Enseñarle cuatro pasos sobre cómo mejorar la política de seguridad de la base de datos de su empresa.
1. Establecer una base sólida que integre autenticación, autorización, control de acceso, descubrimiento, clasificación y gestión de parches.
Saber qué bases de datos contienen datos sensibles es un requisito básico de la política de seguridad de las bases de datos. Las empresas deben emplear una gestión integral del inventario de todas las bases de datos, incluidas las bases de datos de producción y no producción, y clasificarlas siguiendo la misma política de seguridad. Todas las bases de datos, especialmente aquellas con datos privados, deben tener fuertes controles de autenticación, autorización y acceso, incluso si la capa de aplicación ya ha completado la autenticación y autorización. La falta de estas bases sólidas debilitará otras medidas de seguridad como la auditoría, el seguimiento y el cifrado.
Además, si todas las bases de datos críticas no pueden parchearse trimestralmente, hágalo al menos cada seis meses para eliminar las vulnerabilidades conocidas. Utilice parches continuos o recopile información de proveedores de sistemas de administración de bases de datos (DBMS) y otros proveedores para minimizar el tiempo de inactividad para aplicar parches. Pruebe siempre los parches de seguridad en un entorno de prueba y ejecute scripts de prueba con regularidad para garantizar que el parche no afecte la funcionalidad o el rendimiento de la aplicación.
2. Utilice medidas preventivas con capacidades de enmascaramiento de datos, cifrado y gestión de cambios.
Después de establecer una sólida estrategia básica de seguridad de bases de datos, debemos tomar medidas preventivas para proteger bases de datos importantes. Esto proporciona una capa de protección para bases de datos tanto de producción como de no producción. La privacidad de los datos no se limita a los sistemas de producción, también debe extenderse a entornos que no son de producción, incluidas las pruebas, el desarrollo, el control de calidad (QA), la puesta en escena y la capacitación, donde esencialmente pueden residir todos los datos privados. Los expertos en seguridad de bases de datos deben evaluar la eficacia del enmascaramiento de datos y la generación de datos de prueba para proteger los datos privados en entornos de prueba o desarrollo de aplicaciones subcontratadas.
Utilice el cifrado de red para evitar la exposición de los datos a fisgones que escuchan el tráfico de la red o el cifrado de datos en reposo (que se preocupan por los datos almacenados en la base de datos). Estos métodos de cifrado pueden ser independientes entre sí cuando los datos son objeto de diferentes amenazas. Generalmente, la funcionalidad de la aplicación no se verá afectada.
La estructura de las bases de datos críticas debe protegerse según procedimientos estandarizados de gestión de cambios. En el pasado, realizar cambios en los planos u otras bases de datos en un entorno de producción requería cerrar la base de datos, pero las nuevas versiones de los sistemas de administración de bases de datos permiten que estos cambios se realicen en línea, lo que crea nuevos riesgos de seguridad. Un procedimiento estandarizado de gestión de cambios garantiza que solo los administradores puedan realizar cambios en la base de datos de producción con la aprobación de la gerencia y que se realice un seguimiento de todos los cambios en la base de datos. Las organizaciones también deben actualizar sus planes de respaldo y viabilidad para tener en cuenta los cambios en los datos o metadatos resultantes de estos cambios.
3. Establecer un sistema de detección de intrusiones en la base de datos con funciones de auditoría, seguimiento y evaluación de vulnerabilidades.
Cuando datos importantes cambian inesperadamente o se detectan datos sospechosos, es necesaria una investigación rápida para comprender qué sucedió. Se puede acceder a los datos y metadatos de la base de datos, modificarlos e incluso eliminarlos, todo en cuestión de segundos. A través de la auditoría de la base de datos, podemos descubrir quién cambió los datos y cuándo se cambiaron. Para respaldar las regulaciones y estándares regulatorios descritos anteriormente, los profesionales de seguridad y gestión de riesgos deben rastrear todos los métodos de acceso y cambios a los datos privados, incluidos números de tarjetas de crédito, números de tarjetas de Seguro Social y nombres y direcciones de bases de datos importantes. Las organizaciones deben responsabilizar a los responsables si se modifica o se accede a datos privados sin autorización. Finalmente, los informes de evaluación de vulnerabilidades se pueden utilizar para identificar vulnerabilidades de seguridad de la base de datos, como contraseñas débiles, acceso de prioridad excesiva, mayor administrador de la base de datos y monitoreo del grupo de seguridad.
4. Tenga en cuenta las políticas de seguridad, los estándares de seguridad, la separación de roles y la disponibilidad.
La estrategia de seguridad de la base de datos no solo implica auditoría y monitoreo, sino que es un proceso de extremo a extremo dedicado a reducir los riesgos, cumplir con los requisitos de las regulaciones de gestión y defenderse contra diversos ataques de fuentes internas y externas. La seguridad de la base de datos debe prestar más atención a llenar los agujeros de seguridad, cooperar con otras estrategias de seguridad y formalizar los métodos de seguridad. Al redactar su política de seguridad, alinee su política de seguridad de la base de datos con su política de seguridad de la información; céntrese en los estándares de seguridad de la industria y enfatice la separación de roles y describa claramente los pasos para la recuperación y el uso de los datos;