Detecta y protege datos sensibles con Amazon Lex y Amazon CloudWatch Logs

Publicado el 24 julio 2024 por Lauratuero @incubaweb

En la actualidad, la protección de la información de identificación personal (PII) no solo es un requisito regulador, sino también una piedra angular para la confianza del consumidor y la integridad empresarial. Las organizaciones utilizan servicios avanzados de detección de lenguaje natural como Amazon Lex para construir interfaces conversacionales y Amazon CloudWatch para monitorear y analizar datos operativos. Sin embargo, uno de los riesgos que enfrentan muchas organizaciones es la exposición inadvertida de datos sensibles a través de registros, transcripciones de chat de voz y métricas. Este riesgo se ve agravado por la creciente sofisticación de las amenazas cibernéticas y las estrictas sanciones asociadas a las violaciones de protección de datos.

Para enfrentar este desafío crítico, se ha desarrollado una solución que utiliza la función de ofuscación de ranuras (slots) en Amazon Lex y las capacidades de protección de datos de CloudWatch Logs, diseñadas específicamente para la detección y protección de PII en los registros.

En Amazon Lex, las ranuras se utilizan para capturar y almacenar la entrada del usuario durante una conversación. La ofuscación de ranuras asegura que cualquier información recolectada a través de las interfaces conversacionales de Amazon Lex, como nombres, direcciones u otro PII ingresado por los usuarios, se ofusque en el punto de captura. Este método reduce el riesgo de exposición de datos sensibles en los registros de chat y reproducciones.

En CloudWatch Logs, la protección de datos y los identificadores personalizados añaden una capa adicional de seguridad al permitir la ocultación de PII dentro de los atributos de sesión, transcripciones de entrada y otros datos de registros sensibles específicos de su organización. Este enfoque minimiza la huella de información sensible a través de estos servicios y ayuda a cumplir con las normativas de protección de datos.

Para implementar esta protección, se deben seguir varios pasos detallados:

  1. Amazon Lex: Monitorizar y proteger los datos usando la ofuscación de ranuras y la captura selectiva de registros de conversación.
  2. CloudWatch Logs: Monitorizar y proteger los datos con reproducciones y políticas de grupos de registros.
  3. Amazon S3: Monitorizar y proteger los datos utilizando configuraciones de seguridad y cifrado de bucket.
  4. Políticas de Control de Servicio (SCPs): Usar controles de gobernanza de datos y políticas de gestión de riesgos para prevenir cambios en los chatbots de Amazon Lex y grupos de registros de CloudWatch, y restringir la visualización de datos no ocultos en CloudWatch Logs Insights.

El primer paso es identificar y clasificar los datos que fluyen a través de sus sistemas. Luego, localice los lugares donde se almacena o procesa esta información en sus sistemas y aplicaciones. Para servicios que involucran Amazon Lex y CloudWatch, es crucial identificar todas las fuentes de datos y sus roles en el manejo de PII.

En Amazon Lex, la ofuscación de ranuras proporciona un mecanismo para oscurecer automáticamente PII dentro de los registros de conversación. Para habilitar la ofuscación para una ranura desde la consola de Amazon Lex, siga los pasos mencionados en el documento.

Para la captura selectiva de registros de conversación, Amazon Lex permite elegir cómo se capturan los registros de conversación con datos de texto y audio de conversaciones en vivo filtrando ciertos tipos de información de los registros. Esto ayuda a minimizar el riesgo de exposición de información privada o confidencial.

En CloudWatch Logs, se puede utilizar la función de reproducciones y la configuración de políticas de protección de datos de grupo de registros para auditar y ocultar datos sensibles que aparecen en los eventos de registros.

Para servicios de almacenamiento como Amazon S3, es importante configurar correctamente los buckets con cifrado, controles de acceso y políticas de ciclo de vida para proteger los datos almacenados. También se sugiere el uso de Amazon Kinesis para capturar, procesar y analizar datos de audio en tiempo real, y luego exportarlos a una solución de almacenamiento segura y conforme, como Amazon S3.

En resumen, la seguridad de PII dentro de los servicios de AWS como Amazon Lex y CloudWatch requiere un enfoque proactivo y exhaustivo. Al seguir estos pasos y adoptar prácticas de protección de datos, las organizaciones pueden crear un marco de seguridad robusto que no solo protege datos sensibles, sino que también cumple con los estándares regulatorios y mitiga los riesgos asociados a las violaciones de datos y accesos no autorizados.

vía: AWS machine learning blog