Con un número cada vez mayor de ataques internos y externos contra aplicaciones corporativas y públicas y un cumplimiento normativo robusto, la seguridad de los datos continúa siendo la máxima prioridad para las empresas y los gobiernos año tras año.
Aunque muchas empresas están tomando medidas más fuertes para proteger sus datos, persisten brechas sustanciales en el núcleo mismo, es decir, las bases de datos que contienen las joyas de la corona corporativa.
Muchas empresas no tienen una estrategia de seguridad de la base de datos que pueda defenderse contra ataques sofisticados que se originan externa o internamente, rastrear información confidencial a medida que se copia en numerosas ubicaciones, o incluso cumplir requisitos normativos más estrictos y en evolución. Además, la mayoría de las empresas tienden a enfatizar los controles de detección más que las medidas preventivas y los controles cuando se trata de la seguridad de la base de datos, lo que los hace altamente vulnerables.
Por el contrario, se observa que las empresas que implementaron un producto de seguridad de base de datos integral e integrado con un sólido énfasis en los controles preventivos lograron mejores controles de seguridad que introdujeron un mayor grado de automatización a través de la organización y tuvieron más confianza para defenderse contra los ataques.
Aquí te presentamos las complejidades de la seguridad de la base de datos y algunas de las prácticas, políticas y tecnologías que protegerán la confidencialidad, integridad y disponibilidad de tus datos.
Indice
¿Qué es la seguridad de la base de datos?
La seguridad de la base de datos se refiere a la gama de herramientas, controles y medidas diseñadas para establecer y preservar la confidencialidad, integridad y disponibilidad de la base de datos. Este artículo se centrará principalmente en la confidencialidad, ya que es el elemento que se ve comprometido en la mayoría de las infracciones de datos.
La seguridad de la base de datos debe abordar y proteger lo siguiente:
- Los datos en la base de datos
- El sistema de gestión de bases de datos
- Cualquier aplicación asociada
- El servidor de base de datos físico y / o el servidor de base de datos virtual y el hardware subyacente
- La infraestructura informática y / o de red utilizada para acceder a la base de datos.
La seguridad de la base de datos es un esfuerzo complejo y desafiante que involucra todos los aspectos de las tecnologías y prácticas de seguridad de la información. También está naturalmente en desacuerdo con la usabilidad de la base de datos.
Cuanto más accesible y utilizable es la base de datos, más vulnerable es a las amenazas de seguridad; cuanto más invulnerable es la base de datos a las amenazas, más difícil es acceder y usarla.
¿Por qué es importante?
Por definición, una violación de datos es un fallo para mantener la confidencialidad de los datos en una base de datos.
La cantidad de daño que una violación de datos inflige a la empresa depende de una serie de consecuencias o factores:
- Propiedad intelectual comprometida: la propiedad intelectual (secretos comerciales, invenciones, prácticas patentadas) puede ser crítica para la capacidad de mantener una ventaja competitiva en el mercado. Si esa propiedad intelectual es robada o expuesta, tu ventaja competitiva puede ser difícil o imposible de mantener o recuperar.
- Daño a la reputación de la marca: los clientes o socios pueden no estar dispuestos a comprar tus productos o servicios (o hacer negocios con tu empresa) si no sienten que pueden confiar en ti para proteger sus datos.
- Continuidad comercial: algunas empresas no pueden continuar operando hasta que se resuelva un incumplimiento.
- Multas o sanciones por incumplimiento: el impacto financiero por no cumplir con las regulaciones globales, las regulaciones de privacidad de datos específicas de la industria, o las regulaciones regionales de privacidad de datos, como el Reglamento General de Protección de Datos de Europa (RGPD) pueden ser devastadoras, con multas en los peores casos que exceden varios millones de dólares.
- Costes de reparación de infracciones y notificación a los clientes: además del coste de comunicar una infracción al cliente, una organización infractora debe pagar las actividades forenses e investigativas, la gestión de crisis, el triaje, la reparación de los sistemas afectados y más.
