¿Qué es la seguridad de la base de datos?

La seguridad de la base de datos debe dirección y proteger lo siguiente:

• Los datos de la base de datos.
  
• El sistema de gestión de bases de datos (DBMS).
  
• Cualquier aplicación asociada.
  
• El servidor de base de datos físico o el servidor de base de datos virtual y el hardware subyacente.
  
• La infraestructura informática o de red que se utiliza para acceder a la base de datos.

La seguridad de las bases de datos es un esfuerzo complejo y desafiante que implica todos los aspectos de las tecnologías y prácticas de seguridad de la información. Naturalmente, también está en desacuerdo con la usabilidad de la base de datos. Cuanto más accesible y utilizable sea la base de datos, más vulnerable será a las amenazas de seguridad; cuanto más invulnerable sea la base de datos a las amenazas, más difícil será acceder a ella y usarla. Esta paradoja a veces se denomina “regla de Anderson”.

Por definición, una vulneración de datos es la falta de mantenimiento de la confidencialidad de los datos en una base de datos. El daño que una vulneración de datos inflige a su empresa depende de varias consecuencias o factores:

• Propiedad intelectual comprometida: su propiedad intelectual (secretos comerciales, inventos, prácticas de propiedad) puede ser crítica para mantener una ventaja competitiva en su mercado. Si esa propiedad intelectual es robada o expuesta, su ventaja competitiva puede ser difícil o imposible de mantener o recuperar.
  
  
• Daño a la reputación de la marca: los clientes o partners pueden no estar dispuestos a comprar sus productos o servicios (o hacer negocios con su empresa) si no sienten que pueden confiar en usted para proteger sus datos o los de ellos.
  
  
• Continuidad del negocio (o falta de ella): algunas empresas no pueden seguir operando hasta que se resuelva una infracción.
  
  
• Multas o sanciones por incumplimiento: el impacto financiero por no cumplir con regulaciones globales como la Ley Sarbannes-Oxley (SAO) o el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), regulaciones de privacidad de datos específicas del sector como la HIPAA, o las regulaciones regionales de privacidad de datos, como el Reglamento General de Protección de Datos (RGPD) de Europa puede ser devastador, con multas que en el peor de los casos superan varios millones de dólares por infracción.
  
  
• Costes de reparación de las vulneración y de notificación a los clientes: además del coste de comunicar una vulneración al cliente, una organización afectada por una vulneración debe pagar las actividades forenses y de investigación, la gestión de crisis, el triaje, la reparación de los sistemas afectados y mucho más.

Muchos errores de configuración del software, vulnerabilidades o patrones de descuido o mal uso pueden dar lugar a infracciones. Los siguientes son algunos de los tipos o causas más comunes de ataques a la seguridad de bases de datos.

Una amenaza interna es una amenaza a la seguridad procedente de cualquiera de las tres fuentes con acceso privilegiado a la base de datos:

• Un usuario interno negligente que tiene la intención de hacer daño.
  
• Un usuario interno malicioso que comete errores que hacen que la base de datos sea vulnerable a los ataques.
  
• Un infiltrado, una persona ajena que de alguna manera obtiene credenciales a través de un esquema, como el phishing o accediendo a la propia base de datos de credenciales.

Las amenazas internas se encuentran entre las causas más comunes de las violaciones de seguridad de las bases de datos y, a menudo, son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario con privilegios.

Los accidentes, las contraseñas débiles, el uso compartido de contraseñas y otros comportamientos de usuarios imprudentes o desinformados siguen siendo la causa de casi la mitad (49 %) de todas las vulneraciones de datos denunciadas.

Los hackers se ganan la vida encontrando y atacando vulnerabilidades en todo tipo de software, incluido el software de gestión de bases de datos. Todos los principales proveedores comerciales de software de bases de datos y las plataformas de gestión de bases de datos de código abierto publican parches de seguridad periódicos para solucionar estas vulnerabilidades, pero si no se aplican estos parches a tiempo puede aumentar su exposición.

