PRINCIPIOS BÁSICOS DE

SEGURIDAD EN BASES DE
DATOS
Johnny Villalobos Murillo
bases de datos
contraseñas
SQL injection

numero-12

Facebook Twitter
1. La seguridad de las bases de datos
La gran mayoría de los datos sensibles del mundo están almacenados en sistemas
gestores de bases de datos comerciales tales como Oracle, Microsoft SQL Server
entre otros, y atacar una bases de datos es uno de los objetivos favoritos para los
criminales.
Esto puede explicar por qué los ataques externos, tales como inyección de SQL,
subieron 345% en 2009, “Esta tendencia es prueba adicional de que los agresores
tienen éxito en hospedar páginas Web maliciosas, y de que las vulnerabilidades y
explotación en relación a los navegadores Web están conformando un beneficio
importante para ellos”[*]
Para empeorar las cosas, según un estudio publicado en febrero de 2009 The
Independent Oracle Users Group (IOUG), casi la mitad de todos los usuarios de
Oracle tienen al menos dos parches sin aplicar en sus manejadores de bases de
datos [1].
Mientras que la atención generalmente se ha centrado en asegurar los perímetros de
las redes por medio de, firewalls, IDS / IPS y antivirus, cada vez más las
organizaciones se están enfocando en la seguridad de las bases de datos con datos
críticos, protegiéndolos de intrusiones y cambios no autorizados.
En las siguientes secciones daremos las siete recomendaciones para proteger una
base de datos en instalaciones tradicionales.
2. Principios básicos de seguridad de bases de datos
En esta sección daremos siete recomendaciones sobre seguridad en bases de datos,
instaladas en servidores propios de la organización.
2.1 Identifique su sensibilidad
No se puede asegurar lo que no se conoce.
Confeccione un buen catálogo de tablas o datos sensibles [2] de sus instancias de
base de datos. Además, automatice el proceso de identificación, ya que estos datos y
su correspondiente ubicación pueden estar en constante cambio debido a nuevas
aplicaciones o cambios producto de fusiones y adquisiciones.
Desarrolle o adquiera herramientas de identificación, asegurando éstas contra el
malware [3], colocado en su base de datos el resultado de los ataques de inyección
SQL [4]; pues aparte de exponer información confidencial debido a vulnerabilidades,
como la inyección SQL, también facilita a los atacantes incorporar otros ataques en el
interior de la base de datos.
2.2 Evaluación de la vulnerabilidad y la configuración
Evalúe su configuración de bases de datos, para asegurarse que no tiene huecos de
seguridad.
Esto incluye la verificación de la forma en que se instaló la base de datos y su sistema
operativo (por ejemplo, la comprobación privilegios de grupos de archivo -lectura,
escritura y ejecución- de base de datos y bitácoras de transacciones).
Asimismo con archivos con parámetros de configuración y programas ejecutables.
Además, es necesario verificar que no se está ejecutando la base de datos con
versiones que incluyen vulnerabilidades conocidas; así como impedir consultas SQL
desde las aplicaciones o capa de usuarios. Para ello se pueden considerar (como
administrador):

 Limitar el acceso a los procedimientos a ciertos usuarios.

 Delimitar el acceso a los datos para ciertos usuarios, procedimientos y/o datos.
 Declinar la coincidencia de horarios entre usuarios que coincidan.

