Informações Sensíveis estão em risco durante o Ciclo de Desenvolvimento e Testes. Devido a este cenário de risco é imperativo que se criem processos ágeis e que garantam a segurança para o avanço e crescimento seguro da empresa.
Segundo o Instituto Forrester, o Data Masking é uma das iniciativas de maior ROI para redução de risco de exposição e perda de dados sensíveis. A Forrester aponta um payback em apenas 5,4 meses, com benefícios acentuados em 63% de Produtividade e 26% na redução de custos em desenvolvimento, testes e manutenção. A Forrester aponta ainda que 90% da empresas preferem a técnica de Data Masking a criar bases de dados específicas para testes.
Data Masking é o processo que permite o uso de informações, em formato adequado, para desenvolvimento e testes ao mesmo tempo que protege a confidencialidade de dados privados ou estratégicos.
Entre as técnicas de Data Masking podemos destacar:
- Randomização não determinística: substituição de valores por outros de mesmo formato randomicamente;
- Blurring: Adição de variação randômica ao valor original;
- Nulling: Substituição do valor original por um valor nulo, por ex. Substituir um valor válido por #### ou **** ou “branco”;
- Máscara Repetitiva: Substituição de um determinado tipo de valor por uma valor mascarado mantendo a integridade de sua formatação;
- Substituição: Randomicamente substituir um valor por outro dentro da mesma base ou a partir de uma lista de valores pré-montada externa;
- Regras especiais: Substituição de valores seguindo regras especiais de formação e formatação;
- Tokenization: Substituição de valores a partir de um token ou chave externa possibilitando a recuperação do valor original por engenharia reversa.
As melhores práticas de Data Masking requerem que a companhia saiba qual informação deve ser protegida, quem é autorizado a vê-la, qual aplicação usa a informação, onde ela reside em ambiente de produção e não-produção e qual o relacionamento das informações entre as diversas bases de dados. Porém embora pareça simples no papel, muitas empresas enfrentam graves problemas de exposição de dados sensíveis justamente pela dificuldade de mapeá-los, correlacioná-los e em criar processos adequados e ágeis para disponibilizá-los de forma protegida em ambientes de desenvolvimento e testes ou para a manipulação em caso de diagnósticos de problemas. Muitas vezes dados sensíveis como CPF e Números de Cartões são usados como chaves de pesquisa em banco de dados e não podem ser omitidos das bases usadas para testes e desenvolvimento, o que dificulta ainda mais a sua proteção e ocultação.
Muitas empresas focam seus esforços em melhorar o controle de acesso, limitando os profissionais que possuem acesso às informações sensíveis em ambiente de produção, ignorando os riscos operacionais e legais da não aplicação destes controles em ambientes de desenvolvimento e testes, onde os mesmos dados sensíveis, mesmo que em quantidade reduzida, passam a residir de forma aberta e sem controle, acessíveis a profissionais internos e terceiros que não deveriam ter acesso, violam legislações de privacidade e regulamentações internacionais como o PCI (Payment Card Industry) e SOX (Sarbanes-Oxley).
Privacidade de Dados é um dos mais importantes problemas a ser endereçado nos processos de gerenciamento de desenvolvimento e testes nos dias de hoje. Dados privados e estratégicos não devem ser comprometidos durante o ciclo de desenvolvimento, teste e/ou diagnósticos, portanto, compreender o uso da tecnologia de Data Masking , utilizar uma abordagem correta e implementar processos ágeis e otimizados é fundamental para o sucesso das operações e redução de riscos das empresas.
Por: Kleber Melo, Consultor de Segurança da MindSec e redator do Blog Minuto da Segurança
Veja também:
- Falta R$41 Mi no orçamento 2020 para defesa cibernética no Brasil
- 5 razões pelas quais os programadores devem pensar como hackers
- Tendências de cibersegurança para 2020: 9 ameaças a serem observadas
- Microsoft investe mais de US$ 1 bilhão anualmente contra o cibercrime
- Chips Intel vulneráveis ao ataque de ‘plundervolt’
- Ataque de phishing sequestra contas do Office 365 usando OAuth
- O que é um ataque do tipo man-in-the-midle?
- Automobilistica em foco: BMW e a Hyundai foram alvo de um grupo de ciber-espionagem
- Hackers sequestram Docker através de APIs para mineração
- Security Day: Evento aberto debate segurança de dados pessoais
- Pesquisador revela o CrackQ, um novo gerenciador de quebra de senhas
- Hackers ganham milhões legalmente
Deixe sua opinião!