Per Carles Biosca,
Integration Services & BPM
Data Services Manager
Les dades han esdevingut un dels actius més valuós de les organitzacions, però no tots són iguals: la informació sensible i les dades personals requereixen un nivell de protecció molt més alt. Assegurar la confidencialitat, integritat i disponibilitat de les dades sensibles no és només una qüestió de seguretat tecnològica, sinó també de compliment regulatori amb normatives com el RGPD i la LOPDGDD.
Un enfoc integral de govern de la dada permet a les empreses garantir el compliment normatiu i, alhora, protegir la reputació i la confiança de clients i partners.
Requeriments normatius
El Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) a Espanya estableixen obligacions clares per a totes les organitzacions que tractin informació personal:
- Minimització de dades: recollir i tractar només la informació necessària.
- Limitació de finalitat: utilitzar les dades únicament per als fins autoritzats.
- Dret a l’oblit i la portabilitat: garantir que els usuaris puguin eliminar o transferir les seves dades.
- Seguretat i control d’accessos: s’exigeix xifrat, anonimització, detecció d’incidents i auditories periòdiques per garantir la integritat i la confidencialitat de les dades, a més d’assegurar que únicament personal autoritzat pugui accedir a la informació.
- Traçabilitat i auditoria: registrar i monitoritzar l’ús de les dades per demostrar compliment.
A més de les esmentades, altres normes complementàries prenen importància a l’entorn digital com la Directiva ePrivacy que regula la privadesa en comunicacions electròniques, incloent serveis o telecomunicacions i ús de cookies o regulacions sectorials específiques per a l’àmbit de la salut, finances o telecomunicacions, que imposen requisits addicionals sobre protecció de dades sensibles.
Donar resposta a aquests requisits normatius requereix implementar tecnologies de securització de dades que permetin aplicar controls efectius sobre l’accés, l’ús i la protecció de la informació.
Xifrat i control d’accés
No n’hi ha prou de catalogar i classificar les dades, sinó que cal protegir-les de debò. Imagina que cada dada sensible és una joia: no només la guardes en una caixa forta, també controles qui es pot acostar, quan i com.
Per aconseguir-ho, les organitzacions necessiten aplicar diverses capes de seguretat que actuen de manera coordinada. No és una única mesura, sinó una combinació de pràctiques i tecnologies que blinden la informació des de diferents angles.
- Xifratge en repòs i en trànsit: les dades sempre protegides, dins de la infraestructura i en moure’s entre serveis.
- Control granular d’accés: que cada usuari vegi només el necessari.
- Segregació de funcions i principi del menor privilegi: ni els administradors ho poden tocar tot.
- Auditoria i monitorització contínua: cada accés queda registrat, i es creen alertes en temps real que detecten qualsevol anomalia.
En aquest àmbit, cobren especial rellevància solucions de ciberseguretat que permeten reforçar el control d’identitats i accessos com l’autenticació multifactor (MFA), que afegeix una capa addicional de validació per a usuaris amb accés a informació sensible, la gestió d’accessos privilegiats (PAM), pensat per limitar i monitoritzar els accessos amb privilegis elevats i els models de Zero Trust, que apliquen el principi de “mai confiar, verificar sempre” fins i tot dins de la xarxa corporativa.
A Abast treballem amb solucions de Fortinet, com FortiAuthenticator per a MFA o FortiPAM per la gestió d’accessos privilegiats, integrant-les en estratègies globals de protecció de la dada. També donem suport a l’adopció d’altres tecnologies que ajuden a reforçar models Zero Trust i de control d’identitats segons les necessitats de cada organització.
Vegem, a continuació, les solucions que ofereixen grans fabricants com Oracle o Microsoft.
Securització de dades en entorns Oracle
Les organitzacions que utilitzen bases de dades Oracle compten amb solucions específiques per protegir dades sensibles i complir amb la normativa:
- Si les dades fossin una biblioteca, Oracle Data Vault seria la porta amb panys intel·ligents ja que permet aplicar controls d’accés granular i segregar funcions. Fins i tot els administradors de base de dades poden veure restringit l’accés a informació confidencial si no tenen permisos explícits.
- Per la seva banda, Oracle Data Masking és com una disfressa per a les dades: possibilita emmascarar o anonimitzar informació en entorns de proves o desenvolupament, de manera que els equips puguin treballar amb informació realista sense exposar dades personals o financeres. A més, hi ha plantilles predissenyades per a aplicacions com E-Business Suite que descobreixen automàticament columnes sensibles i apliquen criteris d’anonimització.
Aquestes eines no només redueixen el risc de fuites d’informació, sinó que a més a més faciliten superar auditories de compliment de manera més àgil sense comprometre l’operativa ni l’agilitat dels equips tècnics.
Securització de dades en entorns Microsoft Azure (Databricks)
En entorns d’analítica avançada i Big Data, com Azure Databricks, el repte encara és més gran ja que es treballa amb grans volums d’informació circulant per múltiples equips. Aquí, també hi ha capacitats de govern i protecció de dades que reforcen la seguretat:
- Unity Catalog, que funciona com un mapa del tresor. És un sistema centralitzat de govern de la dada que ofereix control d’accessos basat en rols, auditoria i llinatge complet de la informació. S’integra nadivament amb Microsoft Fabric i OneLake per eliminar sitges de dades i permet una col·laboració segura entre equips de dades, ciència de dades i negoci.
- Complementant l’anterior, Microsoft Purview classifica automàticament les dades sensibles, mentre que les polítiques de xifratge i d’accés dinàmic asseguren que cada usuari vegi únicament el que necessita, fins i tot a nivell de files o columnes.
D’aquesta manera, les organitzacions poden obtenir tot el valor de l’analítica avançada en entorns clouds sense comprometre la privadesa ni la traçabilitat.
Com t’ajuda Abast
A Abast som especialistes en projectes de govern de la dada i ciberseguretat, amb àmplia experiència en entorns Oracle i Microsoft implantant solucions de securització de dades sensibles com Oracle Data Vault, Oracle Data Masking i Unity Catalog a Azure Databricks. Eines que garanteixen entorns segurs, auditables i escalables.
Dissenyem estratègies de govern de la dada que compleixen amb les exigències de les normatives que regulen la protecció de les dades, acompanyant els nostres clients a tot el cicle de vida: des de l’avaluació inicial fins a la implantació i gestió contínua de les solucions.
En definitiva, el govern de la dada i el compliment normatiu s’han de veure com una oportunitat de generar confiança, enfortir la resiliència digital i maximitzar el valor de la informació.
Apostant per solucions tecnològiques avançades i assessorament expert, la vostra organització podrà protegir les dades sensibles, complir amb la normativa i afrontar el futur digital amb garanties.