2.3 Endurecimiento
Como resultado de una evaluación de la vulnerabilidad a menudo se dan una serie de
recomendaciones específicas. Este es el primer paso en el endurecimiento de la base
de datos. Otros elementos de endurecimiento implican la eliminación de todas las
funciones y opciones que se no utilicen. Aplique una política estricta sobre que se
puede y que no se puede hacer, pero asegúrese de desactivar lo que no necesita.
2.4 Audite
Una vez que haya creado una configuración y controles de endurecimiento, realice
auto evaluaciones y seguimiento a las recomendaciones de auditoría para asegurar
que no se desvíe de su objetivo (la seguridad).
Automatice el control de la configuración de tal forma que se registre cualquier cambio
en la misma. Implemente alertas sobre cambios en la configuración. Cada vez que un
cambio se realice, este podría afectar a la seguridad de la base de datos.
2.5 Monitoreo
Monitoreo en tiempo real de la actividad de base de datos es clave para limitar su
exposición, aplique o adquiera agentes inteligentes [5] de monitoreo, detección de
intrusiones y uso indebido.
Por ejemplo, alertas sobre patrones inusuales de acceso, que podrían indicar la
presencia de un ataque de inyección SQL, cambios no autorizados a los datos,
cambios en privilegios de las cuentas, y los cambios de configuración que se ejecutan
a mediante de comandos de SQL.
Recuerde que el monitoreo usuarios privilegiados, es requisito para la gobernabilidad
de datos y cumplimiento de regulaciones como SOX y regulaciones de privacidad.
También, ayuda a detectar intrusiones, ya que muchos de los ataques más comunes
se hacen con privilegios de usuario de alto nivel.
El monitoreo dinámico es también un elemento esencial de la evaluación de
vulnerabilidad, le permite ir más allá de evaluaciones estáticas o forenses. Un ejemplo
clásico lo vemos cuando múltiples usuarios comparten credenciales con privilegios o
un número excesivo de inicios de sesión de base de datos.
2.6 Pistas de Auditoría
Aplique pistas de auditoría y genere trazabilidad de las actividades que afectan la
integridad de los datos, o la visualización los datos sensibles.
Recuerde que es un requisito de auditoría, y también es importante para las
investigaciones forenses.
La mayoría de las organizaciones en la actualidad emplean alguna forma de manual
de auditoría de transacciones o aplicaciones nativas de los sistemas gestores de
bases de datos. Sin embargo, estas aplicaciones son a menudo desactivadas, debido
a:

 su complejidad
 altos costos operativos
 problemas de rendimiento
 la falta de segregación de funciones y
 la necesidad mayor capacidad de almacenamiento.

Afortunadamente, se han desarrollado soluciones con un mínimo de impacto en el

rendimiento y poco costo operativo, basado en tecnologías de agente inteligentes.
2.7 Autenticación, control de acceso, y Gestión de derechos
No todos los datos y no todos los usuarios son creados iguales. Usted debe autenticar
a los usuarios, garantizar la rendición de cuentas por usuario, y administrar los
privilegios para de limitar el acceso a los datos.
Implemente y revise periódicamente los informes sobre de derechos de usuarios,
como parte de un proceso de formal de auditoría.
Utilice el cifrado [6] para hacer ilegibles los datos confidenciales, complique el trabajo
a los atacantes, esto incluye el cifrado de los datos en tránsito, de modo que un
atacante no puede escuchar en la capa de red y tener acceso a los datos cuando se
envía al cliente de base de datos.
Referencias
[1] ISO/IEC 27001:2005 - Information technology -- Security techniques
[en] http://www.iso.org/iso/catalogue_detail?Csnumber=42103
[2] ISO/IEC 17799:2005 - Information technology -- Security techniques
[en] http://www.iso.org/iso/catalogue_detailcsnumber=39612
[3] Malware - Ataque a la Base de Datos [en] http://ataquebd.blogspot.mx/
[4] Inyección de código SQL - MSDN – Microsoft [en] http://msdn.microsoft.com/es-
es/library/ms161953.aspx
[5] Escolano F. “Inteligencia Artificial”, Editorial Paraninfo, 2003
[6] Aguilera L “Seguridad Informática” 2010, Madrid, Editorial Editex, S.A.
- El Reporte X-Force de IBM revela que el phishing y las amenazas relacionadas a
documentos se incrementan
[en] http://www.lawebdelprogramador.com/noticias/mostrar.php?id=2460
- http://sox.sourceforge.net/
- Daniel Camargo Montero, Sistema de selección de personal inspirado en
agentes inteligentes,
[en] http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/camargo_m_d/
 Qué es la seguridad de la información y qué tiene que ver
con la integridad en base de datos
La seguridad de la información se ocupa de proteger la confidencialidad, disponibilidad
e integridad en base de datos de todos los activos de conocimiento de la organización.
La forma de lograrlo tiene que ver con:

 Confidencialidad: se trata del aspecto más importante de la seguridad de base de datos.

Este objetivo se alcanza a través del La encriptación ha de aplicarse a datos en reposo,
pero también a los datos que, por un motivo u otro, se encuentren en tránsito.

