Inicio > Base de datos, Gestión TI, Seguridad > Cinco razones principales de fallo en la seguridad de base de datos de la Empresa

Cinco razones principales de fallo en la seguridad de base de datos de la Empresa

jueves, 5 de diciembre de 2024 Dejar un comentario Ir a comentarios

Una encuesta el Grupo de Usuarios Independientes de Oracle reveló los errores más comunes en seguridad de base de datos cometidos por las empresas.

Aunque las mejores prácticas de seguridad en base de datos han circulado en los circuitos de conferencias por años y las herramientas de seguridad de bases de datos han madurado actualmente, la típica empresa de hoy es todavía muy vulnerable en sus almacenes de datos más sensibles. De hecho, el grupo de usuarios independientes de ORACLE (IOUG) ha publicado recientemente la encuesta de seguridad de datos, siendo suficiente para abrir los ojos de cualquiera que haya leído los informes de noticias sobre las violaciones de datos embarazosos y preguntarse si tu compañía podría ser la próxima.


Echando un vistazo a los resultados, está claro que la mayoría de las organizaciones de hoy siguen teniendo su seguridad de base de datos por los suelos. La gran mayoría de las organizaciones no controlan sus bases de datos en absoluto, o lo hacen de una manera ad hoc. Aún más preocupante, la mayoría de las empresas ni siquiera saben dónde residen sus datos confidenciales – con muchos administradores admitiendo en la encuesta que no están seguros de todas las bases de datos que contienen información confidencial.

Basado en un estudio del IOUG de 430 de sus miembros, llevada a cabo por Unisphere Research, hemos identificado algunas de las mayores razones porque las estadísticas de violación son tan altas. Hasta que las organizaciones mantengan estas prácticas bajo control, la seguridad de los datos vergonzosamente continuará en las noticias.

1. Organizaciones todavía no sabemos en donde residen los datos sensibles.

Antes de que una empresa pueda proteger sus datos sensibles, tiene que saber dónde están estos. Por desgracia, en entornos del rápido ritmo de TI de hoy en día muchos administradores tienen dificultades para seguir la información sensible a través de numerosas bases de datos.

La pura verdad es que no sé qué bases de datos contienen datos tales como información de identificación personal (PII) y cuáles no. La encuesta encontró que 48 por ciento de los encuestados admitieron que no estaban al tanto de todas las bases de datos de la organización que contienen información sensible.

Parte de la dificultad es la gran cantidad de bases de datos que las organizaciones alojan en estos días. Alrededor del 35 por ciento de las organizaciones alojan entre 11 y 100 bases de datos, casi el 40 por ciento alojan más de 100 bases de datos, y 13 por ciento de las organizaciones alojan más de 1,000 bases de datos.

Para complicar, aún más importante, es el hecho de que tanto de la información sensible se lleva afuera de bases de datos de producción. Alrededor del 37 por ciento de las organizaciones inscritas que utilizan datos reales de producción en bases de datos de no-producción. Entre los que sí, 39 por ciento dijo que estos datos contienen información de identificación personal o que no estaban seguros.

2. El monitoreo de seguridad sigue siendo irregular.

Con tantas bases de datos para realizar un seguimiento, las organizaciones deben ser sistemáticas sobre cómo monitorear la actividad en estos almacenes de datos si quieren realmente ganar visibilidad sobre quién tiene acceso a qué información. Sin embargo, sólo uno de cada cuatro organizaciones cuentan con herramientas automatizadas para monitorear la actividad de base de datos sobre una base regular, una estadística que se ha mantenido prácticamente sin cambios desde IOUG comenzó a encuestar a los administradores de bases de datos en el 2008.

IOUG encontró que mientras el 72 por ciento de las organizaciones utilizan las herramientas nativas de auditoría por lo menos en algunas de sus bases de datos, muy pocos de los administradores echan un vistazo a los datos generados por estas herramientas. Alrededor del 11 por ciento de las organizaciones dijeron que monitorean manualmente las bases de datos sobre una base regular.

Como era de esperar, el 25 por ciento de las organizaciones dijeron que no tienen manera de detectar los cambios no autorizados en la base de datos. Sólo el 30 por ciento de las organizaciones reportaron que sería capaz de detectar cambios en la mayoría de bases de datos. Aproximadamente el 46 por ciento de los encuestados dijo que sería capaz de detectar cambios no autorizados en algunas bases de datos.

