Seguridad de Bases de Datos

Resumen: Nos encontramos en una época donde la seguridad e integridad de las bases de datos es de suma importancia debido a que las vulnerabilidades incrementan con forme la evolución tecnológica sigue avanzando a grandes pasos, vemos que cada día son más las organizaciones e industrias que apoyan sus procesos en bases de datos, esto conlleva a que dichas organizaciones tengan información sensible en sus equipos informáticos y que la misma sea objeto de ataques, por lo cual, los ciber criminales buscan como poder obtener acceso a dicha información. A raíz de esto, las organizaciones buscan incrementar sus niveles de seguridad apoyándose en tecnologías, metodologías, configuraciones y una buena administración de los recursos, asegurando así la Confidencialidad, Integridad y Disponibilidad de la información. Derivado de lo anterior, en esta sección veremos de forma introductoria estos fundamentos en cuanto a la implementación de seguridad para las bases de datos a partir de los pilares de seguridad de la información, mejores prácticas extraídas de diversas metodologías y los requisitos mínimos requeridos, con el propósito de garantizar el aseguramiento de los datos en reposo, en tránsito y en procesamiento.

Palabras Claves: base de datos, seguridad, integridad, protección, diseño.

Abstract: We are at a time when the security and integrity of databases is of utmost importance because vulnerabilities increase as technological evolution continues to advance in strides, we see that more and more organizations and industries support their processes. In databases, this means that these organizations have sensitive information on their computer equipment and that it is the object of attacks, so that as well as cyber criminals looking for ways to obtain such sensitive information, organizations also seek to increase their security levels. relying on technologies, configurations and good administration to ensure the Confidentiality, Integrity and Availability of the information. In this work we will address the security for databases, the minimum measures required, the necessary configurations and as the best practices to ensure data at rest, in transit and in processing.

Desarrollo:

Cuando hablamos de integridad en base de datos nos estamos refiriendo a la completitud, exactitud y la coherencia de un conjunto de datos. Podemos tener una percepción de esta integridad cuando vemos que entre dos instancias o entre dos actualizaciones de un registro de datos, no hay ninguna alteración, lo que significa que los datos están intactos y sin cambios. El concepto de integridad garantiza que todos los datos pueden ser rastreados mediante técnicas de trazabilidad, así como conectarse a/entre otros datos. De esta forma se asegura que todo se puede buscar y recuperar.

La seguridad de la información se encarga de proteger la confidencialidad, disponibilidad e integridad en las bases de datos de todos los activos de conocimiento de la organización. La forma de lograrlo tiene que ver con:

Confidencialidad: se trata del aspecto más importante de la seguridad de base de datos. Este objetivo se alcanza mediante la encriptación, que ha de aplicarse a datos en reposo, pero también a los datos que, por un motivo u otro, se encuentren en tránsito.

Integridad en base de datos: busca garantizar que sólo las personas autorizadas podrán acceder a información privilegiada de la empresa. La integridad de una base de datos se aplica a través de protocolos de autenticación, políticas internas (como las que impulsan la seguridad de las contraseñas) y un sistema de control de acceso de usuario que define los permisos que determinan quién puede acceder a qué datos. Sin embargo, no debe obviarse el tomar medidas que ayuden a conseguir que las cuentas no utilizadas queden bloqueadas o sean eliminadas.

Disponibilidad: hace referencia a la necesidad de que las bases de datos y toda la información que contienen estén listas para su uso. Por una parte, se debe garantizar su funcionalidad y confiabilidad mientras que, por otra, es recomendable planificar los tiempos de inactividad fuera del horario laboral.

Garantizar la integridad en base de datos, así como su disponibilidad y confiabilidad es determinante para obtener un buen funcionamiento y alcanzar de manera ágil y eficiente los objetivos de negocio. Sin embargo, la amenaza no da tregua, hoy, los ataques se multiplican, tanto en frecuencia, como en objetivo. Los ciber delincuente ya no codician sólo los activos de información de las grandes corporaciones multinacionales, sino que tienen en su punto de mira a todo tipo de empresas, independientemente de su tamaño, propósito o industria.

Una de las formas más efectivas de garantizar la integridad en base de datos es implementando algunas de las mejores prácticas de seguridad. Entre ellas se encuentran las siguientes:

Recurrir al enmascaramiento de datos o permitir a los usuarios acceder a cierta información sin poder verla, ayuda a mantener la confidencialidad incluso en entornos de pruebas. Minimizar los extras y limitarse a los servicios, aplicaciones y funcionalidades que realmente son necesarios para asegurar el adecuado funcionamiento de las operaciones del negocio, de esta manera se reduce el riesgo.

