La seguridad de las bases de datos se refiere al conjunto de herramientas, medidas y controles diseñados para establecer y mantener la confidencialidad, la integridad y la disponibilidad de las bases de datos. Este artículo se va a centrar principalmente en la confidencialidad, ya que es el elemento que se ve comprometido en la mayoría de las infracciones de datos.

La seguridad de las bases de datos debe tratar y proteger lo siguiente:

• Los datos de la base de datos
  
  
• El sistema de gestión de bases de datos (DBMS)
  
  
• Cualquier aplicación asociada
  
  
• El servidor de base de datos físico y/o el servidor de base de datos virtual, y el hardware subyacente
  
  
• La infraestructura informática y/o de red utilizada para acceder a la base de datos

La seguridad de las bases de datos es una iniciativa compleja que implica todos los aspectos de las tecnologías y las prácticas de seguridad de la información. Además, se enfrenta a la usabilidad de la base de datos. Cuanto más accesible y utilizable sea la base de datos, más vulnerable será ante las amenazas de seguridad; cuanto más protegida esté la base de datos ante las amenazas, más difícil será acceder a ella y utilizarla. En ocasiones, esta paradoja se denomina regla de Anderson (enlace externo a IBM).

Por definición, una infracción de datos es la incapacidad de mantener la confidencialidad de los datos en una base de datos. La cantidad de daño que las infracciones de datos infligen a su empresa depende de varios factores o consecuencias:

• Propiedad intelectual comprometida: la propiedad intelectual —secretos comerciales, invenciones, prácticas propietarias— puede ser fundamental para poder mantener una ventaja competitiva en el mercado. Si dicha propiedad intelectual es robada o queda expuesta, su ventaja competitiva puede ser difícil o imposible de mantener o recuperar.
  
  
• Daño a la reputación de la marca: los clientes o los socios pueden no estar dispuestos a comprar sus productos o servicios (o a hacer negocios con su empresa) si no sienten que pueden confiar en usted para proteger los datos.
  
  
• Continuidad del negocio (o falta de ella): algunas operaciones de negocio no pueden continuar hasta que se resuelva la infracción.
  
  
• Multas o sanciones por falta de conformidad: el impacto financiero por no cumplir con las normativas globales, como la Sarbannes-Oxley Act (SAO) o eñ Payment Card Industry Data Security Standard (PCI DSS); las normativas de privacidad de datos específicas del sector, como la HIPAA, o las normativas regionales de privacidad de datos, como el Reglamento General de Protección de Datos (RGPD) de Europa, puede ser devastador, con sanciones superiores, en el peor de los casos, a varios millones de dólares por violación.
  
  
• Costes de reparación de infracciones y notificación a los clientes: además del coste de comunicar una infracción al cliente, la organización que sufre la infracción debe abonar las actividades forenses y de investigación, de gestión de crisis, triaje, reparación de los sistemas afectados, etc.

Son muchas las configuraciones erróneas de software, vulnerabilidades o patrones de descuido o mal uso que pueden dar lugar a una infracción. Los siguientes son los tipos o causas más habituales de los ataques de seguridad de base de datos y sus causas.

Amenazas internas

Las amenazas internas son amenazas de seguridad de una de las tres fuentes que tienen acceso con privilegios a la base de datos:

• Un usuario interno malicioso que tiene la intención de hacer daño.
  
  
• Un usuario interno negligente que comete errores que provocan que la base de datos sea vulnerable a los ataques.
  
  
• Un infiltrado —un usuario externo— que, de alguna manera, obtiene las credenciales a través de una estrategia de phishing u obtiene acceso a la propia base de datos de credenciales.

Las amenazas internas se encuentran entre las causas más comunes de las infracciones de seguridad de base de datos y, a menudo, son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario con privilegios.

Error humano

Los accidentes, las contraseñas débiles, el uso compartido de contraseñas y otros comportamientos de usuario imprudentes o desinformados continúan siendo la causa de casi la mitad (49 %) de todas las infracciones de datos notificadas.

Explotación de las vulnerabilidades de software de base de datos

Los hackers se ganan la vida detectando y atacando vulnerabilidades en todo tipo de software, incluido el software de gestión de bases de datos. Todos los principales proveedores de software comercial de bases de datos y plataformas de gestión de bases de datos de código abierto publican parches de seguridad periódicos para resolver estas vulnerabilidades, y no aplicar estos parches en su debido momento puede aumentar la exposición.