 Integridad en base de datos: busca garantizar que sólo las personas autorizadas a
ello podrán acceder a información privilegiada de la empresa. La integridad de una
base de datos se aplica a través de protocolos de autenticación, políticas internas (como las
que impulsan la seguridad de las contraseñas) y un sistema de control de acceso de
usuario que define los permisos que determinan quién puede acceder a qué datos.
Tampoco puede olvidarse el tomar medidas que ayuden a conseguir que las cuentas no
utilizadas queden bloqueadas o sean eliminadas.

 Disponibilidad: hace referencia a la necesidad de que las bases de datos y toda la

información que contienen estén listas para su uso. Por una parte, se debe garantizar su
funcionalidad y confiabilidad mientras que, por otra, es recomendable planificar los
tiempos de inactividad fuera del horario laboral.

Garantizar la integridad en base de datos, así como su disponibilidad y confiabilidad es

determinante para el buen funcionamiento del negocio. Sin embargo, la amenaza no da tregua
y, a día de hoy, los ataques se multiplican, tanto en frecuencia, como en objetivo. Los piratas
informáticos ya no codician sólo los activos informacionales de las grandes
corporaciones multinacionales, sino que tienen en su punto de mira a todo tipo de
empresas, independientemente de su tamaño, propósito o industria.

Tipos de ataques a la integridad en base de datos

Está claro que el riesgo implícito en este tipo de acciones maliciosas varía de una
organización a otra, aunque entre los ataques más comunes se encuentran los que tienen
como objetivo:

 Datos personales de clientes, números de tarjetas de crédito y seguridad social.

 Detalles estratégicos del negocio.

 Información financiera de la propia compañía y de sus socios.

 Datos sensibles acerca de los empleados.

Podría decirse que se trata de la mayoría de las bases de datos activas en los directorios de la
empresa, al menos, todas las que, de alguna forma, resultan relevantes para el negocio.
 Precisamente por ello, es necesario mantener sólidas prácticas de seguridad y estrategias de
defensa que permitan combatir este tipo de ataques, también en sus versiones más
recientes y sofisticadas, como el phisinig, el spear phising, la inyección SQL, el DDos,
la amenaza persistente avanzada o el ransomware.

Según la Encuesta de Amenazas de Inyección SQL de Ponemon, “el 65% de las

organizaciones encuestadas habían experimentado un exitoso ataque de estas características
en el último año”. Entre las causas que podrían haber motivado la vulneración de la
integridad en base de datos se encuentran la falta de escaneo de database o su
escaneo irregular, un error común en el 47% de los casos.

Se trata de un dato sorprendente, sobre todo si se tiene en cuenta que, el 49% de los
encuestados calificaron el nivel de amenaza de una inyección de SQL en su organización con
una puntuación de 9 o 10.

Sin embargo, no hace falta ir tan lejos, la autenticación débil es la amenaza más común a
la seguridad y la integridad en base de datos. Una misma contraseña usada con fines
distintos, compartida entre usuarios, que nunca se actualiza o que resulta obvia facilita el
trabajo de un atacante malintencionado en su misión encaminada a robar la identidad de un
usuario legítimo. Una vez que conoce esos 8, 10 o 12 dígitos, ya tiene acceso a datos
confidenciales, ya tiene a la organización en sus manos.

Mejores prácticas en seguridad que ayudan a garantizar la

integridad en base de datos
Una de las formas más efectivas de garantizar la integridad en base de datos es
implementando algunas de las mejores prácticas de seguridad. Entre ellas se encuentran
las siguientes:

 Recurrir al enmascaramiento de datos o permitir a los usuarios acceder a cierta

información sin poder verla ayuda a mantener la confidencialidad incluso en entornos de
pruebas.

 Minimizar los extras y limitarse a los servicios, aplicaciones y funcionalidades que

realmente son necesariospara asegurar el normal funcionamiento de las operaciones del
negocio, de esta forma se reduce el riesgo.

 Asegurarse de que los administradores de la base de datos entiendan la importancia

de garantizar su protección.

 Mantener actualizadas las bases de datos y eliminar los componentes desconocidos.

 Recurrir a herramientas como el análisis de código estático, que ayudan a reducir los
problemas de inyección de SQL, desbordamiento de búfer y problemas de configuración.

 Hacer copias de seguridad frecuentes y emplear una fuente de alimentación

ininterrumpida o SAI que garantice que un corte de energía no causa la pérdida de datos.
Seguridad de datos: En qué consiste y qué es
importante en tu empresa
En líneas generales, seguridad de datos se refiere a medidas de protección de la
privacidad digital que se aplican para evitar el acceso no autorizado a los datos, los
cuales pueden encontrarse en ordenadores, bases de datos, sitios web, etc. La seguridad de
datos también protege los datos de una posible corrupción.

1. ¿Qué es seguridad de datos?

La seguridad de datos, también conocida como seguridad de la información o seguridad
informática, es un aspecto esencial de TI en organizaciones de cualquier tamaño y tipo. Se
trata de un aspecto que tiene que ver con la protección de datos contra accesos no
autorizados y para protegerlos de una posible corrupción durante todo su ciclo de vida.

Seguridad de datos incluye conceptos como encriptación de datos, tokenización y

prácticas de gestión de claves que ayudan a proteger los datos en todas las
aplicaciones y plataformas de una organización.

Hoy en día, organizaciones de todo el mundo invierten fuertemente en la tecnología de

información relacionada con la ciberdefensa con el fin de proteger sus activos críticos: su
marca, capital intelectual y la información de sus clientes.
En todos los temas de seguridad de datos existen elementos comunes que todas las
organizaciones deben tener en cuenta a la hora de aplicar sus medidas: las personas,
los procesos y la tecnología.

¿Tienes dudas sobre tu proyecto de Seguridad de Datos? ¡Pregunta a

nuestros expertos!

2. Algunos conceptos que debes conocer

La seguridad de datos es un tema de suma importancia que nos afecta a casi todos
nosotros. Cada vez son más los productos tecnológicos que de una u otra forma deben
ser tenidos en cuenta para temas de seguridad y que se están introduciendo en nuestra
vida cotidiana, desde smartwatches hasta vehículos sin conductor. Ya ha llegado la era del
Internet de las Cosas (IoT) y, por supuesto, de los hacks relacionados con IoT. Todos estos
dispositivos conectados crean nuevas “conversaciones” entre dispositivos, interfaces,
infraestructuras privadas y la nube, lo que a su vez crea más oportunidades para que
los hackers puedan escuchar. Todo esto ha impulsado una demanda de soluciones y
expertos en seguridad de datos que sean capaces de construir redes más fuertes y menos
vulnerables.

Tendencias recientes han demostrado que los ataques de ransomware están aumentando
en frecuencia y en gravedad. Se ha convertido en un negocio en auge para ladrones
cibernéticos y hackers, que acceden a la red y secuestran datos y sistemas. En los últimos
meses, grandes empresas y otras organizaciones, así como también usuarios
particulares, han caído víctimas de este tipo de ataques y han tenido que pagar el
rescate o correr el riesgo de perder datos importantes.

Entonces, ¿qué conceptos deberíamos conocer que puedan ayudarnos a proteger nuestra red
y prevenir esta nueva ola de ataques cibernéticos modernos?

Ingeniería de la seguridad de datos

Pensar en seguridad de datos y construir defensas desde el primer momento es de vital

importancia. Los ingenieros de seguridad tienen como objetivo proteger la red de las
amenazas desde su inicio hasta que son confiables y seguras.Los ingenieros de seguridad
diseñan sistemas que protegen las cosas correctas de la manera correcta. Si el objetivo
de un ingeniero de software es asegurar que las cosas sucedan, el objetivo del
ingeniero de seguridad es asegurar que las cosas (malas) no sucedan diseñando,
implementando y probando sistemas completos y seguros.

La ingeniería de seguridad cubre mucho terreno e incluye muchas medidas, desde pruebas
de seguridad y revisiones de código regulares hasta la creación de arquitecturas de
seguridad y modelos de amenazas para mantener una red bloqueada y segura desde un
punto de vista holístico.

Encriptación

Si la ingeniería de seguridad de datos protege la red y otros activos físicos como servidores,
computadoras y bases de datos, la encriptación protege los datos y archivos reales
almacenados en ellos o que viajan entre ellos a través de Internet. Las estrategias de
encriptación son cruciales para cualquier empresa que utilice la nube y son una excelente
manera de proteger los discos duros, los datos y los archivos que se encuentran en tránsito a
través de correo electrónico, en navegadores o en camino hacia la nube.

