Fragmentació de ferramenta PII: Per què les...

El problema de la fragmentació de ferramentes

La maioria de les organitzacions jurídiques i de conformitat no usan una sola eina de detecció de PII. En canvi, usan:

• Google Cloud DLP per a documents en Google Drive
• Microsoft Purview per a documents en Outlook/SharePoint
• Verity per a e-descoberta de litigació
• Blackstone per a redacció de privilegi advocate-client
• Splunk per a logs de servidor
• Local Presidio per a batch processing en el dia a dia

Aquest mosaic de ferramentes crea problemes de conformitat:

1. Inconsistència de detecció: Cada eina usa detectors de patrons i models de PII diferents
2. Subestimació de cobertura: Organitzacions pensen que Google DLP "cobreix tots els documents personals," però Google DLP és per a Google Drive únicament — Outlook, SharePoint, local files no estan coberts
3. Fallada d'auditoria: Audits de conformitat de GDPR requereixen "evidència documentada de diligència deguda." Si una organització detecta PII amb Google DLP però no valida que Outlook/local files estan coberts, l'auditoria falla.

Detectar paterns de fragmentació

Senyal d'alerta 1: Etiquetes de detecció inconsistentes Comparar resultats de detecció entre ferramentes en els mateixos documents:

• Google DLP: "SSN detectat en document X, 3 instàncies"
• Verity: "SSN detectat en document X, 1 instància" (diferents detectors, dues resultats)
• Presidio: "SSN detectat en document X, 5 instàncies" (Presidio detecta debilitades SSN patterns)

Senyal d'alerta 2: Gaps de cobertura Organitzacions auditen detecció en:

• Google Drive ✓ (Google DLP)
• Outlook ✗ (no automatitzat)
• SharePoint ✗ (Microsoft Purview no implementat)
• Local files ✗ (cap eina)
• Slack ✗ (cap eina)

L'estimació de "cobertura" és 20% del repositori de dades.

Senyal d'alerta 3: Manca de logs de validació Organitzacions no mantenen registre de:

• Quins documents han estat escanejats
• Quan van ser escanejats
• Quins detectores van ser usats
• Quins resultats van ser obtinguts

Sense aquests registres, no pot verificar-se la cobertura.

Com falla una auditoria de conformitat GDPR

Cicle típic de fallada:

1. Auditoria iniciada: Un DPA (com el ICO) o un auditor intern demana: "Podeu demostrar que heu escanejat tots els documents personals per a PII?"

2. Resposta incompleta: "Sí, usem Google DLP."

3. Seguiment de l'auditor: "I pels vostres documents en Outlook, SharePoint, local files, Slack?"

4. Gaps revelats: "Aquests no estan automatitzats. Processem-los manualment ocasionalment."

5. Verdict d'auditoria: "No podeu demostrar cobertura completa. Conformitat greu: no es pot documentar que heu aplicat mesures de detecció de PII a tot el vostre repositori de dades."

6. Sanció: GDPR art. 83 permet multes de fins a €20 milions o 4% dels ingressos globals (el que sigui més alt).

La fragmentació de ferramentes crea buits de cobertura que són pràcticament impossibles de documentar de forma adequada.

Estratègies de consolidació

Opció 1: Seleccionar una eina com a "eina canònica" per a validació de cobertura Escolls una sola eina (p. ex., Presidio) i usar-la com a estàndard:

• Escaneja Google Drive amb Presidio (via API)
• Escaneja Outlook amb Presidio (exportar a PST, escaneja localment)
• Escaneja SharePoint amb Presidio (descarregar arxius, escaneja localment)
• Escaneja Slack amb Presidio (exportar API, escaneja)
• Manté registres per a cada escanellada

Avantatge: Uniformitat de detecció, registres centrals. Desventatge: Pot ser més lent que les eines natives de la nuvola (Google DLP és més ràpid en Google Drive que fer download + Presidio).

Opció 2: Usar ferramentes natives amb validació creuada ocasional Manté Google DLP per a Google Drive, Microsoft Purview per a Outlook/SharePoint, però:

• Cada trimestre, selecciona mostres aleatòries de documents detectats per una eina
• Escaneja la mateixa mostra amb una eina diferent
• Documenta la taxa de concordança (p. ex., "Google DLP detecta SSN en 95% dels documents que Presidio detecta")
• Manté registres de validació creuada com evidencia d'auditoria

Avantatge: Continua usant ferramentes nat-optimitzades, mentre que valida la cobertura. Desventatge: Validació creuada ocasional pot deixar gaps perjudicials entre cicles de validació.

Opció 3: Integració de plataforma única (a llarg termini) Migrar a una sola plataforma que suporta múltiples fonts:

• Microsoft Purview: Cobreix Outlook, SharePoint, local files, Slack (integrada)
• Google DLP + Security Command Center: Cobreix Google Drive, Google Cloud Storage, logs de servidor
• Presidio (auto-allotjat): Cobreix tot, però requereix infraestructura

Aquests enfocaments creen un únic punt de referència per a la detecció de PII.

Pautes de conformitat GDPR: Com documentar la cobertura

Checklist para auditoria de conformitat:

• Inventari de repositoris de dades: Llistat complet de totes les ubicacions de dades personals (Google Drive, Outlook, SharePoint, local file servers, Slack, etc.)
• Cobertura de detecció per repositori: Per a cada repositori, documenteu:
  • Eina de detecció usada (Google DLP, Presidio, Microsoft Purview, etc.)
  • Freqüència d'escanellad (diari, setmanal, trimestral)
  • Fecha de l'últim escanellada
  • Resultats de l'ultim escanellada ("X PII detections")
• Metodologia de validació creuada: Documenteu com valideu la consistència de detecció entre ferramentes (mostres aleatòries, validació trimestral, etc.)
• Registres de detecció: Logs centrals que demostrin que cada repositori ha estat escanellat
• Remediació de detecció: Documenteu com respondéu als resultats de detecció (redacció, supressió, anonimització)

Fonts:

• GDPR Article 32: Security of Processing
• EDPB Guidelines 4/2018 on Data Protection by Design and Default
• ICO: Data Protection Impact Assessments