Una amenaza específica de la base de datos, implica la inserción de cadenas de ataque SQL o no SQL arbitrarias en consultas de bases de datos que son atendidas por aplicaciones web o encabezados HTTP. Las organizaciones que no siguen prácticas seguras de codificación de aplicaciones web y no realizan pruebas de vulnerabilidad periódicas están expuestas a estos ataques.

El desbordamiento de búfer se produce cuando un proceso intenta escribir más datos en un bloque de memoria de longitud fija de los que puede almacenar. Los atacantes pueden utilizar el exceso de datos, que se almacenan en direcciones de memoria adyacentes, como base desde la cual iniciar ataques.

El malware es un software escrito específicamente para beneficiarse de las vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier endpoint que se conecte a la red de la base de datos.

Las organizaciones que no protegen los datos de las copias de seguridad con los mismos controles estrictos que se utilizan para proteger la propia base de datos pueden ser vulnerables a ataques contra las copias de seguridad.

Estas amenazas se ven agravadas por lo siguiente:

• Volúmenes de datos en crecimiento: la captura, el almacenamiento y el procesamiento de datos siguen creciendo exponencialmente en casi todas las organizaciones. Cualquier herramienta o práctica de seguridad de datos debe ser altamente escalable para satisfacer las necesidades futuras cercanas y lejanas.
  
  
• Expansión de la infraestructura: los entornos de red son cada vez más complejos, sobre todo a medida que las empresas trasladan las cargas de trabajo a arquitecturas multinube o de cloud híbrido, lo que hace que la elección, la implementación y la gestión de las soluciones de seguridad sean cada vez más difíciles.
  
  
• Requisitos normativos cada vez más estrictos: el panorama mundial del cumplimiento normativo sigue creciendo en complejidad, lo que dificulta el cumplimiento de todos los mandatos.
  

En un denegación de servicio (DoS), el atacante satura el servidor objetivo (en este caso, el servidor de base de datos) con tantas peticiones que el servidor ya no puede satisfacer las peticiones legítimas de los usuarios reales y, a menudo, el servidor se vuelve inestable o se bloquea.

En un ataque de denegación de servicio distribuido (DDoS), la avalancha proviene de varios servidores, lo que dificulta detener el ataque.

Dado que las bases de datos son accesibles a través de la red, cualquier amenaza a la seguridad de cualquier componente o parte de la infraestructura de red es también una amenaza para la base de datos, y cualquier ataque que afecte al dispositivo o estación de trabajo de un usuario puede amenazar la base de datos. Así pues, la seguridad de las bases de datos debe extenderse mucho más allá de los confines de la base de datos únicamente.

Al evaluar la seguridad de las bases de datos en su entorno para decidir cuáles son las principales prioridades de su equipo, tenga en cuenta cada una de las siguientes áreas:

• Seguridad física: tanto si su servidor de base de datos está en entornos locales como en un centro de datos en la nube, debe estar ubicado dentro de un entorno seguro y climatizado. Si su servidor de base de datos está en un centro de datos en la nube, su proveedor de servicios en la nube se encarga de esto por usted.
  
  
• Controles administrativos y de acceso a la red: el número mínimo práctico de usuarios debe tener acceso a la base de datos y sus permisos deben restringirse a los niveles mínimos necesarios para que puedan realizar su trabajo. Del mismo modo, el acceso a la red debe limitarse al nivel mínimo de permisos necesario.
  
  
• Seguridad de las cuentas de usuario y los dispositivos: tenga siempre en cuenta quién accede a la base de datos y cuándo y cómo se utilizan los datos. Las soluciones de monitorización de datos pueden alertarle si las actividades de datos son inusuales o parecen arriesgadas. Todos los dispositivos de usuario que se conecten a la red que aloja la base de datos deben estar físicamente seguros (solo en manos del usuario adecuado) y estar sujetos a controles de seguridad en todo momento.
  
  
• Cifrado: todos los datos, incluidos los datos de la base de datos y los datos de credenciales, deben protegerse con el mejor cifrado de su clase mientras están en reposo y en tránsito. Todas las claves de cifrado deben gestionarse de acuerdo con las directrices de buenas prácticas.
  
  
• Seguridad del software de base de datos: utilice siempre la última versión de su software de gestión de bases de datos y aplique todos los parches cuando se emitan.
  
