Seguridad de Redes y Bases de Datos
LA IMPORTANCIA DE PROTEGER UNA RED DE COMUNICACIONES. Los Datos como pilar de la seguridad.
Imagen tomada de: https://elblogdemaripozo.wordpress.com/2011/03/17/hello-world/ |
En
la actual era del conocimiento y la información, los
datos en
cualquier ámbito de la vida real son
considerados un
recurso
valioso e imprescindible
para
las personas y organizaciones.
Dadas las constantes amenazas y riesgos latentes en el medio
informático, los datos pueden estar expuestos y a la merced de
diversas intensiones enmascaradas, muy convincentes, socialmente
aceptables y técnicamente elaboradas, pues; finalmente en un
porcentaje considerablemente alto, logran su cometido y propósito de
explotación ilegal.
Este
evento en muchas ocasiones apunta en contra de nuestros propios
intereses y derechos inalienables como lo son la confidencialidad,
entendida como la protección a la privacidad de nuestros datos; la
integridad, entendida como el aseguramiento en la no alteración de
estos; la disponibilidad, entendida como la prontitud en su acceso; y
la seguridad, como factor imprescindible en la protección de nuestra
integridad como personas. Para que esta violación no suceda, se
han
de
establecer
adecuadamente metodologías, buenas
practicas, normas y políticas
enfocadas a la
seguridad
de
nuestra información para
lograr la protección a los derechos
anteriormente descritos.
La seguridad
de la información y mas precisamente los datos en
una
Base de Datos,
abarca un sin numero de mecanismos de
protección enfocados
a la reducción en la explotación de
vulnerabilidades, la neutralización de
amenazas
intencionadas
o
accidentales y el aseguramiento integral al logro de nuestras
necesidades. La
seguridad de nuestra información no
se debería
aplicar
solo a
los
datos
alojados en los diferentes
medios almacenamiento informático, en los diferentes medios o
tecnologías de transporte, ni en las propias
bases de
datos
como evolucionados sistemas gestores en la administración integral
de esta y sobre las cuales también hemos delegado nuestra confianza
en su manejo, sino mas bien
; se debería aplicar a otros factores
que hacen parte del funcionamiento integral del sistema como un todo
y que en gran parte pueden afectar considerablemente a la propia
base
de datos e información albergada en esta.
Dado lo anterior la seguridad de nuestra información debería
abarcar de manera amplia e integra diversos factores que comprenden
elementos de hardware, software y personas, entendido este ultimo;
como uno de los mas importantes a tener en cuenta. Es recomendable
establecer la seguridad de nuestros datos desde varios
niveles:
Físico: La protección de los equipos informáticos deberá
enfocarse ante eventuales fallos físicos del entorno.
Humano: Los usuarios deberán
estar correctamente configurados e identificados ante el sistema
informático. Es recomendable una constante actualización de estos
en materia de seguridad de la información y responsabilidad en los
recursos asignados.
Sistema Operativo: Una adecuada y correcta configuración del
SO permitirá un acceso correcto y sin opciones de suplantación o
intrusión no autorizada
.
Red: La seguridad en la capa
de transmisión de información deberá ser configurada de tal manera
que los accesos desde cualquier ámbito sean controlados y
constantemente monitoreados.
Sistema
de Gestión de Base de Datos (SGBD): Es necesario
que se asegure el cumplimiento de las políticas en cuanto a
configuración de acceso a recursos y privilegios sobre los SGBD para
tener un control adecuado sobre la información administrada.
Los problemas de seguridad.
Imagen tomada de: http://tecnologia.technology/que-es-la-seguridad-informatica.htm |
Los
problemas de seguridad sobre los cuales actualmente aun se enfrentan
las redes y las bases de datos, se ilustran a continuación:
Ataques
de Inyección
Este es un problema de programación en la aplicación web que
interactúa con la BD, este se relaciona con el hecho de que el
programador no verifica que se validen de manera lógica y correcta
los datos introducidos por el usuario de dicha aplicación. Dado este
problema el atacante pude aprovechar esta vulnerabilidad y realizar
diversas consultas para lograr sus objetivos.
Pérdida
de integridad.
Se trata fallos en el procesamiento lógico del sistema de
administración de BD, adicional; a problemas de programación sobre
las aplicaciones diseñadas para el procesamiento de información e
interacción con la BD. Este evento causa que aparezcan datos
inválidos, erróneos y corruptos, por lo cual se hace necesario que
se realice un mantenimiento periódico de los distintos sistemas de
administración de información.
