Al proteger los datos confidenciales de los clientes en la industria de servicios financieros, una de las mayores áreas de riesgo es la exposición de información confidencial regida por regulaciones como GDPR y PCI. Gran parte de esta información, como la información de identificación personal (PII) de un cliente, termina en entornos que no son de producción, como desarrollo, pruebas, análisis e IA/ML. Muchas empresas no cuentan con protecciones en entornos que no son de producción como las tendrían en entornos de producción, lo que representa un riesgo grave. Afortunadamente, hay medidas que las organizaciones de servicios financieros pueden tomar, pero primero, ¿por qué se propagan tantos datos confidenciales desde entornos de producción a entornos que no son de producción?
Explosión de datos confidenciales en entornos que no son de producción
Las empresas están creando prototipos, experimentando y desarrollando rápidamente modelos y aplicaciones de IA/ML y necesitan datos de los consumidores para impulsar estos proyectos. Agregue a eso factores como la transformación digital, el aumento de las interacciones digitales con los clientes, el mayor uso de datos para respaldar la toma de decisiones y la adopción de la nube, y obtendrá un desarrollo de software extenso que crea una proliferación de datos desde el entorno de producción al entorno de no producción. .
No proteger estos datos puede provocar problemas de cumplimiento y auditoría, corrupción o alteración de datos, violaciones de datos o robo. Sin embargo, proteger datos confidenciales en entornos que no son de producción puede resultar complicado. La capacidad de mantenerse al día y cumplir con regulaciones en constante cambio y crecimiento es parte del problema. Los desarrolladores o evaluadores también necesitan acceso a datos confidenciales realistas para realizar su trabajo. Una forma de lograrlo podría ser ocultar algunos campos, pero cuando el equipo ejecuta las pruebas, los datos ya no coinciden con la producción y las pruebas fallan. Además, debe mantenerse la compleja relación entre conjuntos de datos interrelacionados. Una discrepancia puede llevar a los equipos a trabajar con datos poco realistas, lo que genera más defectos de producción.
Preocupaciones por la desaceleración del desarrollo
En algunas organizaciones, también existe la percepción de que proteger datos confidenciales en entornos que no son de producción obstaculizará la velocidad de desarrollo, ya que anonimizar y replicar manualmente bases de datos de producción en entornos que no son de producción puede llevar semanas. Además, a medida que las granjas de datos aumentan en tamaño y complejidad, puede llegar un momento en que intentar proteger grandes conjuntos de datos, utilizando métodos subóptimos, podría detener el desarrollo de software. Los datos confidenciales también pueden ser difíciles de encontrar, ya que están ocultos en diversas bases de datos, formatos, aplicaciones y otras fuentes. Por todas estas razones, puede resultar tentador permitir excepciones al cumplimiento de los datos, lo cual es una estrategia peligrosa porque podría abrir la puerta a filtraciones de datos, robos, incumplimientos, auditorías y otros problemas.
Soluciones al problema
Entonces, ¿qué pueden hacer de manera realista las organizaciones de servicios financieros para proteger datos confidenciales en entornos que no son de producción sin comprometer la velocidad y la calidad del desarrollo? Se pueden utilizar una variedad de herramientas y procesos. Por ejemplo, en lugar de enmascaramiento de datos dinámico, el enmascaramiento de datos estático proporciona anonimización de datos irreversible y puede entregar datos de nivel de producción, utilizando bibliotecas de algoritmos predefinidos y personalizables para garantizar la seguridad de los datos y la integridad referencial en todas las fuentes de datos, tanto en las instalaciones como en la nube. . . Esto permite que procesos como las pruebas de software continúen, sabiendo que los datos siguen siendo confidenciales y cumplen con las normas. Dependiendo de la herramienta utilizada, esto puede suceder automáticamente, lo que ayuda a acelerar el desarrollo sin crear una carga de trabajo adicional para los equipos.
Otras medidas de protección incluyen la prevención de pérdida de datos (DLP), un enfoque de seguridad de defensa perimetral que detecta posibles infracciones y robos e intenta proteger contra ellos, pero no es infalible y, por lo tanto, debe combinarse con otras técnicas en caso de falla. El cifrado de datos es otro enfoque, que convierte temporalmente los datos en código y solo permite el acceso a usuarios autorizados a través de una clave de cifrado, pero los datos pueden correr el riesgo de ser reidentificados y explotados por actores maliciosos.
El control de acceso estricto clasifica a los usuarios según roles y otros atributos, y su acceso a los conjuntos de datos se configura en consecuencia. En general, el control de acceso siempre es una buena idea, pero siempre existe el riesgo de explotación interna. Las auditorías periódicas de seguridad y privacidad son un enfoque complementario a la prevención y desempeñan un papel importante, pero a menos que se lleven a cabo con mucha regularidad, el riesgo es que las vulnerabilidades sólo se descubran después de que hayan causado un problema.
Un enfoque multifacético, con la mentalidad adecuada
La realidad es que las organizaciones de servicios financieros probablemente necesiten adoptar una combinación de estos procesos y, al mismo tiempo, extender una mentalidad y una cultura más centradas en la seguridad a los equipos que gestionan datos que no son de producción. Las comunicaciones y la formación periódicas ayudarán a que todos tomen conciencia de su papel en la protección de datos.
Poner los datos de los consumidores a disposición de los equipos de desarrollo, pruebas, análisis e inteligencia artificial es una parte integral de cómo las organizaciones de servicios financieros pueden mejorar rápidamente sus productos y brindarles a los clientes lo que necesitan. Si bien proteger estos datos es claramente un desafío multifacético, existen herramientas y técnicas disponibles que ayudan a mitigar los riesgos, sin aumentar la carga de trabajo diaria de los equipos, garantizando la calidad del software y los plazos de marketing y ayudando a mantener los proyectos en marcha.