Asegurarse de que los administradores de la base de datos entiendan la importancia de garantizar su protección. Mantener actualizadas las bases de datos y eliminar los componentes desconocidos. Recurrir a herramientas como el análisis de código estático, que ayudan a reducir los problemas de inyección de SQL, desbordamiento de búfer y problemas a nivel de configuración.

Hacer copias de seguridad frecuentes, hacer pruebas de funcionamiento a esas copias, almacenarlas y emplear un Sistema de Alimentación Ininterrumpida o SAI que garantice que un corte de energía no causa la pérdida de datos.

La base de datos debe ser protegida contra el fuego, el robo y otras formas de destrucción. Los datos deben ser reconstruibles, ya que siempre pueden ocurrir accidentes. Los datos deben poder ser sometidos a procesos de auditoria, el sistema debe diseñarse a prueba de intromisiones, no deben poder pasar por alto los controles. Ningún sistema puede evitar las intromisiones malintencionadas, pero es posible hacer que resulte muy difícil eludir los controles. El sistema debe tener capacidad para verificar que sus acciones han sido autorizadas. Las acciones de los usuarios deben ser supervisadas, de modo tal que pueda descubrirse cualquier acción indebida o errónea.

La seguridad se logra si se cuenta con un mecanismo que limite a los usuarios a su vista o vistas personales. La norma indica que toda base de datos relacional cuente con dos niveles de seguridad: Relación: Puede permitírsele o impedírsele que el usuario tenga acceso directo a una relación. Vista: Puede permitírsele o impedírsele que el usuario tenga acceso a la información que aparece en una vista.

Audite: Una vez que haya creado una configuración y/o bien haya madurado sus controles, realice auto evaluaciones y de seguimiento a las recomendaciones de auditoría para asegurar que no se desvíe de su objetivo (la seguridad). Automatice el control de las configuraciones de tal forma que se registre cualquier cambio en la misma. Implemente alertas sobre cambios en la configuración. Cada vez que un cambio se realice, este podría afectar a la seguridad de la base de datos.

Monitoree en tiempo real la actividad de las bases de datos, esto es clave para limitar su exposición, aplique o adquiera agentes inteligentes de monitoreo (apóyese en herramientas de ser necesario), detección de intrusiones y uso indebido. Recuerde que el monitoreo de usuarios privilegiados es requisito para la gobernabilidad de los datos y cumplimiento de regulaciones como la Ley SOX y regulaciones de privacidad. Esto también, ayuda a detectar intrusiones, ya que muchos de los ataques más comunes se hacen con privilegios de usuario de alto nivel. El monitoreo dinámico es también un elemento esencial para la evaluación de vulnerabilidades, le permite ir más allá de evaluaciones estáticas o forenses. Un ejemplo clásico lo vemos cuando múltiples usuarios comparten credenciales (a lo que se le conoce como préstamo de usuarios) con privilegios o un número excesivo de inicios de sesión en las bases de datos.

Aplique pistas de auditoría y genere trazabilidad de las actividades que afectan la integridad de los datos, o la visualización los datos sensibles. Recuerde que es un requisito de auditoría, y también es importante para las investigaciones forenses. La mayoría de las organizaciones en la actualidad hacen uso de manuales de auditoría de transacciones o aplicaciones nativas de los sistemas gestores de bases de datos. Sin embargo, estas aplicaciones son a menudo desactivadas, debido a: su complejidad, altos costos operativos, problemas de rendimiento, la falta de segregación de funciones y la necesidad mayor de capacidad de almacenamiento.

Afortunadamente, se han desarrollado soluciones con un mínimo de impacto en el rendimiento y poco costo operativo, basado en tecnologías de agente inteligentes. No todos los datos y no todos los usuarios son creados iguales. Usted debe autenticar a los usuarios, garantizar la rendición de cuentas por usuario, y administrar los privilegios para delimitar el acceso.

Implemente y revise periódicamente los informes sobre los accesos otorgados e ingresos registrados de los usuarios, como parte de un proceso formal de auditoría.

Utilice el cifrado para hacer ilegibles los datos confidenciales, complique el trabajo a los atacantes, esto incluye el cifrado de los datos en tránsito, de modo que, un atacante no pueda escuchar en la capa de red y tener acceso a los datos cuando estos son enviados al cliente de base de datos.

Referencias bibliográficas

ISO/IEC 27001:2005 – Information technology – Security techniques

http://www.iso.org/iso/catalogue_detail?Csnumber=42103

ISO/IEC 17799:2005 – Information technology — Security techniques http://www.iso.org/iso/catalogue_detail

Malware – Ataque a la Base de Datos http://ataquebd.blogspot.mx/