La especificación de la herencia de términos empresariales, la definición de convenios de acceso a datos, la prioridad de acción de regla y la prioridad de método de enmascaramiento antes de crear reglas de protección de datos y reglas de ubicación de datos agilizan el comportamiento de las reglas que se crean y protegen los datos de forma coherente.
Determine si desea que los términos de negocio que tienen términos de negocio dependientes sean un tipo de relación que también se incluya cuando se evalúen las reglas de protección de datos y las reglas de ubicación de datos.
Elija entre dos tipos de convenios de acceso a datos para las reglas de protección de datos y las reglas de ubicación de datos. Puede permitir el acceso a los datos a menos que una regla lo impida, o puede denegar el acceso a los datos a menos que una regla lo permita.
También puede elegir una prioridad para reglas y métodos de enmascaramiento. La prioridad de acción de regla se aplica cuando varias reglas tienen distintas acciones que se aplican a los mismos valores de datos. El método de enmascaramiento se aplica cuando varias reglas que tienen distintos métodos de enmascaramiento se aplican a los mismos valores de datos.
Antes de crear reglas de protección de datos y reglas de ubicación de datos, planifique y evalúe a quién permiten las reglas acceder a los datos o denegar el acceso a los datos. El diseño de las reglas después de una planificación cuidadosa proporciona una base sólida para determinar los criterios para aplicar las reglas y las acciones de aplicación correspondientes. Este proceso de planificación cuidadoso también minimiza la posibilidad de que una decisión futura conmute el acceso de regla. Si decide más adelante cambiar el paradigma de acceso para las reglas, primero debe suprimir todas las reglas existentes y, a continuación, volver a crear las nuevas reglas para esa clase de regla.
Las siguientes opciones de términos empresariales, convenios y precedencias se aplican tanto a las reglas de protección de datos como a las reglas de ubicación de datos.
Permisos necesarios
Debe ser un administrador de cuentas de IBM Cloud para establecer convenios de reglas.
Decisión de aplicación de la norma de protección de datos
Cualquier actividad que consulte una decisión de evaluación sobre el acceso a datos es un suceso auditable. Los eventos auditables se generan y reenvían al servicio de registro de auditoría. Puede realizar un seguimiento de las siguientes decisiones de cumplimiento como eventos de auditoría cuando Enviar evaluaciones de políticas a registros de auditoría casilla de verificación está seleccionada:
wdp-policy-service.policy_item.evaluateItem– Evaluar un artículo.wdp-policy-service.policy_item.evaluateItems– Evaluar artículos.wdp-policy-service.policy_resource.evaluateResource– Evaluar un recurso.wdp-policy-service.policy_resource.evaluateResources– Evaluar recursos.
Evaluación de reglas y herencia de términos de negocio
Seleccione Herencia de términos empresariales cuando desee que se incluyan términos empresariales dependientes de una relación de tipo jerárquico cuando se evalúen las reglas de protección de datos y las reglas de ubicación de datos. Por ejemplo, el término empresarial Préstamo tiene un tipo de relación con Préstamo de estudiante y Préstamo personal. El término empresarial Préstamo y sus subtipos Préstamo para estudiantes y Préstamo personal se incluyen cuando se evalúan las reglas de protección de datos y las reglas de ubicación de datos. Para obtener más información sobre las relaciones de tipo jerárquico entre términos empresariales, consulte Diseño de términos empresariales.
Permitir el acceso al convenio de datos
El comportamiento predeterminado en el convenio de permitir acceso es que se otorgue el acceso a los datos. Si desea proteger datos específicos, debe escribir reglas que denieguen explícitamente el acceso a determinados datos en función de los atributos de usuario o de datos.
Con el convenio de permitir acceso a datos, las reglas de protección de datos y las reglas de ubicación de datos tienen estas acciones disponibles:
- Denegar el acceso a los datos
- Enmascarar datos
- Filtrar filas
Un ejemplo de uso de este convenio puede incluir la creación de reglas de protección de datos que permitan a todos los empleados de la empresa acceder a los datos de otros empleados en general, pero que restrinjan el acceso a la información de nóminas. Para ello, puede escribir una regla que especifique que cualquier activo que contenga atributos que lo denoten está relacionado con los datos de nómina se debe denegar para cualquier usuario que no esté en el departamento de recursos humanos. Así se permiten todos los datos de todo tipo, y solo se niega la excepción de los datos de nómina para los empleados que no están en recursos humanos.
El convenio de permitir acceso es el convenio de datos predeterminado para las reglas de protección de datos.
Convención de denegación de acceso a datos
El comportamiento predeterminado para el convenio de denegación de acceso es denegar el acceso a los datos. Si desea revelar datos específicos, debe escribir reglas que permitan explícitamente a usuarios específicos ver los datos. En un entorno en el que la mayor parte del acceso a los datos debe estar restringido, el convenio de denegación le permite escribir algunas reglas en las que se permiten los datos en lugar de escribir una regla para cada caso en el que los datos deben estar restringidos.
Un ejemplo de utilización del convenio de denegación para las reglas de protección de datos puede ser un catálogo que contiene información personal confidencial que no se permite visualizar entre departamentos. En ese caso, se debe denegar cualquier activo de datos etiquetado como marketing al que acceda cualquier usuario que no sea miembro del grupo de marketing. Sin embargo, un usuario que es miembro del grupo de usuarios de marketing puede ver los activos etiquetados como marketing. El convenio hace que a todos los usuarios se les deniegue el acceso a todos los datos, excepto a los usuarios del grupo de usuarios de marketing, a los que se les permite acceder a los datos etiquetados como marketing por la regla de protección de datos.
El ejemplo también se aplica a las reglas de ubicación de datos y el convenio de datos predeterminado para las reglas de ubicación de datos es denegar el acceso.
Un ejemplo de uso del convenio de denegación para las reglas de ubicación de datos podría ser un catálogo que contiene información personal confidencial que no está permitida para cruzar los límites del país. En ese caso, se debe denegar la creación de una regla de ubicación de datos que especifique los datos que se mueven de cualquier ubicación a otra. Sin embargo, dado que hay asignaciones de uso compartido de datos entre determinadas ubicaciones, se denegaría todo movimiento de datos excepto una regla que especifica que se debe permitir el movimiento de datos desde una ubicación en Chile a una ubicación en Argentina.
Con el convenio de denegación de acceso a datos, las reglas de protección de datos y las reglas de ubicación de datos tienen estas acciones disponibles:
- Permitir acceso a los datos
- Enmascarar datos
- Filtrar filas
Establecimiento del convenio de acceso a datos
El convenio de regla debe establecerse antes de que el equipo cree reglas de protección de datos y reglas de ubicación de datos. Debe suprimir las reglas existentes antes de cambiar el convenio. Cuando cambia el convenio, las reglas tienen un conjunto diferente de acciones permitidas.
Para establecer los convenios de regla, vaya a la página Gestionar valores de regla seleccionando Gobernabilidad > Reglas y, a continuación, pulsando Gestionar valores de regla. También puede llamar a la API de configuración de aplicación de reglas.
Convenio de regla para reglas de protección de datos
Para establecer la convención de reglas, utilice la interfaz de usuario de gestión de configuración de reglas o llame a la API de configuración de aplicación de reglas y establezca " governance_access_type " en uno de estos valores:
| Valor de interfaz de usuario | Valor de API | Convención |
|---|---|---|
| Desbloqueado | AEAD | Valor predeterminado. Sigue la convención allow todo author deny (AEAD). Permite el acceso a los datos a menos que una regla lo deniegue. Escriba reglas que denieguen el acceso a los datos, enmascare los datos y filtre las filas de los datos. |
| Bloqueado | DEAA | Sigue el convenio deny todo author allow (DEAA). Deniega el acceso a los datos a menos que una regla lo permita. Puede escribir reglas que permitan el acceso a datos, enmascarar datos y filtrar filas de datos. |
Si no se puede evaluar ninguna regla de transformación, el resultado toma de forma predeterminada las siguientes decisiones de convenio:
Denypara BloqueadoAllowpara Desbloqueado
Convenio de regla para reglas de ubicación de datos
Para establecer la convención de reglas, utilice la interfaz de usuario de gestión de configuración de reglas o llame a la API de configuración de aplicación de reglas y establezca " governance_dlr_type " en uno de estos valores:
| Valor de interfaz de usuario | Valor de API | Convención |
|---|---|---|
| Desbloqueado | AEAD | Sigue la convención allow todo author deny (AEAD). Permite el acceso a los datos a menos que una regla lo deniegue. Escriba reglas que denieguen el acceso a los datos, enmascare los datos y filtre las filas de los datos. |
| Bloqueado | DEAA | Valor predeterminado. Sigue el convenio deny todo author allow (DEAA). Deniega el acceso a los datos a menos que una regla lo permita. Puede escribir reglas que permitan el acceso a datos, enmascarar datos y filtrar filas de datos. |
Establecimiento de la prioridad para acciones de regla y métodos de enmascaramiento
Después de definir los convenios de regla, el establecimiento de una prioridad para reglas y métodos de enmascaramiento le ayuda a determinar:
- La acción a aplicar cuando varias reglas que tienen acciones diferentes se aplican a los mismos valores de datos.
- El método de enmascaramiento que se aplica cuando varias reglas que tienen distintos métodos de enmascaramiento se aplican a los mismos valores de datos.
Para establecer precedencias de regla, vaya a la página Gestionar valores de regla seleccionando Gobernabilidad > Reglas y, a continuación, pulsando Gestionar valores de regla.
Prioridad de acciones de regla
La prioridad de acción de regla especifica el acceso de imposición más seguro, más indulgente o jerárquico que tienen los usuarios a un activo. Las acciones, en orden de clemencia, son: Permitir acceso, Máscara y Filtro, Denegar acceso.
Un ejemplo de aplicación de esta prioridad es que los activos de recursos humanos se comparten entre el departamento de recursos humanos. El convenio de regla se establece para denegar el acceso. Una regla especifica si un activo está marcado como un documento de recursos humanos y si el usuario está dentro del grupo de usuarios de recursos humanos, permita el acceso. Otra regla indica que si una regla contiene información financiera de empleado, dicha información debe estar enmascarada.
La información financiera de los empleados se mantiene en una base de datos con tablas que combinan datos de trabajo, salario y jubilación. La tabla Trabajos tiene datos para todos los tipos de empleados y una columna RetireType que indica el estado de jubilación de los empleados. Una tercera regla excluye todas las filas si el valor de la columna RetireType es Retired.
Cuando todas las reglas están en vigor, la decisión de Allow access de la primera regla es anulada por la decisión de enmascarar los datos de la segunda regla cuando Most secure action wins. La tercera regla filtra todas las filas en las que RetireType está establecido en Retired.
Imposición jerárquica como prioridad de acción de regla
La aplicación jerárquica es de especial interés si necesita un acceso a datos más restrictivo y todavía desea escribir reglas más genéricas. Sin embargo, el comportamiento resultante es posible escribiendo reglas no conjuntas para cada combinación de acceso de tipos de usuarios y datos. La opción de imposición jerárquica como prioridad de acción de regla, proporciona un proceso de pensamiento simplificado al pensar como dos preguntas separadas:
¿A quién se le puede otorgar acceso a qué activo? A continuación, puede eliminar muchas de las preguntas de enmascaramiento de determinados tipos de datos y simplificar la decisión en sólo dos opciones de
AllowoDeny.¿Qué datos necesitan enmascaramiento? A continuación, puede ignorar principalmente el estado de la primera pregunta para otorgar acceso. Ahora puede escribir una regla de enmascaramiento más abstracta, como por ejemplo Si el activo de datos contiene una columna de clase de datos
sensitive personal data, redacte las columnas con la clase de datossensitive personal data. Esta regla fuera de una configuración jerárquica incluye una concesión implícita de acceso al activo con el enmascaramiento aplicado.
La opción para establecer la prioridad de decisión de regla en Imposición jerárquica se puede establecer desde el asistente Gestionar valores de regla o, de forma alternativa, desde el valor HIERARCHICAL para API de access_decision_precedence. El valor de imposición jerárquica configura una evaluación de dos capas para las reglas de protección de datos. La primera capa evalúa las reglas para una decisión, lo que da como resultado acciones Allow o Deny , sin considerar ninguna acción de enmascaramiento. A continuación, sólo si la decisión de la primera capa es para acceder a Allow , se evalúa una segunda capa teniendo en cuenta las reglas con una acción Transform . Para ver los datos enmascarados o en bruto, se necesita al menos una decisión de Allow .
