El área de desarrollo y pruebas es un área delicada que existe en casi todas las empresas, ya sea en plantilla o de forma externalizada. Para poder llevar a cabo las acciones de desarrollo de software es necesario proveer a este departamento de información susceptible de ser testeada y es aquí donde reside el riesgo para la integridad de la información sensible.
Mediante este tipo de política de seguridad se busca que, apoyándose en las tecnologías que sean necesarias, esos datos proporcionados estén protegidos en todo momento, y de esa forma lo estén también la empresa y sus clientes.
Los datos sensibles en entornos no productivos
Los datos sensibles forman parte de la práctica comercial normal de todas las empresas. Pero permitir que los datos confidenciales de las aplicaciones de producción se copien y utilicen para los entornos de desarrollo y prueba aumenta el potencial de robo, pérdida o exposición, lo que aumenta el riesgo de la organización.
El desarrollo de nuevos sistemas de TI es una forma común de mejorar la eficiencia o ampliar las capacidades de un negocio. Cuando estos nuevos sistemas están destinados a reemplazar los existentes, siempre existe el requisito de que los datos en el sistema existente sean compatibles con el nuevo sistema. Los desarrolladores necesitarán esos datos para analizarlos y comprender los problemas de compatibilidad.
Del mismo modo, es importante probar el nuevo sistema para garantizar que los desarrolladores implementan el sistema correctamente. Se necesitan datos para probar el sistema. Además de las pruebas que sirven para el proceso de desarrollo, también es común que el sistema deba mostrarse a otras personas (gerentes, inversores, socios, clientes, etc.) y una demostración realista también requiere datos.
Robar datos de su entorno de producción puede ser una tarea seriamente difícil, pero robarla de entornos no productivos podría ser tan simple como irse con el portátil de un desarrollador mientras está durmiendo en el tren de vuelta a casa. El entorno puede haber cambiado, pero los datos no; siguen siendo valiosos. Si los entornos no productivos no son tan seguros como los entornos de producción, son una puerta trasera, lo que hace que la seguridad de producción sea inútil.
Pasos a seguir para tener controladas las copias de información
La forma de hacerlo es mediante las siguientes actuaciones:
Asegurar que la protección garantiza la confidencialidad, integridad y disponibilidad de los datos. Esta medida implica que aunque los datos que se proporcionen para los tests no sean verídicos, sí que deben conservar la estructura original del sistema, ya que en base a esa fidelidad de forma se podrán llevar a cabo las acciones necesarias para desarrollar una nueva herramienta/aplicación /producto o las pruebas que ello conlleve.
Los datos de entornos no productivos no pueden ser solo una copia de los datos de producción. Puedes tomar los datos de producción y censurarlos, separando cuidadosamente y enmascarando todas las partes sensibles. O puede ser que ni siquiera permitas acercarse a los datos de producción y, en su lugar, sintetizas todos tus datos completamente desde cero. De esa manera, se garantiza que nada sensible se fugará de la organización a través de un entorno de no producción.
En el mercado existen herramientas para ambos enfoques. Con ellas, los datos de entornos no productivos son más seguros, cumplen con las leyes y se aprovisionan fácilmente.