Qué es la seguridad de base de datos

La seguridad de base de datos hace referencia a la variedad de herramientas, controles y medidas diseñadas para establecer y conservar la confidencialidad, la integridad y la disponibilidad de la base de datos. Este artículo se centrará principalmente en la confidencialidad, ya que es el elemento que está comprometido en la mayoría de las brechas de seguridad de datos.

La seguridad de las bases de datos debe tratar y proteger lo siguiente:

• Los datos de la base de datos
• El sistema de gestión de bases de datos (DBMS)
• Cualquier aplicación relacionada
• El servidor de base de datos físico y/o el servidor de base de datos virtual y el hardware subyacente
• La infraestructura informática y/o de red utilizada para acceder a la base de datos

La seguridad de base de datos es un esfuerzo complejo y desafiante que implica todos los aspectos de las tecnologías y prácticas de seguridad de la información. También está naturalmente en desacuerdo con la usabilidad de la base de datos. Cuanto más accesible y utilizable sea la base de datos, más vulnerable será ante las amenazas de seguridad; cuanto más invulnerable sea la base de datos ante las amenazas, más difícil será el acceso y el uso. En ocasiones, esta paradoja se denomina regla de Anderson (enlace externo a IBM).

¿Por qué es importante?

Por definición, una brecha de seguridad de datos es un error al mantener la confidencialidad de los datos en una base de datos. La cantidad de daño que una brecha de seguridad de datos inflige a su empresa depende de una serie de consecuencias o factores:

• Propiedad intelectual comprometida: su propiedad intelectual (secretos comerciales, invenciones, prácticas propietarias) puede ser fundamental para su capacidad de mantener una ventaja competitiva en su mercado. Si esa propiedad intelectual es robada o expuesta, su ventaja competitiva puede ser difícil o imposible de mantener o recuperar.
• Daño a la reputación de la marca: los clientes o socios pueden no estar dispuestos a comprar sus productos o servicios (o hacer negocios con su empresa) si no sienten que pueden confiar en usted para proteger sus datos o los suyos.
• Continuidad del negocio (o su ausencia): algunas empresas no pueden continuar operando hasta que se resuelva una brecha.
• Multas o sanciones por no conformidad: el impacto financiero por no cumplir con las regulaciones globales como la Sarbannes-Oxley Act (SAO) o Payment Card Industry Data Security Standard (PCI DSS), regulaciones de privacidad de datos específicas de la industria como HIPAA, o regulaciones regionales de privacidad de datos, como el Reglamento General de Protección de Datos de Europa (GDPR) puede ser devastador, con multas que, en los peores casos, superan los varios millones de dólares por brecha.
• Costos de reparación de brechas y notificación a los clientes: además del costo de comunicar una brecha al cliente, la organización que sufre la brecha debe pagar por actividades forenses y de investigación, manejo de crisis, triage, reparación de los sistemas afectados, y más.

Amenazas y desafíos comunes

Muchas configuraciones erróneas de software, vulnerabilidades o patrones de descuido o mal uso pueden dar lugar a brechas. Los siguientes son los tipos o las causas más comunes de los ataques de seguridad de bases de datos y sus causas.

Amenazas internas

Las amenazas internas son amenazas de seguridad de una de las tres fuentes con acceso con privilegios a la base de datos:

• Un usuario interno malicioso que tiene la intención de hacer daño
• Un informante negligente que produce errores que hacen que la base de datos sea vulnerable al ataque
• Un infiltrado (un usuario externo) que, de alguna manera, obtiene las credenciales a través de una estrategia de phishing u obtiene acceso a la propia base de datos de credenciales

Las amenazas internas se encuentran entre las causas más comunes de las brechas de seguridad de bases de datos y a menudo son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario con privilegios.

Error humano

Los accidentes, las contraseñas débiles, el uso compartido de contraseñas y otros comportamientos de usuario imprudentes o no informados continúan siendo la causa de casi la mitad (49 %) de todas las brechas de seguridad de datos notificadas. 

Explotación de las vulnerabilidades del software de base de datos

Los hackers se ganan la vida encontrando y atacando vulnerabilidades en todo tipo de software, incluyendo softwares de gestión de bases de datos. Todos los principales proveedores de software de bases de datos comerciales y plataformas de gestión de bases de datos de código abierto emiten parches de seguridad regulares para solucionar estas vulnerabilidades, pero no aplicar estos parches de forma oportuna puede aumentar su exposición.

Ataques por inyección SQL/NoSQL

Se trata de una amenaza específica de base de datos que implica la inserción de series de ataque SQL o no SQL arbitrarias en consultas de base de datos servidas por aplicaciones web o cabeceras HTTP. Las organizaciones que no siguen las prácticas seguras de codificación de aplicaciones web y realizan pruebas de vulnerabilidad habituales están abiertas a estos ataques.

Explotación de desbordamiento de almacenamiento intermedio

El desbordamiento de almacenamiento intermedio se produce cuando un proceso intenta grabar más datos en un bloque de memoria de longitud fija de lo que puede almacenar. Los atacantes pueden utilizar el exceso de datos, almacenado en direcciones de memoria adyacentes, como una base desde la que lanzar ataques.

Ataques de denegación de servicio (DoS/DDoS)

En un ataque de denegación de servicio (DoS), el atacante engaña al servidor de destino, en este caso el servidor de bases de datos, con tantas solicitudes que el servidor ya no puede satisfacer solicitudes legítimas de usuarios reales y, en muchos casos, el servidor se vuelve inestable o se bloquea.

En un ataque de denegación de servicio distribuido (DDoS), el diluvio proviene de varios servidores, lo que hace más difícil detener el ataque. Vea nuestro video "What is a DDoS Attack" (3:51) para obtener más información:

Malware

El malware es un software escrito específicamente para explotar vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier dispositivo de punto final que se conecte a la red de la base de datos.

Ataques a copias de seguridad

Las organizaciones que no protegen los datos de copia de seguridad con los mismos controles estrictos utilizados para proteger la propia base de datos pueden ser vulnerables a los ataques a las copias de seguridad.

Estas amenazas se ven exacerbadas por lo siguiente:

• Volúmenes de datos en crecimiento: la captura, almacenamiento y procesamiento de datos continúa creciendo exponencialmente en casi todas las organizaciones. Las herramientas o prácticas de seguridad de datos deben ser altamente escalables para satisfacer necesidades futuras cercanas y distantes.
• Dispersión de infraestructuras: Los entornos de red son cada vez más complejos, especialmente a medida que las empresas trasladan las cargas de trabajo a arquitecturas multinube o de nube híbrida, de modo que se complica la elección, la implementación y la gestión de soluciones de seguridad.
• Requisitos reglamentarios cada vez más estrictos: el panorama mundial de conformidad normativa sigue creciendo en complejidad, haciendo más difícil la adhesión a todos los mandatos.
• Escasez de conocimientos en ciberseguridad: los expertos prevén que en 2022 se pueda llegar a los 8 millones de puestos de ciberseguridad sin cubrir.

Las mejores prácticas

Debido a que las bases de datos son casi siempre accesibles a la red, cualquier amenaza de seguridad para cualquier componente dentro o parte de la infraestructura de red también es una amenaza para la base de datos, y cualquier ataque que afecte al dispositivo o estación de trabajo de un usuario puede amenazar la base de datos. Por lo tanto, la seguridad de la base de datos debe extenderse más allá de los límites de la base.

Al evaluar la seguridad de la base de datos en su entorno para decidir las prioridades principales de su equipo, considere cada una de las áreas siguientes:

• Seguridad física: si el servidor de bases de datos es local o en un centro de datos en la nube, debe estar ubicado dentro de un entorno seguro y con control de clima. (Si el servidor de bases de datos está en un centro de datos de nube, el proveedor de nube se encargará de ello).
• Controles de acceso administrativo y de red: el número mínimo práctico de usuarios debe tener acceso a la base de datos y sus permisos deben limitarse a los niveles mínimos necesarios para que puedan realizar sus trabajos. Asimismo, el acceso a la red debe limitarse al nivel mínimo de permisos necesarios.
• Seguridad de cuenta/dispositivo de usuario final: siempre tenga en cuenta quién accede a la base de datos y cuándo y cómo se utilizan los datos. Las soluciones de supervisión de datos pueden alertarle si las actividades de datos son inusuales o parecen arriesgadas. Todos los dispositivos de usuario que se conectan a la red que aloja la base de datos deben ser físicamente seguros (sólo en manos del usuario correcto) y sujetos a controles de seguridad en todo momento.
• Cifrado: TODOS los datos, incluidos los datos de la base de datos y los datos de credenciales, deben protegerse con el mejor cifrado mientras estén en reposo y en tránsito. Todas las claves de cifrado deben manejarse de acuerdo con las directrices de mejores prácticas.
• Seguridad de software de base de datos: utilice siempre la última versión del software de gestión de bases de datos y aplique todos los parches en cuanto se emitan.
• Seguridad del servidor de aplicaciones/web: cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal para el ataque y debe estar sujeto a las pruebas de seguridad en curso y a la gestión de mejores prácticas.
• Seguridad de copia: todas las copias de seguridad, copias o imágenes de la base de datos deben estar sujetas a los mismos controles de seguridad (o igualmente estrictos) que la propia base de datos.
• Auditoría: registre todos los inicios de sesión en el servidor de bases de datos y el sistema operativo y registre todas las operaciones realizadas en datos confidenciales. Las auditorías estándar de seguridad de base de datos deben realizarse regularmente.

Controles y políticas

Además de implementar controles de seguridad en capas en todo el entorno de red, la seguridad de la base de datos requiere que establezca los controles y políticas correctos para el acceso a la propia base de datos. Estos incluyen:

• Controles administrativos para gestionar la instalación, el cambio y la gestión de configuración para la base de datos.
• Controles preventivos para gestionar el acceso, el cifrado, la tokenización y el enmascaramiento.
• Controles de detectives para supervisar las herramientas de supervisión de actividad de base de datos y prevención de pérdida. Estas soluciones permiten identificar y alertar sobre actividades anómalas o sospechosas.

Las políticas de seguridad de la base de datos deben integrarse y dar soporte a sus objetivos generales de negocio, como la protección de la propiedad intelectual crítica y sus políticas de ciberseguridad y políticas de seguridad de nube. Asegúrese de que ha designado la responsabilidad de mantener y auditar los controles de seguridad dentro de su organización y de que sus políticas complementan las de su proveedor de nube en acuerdos de responsabilidad compartida. Los controles de seguridad, los programas de capacitación y educación para la conciencia de seguridad, y las estrategias de evaluación de la penetración y evaluación de la vulnerabilidad deben ser establecidos en apoyo de sus políticas de seguridad formales.

Herramientas y plataformas de protección de datos

Hoy en día, una amplia variedad de proveedores ofrece herramientas y plataformas de protección de datos. Una solución a gran escala debe incluir todas las funciones siguientes:

• Descubrimiento: busque una herramienta que pueda explorar y clasificar las vulnerabilidades en todas las bases de datos, ya sea que estén alojadas en la nube o en las instalaciones y ofrezca recomendaciones para remediar cualquier vulnerabilidad identificada. Las capacidades de descubrimiento a menudo son necesarias para cumplir los mandatos de conformidad normativa.
• Supervisión de la actividad de los datos: la solución debe poder supervisar y auditar todas las actividades de datos en todas las bases de datos, independientemente de si la implementación es local, en la nube o en un contenedor. Debe alertarle de actividades sospechosas en tiempo real para que pueda responder a las amenazas más rápidamente. También debe buscar una solución que pueda aplicar reglas, políticas y separación de funciones y que ofrezca visibilidad sobre el estado de sus datos a través de una interfaz de usuario completa y unificada. Asegúrese de que cualquier solución que elija puede generar los informes que necesitará para cumplir los requisitos de conformidad.
• Funciones de cifrado y tokenización: en caso de una brecha, el cifrado ofrece una línea final de defensa contra el riesgo. Cualquier herramienta que elija debe incluir funciones de cifrado flexibles que puedan proteger los datos en entornos locales, de nube, de nube híbrida, o multinube. Busque una herramienta con funciones de cifrado de archivos, volúmenes y aplicaciones que se ajusten a los requisitos de conformidad de su industria, lo que puede exigir la tokenización (enmascaramiento de datos) o las funciones avanzadas de gestión de claves de seguridad.
• Optimización de seguridad de datos y análisis de riesgos: una herramienta que puede generar conocimientos contextuales combinando la información de seguridad de datos con analítica avanzada le permitirá realizar la optimización, el análisis de riesgos y la creación de informes con facilidad. Elija una solución que pueda retener y sintetizar grandes cantidades de datos históricos y recientes sobre el estado y la seguridad de sus bases de datos, y busque una que ofrezca funciones de exploración, auditoría e informes de datos a través de un panel de instrumentos de autoservicio completo pero fácil de usar.

Seguridad de base de datos e IBM Cloud

Las bases de datos de nube gestionadas por IBM cuentan con capacidades de seguridad nativas alimentadas por IBM Cloud Security, incluyendo funciones incorporadas de gestión de accesos e identidad, visibilidad, inteligencia y protección de datos. Con una base de datos en nube gestionada por IBM, puede descansar tranquilo sabiendo que su base de datos está alojada en un entorno inherentemente seguro, y su carga administrativa será mucho menor.

IBM también ofrece la plataforma IBM Security Guardium de protección de datos más inteligente, que incorpora funciones de descubrimiento de datos, supervisión, cifrado y tokenización, y de optimización de seguridad y análisis de riesgos, para todas las bases de datos, almacenes de datos, archivos compartidos y plataformas de big data, tanto si están alojadas en local como si lo están en la nube o en entornos híbridos.

Además, IBM ofrece Data Security Services for Cloud, que incluye el descubrimiento y la clasificación de datos, la supervisión de la actividad de datos y el cifrado y las funciones de gestión de claves para proteger sus datos frente a amenazas internas y externas mediante un enfoque de mitigación de riesgos racionalizado.

Para empezar, regístrese para obtener una cuenta de IBM Cloud hoy mismo.