Como responsables del acceso y tratamiento de la información es nuestro deber proteger los datos lo mejor posible y ponernos en la piel de los delincuentes para pensar si los datos personales de nuestros sistemas están debidamente protegidos. Esto no es solo responsabilidad del delegado de protección de datos. Aquí, el área de seguridad de una empresa, es crucial y debe velar por la protección de los accesos y el aumento de la seguridad.
También es importante realizar auditorías que verifiquen que los usuarios con acceso a datos personales ven sólo la información que necesitan y que la información pública o comunicada a otras empresas no se pueda cruzar con otras fuentes de datos, públicas o privadas.
Un ejemplo tonto, sería que yo guarde un informe personal con todos los datos anonimizados, pero luego deje el identificador de Twitter sin anonimizar, ya que podría sacar la información personal de la cuenta de Twitter. Tampoco debemos olvidar la formación y concienciación a empleados. Desde tiempos inmemoriales la ingeniería social juega un papel importante a la hora de obtener información. Es necesario que todos los empleados tomen conciencia de los riesgos y ayuden a la protección de datos y la seguridad en los distintos niveles.
Desde el punto de vista del acceso a la información, una fuente de datos puede ser el acceso a una base de datos, pero también se puede obtener información de un fichero de log, de una aplicación (ya sea web, móvil o de escritorio), un informe de reporte, datos biométricos que usamos para desbloquear un dispositivo o acceder a una empresa, un mapa, una red social, etc.
En un mundo digital como el de hoy existe una cantidad ingente de datos en multitud de formatos y fácilmente accesibles a cualquier persona que tenga en su poder un terminal móvil con conexión a internet, una conexión WIFI en una cafetería y unos pocos conocimientos informáticos.
- Salidas: reportes, formularios de aplicación, ficheros, etc.
- Bases de datos:
- Ficheros de log
También hay que tener clara la estrategia a seguir hasta la anonimización. Es conveniente seguir los siguientes pasos:
Normalmente se parte de fuentes de datos ya existentes. Es necesario explorar estas fuentes y localizar la información personal. En este punto es importante conocer en qué sitios aparece información personal. Los objetivos principales en este punto deben ser localizar ficheros de trazas que tengan información personal y buscar en las bases de datos los campos con información personal.
En los ficheros de trazas lo mejor es eliminar la información personal. En cuanto a las bases de datos, suelen acaparar el mayor porcentaje del conjunto de datos a anonimizar. Este proceso consistirá inicialmente en buscar dentro de un esquema de base de datos nombres de columna que puedan contener datos personales mediante expresiones regulares o filtros. Por ejemplo, podemos buscar direcciones de correo electrónico usando la expresión [e]*.*mail|.*correo.*.
La tarea de asignar expresiones regulares para encontrar campos con datos personales requiere conocer los modelos de datos y realizar un análisis exhaustivo de las bases de datos analizadas, comprobando los datos. Este proceso requiere varias iteraciones hasta conseguir identificar todos los campos correctamente. Es importante destacar que el idioma de las columnas de la base de datos tiene un alto impacto en este punto. Si tenemos las bases de datos en varios idiomas habrá que incluir una expresión regular por cada tipo.
En los dos motores bases de datos principales: Microsoft SQL Server y Oracle existen herramientas que pueden ayudarnos en este punto.
En Microsoft SQL Server, la detección y clasificación de datos funciona a partir de la versión de SQL Server 2012 y se puede usar a partir de la versión 17.5 con la herramienta SQL Server Management Studio. En este artículo de Microsoft describe como realizar este proceso.
Es posible bajar la base de datos de prueba de SQL Server, AdventureWorks, para experimentar con la clasificación de datos antes de hacerlo sobre una base de datos real. La podéis encontrar en el siguiente enlace.
Oracle proporciona una herramienta para la búsqueda de datos personales y sensibles llamada Oracle Database Security Assessment Tool (DBSAT). Es gratuita para aquellos clientes de Oracle con una cuenta de soporte activa. Puedes encontrar aquí más información.
Ambos motores de bases de datos tienen sus versiones Cloud de detección y clasificación de datos por lo que es posible realizar estos procesos de forma similar. Tanto para Oracle como para SQL Server hay que definir un conjunto de categorías y clasificación sensible. En el caso de SQL Server define dos niveles: Information Type y Sensitivity Label:
Ambas aplicaciones de análisis permiten modificar las categorías y expresiones. En el caso de SQL Server, la opción “Export Information Protection Policy…” permite extraer este fichero para modificarlo:
El fichero JSON extraído tiene el siguiente aspecto:
Si usamos esta herramienta los datos de clasificación se guardarán en los metadatos de la base de datos, que posteriormente podremos consultar para conocer la clasificación de cada dato y obrar en consecuencia.
En los ficheros de trazas lo mejor es eliminar la información personal. En cuanto a las bases de datos, suelen acaparar el mayor porcentaje del conjunto de datos a anonimizar
