Cada vez es más frecuente escuchar en las noticias problemas con los datos de alguna de las más grandes empresas. Millones y millones de registros personales, números de tarjetas de crédito y otros datos confidenciales son robados cada mes. Y como decimos las víctimas de estos problemas incluyen muchas veces a grandes empresas por lo que obviamente todo el mundo es vulnerable.
Y el problema no se trata de un problema sin importancia. Hay muchas historias de empresas que se declaran en bancarrota después de una violación de datos.
Así que ahora que ya sabes lo importante que es esto, vamos a ver algunas claves de seguridad esenciales para proteger tus datos.
Cumplimiento de normas
Muchas de las normas de cumplimiento están relacionadas con problemas a los que todas las empresas deben prestar atención. El cumplimiento es una parte de la seguridad informática, pero muchas de estas normas sobre la seguridad en las bases de datos se centran en la monitorización en lugar de en la prevención en tiempo real.
El propósito del cumplimiento en tu organización es cumplir con los estándares que son relevantes para tu empresa, ya sean los estándares PCI o cualquier otro estándar de cumplimiento internacional.
Monitorizando la actividad de la base de datos puedes identificar exactamente qué personas y entidades están accediendo a la base de datos y con qué fines. Para cumplir con la mayoría de organismos de normalización, es necesario tener una visión completa de quién hizo qué y cuándo.
Todas las soluciones de protección de base de datos incluyen herramientas para detectar y alertar sobre cualquier actividad de la base de datos que se desvíe de las políticas estándar o bien para detectar una actividad sospechosa. Debes configurar las alertas para cualquier comportamiento sospechoso de forma que se puedan manejar los problemas en tiempo real, incluso si están bloqueados por algún firewall.
La monitorización también incluye aquello que la gente no hace, por ejemplo si los administradores no cambian la contraseña regularmente o si hay personas que tienen privilegios en la base de datos para no tener que iniciar sesión nunca. La información sobre falta de actividad también puede ser esencial porque te permite revocar privilegios no utilizados que pueden llegar a ser explotados.
Control de acceso
El control de acceso protege fundamentalmente de los ataques internos. Los ataques internos pueden ser intencionados pero también con mucha frecuencia los ataques internos pueden ser el resultado del robo de credenciales.
Hacer una separación de funciones te permite asignar privilegios a los administradores y usuarios de la base de datos de acuerdo a sus necesidades. Por ejemplo, alguien que está a cargo de copias de seguridad de la base datos no necesita nunca ver el contenido real de la base de datos. Alguien que se dedica a realizar pruebas, puede necesitar acceder a la base de datos pero puede que no sea necesario que vea los datos reales. Utilizando una separación de funciones te permite definir cada uno de esos roles y limitar el uso de las necesidades mínimas para cada usuario o tipo de usuario.
En otras palabras la separación de funciones trata sobre el control del comportamiento del usuario y la administración de entidades individuales. Permitiendo a cada usuario realizar solo las actividades que están bajo su jurisdicción, la separación de funciones protege a base de datos tanto para problemas intencionados como inadvertidos.
Todas las bases de datos incluyen herramientas poderosas para implementar separación de funciones, con un amplio gama de controles y privilegios. Además de las herramientas integradas, los firewalls de base de datos pueden detectar automáticamente qué usuarios están en un sistema, permitiendo un alto nivel de control de privilegios en una tabla o incluso en una columna.
Protección de queries
La principal forma de acceder a una base de datos es a través de comandos SQL. Por lo tanto la protección más importante de una base de datos es la protección contra ataques inyección de SQL. La protección de base datos incluye un firewall que tiene un buen conjunto de listas blancas y negras de definiciones de querys incluidas, así como protección contra desbordamiento y la capacidad de personalizar tus propias políticas. La mayoría de firewalls de base de datos tienen capacidades de monitorización que pueden aprender del comportamiento de tu organización de forma que la base sobre la que empezar filtrar va mejorando con el tiempo ya que va reconociendo los usos legítimos e ilegítimos de tu base de datos.
Enmascaramiento de datos o data masking
Las bases de datos a menudo contienen información que no debería ser vista por los administradores, aunque necesiten utilizar los datos de alguna manera. El enmascaramiento de datos oscurece los datos de forma que cuando se extraen de la base de datos se conserva el formato pero los datos reales no son reconocibles.
El enmascaramiento de datos se utiliza mucho para fines de desarrollo y de pruebas. Los desarrolladores y el personal que prueba los cambios en aplicaciones necesitan acceder a la base de datos para crear nuevas funcionalidades y actualizar la funcionalidad existente. Para realizar tareas de desarrollo es esencial que los programadores tengan acceso a la base de datos pero no se les permite ver datos reales. Utilizando enmascaramiento dinámico, los desarrolladores de bases de datos pueden trabajar en los datos y ver el formato de los datos sin ver la información real si utilizas enmascaramiento de datos estático se crea una base de datos duplicada completa y se enmascaran todos los datos para impedir que los desarrolladores y probadores vean los datos reales.
Encriptación
La encriptación de base de datos es una parte esencial de la protección de la base de datos y hay diferentes niveles de encriptación.
En primer lugar toda la base de datos puede ser encriptada utilizando herramientas de cifrado. Esto significa que incluso aunque alguien tenga acceso a la base de datos física o sea capaz de acceder a ella de alguna manera, los datos no van a ser legibles. Es necesario contar con las claves de encriptación para acceder a la base de datos.
Un segundo nivel de encriptación de datos sólo es relevante fuera de la base de datos. Cada pieza de datos que sale de la base de datos en cualquier formato debe protegerse del acceso malicioso. Normalmente este nivel de cifrado se maneja mediante el medio de transporte, encriptando el canal. Es importante estar seguro de que tus datos se encriptan correctamente dondequiera que viajen fuera de la base de datos.