Bases de datos: ¿inseguras?


Recientemente la Independent Oracle Users Group's (IOUG) (ver referencias) liberó un estudio realizado con 430 de sus miembros sobre la seguridad en los datos, donde se revelan cinco puntos claves que muestran porqué falla la seguridad en las bases de datos. Los cinco puntos son:





1. Las organizaciones no saben aún donde residen sus datos sensibles
2. El monitoreo de la seguridad sigue siendo aún irregular y no sistemático
3. Los usuarios privilegiados se siguen ejecutando sin un adecuado control y seguimiento
4. Los parches en las bases de datos se despliegan y aplican lentamente
5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos

Cuando se advierten estas cinco conclusiones sobre la seguridad de la bases de datos, encontramos que son situaciones que en la mayoría de ellas se encuentran asociadas con ineficientes prácticas de seguridad de la información que exponen la información y a la organización a posibles fallas o vulnerabilidades que pueden ser explotadas tanto por atacantes internos como externos.

El estudio afirma que las organizaciones no saben donde residen sus datos sensibles. Esta es una realidad en muchas empresas a nivel internacional, la cual se manifiesta en una inadecuada o inexistente clasificación de la información. Esto es, que las corporaciones no se toman el tiempo para adelantar el análisis de riesgos propios de los flujos de información en sus negocios, de tal manera que puedan identificar aquella información que por su confidencialidad requiera niveles de protección diferentes a las demás.

Esta situación se agrava aún más cuando las prácticas de seguridad de la información no son constantes, lo que lleva a una aplicación sistemática de comportamientos inapropiados con la información que pueden ser, ingenuos por el desconocimiento del nivel de confidencialidad de la información o definitivamente intencionales, sabiendo que por la ausencia de controles e indefiniciones frente al tratamiento de la información, es posible filtrarla con la complicidad de un limitado seguimiento y control propio de los participantes en los procesos de la compañía.

Lo anterior confirma la segunda conclusión del estudio: el monitoreo sigue siendo irregular e inconstante. La seguridad de la información cuando se traduce en una inestable y débil gestión de reconocimiento de la inseguridad en los procesos de negocio, allana el camino para la materialización de incidentes de seguridad con consecuencias inesperadas, dado que no se conoce el alcance ni impacto de cada uno de los componentes del proceso y su interrelación con las otras áreas de negocio.

Esta situación, exige de las organizaciones modernas, la incorporación de prácticas de control interno, que le permitan afianzar el reconocimiento de los riesgos en el tratamiento de la información para así, hacer de ciclo de vida de la información, una experiencia conocida y apropiada por todos y cada uno de los colaboradores empresariales.

Ya la tercera conclusión, sobre la falta de monitoreo de los usuarios privilegiados es un llamado de atención al sistema de control interno informático de las organizaciones. Mientras los administradores de las bases de datos, así como los administradores de servidores o dispositivos de telecomunicaciones, mantengan su hálito de “intocabilidad” por su clara función crítica en el funcionamiento de los sistemas informáticos de las organizaciones y no se acojan a las prácticas de seguridad y control, que exige básicamente la trazabilidad de sus operaciones, así como la aplicación de guías de aseguramiento de cada uno de sus dispositivos, mantendremos una gestión parcial de seguridad que podrá ver claramente lo que los usuarios desarrollan en las aplicaciones, pero una vista borrosa e inexacta de lo que los usuarios privilegiados aplican o ejecutan sobre los componentes básico de la infraestructura computacional de las empresas.

Hablar de parches y aplicación de los mismos es hablar de una operación de cirugía de alta precisión, pues esto implica conocer muy bien las aplicaciones y la manera como ellas funcionan en los diferente servidores. Cuando de aplicar un parche se trata, se hace necesario establecer una “ventana de tiempo” para que en un ambiente controlado y donde las aplicaciones no estén funcionando, se pueda instalar éstos y ver los comportamientos de la máquina y del software base, así como de las aplicaciones. Estas últimas son las que ante una actualización pueden dejar de funcionar o hacerlo de manera errática, lo cual implica un trabajo conjunto con los líderes funcionales de éstas con el fin de asegurar que la solución sigue funcionando como se tiene previsto.

Aplicar un parche, no es instalar un archivo ejecutable en un servidor y esperar a que se termine su realización; es todo un procedimiento formal en la organización donde participan tanto el área de tecnología de información como el área de negocio, para asegurar que las condiciones y acciones requeridas para que el proceso de actualización se dé y que ante cualquier eventualidad se tienen previstos los mecanismos de “vuelta atrás” y respaldos, que permitan mantener la operación y excepcionar si es necesario, la aplicación del parche en la máquina. Es claro que una situación como la anterior, exige de la organización una revisión de la aplicación afectada, con el fin de evaluar y revisar su código para ver alternativas de afinamiento según se requiera.