En el caso de que los datos sean interceptados, la encriptación dificulta que los hackers hagan
algo con ellos. Esto se debe a que los datos encriptados son ilegibles para usuarios no
autorizados sin la clave de encriptación. La encriptación no se debe dejar para el final, y
debe ser cuidadosamente integrada en la red y el flujo de trabajo existente para que sea más
exitosa.

Detección de intrusión y respuesta ante una brecha de seguridad

Si en la red ocurren acciones de aspecto sospechoso, como alguien o algo que intenta entrar,
la detección de intrusos se activará. Los sistemas de detección de intrusos de red (NIDS)
supervisan de forma continua y pasiva el tráfico de la red en busca de un
comportamiento que parezca ilícito o anómalo y lo marcan para su revisión. Los NIDS no
sólo bloquean ese tráfico, sino que también recopilan información sobre él y alertan a los
administradores de red.

Pero a pesar de todo esto, las brechas de seguridad siguen ocurriendo. Es por eso que es
importante tener un plan de respuesta a una violación de datos. Hay que estar preparado
para entrar en acción con un sistema eficaz. Ese sistema se puede actualizar con la
frecuencia que se necesite, por ejemplo si hay cambios en los componentes de la red o
surgen nuevas amenazas que deban abordarse. Un sistema sólido contra una violación
garantizará que tienes los recursos preparados y que es fácil seguir un conjunto de
instrucciones para sellar la violación y todo lo que conlleva, ya sea que necesites recibir
asistencia legal, tener pólizas de seguro, planes de recuperación de datos o notificar a
cualquier socio de la cuestión.

Firewall

¿Cómo mantener a visitantes no deseados y software malicioso fuera de la red? Cuando estás
conectado a Internet, una buena manera de asegurarse de que sólo las personas y archivos
adecuados están recibiendo nuestros datos es mediante firewalls: software o hardware
diseñado con un conjunto de reglas para bloquear el acceso a la red de usuarios no
autorizados. Son excelentes líneas de defensa para evitar la interceptación de datos y
bloquear el malware que intenta entrar en la red, y también evitan que la información
importante salga, como contraseñas o datos confidenciales.

¿Conoces cuál es la tecnología de seguridad más efectiva? GUÍA GRATUITA

Análisis de vulnerabilidades

Los hackers suelen analizar las redes de forma activa o pasiva en busca de agujeros y
vulnerabilidades. Los analistas de seguridad de datos y los profesionales de la evaluación
de vulnerabilidades son elementos clave en la identificación de posibles agujeros y en
cerrarlos. El software de análisis de seguridad se utiliza para aprovechar cualquier
vulnerabilidad de un ordenador, red o infraestructura de comunicaciones, priorizando y
abordando cada uno de ellos con planes de seguridad de datos que protegen, detectan
y reaccionan.

Pruebas de intrusión

El análisis de vulnerabilidad (que identifica amenazas potenciales) también puede incluir

deliberadamente investigar una red o un sistema para detectar fallos o hacer pruebas de
intrusión. Es una excelente manera de identificar las vulnerabilidades antes de tiempo y
diseñar un plan para solucionarlas. Si hay fallos en los sistemas operativos, problemas con
incumplimientos, el código de ciertas aplicaciones u otros problemas similares, un
administrador de red experto en pruebas de intrusión puede ayudarte a localizar estos
problemas y aplicar parches para que tengas menos probabilidades de tener un ataque.

Las pruebas de intrusión implican la ejecución de procesos manuales o automatizados

que interrumpen los servidores, las aplicaciones, las redes e incluso los dispositivos de
los usuarios finales para ver si la intrusión es posible y dónde se produjo esa ruptura. A
partir de esto, pueden generar un informe para los auditores como prueba de
cumplimiento.

Una prueba de intrusión completa puede ahorrarte tiempo y dinero al prevenir ataques
costosos en áreas débiles que no conoces. El tiempo de inactividad del sistema puede ser otro
efecto secundario molesto de ataques maliciosos, por lo que hacer pruebas de intrusión con
regularidad es una excelente manera de evitar problemas antes de que surjan.

Información de seguridad y gestión de eventos

Hay una línea aún más holística de defensa que se puede emplear para mantener los ojos en
cada punto de contacto. Es lo que se conoce como Información de Seguridad y Gestión de
Eventos (SIEM). SIEM es un enfoque integral que monitoriza y reúne cualquier detalle
sobre la actividad relacionada con la seguridad de TI que pueda ocurrir en cualquier
lugar de la red, ya sea en servidores, dispositivos de usuario o software de seguridad
como NIDS y firewalls. Los sistemas SIEM luego compilan y hacen que esa información esté
centralizada y disponible para que se pueda administrar y analizar los registros en tiempo real,
e identificar de esta forma los patrones que destacan.

Estos sistemas pueden ser bastante complejos de configurar y mantener, por lo que es
importante contratar a un experto administrador SIEM.

Ciberseguridad: HTTPS, SSL y TLS

Internet en sí mismo se considera una red insegura, lo cual es algo que puede asustar cuando
nos damos cuenta que actualmente es la espina dorsal de muchas de las transacciones de
información entre organizaciones. Para protegernos de que, sin darnos cuenta, compartamos
nuestra información privada en todo Internet, existen diferentes estándares y protocolos de
cómo se envía la información a través de esta red. Las conexiones cifradas y las páginas
seguras con protocolos HTTPS pueden ocultar y proteger los datos enviados y
recibidos en los navegadores. Para crear canales de comunicación seguros, los
profesionales de seguridad de Internet pueden implementar protocolos TCP/IP (con
medidas de criptografía entretejidas) y métodos de encriptación como Secure Sockets
Layer (SSL) o TLS (Transport Layer Security).

El software anti-malware y anti-spyware también es importante. Está diseñado para supervisar

el tráfico de Internet entrante o el malware como spyware, adware o virus troyanos.

Detección de amenazas en punto final

Se pueden prevenir ataques de ransomware siguiendo buenas prácticas de seguridad, como

tener software antivirus, el último sistema operativo y copias de seguridad de datos en la nube
y en un dispositivo local. Sin embargo, esto es diferente para organizaciones que tienen
múltiple personal, sistemas e instalaciones que son susceptibles a ataques.

Los usuarios reales, junto con los dispositivos que usan para acceder a la red (por
ejemplo, teléfonos móviles, ordenadores portátiles o sistemas TPV móviles), suelen ser
el eslabón más débil de la cadena de seguridad. Se deben implementar varios niveles
de protección, como tecnología de autorización que otorga acceso a un dispositivo a la
red.

Prevención de pérdida de datos (DLP)

Dentro de la seguridad de punto final hay otra estrategia de seguridad de datos importante:
la prevención de pérdida de datos (DLP). Esencialmente, esto abarca las medidas que se
toman para asegurar que no se envían datos confidenciales desde la red, ya sea a propósito,
o por accidente. Puede implementarse software DLP para supervisar la red y asegurarse
de que los usuarios finales autorizados no estén copiando o compartiendo información
privada o datos que no deberían.

¿Están seguros tus datos? Descárgate este ebook gratuito

3. Seguridad de datos in house vs en la nube

A pesar del aumento en la adopción de la nube, muchas compañías siguen dudando en
seguir adelante con esa transición debido a preocupaciones acerca de su seguridad.
Estas preocupaciones van desde la privacidad de los datos hasta la pérdida de datos y
brechas. Por estas razones hay algunas organizaciones que siguen dudando en transferir el
control de sus datos a los proveedores de la nube. En realidad estas preocupaciones son
exageradas. Veamos por qué:

Mejores capacidades de defensa

Para que los proveedores de la nube tengan éxito, deben administrar grandes volúmenes de
datos. Esta capacidad requiere el empleo y la formación de grandes equipos específicamente
capacitados para administrar, asegurar y operar una gigantesca infraestructura de nube y los
datos alojados en su interior. La cantidad de experiencia necesaria para administrar una
nube eclipsa la experiencia que la mayoría de las empresas individuales pueden tener.
La experiencia que se encuentra en los proveedores de servicios gestionados por la
nube está muy centrada en la seguridad de datos. Como resultado, los contratiempos
debido a la falta de experiencia en seguridad en la nube están fuera de toda cuestión y la
infraestructura de la nube está adecuadamente protegida contra vulnerabilidades.

