Los servidores de bases de datos de cada empresa ocupan, en importancia, dentro de todos los servidores en el ambiente, el lugar más alto, pues estos incluyen datos y por lo tanto información detallada sobre estados financieros, recursos humanos, clientes, proveedores; la cual mantiene a la compañía dentro del negocio, por lo tanto se convierte en el activo más importante y es necesario asegurar esa información.

Héctor Rodríguez, Information Management Client Technical Specialist, IBM

Hector RodriguezHéctor Rodriguez es Client Technical Specialist para el área de Information Management de IBM Software Group México, desde Diciembre de 2009. Dentro de su rol, Héctor se encarga de apoyar técnicamente en labores de preventa para las soluciones de DB2, Informix, Optim y Guardium. Héctor cuenta con mas de 3 años de experiencia en Gobernabilidad y Administración de Datos, lo que incluye una amplia experiencia en aseguramiento de información. Héctor cuenta con una Licenciatura en Administración de Tecnologías de Información por la Universidad del Valle de México Campus San Rafael.



17-12-2012

Dentro de cada empresa, no importa si hablamos de un cliente, un proveedor o de nuestro mismo lugar de trabajo se genera día con día una cantidad importante de datos, los cuales por si solos normalmente no otorgan ningún valor. Sin embargo, al estar unido podemos conocer la dirección, teléfono, números de tarjeta de crédito, números de cuenta, y demás información personal que se considere sensitiva.

Esta información es y siempre ha sido el principal objetivo de diferentes actores, tales como: “Administradores de Bases de Datos” , “Especialistas de Seguridad”, “Directores de Recursos Humanos” por mencionar algunos. Pero también lo es para aquellos (individuos, agentes, lo que sea) que al estar en contacto con dicha información la utilizan de forma ilícita.

La seguridad de la información hoy

Actualmente el mundo está atravesando por un constante cambio, se está volviendo mas digitalizado e interconectado, abriendo así la puerta a amenazas y fugas de seguridad.

Dentro de los grandes retos que tienen actualmente las empresas radica en la posibilidad de contar con la disponibilidad de sistemas a toda hora y en cualquier lugar, para así mismo otorgar un mejor servicio a sus clientes.

Así mismo, el constante crecimiento de los datos y el manejo de este crecimiento se está convirtiendo en un reto de seguridad aún mayor para las empresas. La explosión de esta información de forma digital y la facilidad en que esto debe ocurrir, también puede llegar a facilitar el mal uso o el robo de la misma.

Dicho lo anterior, el riesgo de hoy en día se tienen para manejar datos sensibles sigue la misma dirección, esto es, va en aumento. Los mismos ataques se van convirtiendo cada vez en técnicas más sofisticadas, la velocidad y la destreza de los ataques ha aumentado junto con nuevas motivaciones de la delincuencia cibernética con el objetivo de inspirar terror en los dueños de los datos.


Pensar como hacker

Pensar como un hacker no se refiere solamente a actividades cibercriminales, en este caso también funciona para las empresas que deseen conocer cómo protegerse contra este tipo de atacantes. Si uno logra conocer cómo un hacker utiliza su imaginación para acceder a nuestros sistemas de seguridad, tendremos más posibilidades de identificar los puntos débiles y áreas de oportunidad de los mismos.

Dentro de los pasos que deben ser considerados en la prevención de un ataque a sistemas de seguridad se pueden considerar los siguientes:

  • Identificar todos los posibles puntos de ataque y sus nombres de dominio, en este punto es cuando debemos recopilar toda la información que sea posible. Para un hacker, conseguir esta información puede tomar tiempo, mientras que para una persona responsable del área de seguridad dentro de una empresa debe ser mucho mas rápido y eficiente, pues ya cuenta con un conocimiento previo y amplio sobre los diferentes sistemas que existen dentro de la organización.
    Hay que considerar el tamaño de la información de la empresa, el tipo de información que podría encontrarse, la identificación de los datos sensibles, la ubicación de los mismos, los potenciales puntos de acceso a los servidores de bases de datos y el nivel de seguridad de cada uno de estos puntos de acceso (firewalls, ipsecs, DB Firewalls,etc).
    Adicional a lo anterior, es muy importante mencionar que un hacker siempre piensa primero en datos básicos de la empresa, como las diferentes denominaciones (razón social, nombre comercial), sus subsidiarias, números de teléfono y por supuesto sus direcciones IP.
  • Poner especial atención a puntos de acceso back door no identificados. Esto ocurre principalmente en empresas pequeñas que inician sus operaciones de negocio y no cumplen con los requerimientos mínimos de seguridad de información; en especial las empresas que han sido recientemente adquiridas por grandes compañías, pues aún no cumplen con el proceso de aseguramiento que las grandes empresas tienen.
    Así pues, estas pequeñas empresas se convierten, la mayoría de las veces, en un punto de acceso para conocer cómo está estructurado el ambiente de una red privada de la empresa más grande.
  • Conocer las direcciones IP de los servidores de la empresa. Una vez identificadas, los pasos para descubrir los puertos donde están escuchan las bases de datos es un proceso relativamente fácil.
    Es en este momento, en el que el atacante (Hacker) tiene conocimiento sobre la arquitectura de la empresa y tiene acceso a la red privada, cuando está listo para el siguiente paso, Acceder al sistema.
  • Para acceder a un sistema operativo, base de datos, web server, etc. es necesario contar con un usuario y una contraseña de acceso. La pregunta clave en este momento es: ¿cómo puede un hacker conseguir credenciales para acceder a mi sistema? La respuesta es muy sencilla, una vez que un hacker identifica su objetivo es muy difícil tratar de detenerlo, por lo que el hacker se valdrá de diferentes y variados recursos tales como el uso del software de tipo sniffer, valerse de llamadas telefónicas a la empresa e investigar sobre el tipo de seguridad o aprovecharse de algo tan preocupante como simple como lo es la complejidad que se le asigna a las contraseñas, pues como normalmente pasa, las contraseñas de los usuarios menos familiarizados con la seguridad suelen ser un punto de entrada para atacantes expertos. Contraseñas como: fechas de nacimiento, números de seguridad social o password1234, no son contraseñas seguras.

Si bien estas problemáticas facilitan el acercamiento de un atacante a los sistemas (de base de datos) extrayendo información y utilizándola con fines de lucro, el hacker no tendrá la posibilidad de tomar dicha información de manera rápida y sencilla al 100 %.

Un atacante no invertirá demasiado tiempo en atacar un sistema, si éste no es sencillo de penetrar, continuará en busca de un sistema más débil.


¡Listo para el ataque!

¿Qué se puede hacer para evitar el robo de la información? La respuesta es sencilla: estar preparados contra cualquier tipo de ataque, ya sea interno o externo, planeado o no planeado, Inyección SQL, Phishing, etc.

Ya que se conoce cuales son los puntos principales que un hacker utiliza para entrar al sistema, se tiene idea de que asegurar primero.

Usualmente del modelo OSI se tienen aseguradas de manera potencial las primeras capas (Aplicativo, Presentación, Sesión, Red) por tecnologías basadas en hardware y software realmente impresionantes, tales como:

  • IBM Ration AppScan para el manejo de seguridad de los aplicativos tanto web como móviles.
  • IBM Tivoli Access Manager, una solución que se encarga de mantener un solo punto de autenticación, reforzando políticas de seguridad de la empresa.
  • IBM Proventia que ayuda a asegurar computadores personales y de escritorio contra ataques conocidos/desconocidos.
  • Entre muchos otros…

Pero quiero hacer hincapié en el título de este artículo, al afirmar que lo importante es proteger el origen y el objetivo principal de los ataques…la información.

La razón por la cual la información es el principal objetivo de los ataques es que con ella se puede llegar a completar acciones ilícitas, como por ejemplo ejecutar compras por Internet con un número de tarjeta de crédito, números confidenciales, nombre, dirección. Otro ejemplo sería el obtener información sobre credenciales de acceso a sistemas (cobranza, aplicativos de manejo de cuentas, etc.) de una empresa donde labora el dueño de los datos.

Por lo anterior, es necesario contar con las herramientas suficientes y precisas que ayuden a controlar a nivel Manejador de Bases de Datos quien accede a la información, descubrir que están haciendo los usuarios, saber que están administrando los DBA’s, y conocer hasta donde se tiene gobernabilidad de los datos.

Hablando del Administrador de la Base de Datos, éste se considera uno de los agentes más importantes en los cuales un Administrador de Seguridad debe tener toda su atención, pues este es el principal punto de fuga de la información ya que al tener todos los privilegios (o la mayoría de ellos) sobre la base de datos, este usuario se convierte en el primer objetivo de los atacantes,¿como consigo acceso total a los datos? ¿Cómo borro cualquier rastro de que estuve en el sistema? ¿Hay alguna forma de que el Administrador de Seguridad no se de cuenta que accedí al sistema? La respuesta es: Obteniendo el acceso de Administrador de Base de Datos.

Por lo anterior es necesario también que la herramienta de seguridad que se tenga no esté basada en las bitácoras de la base datos (éstas pueden ser borradas por el administrador), que advierta y se tomen acciones preventivas en caso de que el Administrador de Base de Datos acceda a datos sensibles (el DBA, el Administrador de la Base de Datos y como tal sus funciones deben ser enfocadas en mantener el mejor rendimiento de la misma, lo cual dentro de las mejores prácticas no debería incluir el acceso a los datos).

Otro punto importante a tener en cuenta es saber que el Hacker estará siempre atento a los puntos mas vulnerables del sistema y estará buscando cualquier forma de entrar a la base de datos, ya sea averiguando contraseñas débiles o vulnerabilidades de la base de datos tales como grupos de BD mal definidos, Autorizaciones de consulta de datos sensibles a usuarios no autorizados, Creación y Réplica de tablas, etc. Por tal motivo, hay que tener especial cuidado con las diferentes vulnerabilidades que se puedan llegar a presentar y de las cuales la empresa no está consciente de que existen a través de los diferentes manejadores de bases de datos que se tengan (DB2, Informix, etc).


En conclusión

Así que para ayudar a prevenir, corregir y actuar de forma inmediata en contra de posibles ataques ya sean internos o externos a la empresa, no solamente es suficiente contar con seguridad perimetral y en los aplicativos, si no también contar con la seguridad adecuada dentro de las bases de datos y conocer que es lo que esta pasando con los datos (¿quién accede?, ¿cuándo accede?, ¿ desde dónde y hacia dónde se está accediendo?, ¿cómo es que se pudo acceder?, ¿qué puedo hacer si alguien no autorizado accede a los datos?).

En el artículo intentamos demostrar que es posible identificar y prevenir los ataques directos a la información. También hace conciencia sobre las posibles afectaciones que pueden ocurrir de no llevar a cabo un análisis profundo y acciones concretas sobre los Sistemas de Información.

Recursos

Aprender

Obtener los productos y tecnologías

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Information mgmt
ArticleID=852041
ArticleTitle=Asegurar la información
publish-date=12172012