¿Qué es la seguridad de datos?

Definición de seguridad de datos

La seguridad de los datos se refiere a las medidas de protección empleadas para proteger los datos contra accesos no autorizados y para preservar la confidencialidad, la integridad y la disponibilidad de la base de datos. Las mejores prácticas de seguridad de datos incluyen técnicas de protección de datos como cifrado de datos, gestión de claves, ocultación de datos, agrupación de datos en subconjuntos y enmascaramiento de datos, así como controles de accesos de usuarios con privilegios, auditoría y supervisión.

Mejores prácticas de la seguridad de datos

Las mejores prácticas de seguridad de los datos deben aplicarse tanto en entornos locales como en la nube de cara a mitigar el riesgo de violación de datos y lograr el cumplimiento normativo. Las recomendaciones específicas pueden variar, pero normalmente requieren una estrategia de seguridad de datos en capas diseñada para aplicar un método de defensa en profundidad. Existen controles concretos para mitigar los diferentes vectores de amenazas. Las diversas áreas de solución incluyen capacidades para evaluar, detectar y supervisar la actividad y las amenazas de las bases de datos.

La importancia de la seguridad de datos

Los datos constituyen uno de los activos más importantes de las organizaciones. Por lo tanto, resulta fundamental proteger los datos frente a todos y cada uno de los accesos no autorizados. Las filtraciones de datos, las auditorías deficientes o el incumplimiento de los requisitos normativos pueden dañar la reputación, provocar la amortización del valor de marca, poner en riesgo la propiedad intelectual y redundar en multas por incumplimiento. Según el Reglamento general de protección de datos (RGPD) de la Unión Europea, las filtraciones de datos pueden desembocar en multas hasta del 4 % de los ingresos anuales globales de una organización, con lo que a menudo se traduce en una pérdida financiera significativa. Los datos confidenciales incluyen información personal, financiera, sanitaria y propiedad intelectual. Los datos deben protegerse para evitar filtraciones y garantizar el debido cumplimiento de las normativas.

Seguridad de datos y el RGPD

El enmascaramiento de datos, la agrupación de datos en subconjuntos y la ocultación de datos son técnicas dirigidas a reducir la exposición de los datos confidenciales en las aplicaciones. Estas tecnologías desempeñan un papel fundamental a la hora de abordar los requisitos de anonimización y seudonimización asociados con reglamentos como el RGPD de la UE. El RGPD de la Unión Europea se basó en principios de privacidad establecidos y ampliamente aceptados, como limitación de la finalidad, legalidad, transparencia, integridad y confidencialidad. Refuerza los requisitos de privacidad y seguridad existentes, incluidos los requisitos de notificación y consentimiento, las medidas de seguridad técnicas y operativas y los mecanismos de flujos transfronterizos de datos. Para adaptarse a la nueva economía digital, global y basada en datos, el RGPD también formaliza nuevos principios de privacidad, como la responsabilidad y la minimización de datos.

En virtud del Reglamento General de Protección de Datos (RGPD), las violaciones de datos pueden redundar en multas de hasta el cuatro por ciento del volumen de negocio anual global de una empresa o de 20 millones de euros, si este importe es mayor. Las empresas que recopilen y gestionen datos en la UE deberán considerar y gestionar sus prácticas de tratamiento de datos, incluidos los siguientes requisitos:

• Seguridad de los datos. Las empresas deben implantar un nivel de seguridad adecuado, que incluya controles de seguridad técnicos y organizativos, para evitar la pérdida de datos, filtraciones de información u otras operaciones de procesamiento de datos no autorizadas. El RGPD anima a las empresas a incorporar los requisitos de cifrado, gestión de incidentes e integridad, disponibilidad y resiliencia de las redes y los sistemas en su programa de seguridad.
• Ampliación de los derechos de las personas. Las personas tienen mayor control sobre sus datos y, en última instancia, mayor responsabilidad. También disponen de un amplio conjunto de derechos de protección de datos, incluido el derecho a la portabilidad de los datos y el derecho al olvido.
• Notificación de filtración de datos. Las empresas deben informar a sus reguladores o a las personas afectadas sin incurrir en demoras indebidas una vez que se percaten de que sus datos han sido objeto de violación.
• Auditorías de seguridad. Se espera que las empresas documenten y mantengan registros de sus prácticas de seguridad, auditen la eficacia de su programa de seguridad y tomen las medidas correctivas siempre que proceda.

¿Qué desafíos presenta la seguridad de las bases de datos?

Las bases de datos son valiosos repositorios de información confidencial, lo que las convierte en el objetivo principal de los ladrones de datos. Normalmente, los hackers de datos se pueden dividir en dos grupos: internos y externos. Los externos incluyen a cualquier persona, desde hackers que actúan en solitario hasta ciberdelincuentes que tratan de interrumpir las operaciones de negocio u obtener un beneficio económico, u organizaciones criminales y patrocinadas por estados nación que buscan cometer fraudes para crear interrupciones a escala nacional o global. Los internos pueden comprender empleados actuales o antiguos, curiosos y clientes o socios que se aprovechen de su posición de confianza para robar datos, o que cometan un error que resulte en un incidente de seguridad no deseado. Tanto los externos como los internos generan riesgos para la seguridad de los datos personales, la información financiera, los secretos comerciales y los datos regulados.

Los ciberdelincuentes cuentan con diversos métodos para tratar de robar datos de las bases de datos:

• Comprometer o robar las credenciales de una administrador con privilegios o una aplicación. Estas acciones suelen producirse a través de phishing en correos electrónicos, otras formas de ingeniería social, o utilizando malware para descubrir las credenciales y, en última instancia, los datos.
• Aprovechamiento de puntos débiles en aplicaciones con técnicas como la inyección SQL o elusión de la seguridad de la capa de la aplicación incrustando un código SQL en datos introducidos por el usuario final aparentemente inocuos.
• Escalado de los privilegios de tiempo de ejecución aprovechando aplicaciones vulnerables.
• Acceso a los archivos de la base de datos no cifrados en el disco.
• Explotación de sistemas no actualizados o bases de datos mal configuradas para eludir los controles de acceso.
• Robo de cintas de archivo y soportes que contengan copias de seguridad de la base de datos.
• Robo de datos de entornos que no sean de producción, como DevTest, donde es posible que los datos no estén tan protegidos como en los entornos de producción.
• Visualización de datos confidenciales mediante aplicaciones que los expongan involuntariamente excediendo la capacidad de acceso que deberían tener los usuarios o la propia aplicación.
• Errores humanos, accidentes, uso compartido de contraseñas, errores de configuración y otros comportamientos irresponsables de los usuarios, que siguen suponiendo casi el 90 % de las vulneraciones de seguridad.

Mejores prácticas de seguridad de bases de datos

Una estrategia de seguridad de bases de datos bien estructurada debe incluir controles para mitigar múltiples vectores de amenazas. El mejor método es un marco integrado de controles de seguridad que se pueda desplegar fácilmente para aplicar los niveles de seguridad adecuados. Estos son algunos de los controles más utilizados para proteger las bases de datos:

• Los controles de evaluación ayudan a analizar la postura de seguridad de una base de datos y también deben ofrecer la capacidad de identificar cambios de configuración. Las organizaciones pueden definir un punto de referencia y posteriormente identificar el cambio. Los controles de evaluación también ayudan a las organizaciones a identificar datos confidenciales en el sistema, incluido el tipo de datos y dónde residen. Los controles de evaluación tratan de dar respuesta a las siguientes preguntas:
  • ¿Está configurado correctamente el sistema de la base de datos ?
  • ¿Los parches están actualizados y se aplican con regularidad?
  • ¿Cómo se gestionan los privilegios de los usuarios?
  • ¿Qué datos confidenciales existen en el sistema de la base de datos? ¿Cuántos? ¿Dónde residen?
• Los controles descriptivos supervisan el acceso de los usuarios y las aplicaciones a los datos, identifican comportamientos anómalos, detectan y bloquean amenazas y auditan la actividad de la base de datos para generar informes en materia de cumplimiento.
• Los controles preventivos deniegan el acceso no autorizado a los datos mediante el cifrado, la ocultación, el enmascaramiento y la agrupación de datos en subconjuntos, en función del caso de uso previsto. El objetivo final de los controles preventivos es evitar el acceso no autorizado a los datos.
• Los controles específicos de datos aplican políticas de acceso de nivel de aplicación en la base de datos, lo que proporciona un modelo de autorización coherente en múltiples aplicaciones, herramientas de presentación de información y clientes de base de datos.
• Los controles específicos de usuario aplican políticas adecuadas de autenticación y autorización de usuarios, lo que garantiza que solo los usuarios autenticados y autorizados tengan acceso a los datos.

Obtén más información sobre la protección de Oracle Database (PDF)

Soluciones de seguridad de datos

Reduce el riesgo de sufrir una violación de datos y simplifica el cumplimiento con las soluciones de seguridad de las bases de datos para cifrado, gestión de claves, enmascaramiento de datos, controles de acceso de usuarios con privilegios, supervisión de actividades y auditoría.

• Protección de datos: reduce el riesgo de una violación de datos y el incumplimiento de las soluciones para una amplia gama de casos de uso, como cifrado, gestión de claves, ocultación y enmascaramiento. Obtén más información sobre Data Safe.
• Control de acceso a datos: un paso fundamental para proteger un sistema de base de datos es validar la identidad del usuario que accede a la base de datos (autenticación) y controlar las operaciones que puede realizar (autorización). Contar con controles estrictos de autenticación y autorización ayuda a proteger los datos frente a los atacantes. Además, la aplicación de la separación de funciones ayuda a evitar que los usuarios con privilegios abusen de sus privilegios del sistema para acceder a datos confidenciales y también permite evitar cambios accidentales o malintencionados en la base de datos.
• Auditoría y supervisión: toda la actividad de las bases de datos se debe registrar para su posterior auditoría, incluida la actividad que se produce en la red, así como la actividad generada dentro de la base de datos (normalmente mediante conexión directa), que omite cualquier supervisión de red. La auditoría debería funcionar incluso si la red está cifrada. Las bases de datos deben proporcionar una auditoría sólida y completa que incluya información sobre los datos, el cliente desde donde se realiza la solicitud, los detalles de la operación y la propia sentencia SQL.
• Protección de bases de datos en la nube: los despliegues de bases de datos en la nube pueden reducir costos, liberar al personal para un trabajo más importante y fomentar una organización de TI más ágil y con mayor capacidad de respuesta. Sin embargo, esos beneficios pueden conllevar un riesgo adicional, incluido un perímetro de red extendido, una superficie de ataque mayor con un grupo administrativo desconocido e infraestructura compartida. Sin embargo, si se emplean las mejores prácticas en seguridad de bases de datos, la nube puede ofrecer mayor seguridad a la mayoría de las organizaciones que usan soluciones locales, todo al tiempo que se reducen los costos y se incrementa la agilidad.