Ciclos de vida de desarrollo seguro

La mayoría de soluciones locales se desarrollan a lo largo de años, a veces hasta

décadas. Cuando surgen inquietudes y nuevos requisitos, los arquitectos y los
gestores de soluciones se ven obligados a mejorar y actualizar sus sistemas. Este ciclo
de desarrollo es similar para soluciones en la nube con una diferencia importante: la
seguridad se desarrolla en la solución desde el principio. Especialmente en sistemas
heredados más antiguos, algunas de las preocupaciones de seguridad de datos de hoy en día
no fueron consideradas en sus etapas iniciales de despliegue.

Todo en una infraestructura de nube, desde las soluciones de software hasta los sistemas de
monitorización y los procesos de administración de la infraestructura, están diseñados
pensando en la seguridad de datos. Para muchos sistemas in situ, la seguridad puede haber
sido una idea de última hora.

Auditoría continua

Si un proveedor de la nube es serio acerca de la seguridad de datos, esa seriedad se

extiende a la auditoría continua, monitorización y pruebas de seguridad de todos los
aspectos operacionales de la infraestructura. Además de garantizar una mayor fiabilidad
de las soluciones, la auditoría continua garantiza que todo el software se actualiza a la
última versión, se identifican y resuelven todas las anomalías en el rendimiento del
sistema y se cumplen todos los requisitos de cumplimiento de seguridad. La
monitorización constante asegura que cualquier comportamiento irregular sea
inmediatamente identificado e investigado.

Automatización y Repetibilidad

La infraestructura de la nube se desarrolla pensando en automatización: menos

intervención manual en funciones de rutina y menos oportunidades para que se
cometan errores. Los servicios en la nube realizan un número limitado de tareas por diseño.
La mayoría de las tareas abren una instancia virtual y cierran esa instancia. Estas tareas están
estandarizadas, al igual que la mayoría del hardware, equipos de red, aplicaciones y sistemas
operativos utilizados para realizar esas tareas. Esta estandarización facilita la seguridad de
las infraestructuras cloud.

Debido a las mayores economías de escala involucradas, los principios de automatización y

repetibilidad son esenciales en la implementación de nuevos sistemas.

Controles de acceso más estrictos

Una preocupación importante es la pérdida de control de datos para las empresas si los datos
se encuentra fuera de su firewall. Este control se extiende a la creencia de que algunos
empleados del proveedor de la nube tienen acceso general a sus datos confidenciales. Un
proveedor de cloud gestionado adecuadamente tendrá varios roles compartiendo
responsabilidades para toda la solución cloud sin que ninguna persona tenga acceso
total a todos los componentes de la solución. En otras palabras, ninguna persona tiene
el nivel de acceso necesario para amenazar la seguridad o confidencialidad de los datos
de un cliente.

En las instalaciones vs en la nube

La idea de que las infraestructuras locales son más seguras que las infraestructuras en
la nube es un mito. El acceso físico no autorizado a los centros de datos en la nube es
extremadamente raro. Las peores infracciones ocurren detrás de los firewalls de las
empresas y de sus propios empleados. Los datos en una nube pueden residir en cualquier
número de servidores en cualquier número de ubicaciones, en lugar de un servidor dedicado
dentro de la red local.

El acceso físico a los sistemas ya no es una preocupación válida. Las economías de escala
requeridas por los proveedores de la nube han mostrado un menor número de
interrupciones del servicio y recuperaciones más rápidas, reduciendo el tiempo de
inactividad sufrido por los clientes de la nube. Los niveles más altos de automatización,
normalización y auditoría garantizan que las firmas de virus y los parches de seguridad se
actualizan rápidamente en toda la red: a menudo mucho más rápido que de lo que el personal
de TI local puede realizar. La monitorización y la dotación de personal 24/7/365 permite
identificar y resolver problemas rápidamente.

4. Productos y/o habilidades de seguridad de datos

importantes para tu empresa
Las mejores soluciones de seguridad ayudan a las organizaciones a reducir el riesgo de
seguridad de datos, respaldan las auditorías para el cumplimiento con regulaciones y
privacidad, frenan el abuso de información privilegiada y protege los datos
confidenciales y confidenciales.

A pesar de la inversión de miles de millones de dólares en seguridad de la información

y gobierno de datos, muchas organizaciones todavía luchan por comprender y proteger sus
activos más valiosos: datos confidenciales y sensibles.

La mayoría tienen poca confianza en cuanto a su ubicación, riesgo y crecimiento. Además, no

entienden quién está accediendo a los datos, cómo están protegidos y si hay un uso
sospechoso de ellos.

