La seguridad de la base de datos se refiere a la variedad de herramientas, controles y medidas diseñadas para establecer y preservar la confidencialidad, integridad y disponibilidad de la base de datos. Este artículo se centrará principalmente en la confidencialidad, ya que es el elemento que se ve comprometido en la mayoría de las brechas de seguridad de datos.

La seguridad de la base de datos debe abordar y proteger lo siguiente:

• Los datos en la base de datos
• El sistema de gestión de bases de datos (DBMS)
• Cualquier aplicación asociada
• El servidor de base de datos físico y/o el servidor de base de datos virtual y el hardware subyacente
• La infraestructura informática y/o de red utilizada para acceder a la base de datos.

La seguridad de la base de datos es un desafío complejo que involucra todos los aspectos de las tecnologías y prácticas de seguridad de la información. Naturalmente, también está en desacuerdo con la usabilidad de la base de datos. Cuanto más accesible y utilizable sea la base de datos, más vulnerable será a las amenazas a la seguridad. Cuanto más invulnerable es la base de datos a las amenazas, más difícil será acceder a ella y utilizarla. (Esta paradoja a veces se denomina Regla de Anderson. (enlace externo a IBM)

Por definición, una brecha de seguridad de datos es una falla en el mantenimiento de la confidencialidad de los datos en una base de datos. El daño que una brecha de seguridad de datos inflige a su empresa depende de una serie de consecuencias o factores:

• Propiedad intelectual comprometida: su propiedad intelectual (secretos comerciales, invenciones, prácticas de propiedad) puede ser fundamental para su capacidad de mantener una ventaja competitiva en su mercado. Si esa propiedad intelectual es robada o expuesta, su ventaja competitiva puede ser difícil o imposible de mantener o recuperar.
• Daño a la reputación de la marca: es posible que los clientes o socios no estén dispuestos a comprar sus productos o servicios (o hacer negocios con su empresa) si no sienten que pueden confiar en usted para proteger sus datos o los de ellos.
• Continuidad del negocio (o falta de ella): algunas empresas no pueden seguir funcionando hasta que se resuelva una brecha.
• Multas o sanciones por incumplimiento: el impacto financiero por no cumplir con las regulaciones globales como la Ley Sarbannes-Oxley (SAO) o el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), las regulaciones de privacidad de datos específicas de la industria como HIPAA, o las regulaciones regionales de privacidad de datos, como el Reglamento general de protección de datos (GDPR) de Europa puede ser devastador, con multas en el peor de los casos superiores a varios millones de dólares por brecha.
• Costos de reparar brechas y notificar a los clientes: además del costo de comunicar una brecha al cliente, una organización que sufre una brecha debe pagar las actividades forenses y de investigación, la gestión de crisis, la clasificación, la reparación de los sistemas afectados y más.

Muchas configuraciones incorrectas, vulnerabilidades o patrones de descuido o uso indebido del software pueden provocar brechas. Los siguientes se encuentran entre los tipos o causas más comunes de ataques a la seguridad de bases de datos y sus causas.

Amenazas internas

Una amenaza interna es una amenaza a la seguridad de cualquiera de las tres fuentes con acceso privilegiado a la base de datos:

• Un infiltrado malintencionado que tiene la intención de hacer daño.
• Un infiltrado negligente que comete errores que hacen que la base de datos sea vulnerable a ataques.
• Un infiltrado: un extraño que de alguna manera obtiene las credenciales a través de un esquema como el phishing o al obtener acceso a la base de datos de credenciales.

Las amenazas internas se encuentran entre las causas más comunes de brechas de la seguridad de las bases de datos y, a menudo, son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario privilegiado.

Error humano

Accidentes, contraseñas débiles, uso compartido de contraseñas y otros comportamientos imprudentes o desinformados de los usuarios continúan siendo la causa de casi la mitad (49%) de todas las brechas de seguridad de datos notificadas.

Explotación de vulnerabilidades de software de bases de datos

Los hackers se ganan la vida encontrando y apuntando vulnerabilidades en todo tipo de software, incluido el software de gestión de bases de datos. Todos los principales proveedores de software de bases de datos comerciales y plataformas de gestión de bases de datos de código abierto emiten parches de seguridad regulares para abordar estas vulnerabilidades, pero no aplicar estos parches de manera oportuna puede aumentar su exposición.

Ataques de inyección SQL/NoSQL

Una amenaza específica de la base de datos, que implica la inserción de cadenas de ataque arbitrarias SQL o NoSQL en las consultas de la base de datos atendidas por aplicaciones web o encabezados HTTP. Las organizaciones que no siguen las prácticas de codificación de aplicaciones web seguras y realizan pruebas de vulnerabilidad con regularidad están abiertas a estos ataques.

Explotaciones de desbordamiento de búfer

El desbordamiento del búfer se produce cuando un proceso intenta escribir más datos en un bloque de memoria de longitud fija de los que puede contener. Los atacantes pueden utilizar el exceso de datos, almacenados en direcciones de memoria adyacentes, como base desde la cual lanzar ataques.

Malware

El malware es software escrito específicamente para explotar vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier dispositivo terminal que se conecte a la red de la base de datos.

Ataques a las copias de seguridad

Las organizaciones que no protegen los datos de copia de seguridad con los mismos controles estrictos que se utilizan para proteger la base de datos en sí pueden ser vulnerables a los ataques a las copias de seguridad.

Estas amenazas se ven agravadas por lo siguiente:

• Crecientes volúmenes de datos: la captura, el almacenamiento y el procesamiento de datos continúa creciendo de manera exponencial en casi todas las organizaciones. Todas las herramientas o prácticas de seguridad de datos deben ser altamente escalables para satisfacer las necesidades futuras cercanas y lejanas.
• Expansión de la infraestructura: los entornos de red se están volviendo cada vez más complejos, especialmente a medida que las empresas trasladan las cargas de trabajo a arquitecturas de nube híbrida o multinube, lo que hace que la elección, la implementación y la gestión de las soluciones de seguridad sean cada vez más desafiantes.
• Requisitos regulatorios cada vez más estrictos: el panorama mundial de conformidad normativa sigue creciendo en complejidad, lo que dificulta el cumplimiento de todos los mandatos.
• Escasez de habilidades en ciberseguridad: los expertos predicen que puede haber hasta 8 millones de puestos de ciberseguridad sin cubrir para 2022.

Ataques de denegación de servicio (DoS/DDoS)

En un ataque de denegación de servicio (DoS), el atacante inunda el servidor de destino, en este caso el servidor de la base de datos, con tantas solicitudes que el servidor ya no puede satisfacer las solicitudes legítimas de los usuarios reales y, en muchos casos, el servidor se convierte en inestable o se bloquea.

En un ataque distribuido de denegación de servicio (DDoS), el diluvio proviene de varios servidores, lo que dificulta la detención del ataque. Vea nuestro video "¿Qué es un ataque DDoS?" (3:51) para obtener más información:

Debido a que las bases de datos son casi siempre accesibles desde la red, cualquier amenaza a la seguridad de cualquier componente dentro o parte de la infraestructura de la red también es una amenaza para la base de datos, y cualquier ataque que afecte el dispositivo o la estación de trabajo de un usuario puede amenazar la base de datos. Por lo tanto, la seguridad de la base de datos debe extenderse mucho más allá de los límites de la base de datos por sí sola.

Al evaluar la seguridad de la base de datos en su entorno para decidir las principales prioridades de su equipo, considere cada una de las siguientes áreas:

• Seguridad física: ya sea que su servidor de base de datos esté en las instalaciones o en un centro de datos en la nube, debe estar ubicado dentro de un entorno seguro y con control del clima. (Si su servidor de base de datos está en un centro de datos en la nube, su proveedor de nube se encargará de esto por usted).
• Controles administrativos y de acceso a la red: el número mínimo y práctico de usuarios debería tener acceso a la base de datos, y sus permisos deberían estar restringidos a los niveles mínimos necesarios para que puedan realizar su trabajo. Asimismo, el acceso a la red debe limitarse al nivel mínimo de permisos necesarios.
• Seguridad de la cuenta/dispositivo del usuario final: siempre tenga en cuenta quién accede a la base de datos y cuándo y cómo se utilizan los datos. Las soluciones de supervisión de datos pueden alertarle si las actividades de datos son inusuales o parecen riesgosas. Todos los dispositivos de usuario que se conectan a la red que hospeda la base de datos deben ser físicamente seguros (únicamente en manos del usuario adecuado) y sujetos a controles de seguridad en todo momento.
• Cifrado: TODOS los datos, incluidos los datos de la base de datos y los datos de credenciales, deben protegerse con el mejor cifrado mientras están en reposo y en tránsito. Todas las claves de cifrado deben manejarse de acuerdo con las directrices de mejores prácticas.
• Seguridad del software de base de datos: siempre utilice la última versión de su software de gestión de bases de datos y aplique todos los parches tan pronto como se publiquen.
• Seguridad de la aplicación/servidor web: cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal de ataque y debe estar sujeto a pruebas de seguridad continuas y gestión de mejores prácticas.
• Seguridad de copia de seguridad: todas las copias de seguridad, copias o imágenes de la base de datos deben estar sujetas a los mismos controles de seguridad (o igualmente estrictos) que la propia base de datos.
• Revisión de cuentas: registre todos los inicios de sesión en el servidor de la base de datos y el sistema operativo, y registre también todas las operaciones realizadas con datos confidenciales. Las auditorías estándar de seguridad de la base de datos deben realizarse con regularidad.