  
• Seguridad de aplicaciones y servidores web: cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal de ataque y debe estar sujeto a pruebas de seguridad continuas y a la gestión de buenas prácticas.
  
  
• Seguridad de las copias de seguridad: todas las copias de seguridad, copias o imágenes de la base de datos deben estar sujetas a los mismos (o igualmente estrictos) controles de seguridad que la propia base de datos.
  
  
• Auditoría: registre todos los inicios de sesión en el servidor de bases de datos y en el sistema operativo, y registre también todas las operaciones que se realicen con datos sensibles. Las auditorías de las normas de seguridad de las bases de datos deben realizarse con regularidad.

Además de implementar controles de seguridad por niveles en todo el entorno de red, la seguridad de las bases de datos exige que establezca los controles y políticas correctos para el acceso a la propia base de datos. Entre ellas se incluyen:

• Controles administrativos para gobernar la gestión de la instalación, los cambios y la configuración de la base de datos.
  
  
• Controles preventivos para regular el acceso, el cifrado, la tokenización y el enmascaramiento.
  
  
• Controles de detección para monitorizar la actividad de la base de datos y herramientas de prevención de pérdida de datos. Estas soluciones permiten identificar y alertar sobre actividades anómalas o sospechosas.

Las políticas de seguridad de las bases de datos deben integrarse con sus objetivos empresariales generales y apoyarlos, como la protección de la propiedad intelectual crítica y sus políticas de ciberseguridad y seguridad en la nube. Asegúrese de que ha designado la responsabilidad de mantener y auditar los controles de seguridad en su organización y de que sus políticas complementan las de su proveedor de servicios en la nube en los acuerdos de responsabilidad compartida. Los controles de seguridad, los programas de formación y educación sobre la conciencia y las estrategias de pruebas de penetración y evaluación de vulnerabilidades deben establecerse en apoyo de sus políticas de seguridad formales.

En la actualidad, hay un amplio abanico de proveedores que ofrece herramientas y plataformas de protección de datos. Una solución a gran escala debe incluir todas las capacidades siguientes:

• Descubrimiento: busque una herramienta que pueda escanear y clasificar vulnerabilidades en todas sus bases de datos, ya sea que estén alojadas en la nube o en las instalaciones, y ofrezca recomendaciones para remediar cualquier vulnerabilidad que se identifique. A menudo se requieren capacidades de descubrimiento para cumplir con los mandatos de cumplimiento normativo.
  
  
• Monitorización de la actividad de los datos: la solución debe poder monitorizar y auditar todas las actividades de los datos en todas las bases de datos, independientemente de si su implementación es local, en la nube o en un contenedor. Debería alertarle de actividades sospechosas en tiempo real para que pueda responder a las amenazas con mayor rapidez. También querrá una solución que pueda aplicar reglas, políticas y separación de funciones y que ofrezca visibilidad del estado de sus datos a través de una interfaz de usuario completa y unificada. Asegúrese de que cualquier solución que elija pueda generar los informes que necesita para cumplir con los requisitos de cumplimiento.
  
  
• Capacidades de cifrado y tokenización: tras una vulneración, el cifrado ofrece una última línea de defensa contra el compromiso. Cualquier herramienta que elija debe incluir capacidades de cifrado flexibles que puedan proteger los datos en entornos locales, en la nube, híbridos o multinube. Busque una herramienta con capacidades de cifrado de archivos, volúmenes y aplicaciones que se ajusten a los requisitos de cumplimiento de su sector, que podrían exigir tokenización (enmascaramiento de datos) o capacidades avanzadas de gestión de claves de seguridad.
  
  
• Optimización de la seguridad de datos y análisis de riesgos: una herramienta que pueda generar perspectivas contextuales combinando la información sobre la seguridad de datos con análisis avanzados le permitirá llevar a cabo la optimización, el análisis de riesgos y la elaboración de informes con facilidad. Elija una solución que pueda retener y sintetizar grandes cantidades de datos históricos y recientes sobre el estado y la seguridad de sus bases de datos, y busque una que ofrezca capacidades de exploración, auditoría y generación de informes de datos a través de un panel de control de autoservicio completo pero fácil de usar.