Amenazas y desafíos comunes
Muchas configuraciones incorrectas de software, vulnerabilidades o patrones de descuido o mal uso pueden dar lugar a infracciones.
Los siguientes son algunos de los tipos o causas más comunes de ataques a la seguridad de la base de datos y sus causas.
Amenazas internas
Una amenaza interna es una amenaza de seguridad de cualquiera de las tres fuentes con acceso privilegiado a la base de datos:
- Persona maliciosa que intenta hacer daño
- Información privilegiada negligente que comete errores que hacen que la base de datos sea vulnerable a ataques
- Un infiltrado: un extraño que de alguna manera obtiene credenciales a través de un esquema como el phishing o al obtener acceso a la base de datos de credenciales.
Las amenazas internas se encuentran entre las causas más comunes de violaciones de seguridad de la base de datos y, a menudo, son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario privilegiado.
Error humano
Los accidentes, las contraseñas débiles, el uso compartido de contraseñas y otros comportamientos de usuarios poco inteligentes o desinformados siguen siendo la causa de casi la mitad de todas las violaciones de datos informadas.
Explotación de vulnerabilidades de software de bases de datos
Los hackers se ganan la vida encontrando y atacando vulnerabilidades en todo tipo de software, incluido el software de gestión de bases de datos.
Todos los principales proveedores de software de bases de datos comerciales y las plataformas de administración de bases de datos de código abierto emiten parches de seguridad regulares para abordar estas vulnerabilidades, pero el hecho de no aplicar estos parches de manera oportuna puede aumentar su exposición.
Ataques de inyección SQL / NoSQL
Una amenaza específica de la base de datos, que implica la inserción de cadenas de ataque arbitrarias SQL o no SQL en consultas de bases de datos atendidas por aplicaciones web o encabezados HTTP. Las empresas que no llevan a cabo prácticas seguras de codificación de aplicaciones web y efectúan pruebas de vulnerabilidad regularmente están abiertas a estos ataques.
Explotaciones de desbordamiento de búfer
El desbordamiento del búfer se produce cuando un proceso pretende escribir más datos en un bloque de memoria de longitud fija de lo que se permite retener. Los atacantes pueden usar el exceso de datos, almacenados en direcciones de memoria adyacentes, como base para lanzar ataques.
Ataques de denegación de servicio
En un ataque de denegación de servicio (DoS), el atacante inunda el servidor de destino, en este caso el servidor de la base de datos, con tantas solicitudes que el servidor ya no puede cumplir con las solicitudes legítimas de los usuarios reales, y, en muchos casos, el servidor se convierte en inestable o se bloquea.
En un ataque distribuido de denegación de servicio (DDoS), el diluvio proviene de múltiples servidores, lo que hace que sea más difícil detener el ataque.
Malware
El malware es un software escrito específicamente para explotar vulnerabilidades o causar daños a la base de datos. Puede llegar a través de cualquier dispositivo de punto final que se conecte a la red de la base de datos.
Ataques a copias de seguridad
Las organizaciones que no protegen los datos de respaldo con los mismos controles estrictos utilizados para proteger la base de datos en sí pueden ser vulnerables a los ataques a los respaldos.
Estas amenazas se ven exacerbadas por lo siguiente:
- Crecientes volúmenes de datos: la captura, el almacenamiento y el procesamiento de datos continúa creciendo exponencialmente en casi todas las organizaciones. Las herramientas o prácticas de seguridad de datos deben ser altamente escalables para satisfacer las necesidades futuras cercanas y lejanas.
- Expansión de la infraestructura: los entornos de red se están volviendo cada vez más complejos, especialmente a medida que las empresas trasladan las cargas de trabajo a arquitecturas en la nube multinube o híbridas, lo que hace que la elección, implementación y administración de soluciones de seguridad sea aún más desafiante.
- Requisitos reglamentarios cada vez más estrictos: el ámbito de cumplimiento normativo mundial cada vez es más complejo, lo que hace más difícil el cumplimiento de todos los mandatos.
- Escasez de habilidades de ciberseguridad: los expertos predicen que puede haber hasta 8 millones de puestos de ciberseguridad vacantes para 2022.
Mejores prácticas de ciberseguridad
Debido a que las bases de datos son casi siempre accesibles a la red, cualquier amenaza de seguridad a cualquier componente dentro o parte de la infraestructura de la red también es una amenaza para la base de datos, y cualquier ataque que afecte el dispositivo o la estación de trabajo de un usuario puede amenazar la base de datos.
Por lo tanto, la seguridad de la base de datos debe extenderse mucho más allá de los límites de la base de datos sola.
Al evaluar la seguridad de la base de datos en tu entorno para decidir sobre las principales prioridades de tu equipo, considera cada una de las siguientes áreas:
Seguridad física
Ya sea que tu servidor de base de datos esté en las instalaciones o en un centro de datos en la nube, debe ubicarse dentro de un entorno seguro y climatizado. (Si su servidor de base de datos está en un centro de datos en la nube, su proveedor de la nube se encargará de esto por ti).
Controles administrativos y de acceso a la red
El número mínimo práctico de usuarios debe tener acceso a la base de datos, y sus permisos deben restringirse a los niveles mínimos necesarios para que puedan realizar su trabajo. Del mismo modo, el acceso a la red debe limitarse al nivel mínimo de permisos necesarios.
Seguridad del dispositivo / cuenta del usuario final
Siempre ten en cuenta quién accede a la base de datos y cuándo y cómo se utilizan los datos. Las soluciones de monitorización de datos pueden alertarte si las actividades de datos son inusuales o parecen riesgosas.
Todos los dispositivos de usuario que se conectan a la red que aloja la base de datos deben ser físicamente seguros (solo en manos del usuario correcto) y estar sujetos a controles de seguridad en todo momento.
Cifrado
Todos los datos, incluidos los datos en la base de datos y los datos de credenciales, deben protegerse con el mejor cifrado de su clase mientras están en reposo y en tránsito. Todas las claves de cifrado deben manejarse de acuerdo con las pautas de mejores prácticas.
Seguridad del software de la base de datos
Utiliza siempre la última versión del software de administración de la base de datos y aplica todos los parches tan pronto como se emitan.
Seguridad del servidor de aplicaciones / web
Cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal de ataque y debe estar sujeto a pruebas de seguridad continuas y a la gestión de mejores prácticas.
Seguridad de copia de seguridad
Todas las copias de seguridad, copias o imágenes de la base de datos deben estar sujetas a los mismos controles de seguridad (o igualmente estrictos) que la base de datos.
Auditoría
Registra todos los inicios de sesión en el servidor de la base de datos y el sistema operativo, y también registra todas las operaciones realizadas en datos confidenciales. Las auditorías estándar de seguridad de la base de datos deben realizarse regularmente.
Controles y políticas
Además de implementar controles de seguridad por capas en todo tu entorno de red, la seguridad de la base de datos requiere que establezcas los controles y políticas correctos para acceder a la base de datos.
Los tipos de controles son:
- Administrativos para gobernar la instalación, el cambio y la gestión de la configuración de la base de datos.
- Preventivos para controlar el acceso, el cifrado, la tokenización y el enmascaramiento.
- Detectives para monitorizar la monitorización de la actividad de la base de datos y herramientas de prevención de pérdida de datos Estas soluciones permiten identificar y alertar sobre actividades anómalas o sospechosas.
Las políticas de seguridad de la base de datos deben integrarse y respaldar los objetivos comerciales generales, como la protección de la propiedad intelectual crítica y las políticas de ciberseguridad y políticas de seguridad en la nube.
Asegúrate de tener la responsabilidad designada de mantener y auditar los controles de seguridad dentro de tu organización y de que tus políticas complementen las de tu proveedor de la nube en acuerdos de responsabilidad compartida.
Los controles de seguridad, los programas de capacitación y educación sobre concientización de seguridad, y las pruebas de penetración y las estrategias de evaluación de vulnerabilidad deben establecerse en apoyo de sus políticas de seguridad formales.