Finalmente el estudio nos habla sobre el uso de las técnicas de cifrado, las cuales son ampliamente conocidas y las cuales cuentan con aplicaciones de implementación tanto en bases de datos como en aplicaciones, con el fin de asegurar la confidencialidad en el tratamiento de la información en los diferentes escenarios en los que la información fluye.

El uso de cifrado de la información en las bases de datos o en sobre cualquier información bien sea en servidores de alto desempeño o en dispositivos móviles, lleva consigo un impacto en desempeño propio de la aplicación de los algoritmos utilizados. Mientras la operacionalización de las técnicas de cifrado se apalanquen en el uso intensivo del procesador, siempre habrá un costo base en el tiempo de respuesta, que estará disminuido en la manera como cada implementador del algoritmo lo desarrolle. Así las cosas, en las bases de datos conocidas este es un costo que debe ser considerado en el momento del diseño de la seguridad de la misma, siempre y cuando esta fase, haga parte de la puesta en operación de un sistema manejador de bases de datos.

Las conclusiones del estudio realizado por la Independent Oracle Users Group's (IOUG), demuestran una vez más que la seguridad de la información aún continua siendo una realidad “externa” a la gestión propia de la tecnología de la información en las organizaciones, lo cual genera el escenario ideal para que la maestra inseguridad encuentre nuevas razones para mostrarnos que mantiene su posición vigilante ante nuestra inconstancia y falta de aseguramiento de acciones preventivas que nos permitan anticiparnos a las lecciones propias de la fallas de seguridad.

En consecuencia, debemos reconocer que si queremos, podemos aumentar la predictibilidad de la operación de las tecnologías de información, no sólo desde las buenas prácticas de seguridad inmersas en los procesos de negocio, sino dentro del colectivo cultural y social de los participantes de la empresa, quienes son los que al final del día hacen la diferencia en la gestión de la seguridad de la información.

Referencias:
http://www.darkreading.com/shared/printableArticle.jhtml?articleID=227500653
http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

Fuente:
Por ITInsecurity
http://insecurityit.blogspot.com/



Otras noticias de interés:

Vulnerabilidades en WhatsApp
Se han anunciado tres vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación. ...
Bug que permitía borrar las fotos de Facebook de los perfiles de otros usuarios
Recientemente, un experto informático llamado Laxman Muthiyah ha descubierto una vulnerabilidad en Facebook que podría haber causado graves problemas a la compañía....
Los desarrolladores web no cuidan la seguridad
La seguridad de las aplicaciones queda en entredicho tras un estudio de Forrester que recoge que una quinta parte de las empresas han perdido más de 500.000 dólares por este asunto....
IBM amenaza con abandonar la ISO por el caso OOXML
El gigante azul ha amenazado con abandonar los organismos responsables de normalización, por su actuación ante las irregularidades denunciadas en la controvertida estandarización por la vía rápida del formato de documentos de Microsoft OOXML, y ...
Microsoft reduce el kernel de las futuras versiones de Windows
Durante una reciente presentación en la Universidad de Illinois, Eric Taut, ingeniero de Microsoft, ha informado sobre un nuevo proyecto de Microsoft cuyo objetivo es reducir el código del núcleo de su sistema operativo Windows. El kernel reducido...
Windows Phone es vulnerable a ataques por SMS
Los dispositivos móviles que utilizan Windows Phone han experimentado problemas por un ataque de denegación de servicio a través de SMS, que ha tenido como consecuencia errores en la funcionalidad de mensajería. ...
Mighty, el nuevo gusano de Linux
Otro gusano de Linux, conocido como Mighty, ha sido visto en la calle esta semana, según informó el laboratorio de Kaspersky Antivirus, quienes también dicen haber detectado más de 1,600 sistemas infectados tan solo el primer día, el pasado vier...
Argentina: libertad y seguridad en internet
El próximo lunes se desarrollará en la Ciudad de Buenos Aires el evento Gobierno de la Web. Cómo construir el futuro con libertad y seguridad en internet. Se trata de un espacio para debatir la compatibilidad de las actuales leyes y el impacto que...
Facebook y twitter fueron utilizadas para fraude bursátil
Desde ambos sitios se hacían sugerencias para inflar el precio de ciertas acciones de empresas. El fraude se descubrió en medio de una investigación por tráfico de drogas....
El FBI dispondrá de un sistema de identificación para detectar caras entre la multitud
El FBI está ultimando un nuevo programa de reconocimiento facial que empleará a nivel nacional para identificar mejor a los delincuentes, es la llamada Identificación de Próxima Generación. Se espera que el nuevo programa añada datos biométric...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bases
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • datos
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • inseguras
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra