Esta publicación es parte de la serie de tendencias digitales 2022 de G2. Lee más sobre la perspectiva de G2 sobre las tendencias de transformación digital en una introducción de Tom Pringle, VP de investigación de mercado, y cobertura adicional sobre las tendencias identificadas por los analistas de G2.
Analizando datos riesgosos en la nube con tecnologías de mejora de la privacidad (PETs)
PREDICCIÓN DE TENDENCIAS 2022
La tecnología de privacidad de datos se está adaptando rápidamente para satisfacer las necesidades de operacionalización de privacidad de datos de las empresas B2B. Las innovaciones en software de privacidad de datos y tecnologías de mejora de la privacidad (PETs) crecerán siete veces en 2022.
Las PETs como la privacidad diferencial y el cifrado homomórfico encontrarán nuevos casos de uso por parte de corporaciones a nivel empresarial más allá de sus actuales casos de uso mayormente académicos o gubernamentales.
El crecimiento de las PETs es especialmente importante dado que la legislación federal propuesta recientemente para la privacidad en línea en los EE. UU. ha listado excepciones para métodos de computación que preservan la privacidad.
Un problema que enfrentan las empresas es cómo realizar análisis de datos en conjuntos de datos riesgosos, es decir, conjuntos de datos que incluyen información sensible, especialmente datos almacenados en la nube, mientras se asegura esta información y se respetan las solicitudes de privacidad de las personas a las que se refiere.
No asegurar conjuntos de datos riesgosos e identificar a individuos a través de información de identificación personal (PII) puede tener efectos adversos, como impactar negativamente su reputación, asegurabilidad, empleo o estado financiero, o incluso llevar a daños personales.
Las empresas pueden mitigar estos riesgos utilizando datos sintéticos, que son conjuntos de datos artificiales creados para imitar conjuntos de datos reales. Pero para aquellos que requieren análisis de datos en los conjuntos de datos reales, pueden utilizar dos nuevas PETs—privacidad diferencial y cifrado homomórfico—que brindan a las empresas herramientas más allá de las existentes enmascaramiento de datos, desidentificación, y herramientas de cifrado utilizadas para proteger datos sensibles.
Analizando conjuntos de datos riesgosos con privacidad diferencial
La privacidad diferencial se basa en el caso de negocio para anonimizar conjuntos de datos, pero de una manera más segura.
El problema con los conjuntos de datos desidentificados, donde se elimina alguna información de identificación del conjunto de datos, es que los datos dentro de ellos a veces pueden ser reidentificados. Algunos ataques típicos relacionados con la privacidad en conjuntos de datos desidentificados son:
- Ataque de diferenciación: Un actor malintencionado utiliza el conocimiento de fondo que tiene sobre una persona para ver si sus datos están incluidos en un conjunto de datos para aprender información adicional, a menudo sensible, sobre la persona.
- Ataque de reconstrucción: Los ataques de reconstrucción de conjuntos de datos ocurren cuando alguien combina otros conjuntos de datos para reconstruir el conjunto de datos original.
Por ejemplo, a mediados de la década de 1990, la Comisión de Seguros de Grupo de Massachusetts publicó lo que pensaban que era un conjunto de datos de atención médica anonimizado que mostraba visitas hospitalarias de empleados estatales. Un estudiante identificó con precisión la información del gobernador en este conjunto de datos, deduciendo qué registros individuales pertenecían al gobernador.
¿Qué es la Privacidad Diferencial?
La privacidad diferencial resuelve problemas de reidentificación introduciendo ruido, o resultados aleatorios, en el conjunto de datos mientras se mantiene la validez de los resultados analíticos. Introducir ruido no elimina los riesgos de reconstrucción o diferenciación, pero hace que sea casi imposible identificar con certeza los datos de personas específicas dentro del conjunto de datos.
La privacidad diferencial es posible gracias a matemáticas complejas. Sin embargo, a un nivel fundamental, así es como funciona la privacidad diferencial:
Usando privacidad diferencial, las organizaciones pueden analizar de manera más segura conjuntos de datos riesgosos. Por ejemplo, Tumult Labs utilizó privacidad diferencial para analizar conjuntos de datos de ingresos del Servicio de Impuestos Internos (IRS) para ver cómo un título universitario impacta el potencial de ingresos de una persona. Combinar los ingresos de una persona con el nombre de la universidad a la que asistió hace que un ataque de reconstrucción sea fácil al cruzar esta información con otros conjuntos de datos. Sin embargo, usar privacidad diferencial para insertar ruido en el conjunto de datos agrega un elemento de incertidumbre.
Grandes organizaciones comerciales como Amazon utilizan privacidad diferencial para analizar las preferencias de compra personalizadas de los clientes, Facebook la utiliza para el análisis de segmentación de publicidad conductual mientras cumple con las regulaciones globales de privacidad de datos, y Apple recopila información sobre palabras que las personas escriben, pero que no están en los diccionarios de palabras de Apple.
- Datos y comportamiento sensible del cliente
- Preferencias del cliente e información de audiencia
- Datos de ingresos
- Datos del censo para planificación y presupuestación empresarial
- Datos genómicos
- Detección de epidemias basada en compras de medicamentos de venta libre
- Datos de IoT en salud, como monitoreo de frecuencia cardíaca
- Investigación de geolocalización de usuarios y tráfico de empresas de transporte compartido
- Para aprendizaje automático
Analizando conjuntos de datos riesgosos con cifrado homomórfico
Otra forma de proteger datos sensibles al analizar conjuntos de datos es a través del cifrado.
La mayoría de las técnicas de cifrado hoy en día se centran en datos en tránsito y datos en reposo. Así que los datos sensibles están seguros cuando se transmiten o están almacenados en la nube. Pero, ¿qué pasa con los datos en uso? Para usar datos cifrados, deben ser descifrados, analizados, y recifrados. Y cada vez que los datos sensibles están sin cifrar, se convierten en un riesgo de seguridad.
¿Qué es el Cifrado Homomórfico?
El cifrado homomórfico permite que los datos permanezcan cifrados en uso mientras se analizan. Esto permite a los usuarios almacenar datos cifrados y ejecutar operaciones sobre ellos sin descifrarlos. También permite a los usuarios consultar el conjunto de datos de manera confidencial sin mostrar su intención. Aquí, la estructura de los datos permanece igual, por lo que los resultados computacionales serán los mismos si los datos estaban cifrados o no.
Existen diferentes tipos de cifrado homomórfico, que difieren según cómo se utilizan las funciones matemáticas:
- Cifrado homomórfico parcial: Esto permite que una operación matemática—ya sea suma o multiplicación—se realice un número ilimitado de veces en el conjunto de datos.
- Cifrado homomórfico algo: Esto permite una operación, suma o multiplicación, hasta cierta complejidad, un número limitado de veces.
- Cifrado homomórfico completo: Esto todavía está en desarrollo, pero podría usar tanto suma como multiplicación cualquier número de veces.
El cifrado homomórfico es adecuado para empresas que almacenan datos cifrados en la nube, ya que no arriesga los datos durante el análisis. Otros casos de uso incluyen análisis relacionado con la salud, como compartir registros de pacientes sensibles con investigadores o analizar datos de industrias altamente reguladas como servicios financieros.
El cifrado homomórfico tiene desventajas, principalmente su velocidad o la falta de ella. Pero cada vez más empresas están invirtiendo en este espacio. Por ejemplo, IBM lanzó un kit de herramientas de cifrado homomórfico en 2020. Microsoft también ofrece una biblioteca de cifrado homomórfico de código abierto. Otras empresas en el espacio del cifrado homomórfico incluyen Enveil y Zama.
La seguridad es la primera prioridad para los compradores de software de hoy
El mercado de compras B2B en su conjunto ha señalado que finalmente se está tomando en serio la seguridad. Por ejemplo, en un reciente informe de G2 sobre el comportamiento de los compradores de software, la seguridad se cita como el factor más importante para los compradores de tecnología de mercado medio y empresarial. Y cuando los mercados demandan tecnología de seguridad y privacidad, la innovación responde.
Mientras que las PETs como la privacidad diferencial y el cifrado homomórfico han sido históricamente utilizadas solo por gobiernos, investigadores académicos y las empresas más grandes, creo que estas herramientas se volverán comunes para las empresas que manejan datos sensibles de clientes. Y comenzaremos a ver un aumento en las innovaciones y la comercialización relacionadas con B2B de esta tecnología en el próximo año.
La innovación en tecnología de privacidad de datos está creciendo rápidamente. MIT publicó un estudio integral sobre el cambio tecnológico, destacando la tecnología de más rápido crecimiento. La mayoría de la tecnología mejora a una tasa del 25% por año. Una consulta en su portal de búsqueda mostró que la tecnología de privacidad de datos está mejorando a un 178% anual. En comparación, una de las áreas tecnológicas más comentadas, computación en la nube, está mejorando a un ritmo apenas más rápido, a una tasa del 229% anual.
Dado el evidente interés e inversiones en computación en la nube, creo que también deberíamos prestar atención a estas PETs.
¿Quieres aprender más sobre Software de cifrado? Explora los productos de Cifrado.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
