Seguridad de Redes y Bases de Datos

LA IMPORTANCIA DE PROTEGER UNA RED DE COMUNICACIONES. Los Datos como pilar de la seguridad.

Imagen tomada de: https://elblogdemaripozo.wordpress.com/2011/03/17/hello-world/


En la actual era del conocimiento y la información, los 
datos en cualquier ámbito de la vida real son 
considerados un
 recurso 
valioso e imprescindible 
para 
las personas y organizaciones. Dadas las constantes amenazas y riesgos latentes en el medio informático, los datos pueden estar expuestos y a la merced de diversas intensiones enmascaradas, muy convincentes, socialmente aceptables y técnicamente elaboradas, pues; finalmente en un porcentaje considerablemente alto, logran su cometido y propósito de explotación ilegal.

Este evento en muchas ocasiones apunta en contra de nuestros propios intereses y derechos inalienables como lo son la confidencialidad, entendida como la protección a la privacidad de nuestros datos; la integridad, entendida como el aseguramiento en la no alteración de estos; la disponibilidad, entendida como la prontitud en su acceso; y la seguridad, como factor imprescindible en la protección de nuestra integridad como personas. Para que esta violación no suceda, se 
han 
de
establecer
 adecuadamente metodologías, buenas practicas, normas y políticas 
enfocadas a la 
seguridad
 de nuestra información para
 lograr la protección a los derechos anteriormente descritos.

La seguridad
 de la información y mas precisamente los datos en una 
Base de Datos, 
abarca un sin numero de mecanismos de protección enfocados 
a la reducción en la explotación de vulnerabilidades, la neutralización de 
amenazas
 intencionadas 
o
 accidentales y el aseguramiento integral al logro de nuestras necesidades. La 
seguridad de nuestra información no 
se debería aplicar 
solo a 
los 
datos 
alojados en los diferentes medios almacenamiento informático, en los diferentes medios o tecnologías de transporte, ni en las propias 
bases de 
datos como evolucionados sistemas gestores en la administración integral de esta y sobre las cuales también hemos delegado nuestra confianza en su manejo, sino mas bien
; se debería aplicar a otros factores que hacen parte del funcionamiento integral del sistema como un todo y que en gran parte pueden afectar considerablemente a la propia 
base 
de datos e información albergada en esta.

Dado lo anterior la seguridad de nuestra información debería abarcar de manera amplia e integra diversos factores que comprenden elementos de hardware, software y personas, entendido este ultimo; como uno de los mas importantes a tener en cuenta. Es recomendable establecer la seguridad de nuestros datos desde varios 
niveles:


Físico: La protección de los equipos informáticos deberá enfocarse ante eventuales fallos físicos del entorno.

Humano: Los usuarios deberán estar correctamente configurados e identificados ante el sistema informático. Es recomendable una constante actualización de estos en materia de seguridad de la información y responsabilidad en los recursos asignados.

Sistema Operativo: Una adecuada y correcta configuración del SO permitirá un acceso correcto y sin opciones de suplantación o intrusión no autorizada
.

Red: La seguridad en la capa de transmisión de información deberá ser configurada de tal manera que los accesos desde cualquier ámbito sean controlados y constantemente monitoreados.

Sistema 
de Gestión de Base de Datos (SGBD): Es necesario que se asegure el cumplimiento de las políticas en cuanto a configuración de acceso a recursos y privilegios sobre los SGBD para tener un control adecuado sobre la información administrada.

Los problemas de seguridad. 

Imagen tomada de: http://tecnologia.technology/que-es-la-seguridad-informatica.htm


Los problemas de seguridad sobre los cuales actualmente aun se enfrentan las redes y las bases de datos, se ilustran a continuación:

Ataques de Inyección
Este es un problema de programación en la aplicación web que interactúa con la BD, este se relaciona con el hecho de que el programador no verifica que se validen de manera lógica y correcta los datos introducidos por el usuario de dicha aplicación. Dado este problema el atacante pude aprovechar esta vulnerabilidad y realizar diversas consultas para lograr sus objetivos.

Pérdida de integridad.

Se trata fallos en el procesamiento lógico del sistema de administración de BD, adicional; a problemas de programación sobre las aplicaciones diseñadas para el procesamiento de información e interacción con la BD. Este evento causa que aparezcan datos inválidos, erróneos y corruptos, por lo cual se hace necesario que se realice un mantenimiento periódico de los distintos sistemas de administración de información.

El robo y el fraude
Los problemas y amenazas en la seguridad de la información evolucionan tan rápido como la tecnología cambiante que intenta mejorar aspectos relacionados de eficiencia y eficacia en el tratamiento y procesamiento de información. Estos no afectan solamente al entorno y funcionamiento integro de la BD, si
no a toda la organización.
Este tipo de aprovechamiento de vulnerabilidades son ejecutados por personas y por ello es necesario reducir de manera considerable las oportunidades y opciones que estos sujetos
 puedan tener para llevar a cabo sus objetivos. El robo y el fraude no significa directamente que se produzca una
alteración en los datos, si
no que se produce una clara pérdida de
 confidencialidad y privacidad.


Pérdida de confidencialidad y privacidad
Confidencialidad hace referencia a la necesidad de mantener
en secreto
 ciertos datos críticos para la organización, mientras
que Privacidad hace
 referencia a la necesidad de proteger datos acerca de las personas
.

Las principales amenazas que ponen en  tela de juicio la seguridad.

Imagen tomada de: http://informaticaiecn.blogspot.com/2011/07/ciberataques-mas-frecuentes-mas.html

Limitada educación, conocimiento y experiencia en seguridad de la información por parte de los usuarios: Las organizaciones de hoy en día prestan poca o nula atención a la implementación de una política orientada a la flexibilización de los procedimientos en materia de seguridad de la información, esta no se ajusta a los nuevos retos, requerimientos y cambios continuos del entorno, además; no incorporan dentro de esta, un ítem orientado a la capacitación continua del personal que allí trabaja.

Información sensible mal administrada: La información almacenada en las BD estará expuesta ante posibles ataques si no se implementa de manera adecuada y a tiempo, los respectivos procedimientos, permisos y controles de acceso necesarios, para que este activo valioso para la organización sea íntegramente administrado.

Debilidad en las Auditorías de control y seguimiento: La realización de una auditoría en seguridad ha de mostrar mediante el registro detallado de hallazgos, las acciones pertinentes a seguir para que el sistema informático y de administración de información funcione lo mas idóneamente posible. El no llevar a cabo este registro de hallazgos detallado y la aprobación no estudiada de las acciones orientadas a brindar un grado mas de seguridad en los datos administrados, puede llegar a representar un riesgo muy serio para la organización, pues; de estos depende que se implementen las acciones de mejora correctas y adecuadas para el funcionamiento integral de la BD.

Acceso no autorizado y/o abusivo a los sistemas informáticos y medios de recuperación “Backup”: Este factor se presenta cuando una política de seguridad de la información es débil en cuando a los controles de acceso físico a los recursos administrados en una organización. Un acceso no autorizado o abusivo a un centro de datos, rack de equipos o sala de servidores empresarial, puede resultar un hecho lamentable con grandes repercusiones, pues; se puede presentar hechos de sustracción, modificación, o eliminación de información sensible y valiosa para la organización. Un sistema o red de información puede verse seriamente afectado en su totalidad y ser irreparable en su estado funcional ante esta situación, para que este evento no suceda, se recomienda realizar un fortalecimiento en cuanto a las políticas de seguridad de la información orientadas a la auditoría y monitorización constante sobre el acceso a estos recursos, los cuales administran información altamente confidencial.

Denegación de servicio (DoS): Esta amenaza busca bloquear el acceso legitimo a los usuarios autorizados en el sistema informático, el acceso a una Base de Datos puede verse seriamente afectada ya que este tipo de ataque busca dejar por fuera la recepción de información y procesamiento de esta en el SGBD para los diferentes usuarios legalmente autorizados ante el sistema. Este tipo de amenaza busca realizar hechos delictivos de extorsión y chantaje ante las exigencias del victimario o atacante.

Explotación de vulnerabilidades por bases de datos mal configuradas: Los atacantes buscaran mediante nuevas técnicas de intrusión o explotación, el acceso legitimo no autorizado sobre los recursos informáticos previamente analizados por estos. Una Base de Datos es uno de los mayores fortines a lograr, pues; mediante su experiencia y experticia logran explotar vulnerabilidades ya conocidas, errores de configuración y descuidos administrativos que dejan entrever la exposición de esta, ya que en ocasiones casi que de manera ingenua, la información valiosa queda fácilmente visible por los atacantes.

