa una demostración hoy mismo.
Obtén visibilidad total
con nuestra Evaluación de Riesgos de Datos.
.png)
