Bases de datos: ¿inseguras?


Recientemente la Independent Oracle Users Group's (IOUG) (ver referencias) liberó un estudio realizado con 430 de sus miembros sobre la seguridad en los datos, donde se revelan cinco puntos claves que muestran porqué falla la seguridad en las bases de datos. Los cinco puntos son:





1. Las organizaciones no saben aún donde residen sus datos sensibles
2. El monitoreo de la seguridad sigue siendo aún irregular y no sistemático
3. Los usuarios privilegiados se siguen ejecutando sin un adecuado control y seguimiento
4. Los parches en las bases de datos se despliegan y aplican lentamente
5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos

Cuando se advierten estas cinco conclusiones sobre la seguridad de la bases de datos, encontramos que son situaciones que en la mayoría de ellas se encuentran asociadas con ineficientes prácticas de seguridad de la información que exponen la información y a la organización a posibles fallas o vulnerabilidades que pueden ser explotadas tanto por atacantes internos como externos.

El estudio afirma que las organizaciones no saben donde residen sus datos sensibles. Esta es una realidad en muchas empresas a nivel internacional, la cual se manifiesta en una inadecuada o inexistente clasificación de la información. Esto es, que las corporaciones no se toman el tiempo para adelantar el análisis de riesgos propios de los flujos de información en sus negocios, de tal manera que puedan identificar aquella información que por su confidencialidad requiera niveles de protección diferentes a las demás.

Esta situación se agrava aún más cuando las prácticas de seguridad de la información no son constantes, lo que lleva a una aplicación sistemática de comportamientos inapropiados con la información que pueden ser, ingenuos por el desconocimiento del nivel de confidencialidad de la información o definitivamente intencionales, sabiendo que por la ausencia de controles e indefiniciones frente al tratamiento de la información, es posible filtrarla con la complicidad de un limitado seguimiento y control propio de los participantes en los procesos de la compañía.

Lo anterior confirma la segunda conclusión del estudio: el monitoreo sigue siendo irregular e inconstante. La seguridad de la información cuando se traduce en una inestable y débil gestión de reconocimiento de la inseguridad en los procesos de negocio, allana el camino para la materialización de incidentes de seguridad con consecuencias inesperadas, dado que no se conoce el alcance ni impacto de cada uno de los componentes del proceso y su interrelación con las otras áreas de negocio.

Esta situación, exige de las organizaciones modernas, la incorporación de prácticas de control interno, que le permitan afianzar el reconocimiento de los riesgos en el tratamiento de la información para así, hacer de ciclo de vida de la información, una experiencia conocida y apropiada por todos y cada uno de los colaboradores empresariales.

Ya la tercera conclusión, sobre la falta de monitoreo de los usuarios privilegiados es un llamado de atención al sistema de control interno informático de las organizaciones. Mientras los administradores de las bases de datos, así como los administradores de servidores o dispositivos de telecomunicaciones, mantengan su hálito de “intocabilidad” por su clara función crítica en el funcionamiento de los sistemas informáticos de las organizaciones y no se acojan a las prácticas de seguridad y control, que exige básicamente la trazabilidad de sus operaciones, así como la aplicación de guías de aseguramiento de cada uno de sus dispositivos, mantendremos una gestión parcial de seguridad que podrá ver claramente lo que los usuarios desarrollan en las aplicaciones, pero una vista borrosa e inexacta de lo que los usuarios privilegiados aplican o ejecutan sobre los componentes básico de la infraestructura computacional de las empresas.

Hablar de parches y aplicación de los mismos es hablar de una operación de cirugía de alta precisión, pues esto implica conocer muy bien las aplicaciones y la manera como ellas funcionan en los diferente servidores. Cuando de aplicar un parche se trata, se hace necesario establecer una “ventana de tiempo” para que en un ambiente controlado y donde las aplicaciones no estén funcionando, se pueda instalar éstos y ver los comportamientos de la máquina y del software base, así como de las aplicaciones. Estas últimas son las que ante una actualización pueden dejar de funcionar o hacerlo de manera errática, lo cual implica un trabajo conjunto con los líderes funcionales de éstas con el fin de asegurar que la solución sigue funcionando como se tiene previsto.

Aplicar un parche, no es instalar un archivo ejecutable en un servidor y esperar a que se termine su realización; es todo un procedimiento formal en la organización donde participan tanto el área de tecnología de información como el área de negocio, para asegurar que las condiciones y acciones requeridas para que el proceso de actualización se dé y que ante cualquier eventualidad se tienen previstos los mecanismos de “vuelta atrás” y respaldos, que permitan mantener la operación y excepcionar si es necesario, la aplicación del parche en la máquina. Es claro que una situación como la anterior, exige de la organización una revisión de la aplicación afectada, con el fin de evaluar y revisar su código para ver alternativas de afinamiento según se requiera.