Privilegios excesivos en los usuarios: Cuando a algún usuario se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo, se crea un riesgo innecesario. Los mecanismos de control de privilegios de los roles de trabajo han de ser bien definidos o mantenidos.

Abuso en los Privilegios dados a los usuarios: Los administradores de red o del sistema informático, en ocasiones por desconocimiento de las políticas en materia de seguridad de la información y su irresponsabilidad ante eventuales solicitudes no formales, ceden privilegios a usuarios que muchas ocasiones solicitan la elevación de privilegios sin ninguna justificación para acceder a recursos a los cuales no se les ha autorizado, adicional; en ocasiones esto sucede por la excesiva confianza y cercanía de amistad entre administradores y usuarios normales. Estos últimos pueden llegar al abuso en el uso de los privilegios otorgados, sean estos en los sistemas informáticos, bases de datos o redes de comunicación en general, entre las posibilidades de atentar contra la integridad de la información administrada están el de sustraer información confidencial, modificar registros de información y eliminar datos o evidencias que los inculpan.

Infeccion con Malware: Es una técnica de ataque bien elaborada, plenamente configurada y eficazmente programada por hackers o especialistas en programación y administración de redes. Este tipo de ataque busca el penetrar en los sistemas informáticos de las organizaciones, robar, alterar o suprimir datos confidenciales y burlar los controles de seguridad en el acceso a los sistemas informáticos.

Inyección de código SQL: Es uno de los ataques mas comunes en la seguridad de la información presente en Bases de Datos, mediante técnicas de programación, secuencias lógicas de código y consultas genéricas sobre la interfaz de comunicación entre BD y cliente, este tipo de amenaza puede lograr dar acceso a algún usuario sea este bien intencionado o no y sin ningún tipo de restricción o condición para su movimiento en una base de datos completa, en ocasiones; incluso este puede llegar a copiar o modificar la información a su antojo sin ningún tipo de control o seguimiento.

Los estándares y normas en materia de seguridad de la información.

Imagen tomada de: http://www.ciset.es/publicaciones/noticias/item/121-ciset-obtiene-las-certificaciones-iso-20000-e-iso-27001

Dadas la situaciones anteriores, a continuación se propone la implementación de políticas de administración de seguridad de la información de conformidad con la norma ISO/IEC 27001 en lo relacionado con el control de acceso:

  • Acceso Físico
    • Establecer seguridad perimetral física mediante personal especializado durante las 24 horas.
    • Implementar acceso restringido a través de tecnologías biométricas.
    • Establecer sistemas de vigilancia con vídeo y sonido en todas las instalaciones de la organización.
    • Establecer sistemas de control de humedad temperatura y contraincendios en todos los centros de datos.
    • Instalar sistemas de alimentación eléctrica subterránea
    • Establecer sistemas de alimentación eléctrica ininterrumpida (UPS)
    • Instalar extinguidores contra-incendio en todas las instalaciones de la organización.

  • Acceso Lógico
    • Realizar una conexión a Internet a través de distintos enlaces enrutados redundantes de varios proveedores ADSL
    • Configurar servidores de seguridad perimetrales y enrutadores periféricos que bloqueen el acceso a protocolos no utilizados.
    • Configurar servidores de seguridad internos que segreguen el tráfico entre la aplicación y los niveles de base de datos.
    • Configurar equilibradores de carga que proporcionan los servidores proxy para tráfico interno y externo.
    • Evaluar periódicamente la seguridad de la información de manera interna e independiente.
    • Realizar copias de seguridad en cinta de todos los datos en cada centro de datos.
    • Identificación de usuario y administración de accesos
    • Establecer y configurar conexiones a los diferentes accesos de datos mediante patrones de comunicación SSL 3.0/TLS 1.0 los cuales utilizan certificados emitidos por entidades de confianza.
    • Identificar sesiones de usuario individuales verificando y monitorizando su actividad mientras ejecuta transacciones sensibles en la base de datos.

Acerca del Autor

Administrador
Si tienes alguna novedad que reportar o quieres contactarme, por favor diligencia el formulario de contacto.

0 comentarios:

Suscribirse a: Enviar comentarios (Atom)
Copyright © 2013 SEGURIDAD EN REDES and Blogger Themes.