Tips para un CISO |  |
|
Tips para Bases de Datos Seguras
Por Frano Capeta
Director de I-Sec Education Center
I-Sec Information Security Inc. |
1. PROTEGIENDO LOS CONTENIDOS CRÍTICOS DE LA EMPRESA
Las Bases
de Datos contienen la mayor parte de la información vital de las
empresas a lo largo de todo el mundo. Si escogemos cualquier aplicación
vital al azar, encontraremos alguna base de datos sosteniéndola.
Los
negocios están constantemente obligados a tomar decisiones sobre datos
en tiempo real, y la calidad y seguridad de los datos que posee se
convierte así en un factor crítico para su desarrollo.
Un error
en la Base de Datos puede ocasionar desde perdidas de ganancias hasta la
quiebra total de una empresa (Fallas de acceso, Pérdida de información,
intromisiones no autorizadas)
Sin
embargo, muchas empresas están apuntando al lugar incorrecto,
preocupándose más por prevenir en los escritorios que en los mismos
sistemas de bases de datos.
Una
arquitectura típica de Bases de Datos de una empresa contiene sistemas
comunes de protección: La red incluye usuarios y programadores remotos y
locales, servidores de aplicaciones, interfaces de servicio web a través
de Internet e intranet con o sin firewalls. También es típica la
encriptación, e interfaces basadas en textos, interfaces de
transferencia en paquetes, terminales virtuales y aplicaciones que
interactúan con varias bases de datos.
2. ¿QUÉ TAN VULNERABLE ERES?
Los
Sistemas de Bases de Datos son tan vulnerables como cualquier otra
aplicación informática. Bases de Datos como Oracle, MySQL, IBM’s DB2 y
las de Microsoft han mostrado en muchas ocasiones numerosas fallas y
parches. Por otro lado, las intromisiones no autorizadas atacan tanto a
empresas grandes como a chicas: muchas veces con consecuencias trágicas
que no son del todo publicadas.
¿Qué se
puede hacer entonces? Adoptar técnicas de administración de riesgos para
designar apropiadamente tus recursos para la protección de tus bienes de
información.
3. APUNTA AL OBJETIVO CORRECTO
Selecciona
mecanismos de protección teniendo en cuenta consideraciones legales y
regulatorias. Considera determinar requerimientos para tu diseño de
Redes conociendo a profundidad qué sistemas de seguridad posee.
4. INSTITUYE CONTROLES
Aísla los
segmentos de tu Red y prueba la seguridad de las comunicaciones de
diversas maneras y combinaciones.
Para un
desempeño máximo los servidores de Bases de Datos deben comunicarse sin
encripción, que sólo es útil en el caso de que el disco sea robado. Si
estos están colocados y separados apropiadamente, no necesitan
encripción y en cambio sí una protección física.
La
encripción al nivel de aplicaciones es suficiente, pero al nivel de
Bases de Datos es difícil de aplicar y puede producir complejos daños de
diseño. Todas las interfaces deben estar controladas, con audiciones en
tiempo real; asimismo todos los firewalls.
Mecanismos
de protección del SO (Sistema Operativo) proveerán un control de todas
las interacciones con los medios externos.
Las
aplicaciones que usen Bases de Datos deben estar conectadas a
administradores de identidad que puedan asociar roles y reglas con
identidades.
Implementa
estas aplicaciones con controles adecuados (códigos de calidad) probando
todas las aplicaciones, buscando errores de cadenas en el formato,
sobrecargas de entrada, problemas de sintaxis, etc.
Controles
adicionales deben incluir:
-
Sistemas de intervención y registro de todas las actividades
relacionadas con determinadas aplicaciones.
-
Capacidad de restauraciones y replay.
-
Controles de consistencia asociados con datos correlativos entre
Bases de Datos, incluyendo aplicaciones específicas de chequeos
semánticos.
-
Detección de comportamientos asociados con múltiples usos de Bases
de Datos.
-
Controles basados en tiempo, usados para restringir el acceso a las
Bases de Datos.
En el
resto de casos, las Bases de Datos tendrán distintos requerimientos de
seguridad según su entorno.
La
encripción es justificable si existe el riesgo de robo físico de los
medios de almacenamiento (por transporte o manejo de terceros), por lo
que si existe una suficiente seguridad física, la encripción resulta
innecesaria. Por otro lado, sólo debe encriptarse la información que se
considere vital y crítica para la empresa.
5. USO Y LIMITACIONES DE LAS ESTRUCTURAS DE IDENTIDAD
Los
Sistemas de Administración de Identidades deben usarse para asociar
actores con acciones y rastrear determinada información a lo largo de
todo su proceso. Este sistema también es útil para distribuir permisos,
códigos, accesos de control y encriptación, intervenciones, etc.
6. PRUEBAS DE VULNERABILIDAD
Suele ser
complicado aplicarlo a Bases de Datos en línea, de ser posible utilizar
copias.
Si fuese
necesario hacerlo en Base de Datos en línea, hacerlo con mucha
precaución y bajo condiciones normales de funcionamiento (desactivando
los sistemas adicionales de seguridad), aislando determinados sistemas
para probar su resistencia.
7. SEGREGACIÓN E INDEPENDENCIA
Los
mecanismos de auditoría deben ser aplicados a lo largo de toda la
infraestructura de Bases de Datos. Para asegurarse de la segregación de
tareas, se deben colocar las auditorías en paralelo con las operaciones
y no bajo el control del mismo personal o por otros del mismo proceso.
Aplicar mecanismos separados es apropiado para impedir que los auditores
alteren los datos u obtengan accesos no autorizados. Por lo general lo
auditores (interventores) son a su vez auditados por auditores internos
o los encargados de seguridad.
8. CONTROLES MÚLTIPLES PARA UNA DEFENSA PROFUNDA
Muchas
empresas aún desconocen la importancia de los sistemas de seguridad, a
pesar de los riegos y beneficios hasta ahora presentados.
En la
mayoría de sistemas de alta seguridad, la información de menor valor es
colocada en la periferia con un nivel razonable de seguridad; mientras
que la información vital y crítica es protegida en el centro haciendo
uso de todos los métodos aquí expuestos para una protección y defensa
profunda.
Frano Capeta
Director I-SEC Education Center
I-SEC Information Security Inc.
frano.capeta@i-secperu.org
| 