El
robo y el fraude
Los
problemas y amenazas en la seguridad de la información evolucionan
tan rápido como la tecnología cambiante que intenta mejorar
aspectos relacionados de eficiencia y eficacia en el tratamiento y
procesamiento de información. Estos no afectan solamente al entorno
y funcionamiento integro de la BD, si
no a toda la organización.
Este
tipo de aprovechamiento de vulnerabilidades son ejecutados por
personas y por ello es necesario reducir de manera considerable las
oportunidades y opciones que estos sujetos
puedan tener para
llevar a cabo sus objetivos. El robo y el fraude no significa
directamente que se produzca una
alteración en los datos, si
no
que se produce una clara pérdida de
confidencialidad y
privacidad.
Pérdida
de confidencialidad y privacidad
Confidencialidad
hace referencia a la necesidad de mantener
en secreto
ciertos
datos críticos para la organización, mientras
que Privacidad
hace
referencia a la necesidad de proteger datos acerca de las
personas
.
Las principales amenazas que ponen en tela de juicio la seguridad.
Imagen tomada de: http://informaticaiecn.blogspot.com/2011/07/ciberataques-mas-frecuentes-mas.html |
Limitada educación, conocimiento y experiencia en seguridad de la
información por parte de los usuarios: Las organizaciones de hoy
en día prestan poca o nula atención a la implementación de una
política orientada a la flexibilización de los procedimientos en
materia de seguridad de la información, esta no se ajusta a los
nuevos retos, requerimientos y cambios continuos del entorno, además;
no incorporan dentro de esta, un ítem orientado a la capacitación
continua del personal que allí trabaja.
Información sensible mal administrada: La información
almacenada en las BD estará expuesta ante posibles ataques si no se
implementa de manera adecuada y a tiempo, los respectivos
procedimientos, permisos y controles de acceso necesarios, para que
este activo valioso para la organización sea íntegramente
administrado.
Debilidad en las Auditorías de control y seguimiento: La
realización de una auditoría en seguridad ha de mostrar mediante el
registro detallado de hallazgos, las acciones pertinentes a seguir
para que el sistema informático y de administración de información
funcione lo mas idóneamente posible. El no llevar a cabo este
registro de hallazgos detallado y la aprobación no estudiada de las
acciones orientadas a brindar un grado mas de seguridad en los datos
administrados, puede llegar a representar un riesgo muy serio para la
organización, pues; de estos depende que se implementen las acciones
de mejora correctas y adecuadas para el funcionamiento integral de la
BD.
Acceso no autorizado y/o abusivo a los sistemas informáticos y
medios de recuperación “Backup”: Este factor se presenta
cuando una política de seguridad de la información es débil en
cuando a los controles de acceso físico a los recursos administrados
en una organización. Un acceso no autorizado o abusivo a un centro
de datos, rack de equipos o sala de servidores empresarial, puede
resultar un hecho lamentable con grandes repercusiones, pues; se
puede presentar hechos de sustracción, modificación, o eliminación
de información sensible y valiosa para la organización. Un sistema
o red de información puede verse seriamente afectado en su totalidad
y ser irreparable en su estado funcional ante esta situación, para
que este evento no suceda, se recomienda realizar un fortalecimiento
en cuanto a las políticas de seguridad de la información orientadas
a la auditoría y monitorización constante sobre el acceso a estos
recursos, los cuales administran información altamente confidencial.
Denegación de servicio (DoS): Esta
amenaza busca bloquear el acceso legitimo a los usuarios autorizados
en el sistema informático, el acceso a una Base de Datos puede verse
seriamente afectada ya que este tipo de ataque busca dejar por fuera
la recepción de información y procesamiento de esta en el SGBD para
los diferentes usuarios legalmente autorizados ante el sistema. Este
tipo de amenaza busca realizar hechos delictivos de extorsión y
chantaje ante las exigencias del victimario o atacante.
Explotación de vulnerabilidades por bases de datos mal
configuradas: Los atacantes buscaran mediante nuevas técnicas de
intrusión o explotación, el acceso legitimo no autorizado sobre los
recursos informáticos previamente analizados por estos. Una Base de
Datos es uno de los mayores fortines a lograr, pues; mediante su
experiencia y experticia logran explotar vulnerabilidades ya
conocidas, errores de configuración y descuidos administrativos que
dejan entrever la exposición de esta, ya que en ocasiones casi que
de manera ingenua, la información valiosa queda fácilmente visible
por los atacantes.