Sin embargo, entre los que pueden detectar los cambios, el tiempo de respuesta es lento. Sólo el 12 por ciento dijo que sería capaz de detectar cambios no autorizados dentro de una hora, mientras que alrededor del 33 por ciento reportó que los llevaría hasta un día. Aproximadamente el 16 por ciento dijo que les llevaría un día o más, y casi el 40 por ciento no estaban seguros de cuánto tiempo se tardaría en responder a un cambio no autorizado en la base de datos.

3. Los usuarios con privilegios ejecutan sin control.

Uno de los encuestados IOUG dijo: «Nuestro mayor riesgo es probablemente el de un empleado delincuente que cause estragos. Nos gustaría saber sobre él bastante pronto, pero podría ser demasiado tarde para evitar un daño grave.»

Esta es una opinión común entre muchos de los administradores, aproximadamente el 22 por ciento de los encuestados mencionaron los hackers internos como su mayor riesgo para la seguridad de la base de datos, y el otro 12 por ciento dijo que el abuso de los privilegios era su mayor amenaza.

Sin embargo, a pesar de esta conciencia, las organizaciones están haciendo muy poco para mitigar estos riesgos. Una friolera de tres cuartas partes de las organizaciones no tienen o no están seguros de si tienen un medio para evitar que los usuarios privilegiados alteren o pongan en peligro la información de base de datos. Sólo alrededor del 23 por ciento de las organizaciones tienen una manera de protegerse contra cambios accidentales por parte de usuarios privilegiados. Y dentro de una cuarta parte de las organizaciones, incluso los usuarios regulares pueden pasar por alto las solicitudes para obtener acceso directo a los datos utilizando herramientas ad hoc.

Tal vez lo más desconcertante es el hecho de que muchas empresas tampoco protegen los datos de auditoría del acceso no autorizado y manipulación. Alrededor del 57 por ciento de los encuestados no consolida los datos de base de datos de auditoría en un lugar central seguro, haciendo posible que los usuarios con privilegios puedan cambiar los datos de auditoría para cubrir sus huellas después de un acceso o cambio no autorizado.

4. Los parches de base de datos son desplegados lentamente.

Muchas de las peores violaciones de hoy se producen en manos de los hackers que se aprovechan de las vulnerabilidades de las aplicaciones de bases de datos y de la Web para entrar en los almacenes de datos sensibles. De acuerdo con las investigaciones recientes de brecha en los datos de Verizon en el 2010, el 90 por ciento de las infracciones del año pasado fueron por ataques de inyección SQL.

Mientras que las empresas pueden hacer mucho para abordar los riesgos de estos ataques para mantener sus bases de datos parchadas y configuradas de forma segura, simplemente no aprovechan esta oportunidad para mitigar la amenaza. La encuesta de IOUG encontró que el 63 por ciento de los administradores admiten que por lo menos un ciclo de retraso con sus actualizaciones de parches críticos. Lo más preocupante es que el 17 por ciento de los administradores dicen que no aplican los parches a todos o no están seguros si los parches se aplicaron.

5. Prácticas de cifrado retrasadas.

Incluso con regulaciones tales como HIPAA y PCI DSS en lugar se requiere que las organizaciones cifren o desidentifiquen información de identificación personal (PII) en bases de datos, la encriptación de base de datos de información de identificación personal dentro de la organización típica sigue siendo muy deficiente. Menos de un tercio de los administradores dijeron que cifran información de identificación personal en todas sus bases de datos, mientras que el 38 por ciento dijo que no cifran información de identificación personal o no está seguro de si lo hacen. Los números para el cifrado del tráfico de red hacia y desde la base de datos son casi iguales, con cerca de 23 por ciento de las organizaciones encuestadas que cifran todo el tráfico de base de datos, y el 35 por ciento admite que no cifran este tráfico o no está seguro si este tráfico se cifra.

El verdadero talón de Aquiles del cifrado de base de datos es como son tratados las copias de seguridad de las base de datos y copias de las bases de datos que son enviadas a los socios fuera de las instalaciones. Menos de la mitad de las organizaciones definitivamente pueden decir que no envían la información de las base de datos sin cifrar fuera del sitio. Y sólo el 16 por ciento de las organizaciones dijeron que cifran todas las copias de seguridad y las exportaciones de las base de datos.

Comparte y diviertete:
  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks
  • BarraPunto
  • Bitacoras.com
  • BlinkList
  • Blogosphere
  • Live
  • Meneame
  • MSN Reporter
  • MySpace
  • RSS
  • Suggest to Techmeme via Twitter
  • Technorati
  • LinkedIn
  • email
  • FriendFeed
  • PDF
  • Reddit
  • Wikio IT
  • Add to favorites
  • blogmarks
Top Footer