La información confidencial se puede clasificar en tres tipos principales:
Información personal. La información personal identificable (PII), es información con la que se puede rastrear a un individuo y que si se divulga podría resultar en un perjuicio para esa persona. Esa información puede incluir datos biométricos, datos médicos, información financiera personalmente identificable, identificadores únicos tales como el pasaporte o los números de la Seguridad Social, etc. Las amenazas pueden incluir no sólo delitos tales como el robo de identidad sino que también se pueden utilizar para divulgar información personal de un individuo que prefiere que siga siendo privada. Esta información personal debería de formar parte del proceso de enmascaramiento de datos tanto cuanto se encuentran en tránsito como en reposo.
Información de negocio. Los datos sensibles de un negocio incluyen cualquier dato que suponga un riesgo para una compañía si son descubiertos por un competidor o por el público en general. Dicha información incluye secretos comerciales, planes de adquisición, datos financieros, información de proveedores e información sobre sus clientes, entre otras muchas posibilidades. Con la cada vez mayor cantidad de datos que son generados por los negocios, los métodos para proteger la información corporativa de accesos no autorizados se están volviendo parte integral de la seguridad de las compañías. Estos métodos incluyen gestión de metadatos, encriptación de datos y otros métodos de enmascaramiento de datos.
Información clasificada. La información clasificada suele pertenecer a un organismo de la Administración y se restringe de acuerdo a un nivel de sensibilidad definido. Por ejemplo, en algunos países esta información se puede clasificar como restringida, secreto confidencial, secreto o alto secreto. La información generalmente se clasifica para proteger su seguridad. Una vez el riesgo de daño ha pasado o ha disminuido, la información clasificada puede ser desclasificada y posiblemente hecha pública.
¿Por qué necesito asegurarlos?
Las empresas comparten datos de sus aplicaciones de producción con otros usuarios para diferentes necesidades de negocio:
La mayoría de las organizaciones, si no todas, copian los datos de producción para entornos de pruebas y desarrollo, ya que quieren permitir a los administradores de los sistemas hacer pruebas de actualizaciones, parches y correcciones, con datos reales.
Las empresas, para mantenerse competitivas, requieren funcionalidades nuevas y mejoradas en sus aplicaciones de producción existentes. Como resultado, los desarrolladores de aplicaciones necesitan entornos que imiten lo mejor posible el entorno de producción real, para poder construir y probar esas nuevas funcionalidades asegurándose de que no son incompatibles con las funcionalidades que en estos momentos ya existen.
Las empresas de venta minorista comparten los datos de sus diferentes puntos de venta con investigadores de mercado para poder analizar los patrones de compra de sus clientes.
Las organizaciones farmacéuticas y de salud comparten datos de los pacientes sobre investigaciones médicas para evaluar la eficiencia de los tratamientos médicos y los ensayos clínicos.
Como resultado de todo lo anterior, en las organizaciones copian decenas de millones de datos de clientes y consumidores a entornos que no son los de producción, y no muchas compañías hacen algo para proteger estos datos, incluso cuando comparten los datos con personal externo u otras empresas.
Numerosos estudios de la Industria de la privacidad de datos han concluido que las compañías no hacen mucho por impedir que los datos sensibles puedan caer en manos de malhechores. Casi una de cada cuatro compañías dice que alguna vez ha perdido datos reales, o que se los han robado, y hasta un 50% dice que no tienen forma de saber si los datos que no están en producción pueden haber visto comprometidos alguna vez.
La protección de la información es vital en entornos que no son los de producción y se ha convertido en una de las tareas más críticas de los últimos años. El enmascaramiento de datos sensibles y valiosos reemplaza los datos reales con otros que son realistas y permite que puedan ser utilizados con seguridad en entornos de desarrollo, de pruebas, socios externos, empresas colaboradoras y otros fines diferentes a los de producción.
Ha habido casos donde los datos críticos de clientes, cuando se han perdido, han causado que una organización se enfrente a demandas y que tengan que gastar cientos de miles de euros o incluso millones para mitigar el problema. Se trata de un coste enorme para cualquier organización en el caso de que durante un evento desafortunado se pierdan datos críticos de clientes.