- Para el convenio de
Locked, esta decisión deAllowsólo se puede lograr con una regla con la acciónAllow. En el convenio deLocked, si tiene reglas que dan como resultado decisionesTransformoMask, pero no tiene ninguna reglaAllowque otorgue acceso, el resultado permanece comoDeny. Sin embargo, si tiene varias reglas con acciones deAllowyTransform, elAllowprocede a evaluar elTransformy la decisión combinada resultante son las acciones de enmascaramiento resultantes. - Para el convenio de
Unlocked, la prioridad jerárquica se convierte en equivalente a la prioridad La acción más segura gana (opción de API deRESTRICTIVE) ya que una decisiónAllowde la primera capa jerárquica sólo se puede alcanzar sin reglas efectivas que den como resultadoDeny. Por lo tanto, si tiene una acciónDenyy una acciónTransform, el resultado para la Imposición jerárquica (opción de APIHIERARCHICAL) y la acción La acción más segura gana (opción de APIRESTRICTIVE) es la acciónDeny.
Prioridad de método de enmascaramiento
La prioridad del método de enmascaramiento especifica la transformación de los valores de datos de la mayor parte de la privacidad o del mayor programa de utilidad. La prioridad se aplica cuando una acción de regla es Máscara y determina cómo se enmascaran los valores de datos. Los métodos de enmascaramiento, en orden de privacidad, son: Redactar, Sustituir, Ofuscar. Los métodos de enmascaramiento, en orden de utilidad, son: Ofuscar, Sustituir, Redactar.
Un ejemplo de aplicación de esta prioridad es un contable que ha creado una regla que especifica que los números de tarjeta de crédito deben enmascararse. Enmascarar los números permite que solo los representantes de reclamaciones vean un número de tarjeta para ayudar a los clientes que quieran devolver su mercancía. El contador ha creado otra regla que redacta todos los números de tarjeta de crédito si está en el departamento de ventas.
Cuando un empleado que está en el departamento de ventas y en el departamento de reclamaciones accede a la misma información de tarjeta de crédito, ambos métodos de enmascaramiento actúan sobre los mismos datos. Si el convenio de regla es más seguro, la prioridad del método de enmascaramiento redacta la información a la que acceden las ventas. Sin embargo, debido a que el empleado también está en el departamento de reclamaciones, ese empleado puede ver los últimos cuatro dígitos del número de tarjeta de crédito ofuscado.
Escenario: Aplicación de convenios y prioridad
El ejemplo siguiente combina el convenio de regla, la prioridad de acción de regla y la prioridad de método de enmascaramiento. Utilizados conjuntamente, crean opciones flexibles para proteger los datos.
Clarice ha creado una hoja de cálculo de empleados y utiliza los valores de regla y las reglas de protección de datos para proteger los datos de los empleados de otros equipos de su empresa. Protege los datos de los empleados estableciendo primero los convenios y la prioridad para las reglas que está creando y, a continuación, diseñando las reglas.
Escenario: Establecimiento de convenciones y prioridad
En Gestión de valores de regla, Clarice ha elegido las opciones siguientes:
- Convenio: convenio de acceso a datos Desbloqueado que sigue al convenio permitir todo lo denegado por el autor (AEAD).
- Prioridad de acción de regla: La acción más indulgente gana
- Prioridad de método de enmascaramiento de reglas: El método con más privacidad gana
Escenario: Creación de reglas de protección de datos
Clarice crea tres reglas para proteger los datos en la siguiente hoja de cálculo de empleados:
Regla 1: If the user group is the Sales team, then deny access to the data in the asset. Cualquiera del equipo de ventas no puede ver ningún dato que sea propiedad de Clarice.
Regla 2: If the asset name is Employee Spreadsheet and it contains columns named Last Name, Email Address, then mask by obfuscating all columns named Last Name and Email Address. El ejemplo siguiente muestra las columnas Apellido y Dirección de correo electrónico enmascaradas en la hoja de cálculo Empleado cuando alguien de Finanzas accede a ella.
Regla 3: If the user group is the Sales team and that user is accessing the Employee Spreadsheet, then mask by redacting the column named Email Address. El ejemplo siguiente muestra cuando el equipo de ventas accede a la hoja de cálculo, no se les deniega el acceso debido a la prioridad de regla indulgente. Pueden ver los apellidos ofuscados. Sin embargo, debido a que Clarice seleccionó la prioridad de método de enmascaramiento más privada, las direcciones de correo electrónico se redactan.
Más información
- Planificación para cambiar el comportamiento predeterminado de las reglas
- Imposición de reglas de protección de datos
- Diseño de reglas de protección de datos
- Diseño de términos empresariales
- Aplicación de reglas de ubicación de datos
- Diseño de reglas de ubicación de datos
Tema principal: GerenteIBM Knowledge Catalog