Comprender el riesgo de los datos sensibles es clave. El análisis de riesgo de datos

incluye descubrir, identificar y clasificarlo, por lo que los administradores de datos
pueden tomar medidas tácticas y estratégicas para asegurar que los datos sean
seguros.
 Riesgo de cumplimiento

Las implicaciones y los costes de las brechas de seguridad de datos son noticia de primera
plana y abarcan todo, desde la pérdida de puestos de trabajo hasta la pérdida de ingresos e
imagen. A medida que el volumen y la proliferación de datos continúan creciendo, los
enfoques de seguridad tradicionales ya no ofrecen la seguridad de datos necesaria.

Cuando el Reglamento General de Protección de Datos (GDPR) de la Unión Europea

(UE) se convierta en ley el 25 de mayo de 2018, las organizaciones pueden enfrentarse a
penalizaciones significativas de hasta el 4% de sus ingresos anuales. GDPR forzará a las
organizaciones a entender sus riesgos de privacidad de datos y tomar las medidas apropiadas
para reducir el riesgo de divulgación no autorizada de la información privada de los
consumidores.

Algunas investigaciones citan las condiciones que seguirán desafiando a las organizaciones a
salvaguardar sus datos y también aumentarán su responsabilidad para proteger su
información:

 Las infracciones continúan creciendo año tras año (38%, según PWC)
 Los robos de propiedad intelectual muestran un crecimiento significativo (56%, según
PWC)
 El coste de las brechas de datos está creciendo continuamente.
 Nuevas regulaciones de privacidad (GDPR)
 Los consejos de administración están responsabilizando a CEOs y ejecutivos de las
brechas de seguridad.

Con estas condiciones, las organizaciones deben tener un conocimiento completo de sus
datos confidenciales y su riesgo para garantizar el cumplimiento de las políticas y leyes de
privacidad, y las organizaciones deben supervisar cualquier actividad sospechosa, el
acceso a datos no autorizados y remediar con controles de seguridad, alertas o
notificaciones.

Se hace necesario el uso de algunas herramientas que ayuden a mitigar todo esto:

Productos de seguridad de datos

 Data Masking: Proporciona seguridad de datos y controles de privacidad para prevenir el

acceso no autorizado y la divulgación de información sensible, privada y confidencial.
 Secure @ Source: Proporciona inteligencia de seguridad de datos para que las
organizaciones puedan comprender los riesgos y vulnerabilidades de los datos
confidenciales.
 Test Data Management: proporciona el aprovisionamiento seguro y automatizado de
datasets que no son de producción para satisfacer necesidades de desarrollo.
 Data Archive: Podrás eliminar aplicaciones heredadas, administrar el crecimiento de los
datos, mejorar el rendimiento de las aplicaciones y mantener el cumplimiento con el
archivado estructurado.
 ¿Tienes dudas sobre tu proyecto de Seguridad de Datos? ¡Pregunta a
nuestros expertos!

5. Material Complementario
Soluciones y recursos para Seguridad de Datos

 Un Estado seguro para los datos

 Un paso más allá en la seguridad de su información
 Seguridad de Datos: protege los datos sensibles de tu organización
 Proteja sus datos sensibles, cumpliendo con la normativa vigente
 SlideShare Protege los datos sensibles de tu compañía y cumple las normativas vigentes
 Data Masking
 Un estado seguro para los datos

Guías

 Seguridad de Datos. Del Firewall al Cloud

 Informatica Big Data Security
 Data Fusion for Cyber Intelligence

Artículos

 Enmascaramiento de datos. ¿Qué es? ¿Qué debo tener en cuenta?

 ¿Cómo pueden aprender las empresas de las brechas de seguridad?
 Seguridad de datos: Las principales habilidades que necesita tu equipo
 Pasos a seguir por un CIO cuando descubre un problema de seguridad
 Cómo afecta el IoT a la seguridad de los datos
 ¿Por qué preocupa a las empresas la seguridad de datos en la nube?
 Por qué Data Security es una función crucial en la gestión de datos
 Seguridad de datos en el manejo de los medios de almacenamiento
 Cómo monitorizar el acceso y uso de sistemas
 Cómo controlar la copia de información sensible
 La autenticación de usuarios para proteger datos sensibles