Enmascaramiento de Datos y GDPR

El Data Masking, o Enmascaramiento de Datos, es una tecnología que protege los datos clonando los originales de forma que se puedan hacer pruebas sin riesgo y que lleva a que la información nueva generada es real y funciona para los sistemas, pero inútil a quien quiera, un ciberdelincuente, acceder al dato original.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Este enmascaramiento es una más de las tecnologías que permiten proteger los datos, junto con el cifrado o el control de accesos. En general el mercado de seguridad del Big Data crecerá, según un informe de Marketsandmarkets desde los 12.220 millones de dólares de 2017 a 26.850 millones en 2022, lo que supone un crecimiento medio anual del 17,1%.

Que en menos de nueve meses la GDPR, la regulación de protección de datos europea, sea de obligado cumplimiento está haciendo que las empresas miren hacia esta tecnología como un salvavidas más. Toda empresa, europea o no, que maneje datos de ciudadanos europeos, están obligados a replantearse sus enfoques en relación a la privacidad de los datos al tiempo que el término enmascaramiento de los mismos, se hace cada vez más popular.

Ese enmascaramiento busca proteger la información confidencial que directa o indirectamente pueda revelar la identidad del usuario. Con la nueva ley una brecha de seguridad que exponga datos de usuarios puede conllevar multas de hasta el 4% de la facturación global de una empresa, lo ha hecho que el interés por las tecnologías de data masking se haya incrementado.

Data Masking y GDPR

La GDPR es muy exigente en lo que se refiere a vulnerar la privacidad de los usuarios. Pero el enmascaramiento, o pseudoanonimización de los datos ayuda a cumplirla desde el momento en que la regulación recoge la definición legal de pseudonymisation como “el tratamiento de datos personales de tal manera que los datos ya no puedan atribuirse a una persona determinada sin la utilización de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar la no discriminación, atribución a una persona identificada o identificable”.

Es decir que una de las medidas que propone la regulación para su cumplimiento es hacer que los datos no identifiquen directamente a una persona sin el uso de información adicional. Y eso convierte al enmascaramiento de datos, o Data Masking, es un estándar para esa pseudonymisation que propone la GDPR al permitir reemplazar datos sensibles con datos ficticios y así neutralizar los efectos de una brecha de seguridad.