Las crecientes violaciones de seguridad están haciendo que la seguridad reciba más atención y presupuesto que nunca. El cifrado de datos es, junto con la autenticación, autorización y auditoría, uno de los 4 pilares de la seguridad de las bases de datos.
Créditos de las fotos: istock CrulUA
Fortalecer la seguridad de la base de datos necesita experiencia técnica y privilegios elevados. Muchos aspectos de la seguridad de la base de datos requieren diferentes utilidades, procedimientos del sistema e implementación de comandos. Pero cuando los usuarios requieren acceso a múltiples bases de datos en múltiples servidores, distribuidos en diferentes ubicaciones físicas, la seguridad de la base de datos se torna aún más complicada. Cualquier medida de seguridad que se tome a nivel de usuario deberá repetirse en cada una de las bases de datos y no hay un repositorio central donde sea fácil modificar y borrar la configuración de seguridad del usuario.
¿Qué es el cifrado de datos?
Desde un punto de vista de alto nivel, la seguridad de la base de datos se reduce a responder 4 preguntas:
- ¿Quién es? -> Autenticación de usuario
- ¿Quién puede hacerlo? -> Autorización a usuarios
- ¿Quién lo hizo? -> Auditoría
- ¿Quién puede verlo? -> Cifrado de datos
El cifrado es el procedimiento de ofuscar datos a través de el uso de una clave o contraseña que garantiza que quienes acceden a ellos sin la contraseña adecuada, no puedan hallar ningún uso en ellos. puesto que es imposible descifrar su contenido. A modo de ejemplo, en el caso de que la computadora host de la base de datos estuviera mal configurada y un pirata informático obtuviera datos confidenciales, esa información robada sería totalmente inútil si estuviera encriptada.
Al considerar el cifrado de datos, se debe prestar atención que:
- El cifrado no resuelve los problemas de control de acceso.
- Esta opción mejora la seguridad al limitar la pérdida de datos inclusive si se omitieron esos controles.
Estas limitaciones están cubiertas por otra técnica, la de enmascaramiento de datos, que a tal efecto sí ofrece una mayor cobertura de seguridad.
Administración de claves de cifrado de datos
El cifrado en una base de datos se puede aplicar a:
- Procedimientos almacenados.
Para que el cifrado de datos sea efectivo, al momento de gestionarlo se deben prestar atención 4 claves:
una estrategia.
El cifrado de datos no es tan eficaz si no se entiende como parte de una estrategia de seguridad de la información. En este plan, la administración de claves debe estar en el centro de la infraestructura de seguridad de TI de la organización, puesto que el cifrado es un elemento irrompible. El sistema de administración de claves se convierte en un objetivo natural para quienes buscan una forma de ingresar a los activos informativos de la compañía.. Algunas de las mejores prácticas son:
- Evite el uso de software para el almacenamiento de claves y reemplácelo con hardware.
- Conserve una copia impresa de las políticas de seguridad en papel.
- No olvide la relevancia de las auditorías de seguridad.
b) Autenticación.
La amenaza proviene del interior en más casos de los imaginables y, por tanto, debe autenticar a los administradores y garantizar la separación de funciones. No seas demasiado confiado puesto que inclusive un sistema de administración de claves físicamente seguro puede verse comprometido si los controles de acceso del administrador no son lo suficientemente sólidos. En este aspecto, las instituciones deberían:
- Encuentre alternativas para incrementar la confiabilidad y la fuerza de las técnicas de autenticación para los administradores.
- Emplear diferentes controles de acceso de administrador para los datos cifrados y proporcionarlos a los responsables con acceso a las claves.
c) Automatización.
Cada vez hay más claves, más contraseñas y, en lugar de fortalecer la seguridad, puede verse debilitada por el aumento de la complejidad, si esto implica la aparición de errores. La automatización de las tareas de administración de claves ahorra costos y aumenta la protección de la información, una solución fácil de aplicar, puesto que la mayoría de las tareas de administración de contraseñas se centran en procedimientos establecidos.
Esta decisión garantiza muy buenos resultados y Las excepciones solo deben aplicarse, en el caso de situaciones de emergencia o cuando se trata de una solicitud urgente de acceso a los datos.. En este tipo de circunstancias, se debe usar una estrategia integral de administración de claves, que facilite la ubicación de las contraseñas para las copias de seguridad creadas semanas, meses o varios años antes.
d) Registro.
Mantener un registro de las actividades de administración de claves es esencial para evitar problemas potenciales por la destrucción de claves. Habitualmente, los dispositivos que contienen información confidencial se deterioran hasta que se vuelven inutilizables. A pesar de esto, este estado no implica que ya no sean una fuente potencial de pérdida de datos.. La destrucción física del hardware no puede destruir la información que contiene y, a tal efecto, el cifrado de datos proporciona un medio muy eficaz para garantizar la protección de los activos de información de la compañía puesto que, la destrucción de la clave está destruyendo efectivamente los datos.
La compensación es que, de todos modos, Es imperativo que la organización pueda demostrar que cada copia de la clave que se hizo ha sido destruida, y debe poder probarlo, algo que solo es factible cuando se cuenta con una pista de auditoría sólida. Para evitar las consecuencias de la pérdida de datos o claves, es necesario actuar en tres niveles:
- Realice una buena administración de claves.
- Mantener un registro que permita el seguimiento de todas las actividades en vinculación con la administración de claves.
- Nunca olvide destruir la clave cuando desee borrar permanentemente los datos asociados.