La seguridad de la base de datos se refiere a la variedad de herramientas, controles y medidas diseñadas para establecer y preservar la confidencialidad, integridad y disponibilidad de la base de datos. Este artículo se centrará principalmente en la confidencialidad, ya que es el elemento que se ve comprometido en la mayoría de las brechas de seguridad de datos.
La seguridad de la base de datos debe abordar y proteger lo siguiente:
La seguridad de la base de datos es un desafío complejo que involucra todos los aspectos de las tecnologías y prácticas de seguridad de la información. Naturalmente, también está en desacuerdo con la usabilidad de la base de datos. Cuanto más accesible y utilizable sea la base de datos, más vulnerable será a las amenazas a la seguridad. Cuanto más invulnerable es la base de datos a las amenazas, más difícil será acceder a ella y utilizarla. (Esta paradoja a veces se denomina Regla de Anderson. (enlace externo a IBM)
Por definición, una brecha de seguridad de datos es una falla en el mantenimiento de la confidencialidad de los datos en una base de datos. El daño que una brecha de seguridad de datos inflige a su empresa depende de una serie de consecuencias o factores:
Muchas configuraciones incorrectas, vulnerabilidades o patrones de descuido o uso indebido del software pueden provocar brechas. Los siguientes se encuentran entre los tipos o causas más comunes de ataques a la seguridad de bases de datos y sus causas.
Una amenaza interna es una amenaza a la seguridad de cualquiera de las tres fuentes con acceso privilegiado a la base de datos:
Las amenazas internas se encuentran entre las causas más comunes de brechas de la seguridad de las bases de datos y, a menudo, son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario privilegiado.
Accidentes, contraseñas débiles, uso compartido de contraseñas y otros comportamientos imprudentes o desinformados de los usuarios continúan siendo la causa de casi la mitad (49%) de todas las brechas de seguridad de datos notificadas.
Los hackers se ganan la vida encontrando y apuntando vulnerabilidades en todo tipo de software, incluido el software de gestión de bases de datos. Todos los principales proveedores de software de bases de datos comerciales y plataformas de gestión de bases de datos de código abierto emiten parches de seguridad regulares para abordar estas vulnerabilidades, pero no aplicar estos parches de manera oportuna puede aumentar su exposición.
Una amenaza específica de la base de datos, que implica la inserción de cadenas de ataque arbitrarias SQL o NoSQL en las consultas de la base de datos atendidas por aplicaciones web o encabezados HTTP. Las organizaciones que no siguen las prácticas de codificación de aplicaciones web seguras y realizan pruebas de vulnerabilidad con regularidad están abiertas a estos ataques.
El desbordamiento del búfer se produce cuando un proceso intenta escribir más datos en un bloque de memoria de longitud fija de los que puede contener. Los atacantes pueden utilizar el exceso de datos, almacenados en direcciones de memoria adyacentes, como base desde la cual lanzar ataques.
El malware es software escrito específicamente para explotar vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier dispositivo terminal que se conecte a la red de la base de datos.
Las organizaciones que no protegen los datos de copia de seguridad con los mismos controles estrictos que se utilizan para proteger la base de datos en sí pueden ser vulnerables a los ataques a las copias de seguridad.
Estas amenazas se ven agravadas por lo siguiente:
En un ataque de denegación de servicio (DoS), el atacante inunda el servidor de destino, en este caso el servidor de la base de datos, con tantas solicitudes que el servidor ya no puede satisfacer las solicitudes legítimas de los usuarios reales y, en muchos casos, el servidor se convierte en inestable o se bloquea.
En un ataque distribuido de denegación de servicio (DDoS), el diluvio proviene de varios servidores, lo que dificulta la detención del ataque. Vea nuestro video "¿Qué es un ataque DDoS?" (3:51) para obtener más información:
Debido a que las bases de datos son casi siempre accesibles desde la red, cualquier amenaza a la seguridad de cualquier componente dentro o parte de la infraestructura de la red también es una amenaza para la base de datos, y cualquier ataque que afecte el dispositivo o la estación de trabajo de un usuario puede amenazar la base de datos. Por lo tanto, la seguridad de la base de datos debe extenderse mucho más allá de los límites de la base de datos por sí sola.
Al evaluar la seguridad de la base de datos en su entorno para decidir las principales prioridades de su equipo, considere cada una de las siguientes áreas:
Además de implementar controles de seguridad en capas en todo su entorno de red, la seguridad de la base de datos requiere que establezca los controles y políticas correctos para acceder a la base de datos en sí. Estas incluyen:
Las políticas de seguridad de la base de datos deben integrarse y respaldar sus objetivos comerciales generales, como la protección de la propiedad intelectual crítica y sus políticas de ciberseguridad y de seguridad en la nube. Asegúrese de tener la responsabilidad designada para mantener y auditar los controles de seguridad dentro de su organización y que sus políticas complementen las de su proveedor de nube en acuerdos de responsabilidad compartida. Los controles de seguridad, los programas de capacitación y educación de conciencia de seguridad, y las pruebas de penetración y las estrategias de evaluación de vulnerabilidades deben establecerse en apoyo de sus políticas de seguridad formales.
Hoy en día, una amplia variedad de proveedores ofrecen plataformas y herramientas de protección de datos. Una solución a gran escala debe incluir todas las siguientes funcionalidades:
Las bases de datos en la nube gestionadas por IBM cuentan con funcionalidades de seguridad nativas impulsadas por IBM Cloud Security, que incluyen funcionalidades integradas de gestión de accesos e identidades, visibilidad, inteligencia y protección de datos. Con una base de datos en la nube gestionada por IBM, puede estar tranquilo al saber que su base de datos está alojada en un entorno intrínsecamente seguro y su carga administrativa será mucho menor.
IBM también ofrece la plataforma de protección de datos más inteligente IBM Security Guardium, que incorpora descubrimiento de datos, supervisión, cifrado y tokenización, y funcionalidades de optimización de seguridad y análisis de riesgos para todas sus bases de datos, almacenes de datos, recursos compartidos de archivos y plataformas de big data, ya sea que estén alojadas en las instalaciones, en el en la nube o en entornos híbridos.
Además, IBM ofrece servicios gestionados de seguridad de datos en la nube, que incluyen descubrimiento y clasificación de datos, supervisión de actividad de datos y funcionalidades de gestión de claves y cifrado para proteger sus datos contra amenazas internas y externas mediante un enfoque de mitigación de riesgos optimizado.
Puede empezar registrándose hoy mismo para obtener una cuenta de IBM Cloud.
Supervise, detecte y aplique políticas de conformidad y protección de datos en entornos de nube híbrida.
Protección continua en la nube de borde a borde para sus datos y aplicaciones con conformidad normativa.
Descubra más acerca de la organización de datos en la nube.