¿Qué es la seguridad de la base de datos?

La seguridad de la base de datos debe abordar y proteger lo siguiente:

• Los datos de la base de datos.
  
• El sistema de gestión de bases de datos (DBMS).
  
• Cualquier aplicación asociada.
  
• El servidor de base de datos físico o el servidor de base de datos virtual y el hardware subyacente.
  
• La infraestructura informática o de red que se utiliza para acceder a la base de datos.

La seguridad de las bases de datos es una tarea compleja y desafiante que involucra todos los aspectos de las tecnologías y prácticas de seguridad de la información. Naturalmente, también está en desacuerdo con la usabilidad de la base de datos. Cuanto más accesible y utilizable sea la base de datos, más vulnerable será a las amenazas de seguridad; cuanto más invulnerable es la base de datos a las amenazas, más difícil es acceder a ella y utilizarla. Esta paradoja a veces se denomina regla de Anderson.

Por definición, una filtración de datos es una falla en mantener la confidencialidad de los datos en una base de datos. El daño que una filtración de datos inflige a su empresa depende de varias consecuencias o factores:

• Propiedad intelectual comprometida: su propiedad intelectual (secretos comerciales, invenciones, prácticas sujetas a derechos e propiedad) puede ser crítica para su capacidad de mantener una ventaja competitiva en su mercado. Si esa propiedad intelectual es robada o expuesta, su ventaja competitiva puede ser difícil o imposible de mantener o recuperar.
  
  
• Daño a la reputación de la marca: es posible que los clientes o socios no estén dispuestos a comprar sus productos o servicios (o hacer negocios con su empresa) si no sienten que pueden confiar en usted para proteger sus datos o los de ellos.
  
  
• Continuidad de negocio (o falta de ella): Algunas empresas no pueden continuar operando hasta que se resuelva una filtración.
  
  
• Multas o sanciones por incumplimiento: el impacto financiero por no cumplir con regulaciones globales, como la Ley Sarbannes-Oxley (SAO) o Payment Card Industry Data Security Standard (PCI DSS), las regulaciones de privacidad de datos específicas de la industria, como HIPAA, o las regulaciones regionales de privacidad de datos, como el Reglamento General de Protección de Datos (RGPD) de Europa, pueden ser devastadoras, con multas que en el peor de los casos superan varios millones de dólares por violación.
  
  
• Costos de reparación de las violaciones y notificación a los clientes: además del costo de comunicar una violación al cliente, una organización afectada debe pagar por las actividades forenses y de investigación, gestión de crisis, clasificación, reparación de los sistemas afectados y más.

Muchas configuraciones erróneas de software, vulnerabilidades o patrones de descuido o uso indebido pueden dar lugar a violaciones. Los siguientes son algunos de los tipos o causas más comunes de ataques a la seguridad de bases de datos.

Una amenaza de usuario interno es una amenaza a la seguridad de cualquiera de las tres fuentes con acceso privilegiado a la base de datos:

• Un usuario interno malicioso que tiene la intención de hacer daño.
  
• Un usuario interno negligente que comete errores que hacen que la base de datos sea vulnerable a ataques.
  
• Un infiltrado, un intruso que de alguna manera obtiene credenciales a través de un esquema, como phishing, o al acceder a la propia base de datos de credenciales.

Las amenazas de usuario interno se encuentran entre las causas más comunes de violaciones de seguridad de bases de datos y, a menudo, son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario con privilegios.

Los accidentes, las contraseñas débiles, el uso compartido de contraseñas y otros comportamientos de los usuarios imprudentes o desinformados siguen siendo la causa de casi la mitad (49 %) de todas las filtraciones de datos denunciadas.

Los hackers se ganan la vida encontrando y atacando vulnerabilidades en todo tipo de software, incluido el software de gestión de bases de datos. Todos los principales proveedores comerciales de software de bases de datos y plataformas de gestión de bases de datos de código abierto emiten parches de seguridad periódicos para abordar estas vulnerabilidades, pero no aplicar estos parches a tiempo puede aumentar su exposición.

Una amenaza específica de la base de datos, que implica la inserción de cadenas de ataque SQL o no SQL arbitrarias en consultas de bases de datos que son atendidas por aplicaciones web o encabezados HTTP. Las organizaciones que no siguen prácticas seguras de programación de aplicaciones web y realizan pruebas de vulnerabilidades periódicas están expuestas a estos ataques.

El desbordamiento de búfer ocurre cuando un proceso intenta escribir más datos en un bloque de memoria de longitud fija de los que puede contener. Los atacantes pueden utilizar el exceso de datos, que se almacena en direcciones de memoria adyacentes, como base para iniciar ataques.

El malware es un software escrito específicamente para beneficiarse de las vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier endpoint que se conecte a la red de la base de datos.

Las organizaciones que no protegen los datos de respaldo con los mismos controles estrictos que se utilizan para proteger la base de datos en sí pueden ser vulnerables a los ataques a las copias de seguridad.

Estas amenazas se ven exacerbadas por lo siguiente:

• Volúmenes de datos crecientes: la captura, almacenamiento y procesamiento de datos sigue creciendo exponencialmente en casi todas las organizaciones. Cualquier herramienta o práctica de seguridad de datos debe ser altamente escalable para satisfacer necesidades futuras próximas y lejanas.
  
  
• Expansión de la infraestructura: los entornos de red son cada vez más complejos, especialmente a medida que las empresas trasladan cargas de trabajo a arquitecturas multinube o nube híbrida, lo que hace que la elección, el despliegue y la gestión de las soluciones de seguridad sean cada vez más desafiantes.
  
  
• Requisitos normativos cada vez estrictos: el ámbito mundial del cumplimiento normativo sigue creciendo en complejidad, lo que dificulta el cumplimiento de todos los mandatos.
  

En un ataque de denegación del servicio (DoS), el atacante inunda el servidor de destino, en este caso el servidor de base de datos, con tantas solicitudes que el servidor ya no puede cumplir con las solicitudes legítimas de los usuarios reales y, a menudo, el servidor se vuelve inestable o se bloquea.

En un ataque de denegación distribuida del servicio (DDoS), la avalancha proviene de varios servidores, lo que hace que sea más difícil detener el ataque.

Dado que las bases de datos son accesibles desde la red, cualquier amenaza de seguridad para cualquier componente dentro o parte de la infraestructura de red también es una amenaza para la base de datos, y cualquier ataque que afecte al dispositivo o estación de trabajo de un usuario puede amenazar la base de datos. Por lo tanto, la seguridad de la base de datos debe extenderse mucho más allá de los límites de la base de datos.

Cuando evalúe la seguridad de las bases de datos en su entorno para decidir cuáles son las principales prioridades de su equipo, tenga en cuenta cada una de las siguientes áreas:

• Seguridad física: ya sea que su servidor de base de datos esté en las instalaciones o en un centro de datos en la nube, debe estar ubicado dentro de un entorno seguro y climatizado. Si su servidor de base de datos está en un centro de datos en la nube, su proveedor de la nube se encarga de esto por usted.
  
  
• Controles administrativos y de acceso a la red: el número mínimo práctico de usuarios debe tener acceso a la base de datos, y sus permisos deben restringirse a los niveles mínimos necesarios para que puedan hacer su trabajo. Del mismo modo, el acceso a la red debe limitarse al nivel mínimo de permisos necesarios.
  
  
• Seguridad de la cuenta de usuario y del dispositivo: tenga siempre en cuenta quién accede a la base de datos y cuándo y cómo se utilizan los datos. Las soluciones de monitoreo de datos pueden alertarlo si las actividades de datos son inusuales o parecen riesgosas. Todos los dispositivos de usuario que se conectan a la red que aloja la base de datos deben estar físicamente seguros (solo en manos del usuario adecuado) y sujetos a controles de seguridad en todo momento.
  
  
• Cifrado: todos los datos, incluidos los datos de la base de datos y los datos de credenciales, deben protegerse con el mejor cifrado de su clase mientras están en reposo y en tránsito. Todas las claves de cifrado deben manejarse de acuerdo con las mejores prácticas.
  
  
• Seguridad del software de base de datos: utilice siempre la última versión de su software de gestión de bases de datos y aplique todos los parches cuando se emitan.
  
  
• Seguridad de aplicaciones y servidores web: cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal de ataque y debe estar sujeto a pruebas de seguridad continuas y gestión de mejores prácticas.
  
  
• Seguridad de respaldo: Todos los respaldos, copias o imágenes de la base de datos deben estar sujetos a los mismos (o igualmente estrictos) controles de seguridad que la propia base de datos.
  
  
• Auditoría: registre todos los inicios de sesión en el servidor de base de datos y el sistema operativo, y registre también todas las operaciones que se realizan con datos confidenciales. Las auditorías de los estándares de seguridad de las bases de datos deben realizarse con regularidad.

Además de implementar controles de seguridad por capas en todo su entorno de red, la seguridad de la base de datos requiere que establezca los controles y políticas correctos para el acceso a la propia base de datos. Estos incluyen:

• Controles administrativos para regular la gestión de la instalación, los cambios y la configuración de la base de datos.
  
  
• Controles preventivos para gobernar el acceso, cifrado, tokenización y enmascaramiento.
  
  
• Controles de detección para monitorear la actividad de la base de datos y herramientas de prevención de pérdida de datos. Estas soluciones permiten identificar y alertar sobre actividades anómalas o sospechosas.

Las políticas de seguridad de las bases de datos deben estar integradas y respaldar sus objetivos empresariales generales, como la protección de la propiedad intelectual crítica y las políticas de ciberseguridad y las políticas de seguridad en la nube. Asegúrese de que tiene la responsabilidad designada de mantener y auditar los controles de seguridad dentro de su organización y de que sus políticas complementan las de su proveedor de la nube en los acuerdos de responsabilidad compartida. Los controles de seguridad, los programas de capacitación y educación en concientización, así como las pruebas de penetración y las estrategias de evaluación de vulnerabilidades, deben establecerse en apoyo de sus políticas de seguridad formales.

Hoy en día, una amplia gama de proveedores ofrece herramientas y plataformas de protección de datos. Una solución a gran escala debe incluir todas las siguientes capacidades:

• Descubrimiento: busque una herramienta que pueda buscar y clasificar vulnerabilidades en todas sus bases de datos, ya sea que estén alojadas en la nube o en las instalaciones, y ofrezca recomendaciones para corregir cualquier vulnerabilidad que se identifique. A menudo, se requiere que las capacidades de detección se ajusten a los mandatos de cumplimiento normativo.
  
  
• Monitoreo de la actividad de datos: la solución debe poderse monitorear y auditar todas las actividades de datos en todas las bases de datos, independientemente de si su despliegue es on-premises, en la nube o en un contenedor. Debería alertarlo sobre actividades sospechosas en tiempo real para que pueda responder a las amenazas más rápidamente. También querrá una solución que pueda aplicar reglas, políticas y separación de funciones y que ofrezca visibilidad del estado de sus datos a través de una interfaz de usuario completa y unificada. Asegúrese de que cualquier solución que elija pueda generar los informes que necesita para cumplir con los requisitos.
  
  
• Capacidades de cifrado y tokenización: en caso de una vulneración, el cifrado ofrece una última línea de defensa contra el ataque. Cualquier herramienta que elija debe incluir capacidades de cifrado flexibles que puedan proteger los datos en entornos on-premises, en la nube, híbridos o multinube. Busque una herramienta con capacidades de cifrado de archivos, volúmenes y aplicaciones que se ajusten a los requisitos de cumplimiento de su industria, que podrían exigir tokenización (enmascaramiento de datos) o capacidades avanzadas de gestión de claves.
  
  
• Optimización de la seguridad de datos y análisis de riesgos: una herramienta que puede generar insights contextuales al combinar información de seguridad de datos con analytics avanzados le permitirá lograr optimización, análisis de riesgos y generación de informes con facilidad. Elija una solución que pueda retener y sintetizar grandes cantidades de datos históricos y recientes sobre el estado y la seguridad de sus bases de datos, y busque una que ofrezca capacidades de exploración, auditoría e informes de datos a través de un panel de autoservicio completo, pero fácil de usar.