Dirigimos nuestra atención al control A.8.11 Enmascaramiento de datos. Esta es un área donde parte del mayor énfasis en la privacidad y la seguridad de la información comienza a aparecer en la nueva versión del conjunto de control.
¿Qué es el enmascaramiento de datos?
Si tiene un conjunto de datos, especialmente si se trata de información de identificación personal (PII) y desea protegerlos in situ o tal vez enviarlos a un tercero para su procesamiento, es posible que desee tomar alguna medida para reducir la cantidad de PII incluida, con el fin de reducir su riesgo y reducir sus obligaciones legales.
Hay un buen número de técnicas de enmascaramiento de datos que se pueden utilizar para anonimizar los datos para que no se puedan asociar con un individuo vivo. Al hacer esto, está haciendo que los datos ya no sean PII y, por lo tanto, no estén sujetos a la legislación de privacidad, como el GDPR.
Un ejemplo de enmascaramiento de datos
Tomemos un ejemplo simple. Un hospital tiene una solicitud de una unidad de investigación para obtener algunos datos sobre personas con una afección en particular. Estos datos son PII y, según el GDPR, también son datos de categoría especial porque se refieren a la salud. Por lo tanto, simplemente podrían proporcionar los datos completos con nombres, direcciones, números de referencia de salud, etc. Pero hacerlo es arriesgado porque los datos están saliendo de la organización del hospital y tienen poco control sobre ellos cuando llegan a la unidad de investigación. Consultan con los investigadores y están de acuerdo en que, para el propósito para el que desean usarlos, los datos no necesitan incluir nombres y direcciones, pero sí necesitan fechas aproximadas de nacimiento y otra información relacionada con el tratamiento. Por lo tanto, el hospital utiliza técnicas de enmascaramiento de datos para eliminar parte de la información y procesa otros elementos de datos para hacerlos más vagos, como el uso del año de nacimiento en lugar de la fecha exacta. Esto significa que no es posible saber a quién se refiere cada registro, pero la información que necesita la unidad de investigación aún está incluida. Debido a que los datos ahora son anónimos, ya no se cuentan como PII de categoría especial.
¿Qué tipo de técnicas se pueden utilizar?
Hay un buen número de técnicas que se pueden utilizar para enmascarar datos y reducir, o eliminar por completo, la PII dentro de ellos. Algunos de ellos son:
- Supresión de registros: esta técnica implica la eliminación de registros completos que no son necesarios para el propósito del procesamiento, por ejemplo, personas que no están dentro del rango de edad de interés para el destinatario. También puede ser apropiado eliminar los registros «atípicos» que son inusuales en su contenido y, por lo tanto, pueden conducir a una reidentificación.
- Enmascaramiento de caracteres: se puede realizar el enmascaramiento de caracteres dentro de los datos, por ejemplo, números de cuenta como 1234xxxx o números de tarjetas de crédito de acuerdo con los requisitos PCI-DSS (Estándar de seguridad de datos de la industria de tarjetas de pago). Se deben tener en cuenta cuestiones como si se conservará la longitud original del atributo de datos.
- Seudonimización : esto implica reemplazar un valor de atributo de datos con un dato diferente que no identifica la entidad de seguridad de PII, por ejemplo, reemplazar un nombre con un número. Esto es diferente a la anonimización porque la capacidad de volver a identificar una entidad de seguridad de PII se conserva mediante el uso de un archivo de referencia que asigna los datos originales al seudónimo.
- Generalización : los atributos de los datos pueden generalizarse reemplazando valores específicos con un rango, por ejemplo, una edad de 26 años con un rango de edad de 20-30. Esto hace que los datos sean menos precisos y deben utilizarse en función de una comprensión clara del propósito previsto del conjunto de datos resultante. Se debe tener cuidado en la elección de los rangos a utilizar para que mantengan la utilidad de los datos.
- Agregación : cuando no se requieren registros específicos, puede ser apropiado agregarlos en un resumen, por ejemplo, utilizando sumas o promedios. Cuando se utilicen rangos resumidos, se debe tener cuidado de garantizar que los rangos contengan registros suficientes para ocultar la fuente de los datos, por ejemplo, evitando un rango con una sola entrada que pueda permitir el reconocimiento del principal de PII involucrado.
El problema de la reidentificación
El truco con el enmascaramiento de datos es hacerlo para que alguien no pueda averiguar a quién se refieren los datos enmascarados. Esto se llama «re-identificación». Si es posible hacer esto, entonces los datos aún se contarían como PII y las obligaciones legales relevantes (y las posibles multas) permanecen. Dicha reidentificación puede lograrse utilizando otros datos sobre una persona que pueden compararse con los datos anónimos y utilizarse para deducir la identidad de una o más personas.
Esto es particularmente un problema cuando los datos anonimizados se hacen públicos, y a menudo los estándares que se deben lograr en el proceso de enmascaramiento de datos para dichos datos son mucho más altos que si los datos están restringidos en su publicación.
Otros controles también son relevantes
Una forma de reducir aún más el riesgo de que los datos anónimos se vuelvan a identificar es insistir en controles adicionales sobre su uso, como restringir el acceso a los archivos, ya sea físicamente, electrónicamente o ambos. El pensamiento debe ponerse en la mejor manera de lograr el resultado deseado (es decir, permitir el uso previsto de los datos) al tiempo que se protegen los datos lo mejor posible. Tal vez solo permitir que se ejecuten consultas o proporcionar acceso limitado a través de un portal podría ser el camino a seguir en algunas circunstancias.
¿Cómo cumplir con el nuevo control?
El enmascaramiento de datos puede ser un área grande, y muchos dirían que es más un arte que una ciencia. Pero es una herramienta útil en las circunstancias adecuadas, y una organización tendrá que mirar los casos en los que podría emplearse de manera útil y establecer cómo se debe hacer. Es probable que esto implique un documento de política específico del tema, respaldado por un proceso general y procedimientos más detallados en casos particulares. Deberá mantener la documentación de las técnicas empleadas para enmascarar datos específicos y, si ha utilizado la seudonimización, los archivos de referencia utilizados deberán protegerse adecuadamente.
En resumen
El enmascaramiento de datos es una parte clave de una estrategia de «minimización de datos» con respecto a la PII y puede reducir significativamente el riesgo de una organización en casos específicos. Pero requiere un conocimiento sólido de las técnicas utilizadas para gestionar el riesgo de reidentificación, por lo que puede haber cierta capacitación para las personas que desempeñan el papel.
Escrito por Ken Holmes CISSP, CIPP / E. Ken es un auditor principal ISO27001 y ha ayudado a implementar, operar y auditar certificaciones ISO durante una variada carrera de 30 años en la industria de la tecnología de la información.
Original, en inglés, publicado en: https://certikit.com/the-new-iso27002-controls-data-masking/