Privilegios excesivos en los usuarios: Cuando a algún usuario
se le otorgan privilegios de base de datos que exceden los
requerimientos de su puesto de trabajo, se crea un riesgo
innecesario. Los mecanismos de control de privilegios de los roles de
trabajo han de ser bien definidos o mantenidos.
Abuso en los Privilegios dados a los usuarios: Los
administradores de red o del sistema informático, en ocasiones por
desconocimiento de las políticas en materia de seguridad de la
información y su irresponsabilidad ante eventuales solicitudes no
formales, ceden privilegios a usuarios que muchas ocasiones solicitan
la elevación de privilegios sin ninguna justificación para acceder
a recursos a los cuales no se les ha autorizado, adicional; en
ocasiones esto sucede por la excesiva confianza y cercanía de
amistad entre administradores y usuarios normales. Estos últimos
pueden llegar al abuso en el uso de los privilegios otorgados, sean
estos en los sistemas informáticos, bases de datos o redes de
comunicación en general, entre las posibilidades de atentar contra
la integridad de la información administrada están el de sustraer
información confidencial, modificar registros de información y
eliminar datos o evidencias que los inculpan.
Infeccion con Malware: Es una técnica de ataque bien
elaborada, plenamente configurada y eficazmente programada por
hackers o especialistas en programación y administración de redes.
Este tipo de ataque busca el penetrar en los sistemas informáticos
de las organizaciones, robar, alterar o suprimir datos confidenciales
y burlar los controles de seguridad en el acceso a los sistemas
informáticos.
Inyección de código SQL: Es
uno de los ataques mas comunes en la seguridad de la
información presente en Bases de Datos, mediante técnicas de
programación, secuencias lógicas de código y consultas genéricas
sobre la interfaz de comunicación entre BD y cliente, este tipo de
amenaza puede lograr dar acceso a algún usuario sea este bien
intencionado o no y sin ningún tipo de restricción o condición
para su movimiento en una base de datos completa, en ocasiones;
incluso este puede llegar a copiar o modificar la información a su
antojo sin ningún tipo de control o seguimiento.
Los estándares y normas en materia de seguridad de la información.
Imagen tomada de: http://www.ciset.es/publicaciones/noticias/item/121-ciset-obtiene-las-certificaciones-iso-20000-e-iso-27001 |
Dadas la situaciones anteriores, a
continuación se propone la implementación de políticas de
administración de seguridad de la información de conformidad con la
norma ISO/IEC 27001 en lo relacionado con el control de acceso:
- Acceso Físico
- Establecer seguridad perimetral física mediante personal especializado durante las 24 horas.
- Implementar acceso restringido a través de tecnologías biométricas.
- Establecer sistemas de vigilancia con vídeo y sonido en todas las instalaciones de la organización.
- Establecer sistemas de control de humedad temperatura y contraincendios en todos los centros de datos.
- Instalar sistemas de alimentación eléctrica subterránea
- Establecer sistemas de alimentación eléctrica ininterrumpida (UPS)
- Instalar extinguidores contra-incendio en todas las instalaciones de la organización.
- Acceso Lógico
- Realizar una conexión a Internet a través de distintos enlaces enrutados redundantes de varios proveedores ADSL
- Configurar servidores de seguridad perimetrales y enrutadores periféricos que bloqueen el acceso a protocolos no utilizados.
- Configurar servidores de seguridad internos que segreguen el tráfico entre la aplicación y los niveles de base de datos.
- Configurar equilibradores de carga que proporcionan los servidores proxy para tráfico interno y externo.
- Evaluar periódicamente la seguridad de la información de manera interna e independiente.
- Realizar copias de seguridad en cinta de todos los datos en cada centro de datos.
- Identificación de usuario y administración de accesos
- Establecer y configurar conexiones a los diferentes accesos de datos mediante patrones de comunicación SSL 3.0/TLS 1.0 los cuales utilizan certificados emitidos por entidades de confianza.
- Identificar sesiones de usuario individuales verificando y monitorizando su actividad mientras ejecuta transacciones sensibles en la base de datos.
0 comentarios: