Enmascaramiento a medida

El enmascaramiento de datos basado en atributos protege los datos ERP y reduce los riesgos de cumplimiento de la normativa

En SAP ERP, no existen funciones de enmascaramiento estándar para una anonimización precisa en las vistas. Por lo tanto, la posible filtración de datos sin obstáculos presenta una enorme superficie de ataque. Aunque existen complementos y soluciones de SAP y de otros proveedores, siguen existiendo retos importantes. Aquí es donde entra en juego el enmascaramiento de datos basado en atributos.

Especialmente en el curso de la progresiva internacionalización y sobre todo desde que Corona y los frecuentes home offices, los datos relevantes para el proceso pero sensibles corren cada vez más peligro de ser vistos por observadores externos o internos cuya visión no es necesaria ni deseada en la situación o en general. Tres ejemplos: Si un empleado del departamento de RR.HH. trabaja desde el extranjero y mantiene datos maestros, sólo deben ser visibles los campos absolutamente necesarios para que nadie externo acceda accidentalmente a datos sensibles. Si un comercial trabaja con datos maestros para crear ofertas, debe poder encontrar el producto adecuado en la ficha maestra, ver la unidad de embalaje correcta, el envase, pero no conocer todos los precios de compra. Un envasador debe saber, por supuesto, a partir del número maestro de material qué envase debe coger, pero no necesita saber en détail cuál es el contenido.

El enmascaramiento de datos no consiste en reducir el uso indebido (fraude) de los datos personales, sino en la pura anonimización y seudonimización de datos personales y direcciones, pero es más amplio. En última instancia, todos los tipos de datos pueden enmascararse. El objetivo del enmascaramiento de datos originales es la llamada prevención de pérdida de datos, para resolver el problema del robo de datos, el uso indebido de datos u otras formas de delito de datos cambiando las vistas de la propia base de datos: Básicamente, se trata de proteger datos que necesariamente están ahí pero que no todo el mundo debería ver, de limitar las vistas a la información relevante en cada situación. Esto sigue planteando algunos problemas para la mayoría de las soluciones de enmascaramiento de datos de SAP y de terceros proveedores, ya que funcionan únicamente a nivel de autorizaciones. Sin embargo, las políticas de enmascaramiento estático no tienen en cuenta el contexto del riesgo de acceso y obligan a un compromiso entre la seguridad de los datos y la accesibilidad.

Los usuarios con privilegios pueden acceder a campos de datos sensibles aunque esto no sea necesario o deseado en un contexto específico. Los complementos de enmascaramiento de datos también requieren que las personalizaciones se repliquen en cada campo de la aplicación, lo que da lugar a una solución ad hoc que no es escalable. A diferencia de estas soluciones de enmascaramiento estándar, el enfoque de Pathlock centraliza la aplicación del enmascaramiento de datos en SAP en un único conjunto de reglas para definir y enmascarar datos en toda la aplicación. Y, sin necesidad de personalizar aún más SAP para su aplicación, emplea además políticas dinámicas que incorporan el contexto de riesgo para proteger los datos sensibles de forma más específica.

Atributos libremente configurables

Una función de enmascaramiento basada en atributos significa, por tanto, un control preciso de la información que se enmascara para un usuario concreto en una situación concreta. Esto es especialmente importante cuando una empresa multinacional quiere evitar vistas abusivas. Así, los datos se enmascaran para accesos desde países que no pertenecen a las ubicaciones de la empresa, para accesos que se originan en estaciones de trabajo remotas fuera de la red, direcciones IP o VPN desconocidas, o que tienen lugar fuera de los horarios comerciales o plausibles respectivos. De este modo, los contenidos realmente legibles y permitidos para la función no son visibles en función de las características de atributos libremente configurables como el usuario, la dirección IP, la hora, los países o las ubicaciones, el tipo de acceso -trabajo remoto desde el exterior o acceso dentro de la red- o el tipo de red (como VPN). Si se realiza un acceso con parámetros inusuales, tampoco se podrán leer datos innecesarios para el caso concreto, según el atributo.

Diferente criticidad

Esto no es factible únicamente mediante autorizaciones de usuarios y tiene en cuenta la diferente criticidad de los datos maestros, como la información sobre personal, ubicación, logística y proveedores o las listas de piezas, los precios de compra y las recetas, en función del sector: Datos de personal, localización y logística, así como información de proveedores o listas de piezas, precios de compra y recetas. El enmascaramiento de datos basado en atributos supone una mayor protección de los datos sensibles de la empresa mediante una restricción detallada de las vistas. La función de enmascaramiento dinámico basado en políticas de la solución de enmascaramiento centralizada y escalable proporciona así un control personalizable sobre qué campos de datos sensibles se enmascaran para un usuario específico en una situación específica, además de la protección de autorizaciones. Al implementar el enmascaramiento total o parcial de un conjunto de datos, la solución minimiza el riesgo de violación de datos y también cumple los requisitos de cifrado y anonimización, como los de las autoridades reguladoras. Al filtrar los datos sensibles sin necesidad de realizar más ajustes en SAP, no se requiere ningún esfuerzo de mantenimiento adicional.