Ridurre l’esposizione dei dati di produzione e non, sta diventando una misura di precauzione sempre più cruciale per ogni azienda e in vista dell’applicazione del regolamento Gdpr prende quota la tecnica del data masking.
Sì perchè perdere dati sensibili mina il rapporto di fiducia tra azienda e clienti. Ma, anche, una simile perdita comporterà presto una responsabilità di natura legale per le aziende, come già avviene in altri Paesi ad esempio gli Stati Uniti.
È per questo motivo che il data masking assume sempre più importanza e va inserito nell’ambito di una più generale strategia di governance dei dati. Che cosa sia il data masking e perchè aiuta ad adempiere al Gdpr ce lo facciamo spiegare dal ceo di Irion, Alberto Scavino.
Data masking arma in più
Il data masking è una tecnica che consiste nel nascondere i dati sensibili originali con dati fittizi. All’interno di questo processo rientrano non solo l’offuscamento dei dati e l’anonimizzazione, ma anche la pseudonomizzazione, il rendere cioè i dati non correlabili all’identità originaria di una persona, pur mantenendo la validità e la fruibilità delle informazioni.
L’aspetto importante da sottolineare è, infatti, che i dati devono rimanere validi ai fini dei cicli di test e apparire coerenti e consistenti per tutta una serie di funzionalità di utilizzo successivo.
Il processo di offuscamento, spiega Scavino, b una risposta alle esigenze di riservatezza e di compliance derivante da GDPR, ma anche la PSD2. Quest’ultima Direttiva punta infatti a creare un mercato unico e integrato dei servizi di pagamento, uniformando le regole per gli istituti bancari, ponendo requisiti sfidanti ma permettendo loro anche un ampliamento delle opportunità di business grazie allo sviluppo e alla diffusione di API accessibili dalle terze parti e all’apertura dei propri sistemi di core banking.
Il data masking può prevedere la sostituzione dei dati con dati simili, la sostituzione dei dati con dati casuali o il rimescolamento dei dati fra loro.
Qualunque sia il procedimento utilizzato, vanno rispettati i vincoli e le relazioni tra i dati stessi. I dati devono infatti essere sempre fruibili e significativi, utili per il business, rispettando il contesto e gli obiettivi di utilizzo.
E devono essere anche coerenti nel tempo, nella stessa riga (il codice fiscale è sempre corretto rispetto alla data e al comune di nascita), nello stesso insieme (se cambio Roma con Milano lo devo fare per tutte le occorrenze) e tra insiemi diversi (per rispettare gerarchie e legami). Tanti o pochi che siano i dati, devo essere sempre in grado di documentare in modo dettagliato tutto il processo e le sue regole.
Come si fa un progetto di data masking
Le best practice per un progetto di data masking prevedono l’individuazione dei dati sensibili, la definizione delle policy di mascheramento da applicare, e il monitoraggio e la verifica del corretto funzionamento.
Le policy devono essere riutilizzabili: quella generata per il mascheramento del codice fiscale per l’applicazione A, deve poter essere usata anche quando nasce l’applicazione B, in modo da avere sempre un portfolio di procedure subito applicabili a disposizione.
All’interno del processo di data masking, spiega Scavino, è possibile distinguere due contesti di utilizzo:
- data masking persistente: consiste nel creare una base dati mascherata per il mondo applicativo, del test, del training ecc., proteggendo così i dati di produzione. In questo ambito, il target dei dati mascherati può essere un data base o un file;
- data masking dinamico: consiste nel mascherare gli stessi dati a coloro che devono averne visibilità solo occasionalmente, come ad esempio il fornitore di una soluzione che si collega da remoto per verificare un malfunzionamento.
Combinando il data masking persistente e quello dinamico con i tradizionali controlli per la sicurezza dei dati, le aziende sono in grado di offrire una copertura completa delle esigenze di sicurezza dei propri dati.
Le aziende possono dunque proteggere i dati live, quelli di testing, quelli per l’outsourcing e i dati per il supporto, gli analytics o il reporting dei clienti. Inoltre, sono in grado di eliminare il rischio legato alla sicurezza dei dati dovuto ad attacchi interni ed esterni.
Con l’entrata in vigore delle nuove normative, chiosa Scavino, il data masking diventa una parte essenziale del processo di gestione dei dati e per questo motivo, lo strumento di masking, con tutte le funzionalità combinabili tra loro, deve essere integrato nel processo e nell’architettura tecnica del sistema di Enterprise Data Management.