Además de implementar controles de seguridad en capas en todo su entorno de red, la seguridad de la base de datos requiere que establezca los controles y políticas correctos para acceder a la base de datos en sí. Estas incluyen:

• Controles administrativos para gestionar la instalación, los cambios y la gestión de la configuración de la base de datos.
• Controles preventivos para regular el acceso, el cifrado, la tokenización y el enmascaramiento.
• Controles de detectives para supervisar la supervisión de la actividad de la base de datos y las herramientas de prevención de pérdida de datos. Estas soluciones permiten identificar y alertar sobre actividades anómalas o sospechosas.

Las políticas de seguridad de la base de datos deben integrarse y respaldar sus objetivos comerciales generales, como la protección de la propiedad intelectual crítica y sus políticas de ciberseguridad y de seguridad en la nube. Asegúrese de tener la responsabilidad designada para mantener y auditar los controles de seguridad dentro de su organización y que sus políticas complementen las de su proveedor de nube en acuerdos de responsabilidad compartida. Los controles de seguridad, los programas de capacitación y educación de conciencia de seguridad, y las pruebas de penetración y las estrategias de evaluación de vulnerabilidades deben establecerse en apoyo de sus políticas de seguridad formales.

Hoy en día, una amplia variedad de proveedores ofrecen plataformas y herramientas de protección de datos. Una solución a gran escala debe incluir todas las siguientes funcionalidades:

• Descubrimiento: busque una herramienta que pueda escanear y clasificar vulnerabilidades en todas sus bases de datos, ya sea que estén alojadas en la nube o en las instalaciones, y ofrecer recomendaciones para remediar las vulnerabilidades identificadas. Las funcionalidades de descubrimiento a menudo se requieren para cumplir con los mandatos de conformidad normativa.
• Supervisión de la actividad de datos: la solución debe poder supervisar y auditar todas las actividades de datos en todas las bases de datos, independientemente de si su implementación es local, en la nube o en un contenedor. Debería alertarle sobre actividades sospechosas en tiempo real para que pueda responder a las amenazas más rápidamente. También querrá una solución que pueda hacer cumplir las reglas, políticas y separación de funciones y que ofrezca visibilidad del estado de sus datos por medio de una interfaz de usuario completa y unificada. Asegúrese de que cualquier solución que elija pueda generar los informes que necesitará para cumplir con los requisitos de conformidad.
• Funcionalidades de cifrado y tokenización: en caso de una brecha, el cifrado ofrece una última línea de defensa contra el riesgo. Cualquier herramienta que elija debe incluir funcionalidades de cifrado flexibles que puedan proteger los datos en entornos locales, en la nube, híbridos o multinube. Busque una herramienta con funcionalidades de cifrado de archivos, volúmenes y aplicaciones que se ajusten a los requisitos de conformidad de su industria, que pueden exigir tokenización (enmascaramiento de datos) o funcionalidades avanzadas de gestión de claves de seguridad.
• Optimización de la seguridad de los datos y análisis de riesgos: una herramienta que puede generar información contextual mediante la combinación de información de seguridad de datos con analítica avanzada le permitirá lograr la optimización, el análisis de riesgos y la generación de informes con facilidad. Elija una solución que pueda retener y sintetizar grandes cantidades de datos históricos y recientes sobre el estado y la seguridad de sus bases de datos, y busque una que ofrezca funcionalidades de exploración, auditoría e informes de datos mediante un panel de autoservicio completo pero fácil de usar.

Las bases de datos en la nube gestionadas por IBM cuentan con funcionalidades de seguridad nativas impulsadas por IBM Cloud Security, que incluyen funcionalidades integradas de gestión de accesos e identidades, visibilidad, inteligencia y protección de datos. Con una base de datos en la nube gestionada por IBM, puede estar tranquilo al saber que su base de datos está alojada en un entorno intrínsecamente seguro y su carga administrativa será mucho menor.

IBM también ofrece la plataforma de protección de datos más inteligente IBM Security Guardium, que incorpora descubrimiento de datos, supervisión, cifrado y tokenización, y funcionalidades de optimización de seguridad y análisis de riesgos para todas sus bases de datos, almacenes de datos, recursos compartidos de archivos y plataformas de big data, ya sea que estén alojadas en las instalaciones, en el en la nube o en entornos híbridos.

Además, IBM ofrece servicios gestionados de seguridad de datos en la nube, que incluyen descubrimiento y clasificación de datos, supervisión de actividad de datos y funcionalidades de gestión de claves y cifrado para proteger sus datos contra amenazas internas y externas mediante un enfoque de mitigación de riesgos optimizado.

Puede empezar  registrándose  hoy mismo para obtener una cuenta de IBM Cloud.