Herramientas y plataformas de protección de datos
Hoy, una amplia gama de proveedores ofrecen herramientas y plataformas de protección de datos.
Una solución a gran escala debe incluir todas las siguientes capacidades:
Descubrimiento
Busca una herramienta que pueda escanear y clasificar vulnerabilidades en todas tus bases de datos, ya sea que estén alojadas en la nube o en las instalaciones, y ofrezca recomendaciones para remediar las vulnerabilidades identificadas. Las capacidades de descubrimiento a menudo se requieren para cumplir con los mandatos de cumplimiento normativo.
Monitorización de la actividad de datos
La solución debe poder monitorizar y auditar todas las actividades de datos en todas las bases de datos, independientemente de si su implementación es local, en la nube o en un contenedor.
Debería alertarte sobre actividades sospechosas en tiempo real para que puedaw responder a las amenazas más rápidamente. También querráw una solución que pueda aplicar reglas, políticas y separación de funciones y que ofrezca visibilidad del estado de tus datos a través de una interfaz de usuario integral y unificada.
Asegúrate de que cualquier solución que elijas pueda generar los informes que necesitarás para cumplir con los requisitos de cumplimiento.
Capacidades de cifrado y tokenización
En caso de incumplimiento, el cifrado ofrece una línea final de defensa contra compromisos. Cualquier herramienta que elijas debe incluir capacidades de cifrado flexibles que puedan proteger los datos en entornos locales, en la nube, híbridos o de varias nubes.
Busca una herramienta con capacidades de cifrado de archivos, volúmenes y aplicaciones que cumplan con los requisitos de cumplimiento de su industria, que pueden exigir tokenización (enmascaramiento de datos) o capacidades avanzadas de administración de claves de seguridad.
Optimización de la seguridad de los datos y análisis de riesgos
Una herramienta que puede generar información contextual al combinar la información de seguridad de los datos con análisis avanzados te permitirá realizar la optimización, el análisis de riesgos y los informes con facilidad.
Elige una solución que pueda retener y sintetizar grandes cantidades de datos históricos y recientes sobre el estado y la seguridad de sus bases de datos, y busca una que ofrezca capacidades de exploración, auditoría e informes de datos a través de un tablero de autoservicio completo pero fácil de usar.
Estrategia de seguridad de bases de datos
Una estrategia de seguridad de la base de datos se enfoca en proteger proactivamente los datos de ataques internos y externos, reducir la exposición de datos a usuarios de TI privilegiados y autorizados, y proteger todas las bases de datos, incluidas la producción y la no producción.
La mayoría de las organizaciones generalmente se centran en una seguridad de red centrada en el perímetro, proponiendo la primera línea de defensa, pero la creciente complejidad del entorno de seguridad de una organización y los sofisticados vectores de ataque requieren que las organizaciones adopten una visión integral de la seguridad de los datos.
Una clave para construir cualquier estrategia exitosa de seguridad de bases de datos abarca:
- Comprender qué tipo de datos deben protegerse, como información de identificación personal, números de tarjetas de crédito, datos de clientes, números de seguro social, propiedad intelectual e información de salud, etc.
- Comprender los requisitos de cumplimiento normativo aplicables, como la industria de tarjetas de pago (PCI), el RGPD, etc.
- Realizar un inventario de todas las bases de datos, incluida la no producción.
- Descubrimiento y clasificación de bases de datos basadas en la sensibilidad de los datos.
- Establecer políticas de seguridad para todas las bases de datos en el entorno, segregadas entre zonas.
- Tener acciones para cada categoría de políticas y desplegarlas en bases de datos, segregadas en zonas.
- Tomar medidas de seguridad adecuadas, como enmascaramiento de datos, monitorización, auditoría, cifrado y control de acceso.
- Buscar una solución de seguridad de bases de datos con todo incluido que pueda implementar una sólida seguridad de bases de datos a bajo coste.