Ataques por inyección SQL/NoSQL

Se trata de una amenaza específica de base de datos que implica la inserción de series de ataque SQL o no SQL arbitrarias en consultas de base de datos servidas por aplicaciones web o cabeceras HTTP. Las organizaciones que no siguen prácticas seguras de codificación de aplicaciones web ni realizan pruebas periódicas de vulnerabilidad habituales están expuestas a estos ataques.

Explotación de desbordamiento de almacenamiento intermedio

El desbordamiento de almacenamiento intermedio se produce cuando un proceso intenta grabar más datos en un bloque de memoria de longitud fija de lo que se permite mantener. Los atacantes pueden utilizar el exceso de datos, almacenado en direcciones de memoria adyacentes, como una base desde la que lanzar ataques.

Programas maliciosos

El malware es software escrito específicamente para explotar las vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier dispositivo de punto final que se conecte a la red de la base de datos.

Ataques a copias de seguridad

Las organizaciones que no son capaces de proteger los datos de copia de seguridad con los mismos controles estrictos que se utilizan para proteger la propia base de datos pueden ser vulnerables a los ataques a las copias de seguridad.

Estas amenazas se ven exacerbadas por lo siguiente:

• Volúmenes crecientes de datos: la captura, el almacenamiento y el procesamiento de datos continúa creciendo exponencialmente en casi todas las organizaciones. Las herramientas o prácticas de seguridad de datos deben ser altamente escalables para satisfacer las necesidades futuras más inmediatas y las más lejanas.
  
  
• Dispersión de infraestructuras: los entornos de red son cada vez más complejos, especialmente a medida que las empresas trasladan las cargas de trabajo a arquitecturas multicloud o de cloud híbrido, de modo que se complica la elección, el despliegue y la gestión de soluciones de seguridad.
  
  
• Requisitos normativos cada vez más estrictos: la complejidad del panorama mundial de conformidad con la normativa sigue aumentando, y se complica la adhesión a todas las exigencias.
  
  
• Escasez de conocimientos en ciberseguridad: los expertos prevén que en 2022 se puede llegar a los 8 millones de puestos de ciberseguridad sin cubrir.

Ataques de denegación de servicio (DoS/DDoS)

En un ataque de denegación de servicio (DoS), el atacante inunda el servidor de destino —en este caso, el servidor de la base de datos— con tantas solicitudes que el servidor ya no puede realizar las solicitudes legítimas de los usuarios reales y, en muchos casos, el servidor se vuelve inestable o se bloquea.

En un ataque de denegación de servicio distribuida (DDoS), la inundación procede de varios servidores, de modo que es más difícil detener el ataque. Vea nuestro vídeo "What is a DDoS Attack" (3:51) para obtener más información:

Puesto que las bases de datos son casi siempre accesibles desde la red, cualquier amenaza de seguridad a cualquier componente interno o que forme parte de la infraestructura de red también es una amenaza para la base de datos, y cualquier ataque que afecte al dispositivo o estación de trabajo de un usuario puede ser una amenaza para la base de datos. Por lo tanto, la seguridad de la base de datos se debe ampliar más allá de los límites de la propia base de datos.

Al evaluar la seguridad de la base de datos en su entorno para decidir las prioridades principales de su equipo, debe tener en cuenta todas las áreas siguientes:

• Seguridad física: si el servidor de bases de datos es local o se encuentra en un centro de datos en cloud, debe estar ubicado dentro de un entorno seguro y con control de la climatización (si el servidor de bases de datos está en un centro de datos en cloud, el proveedor de cloud será el encargado de ello).
  
  
• Controles de acceso administrativo y de red: un número mínimo práctico de usuarios debe tener acceso a la base de datos, y sus permisos se deben limitar a los niveles mínimos necesarios para que puedan realizar su trabajo. Asimismo, el acceso a la red debe limitarse al nivel mínimo de permisos necesarios.
  
  
• Seguridad de cuentas/dispositivos de usuario final: debe tener en cuenta siempre quién accede a la base de datos y cuándo, y cómo se utilizan los datos. Las soluciones de supervisión de datos pueden mostrarle alertas si las actividades de datos son inusuales o parecen arriesgadas. Todos los dispositivos de usuario que se conectan a la red que aloja la base de datos deben ser físicamente seguros (y solo debe gestionarlos el usuario adecuado) y estar sujetos a controles de seguridad en todo momento.
  
  
• Cifrado: TODOS los datos, incluidos los datos de la base de datos y los datos de credenciales, deben protegerse con el mejor cifrado mientras estén en reposo y en tránsito. Todas las claves de cifrado deben manejarse de acuerdo con las directrices de prácticas recomendadas.
  
  
• Seguridad de software de base de datos: utilice siempre la última versión del software de gestión de bases de datos y aplique todos los parches en cuanto se publiquen.
  
  
• Seguridad del servidor web/de aplicaciones: cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal para el ataque y debe estar sujeto a pruebas de seguridad constantes y contar con prácticas recomendadas de gestión.
  
  
• Seguridad de copia de seguridad: todas las copias de seguridad, copias o imágenes de la base de datos deben estar sujetas a los mismos controles de seguridad (o igual de estrictos) que la propia base de datos.
  
  
• Auditoría: registre todos los inicios de sesión en el servidor de bases de datos y el sistema operativo, además de todas las operaciones realizadas con datos confidenciales. Las auditorías estándar de seguridad de base de datos se deben realizar de forma periódica.

Además de implementar controles de seguridad en capas en todo el entorno de red, la seguridad de la base de datos requiere establecer las políticas y los controles adecuados para el acceso a la propia base de datos. Estas incluyen:

• • Controles administrativos
  para gobernar la instalación, el cambio y la gestión de configuración para la base de datos.
  
  
• • Controles preventivos
  para gobernar el acceso, el cifrado, la tokenización y el enmascaramiento.
  
  
• • Controles de detección
  para supervisar las herramientas de supervisión de actividad de base de datos y prevención de pérdida de datos. Estas soluciones permiten identificar y alertar sobre actividades anómalas o sospechosas.

Las políticas de seguridad de base de datos deben facilitar los objetivos generales de negocio e integrarse con ellos, como la protección de la propiedad intelectual fundamental y las políticas de ciberseguridad y de seguridad del cloud. Compruebe que ha designado la responsabilidad de mantener y auditar los controles de seguridad dentro de su organización y que sus políticas complementan a las de su proveedor de cloud en acuerdos de responsabilidad compartida. Se deben establecer controles de seguridad, programas de formación y educación para la concienciación de seguridad y estrategias de evaluación de vulnerabilidades y pruebas de penetración para facilitar las políticas de seguridad formales.

Hoy en día, una amplia gama de proveedores ofrecen herramientas y plataformas de protección de datos. Una solución a gran escala debe incluir todas las funciones siguientes:

• Descubrimiento: busque una herramienta que pueda explorar y clasificar las vulnerabilidades en todas las bases de datos, tanto si están alojadas en cloud o en local, y ofrezca recomendaciones para corregir cualquier vulnerabilidad identificada. Las prestaciones de descubrimiento a menudo son necesarias para cumplir los mandatos de conformidad con la normativa.
  
  
• Supervisión de la actividad de datos: la solución debe poder supervisar y auditar todas las actividades de datos en todas las bases de datos, independientemente de si el despliegue es local, en cloud o en un contenedor. Debe poder alertarle de actividades sospechosas en tiempo real para que pueda responder a las amenazas más rápidamente. También querrá una solución que pueda aplicar reglas, políticas y separación de funciones y que ofrezca visibilidad sobre el estado de los datos a través de una interfaz de usuario completa y unificada. Compruebe que cualquier solución que elija pueda generar los informes que necesitará para cumplir los requisitos de conformidad.
  
  
• • Funciones de cifrado y tokenización:
  en caso de infracción, el cifrado ofrece una línea final de defensa contra el compromiso. Cualquier herramienta que elija debe incluir funciones de cifrado flexibles que puedan proteger los datos en entornos locales, en cloud, híbridos o multicloud. Busque una herramienta con funciones de cifrado de archivos, volúmenes y aplicaciones que se ajusten a los requisitos de conformidad de su sector; para ello, pueden ser necesarias funciones de tokenización (enmascaramiento de datos) o funciones avanzadas de gestión de claves de seguridad.
  
  
• Optimización de la seguridad de los datos y análisis de riesgos: una herramienta que pueda generar información contextual combinando la información de seguridad de datos con analítica avanzada le permitirá realizar la optimización, el análisis de riesgos y la creación de informes con facilidad. Elija una solución capaz de retener y sintetizar grandes cantidades de datos históricos y recientes sobre el estado y la seguridad de las bases de datos, y busque una que ofrezca funciones de exploración, auditoría e informes de datos a través de un panel de control de autoservicio completo pero fácil de usar.