Finalmente el estudio nos habla sobre el uso de las técnicas de cifrado, las cuales son ampliamente conocidas y las cuales cuentan con aplicaciones de implementación tanto en bases de datos como en aplicaciones, con el fin de asegurar la confidencialidad en el tratamiento de la información en los diferentes escenarios en los que la información fluye.

El uso de cifrado de la información en las bases de datos o en sobre cualquier información bien sea en servidores de alto desempeño o en dispositivos móviles, lleva consigo un impacto en desempeño propio de la aplicación de los algoritmos utilizados. Mientras la operacionalización de las técnicas de cifrado se apalanquen en el uso intensivo del procesador, siempre habrá un costo base en el tiempo de respuesta, que estará disminuido en la manera como cada implementador del algoritmo lo desarrolle. Así las cosas, en las bases de datos conocidas este es un costo que debe ser considerado en el momento del diseño de la seguridad de la misma, siempre y cuando esta fase, haga parte de la puesta en operación de un sistema manejador de bases de datos.

Las conclusiones del estudio realizado por la Independent Oracle Users Group's (IOUG), demuestran una vez más que la seguridad de la información aún continua siendo una realidad “externa” a la gestión propia de la tecnología de la información en las organizaciones, lo cual genera el escenario ideal para que la maestra inseguridad encuentre nuevas razones para mostrarnos que mantiene su posición vigilante ante nuestra inconstancia y falta de aseguramiento de acciones preventivas que nos permitan anticiparnos a las lecciones propias de la fallas de seguridad.

En consecuencia, debemos reconocer que si queremos, podemos aumentar la predictibilidad de la operación de las tecnologías de información, no sólo desde las buenas prácticas de seguridad inmersas en los procesos de negocio, sino dentro del colectivo cultural y social de los participantes de la empresa, quienes son los que al final del día hacen la diferencia en la gestión de la seguridad de la información.

Referencias:
http://www.darkreading.com/shared/printableArticle.jhtml?articleID=227500653
http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

Fuente:
Por ITInsecurity
http://insecurityit.blogspot.com/



Otras noticias de interés:

iPod también para Linux
Hace meses, Apple revolucionó el mundo de los reproductores portátiles con iPod. El aparato ha gustado a muchos, pero nació para funcionar sólo con Mac. Hace unos meses, lanzaron una herramienta para hacerlo compatible con Windows, y ahora le toc...
Sophos aconseja como proteger la información
Controlar el contenido saliente y entrante de la red, bloquear el acceso a los puertos web y escanear el tráfico, formar a los usuarios, cifrar la información y evitar el uso de dispositivos externos son los principales consejos que recomienda Soph...
Actualizaciones críticas de Firefox y Thunderbird
Mozilla Corporation ha publicado las versiones 1.5.0.5 del navegador Firefox y del cliente de correo Thunderbird, y la versión 1.0.3 de SeaMonkey, las cuáles corrigen importantes problemas de seguridad que podrían ser explotados por atacantes ...
La virtualización será la tecnología estratégica número uno en 2009, según Gartner
Gartner posiciona la virtualización como la tecnología estratégica número uno para el próximo año, no sólo por su “obvia” capacidad para virtualizar servidores sino por su habilidad creciente para virtualizar todo en un data center....
OOXML: Noruega reinventa la democracia
Instituto de Estándares de Noruega, 28 de marzo. Se va a decidir el voto definitivo de Noruega sobre la consideración de OOXML como estándar internacional ISO. Asistentes: 24. Finalmente se procede a votar. Resultado: 19 votos en contra, 5 a favor...
La seguridad en los tiempos del hipervínculo
Hoy día con un simple clic en un hipervínculo podemos disparar un virus, ser víctimas de suplantación de identidad de un banco y, por tanto, sufrir una estafa....
Múltiples navegadores vulnerables a ataques XSS
Una vulnerabilidad del tipo XSS (cross-site scripting), ha sido reportada en múltiples navegadores. La misma puede ser explotada por atacantes remotos para ejecutar scripts (archivos de comandos), de forma arbitraria....
Actualización de Firefox y Thunderbird versión 1.5.0.7
Mozilla Foundation ha publicado la nueva versión 1.5.0.7 de su navegador Firefox y cliente de correo Thunderbird. Entre otras mejoras destaca la corrección de varias vulnerabilidades de seguridad....
Actualización del Servidor XOMBRA.COM
Nuestro servidor en los últimos dias ha estado fuera de servicio, esto debido a una serie de actulizaciones que se estan haciendo con el fin de mejorar el rendimiento del Servidor, y por ende, nuestra calidad. Para poder cumplir con todos nuestros u...
Asturix la distribución GNU/Linux de Asturias
Una de las distros españolas, con alrededor de 2000 usuarios y acompañada de una comunidad de desarrolladores. Asturix viene en 3 versiones para que elijas: ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bases
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • datos
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • inseguras
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra