Ce este Data Security?

Definiția securității datelor

Securitatea datelor se referă la măsurile de protecție adoptate în vederea securizării datelor împotriva accesului neautorizat și pentru menținerea confidențialității, integrității și disponibilității datelor. Cele mai bune practici privind securitatea datelor includ tehnicile de protecție a datelor precum criptarea datelor, gestionarea cheilor, redactarea datelor, crearea de subseturi de date și mascarea datelor, precum și controlul accesului utilizatorilor în funcție de privilegii, auditurile și monitorizarea.

Cele mai bune practici privind securitatea datelor

Cele mai bune practici privind securitatea datelor ar trebui să fie utilizate atât on-premises, cât și în cloud, în vederea reducerii riscului unei breșe de date și respectării reglementărilor. Recomandările specifice pot diferi, dar, de obicei, se referă la necesitatea adoptării unei strategii de securitate a datelor pe mai multe niveluri, astfel încât protecția să fie deplină. Diversele controale reduc vectorii amenințărilor. Soluțiile din diverse domenii includ capacitățile de evaluare, detectare și monitorizare a activităților și amenințărilor din baza de date.

Importanţa securității datelor

Datele reprezintă unul dintre cele mai importante active pentru orice organizație. Ca atare, este esențial să protejați datele împotriva oricărui acces neautorizat. Încălcările securității datelor, auditurile eșuate și nerespectarea cerințelor de reglementare pot duce la prejudicii reputaționale, pierderea valorii mărcii, compromiterea proprietății intelectuale și amenzi pentru neconformitate. În conformitate cu Regulamentul general privind protecția datelor (RGPD) în Uniunea Europeană, încălcările securității datelor pot duce la amenzi de până la 4% din venitul anual global al unei organizații, ceea ce duce adesea la pierderi financiare semnificative. Datele confidențiale includ informațiile de identificare a persoanelor, informațiile financiare, informațiile privind starea sănătății și proprietatea intelectuală. Datele trebuie protejate pentru a se evita divulgarea acestora și în scopul conformității.

Securitatea datelor și RGPD

Mascarea datelor, crearea de subseturi de date și redactarea datelor sunt tehnici de reducere a riscului de divulgare a datelor confidențiale din cadrul aplicațiilor. Aceste tehnologii joacă un rol cheie pentru respectarea cerințelor de anonimizare și pseudonimizare, asociate cu reglementări precum RGPD în UE. RGPD în Uniunea Europeană a fost creat conform unor principii ale confidențialității consacrate și acceptate pe scară largă, cum ar fi limitarea scopului, legalitatea, transparența, integritatea și confidențialitatea. Acesta consolidează cerințele existente în materie de confidențialitate și securitate, inclusiv cerințele privind notificarea și consimțământul, măsurile tehnice și operaționale de securitate și mecanismele transfrontaliere pentru fluxul de date. Pentru a se adapta la noua economie digitală, globală și bazată pe date, RGPD formulează, de asemenea, noi principii ale confidențialității, cum ar fi responsabilitatea și minimizarea datelor.

În temeiul Regulamentului general privind protecția datelor (RGPD), încălcările securității datelor pot duce la amenzi de până la patru procente din cifra de afaceri anuală globală a unei companii sau de până la 20 de milioane EUR, oricare dintre acestea este mai mare. Companiile care colectează și gestionează date în UE vor trebui să respecte cu strictețe practicile privind prelucrarea datelor, inclusiv următoarele cerințe:

• Securitatea datelor. Companiile trebuie să implementeze un nivel adecvat de securitate, care să cuprindă atât controale de securitate tehnice, cât și organizaționale, pentru a preveni pierderea datelor, scurgerile de informații sau alte operațiuni neautorizate de prelucrare a datelor. RGPD încurajează companiile să încorporeze cerințele privind criptarea, managementul incidentelor și integritatea rețelei și a sistemului, disponibilitatea și rezistența în programul lor de securitate.
• Drepturile extinse ale persoanelor. Persoanele fizice au un control mai mare - și, în cele din urmă, mai multe drepturi - asupra datelor proprii. Acestea au, de asemenea, un set extins de drepturi privind protecția datelor, inclusiv dreptul la portabilitatea datelor și dreptul de a fi uitate.
• Notificare privind încălcarea securității datelor. Companiile trebuie să informeze autoritățile de reglementare și/sau persoanele afectate fără întârzieri nejustificate, după ce au luat cunoștință de faptul că datele lor au făcut obiectul unei încălcări a securității datelor.
• Audituri de securitate. Companiile trebuie să documenteze și să mențină evidențe ale practicilor lor de securitate, să auditeze eficacitatea programului lor de securitate și să ia măsuri corective, dacă este cazul.

Care sunt provocările privind securitatea bazelor de date?

Bazele de date sunt depozite valoroase de informații confidențiale, ceea ce le face ținta principală a hoților de date. De obicei, hackerii de date pot fi împărțiți în două grupuri: externi și interni. Externi pot fi toți hackerii, de la cei care acționează singuri, urmărind să provoace perturbări sau să obțină câștiguri financiare, până la grupurile criminale și organizațiile sponsorizate de unele state, care încearcă să comită fraude pentru a crea perturbări la scară națională sau globală. Din categoria internilor pot face parte foști sau actuali angajați, curioșii și unii clienți sau parteneri care profită de poziția lor de încredere pentru a fura date sau comit o greșeală care duce la un eveniment de securitate neintenționat. Atât cei din afară, cât și cei din interior creează riscuri pentru securitatea datelor cu caracter personal, a datelor financiare, a secretelor comerciale și a datelor reglementate.

Infractorii cibernetici au o varietate de metode pe care le folosesc atunci când încearcă să fure date din bazele de date:

• Compromiterea sau furtul acreditărilor unui administrator sau unei aplicații privilegiate. În acest scop, se utilizează, de obicei, phishingul prin intermediul e-mailului, alte forme de inginerie socială sau malware, pentru dezvăluirea acreditărilor și, în cele din urmă, a datelor.
• Exploatarea punctelor slabe din aplicații cu tehnici cum ar fi injectarea SQL sau ocolirea sistemului de protecție a aplicației prin înglobarea codului SQL într-o intrare aparent inofensivă furnizată de un utilizator final.
• Eludarea privilegiilor de utilizare prin exploatarea aplicațiilor vulnerabile.
• Accesarea fișierelor bazei de date care nu sunt criptate pe disc.
• Exploatarea sistemelor necorectate sau a bazelor de date configurate greșit, pentru ocolirea controalelor de acces.
• Furtul înregistrărilor arhivate și al suporturilor media care conțin backupurile bazei de date.
• Furtul de date din medii care nu sunt de producție, cum ar fi DevTest, unde este posibil ca datele să nu fie protejate la fel de bine ca în mediile de producție.
• Vizualizarea datelor confidențiale prin intermediul aplicațiilor care expun din greșeală date confidențiale depășind ceea ce ar trebui să poată accesa aplicația sau utilizatorul respectiv.
• Erori umane, accidente, transmiterea parolelor, greșeli de configurare și alte comportamente iresponsabile ale utilizatorilor, care continuă să fie cauza a aproape 90% din breșele de securitate.

Cele mai bune practici privind securitatea bazelor de date

O strategie de securitate bine structurată privind bazele de date ar trebui să includă controale pentru atenuarea unei varietăți de vectori de amenințări. Cea mai bună metodă este un cadru integrat de controale de securitate, care pot fi implementate ușor, pentru a aplica niveluri de securitate corespunzătoare. Iată unele dintre cele mai uzuale controale pentru securizarea bazelor de date:

• Controalele de evaluare ajută la evaluarea situației de securitate a unei baze de date și trebuie să ofere, de asemenea, posibilitatea identificării modificărilor configurației. Organizațiile pot seta o configurație de bază, apoi pot identifica abaterile. Controalele de evaluare ajută, de asemenea, organizațiile să identifice datele confidențiale din sistem, inclusiv tipul de date și locația acestora. Controalele de evaluare caută să răspundă la următoarele întrebări:
  • Sistemul bazei de date este configurat corect?
  • Corecțiile sunt actualizate și aplicate periodic?
  • Cum sunt gestionate privilegiile utilizatorilor?
  • Ce date confidențiale sunt în sistemul bazei de date? Câte? Unde se află?
• Controalele de detecție monitorizează accesul utilizatorilor și al aplicațiilor la date, identifică anomaliile comportamentale, detectează și blochează amenințările și auditează activitatea bazei de date, oferind rapoarte privind conformitatea.
• Controalele preventive blochează accesul neautorizat la date prin criptarea, redactarea, mascarea datelor și crearea de subseturi de date, în funcție de cazul de utilizare respectiv. Scopul final al controalelor preventive este de a opri accesul neautorizat la date.
• Controalele specifice datelor impun politicile de acces la nivel de aplicație din cadrul bazei de date, oferind un model de autorizare consecvent pentru mai multe aplicații, mai multe instrumente de raportare și mai mulți clienţi ai bazei de date.
• Controalele specifice utilizatorilor impun politicile corespunzătoare de autentificare și autorizare a utilizatorilor, asigurându-se că numai utilizatorii autentificați și autorizați au acces la date.

Aflați mai multe despre Securizarea Oracle Database (PDF)

Soluţii de securitate a datelor

Reduceți riscul unei breșe de date și simplificați conformitatea cu soluțiile pentru securitatea datelor urmând cele mai bune practici privind securitatea datelor, inclusiv criptarea, gestionarea cheilor, mascarea datelor, controalele de acces pentru utilizatori privilegiați, monitorizarea activității și auditul.

• Protecția datelor: reduceți riscul unei breșe de date și al neconformității cu soluții valabile pentru o gamă largă de cazuri de utilizare, cum ar fi criptarea, gestionarea cheilor, redactarea și mascarea. Aflați mai multe despre Data Safe
• Controlul accesului la date: un pas esențial pentru securizarea unui sistem de baze de date este validarea identității utilizatorului care accesează baza de date (autentificarea) și controlarea operațiunilor pe care le poate efectua acesta (autorizare). Autentificarea puternică și autorizarea contribuie la protejarea datelor împotriva atacatorilor. În plus, impunerea separării responsabilităților contribuie la împiedicarea utilizatorilor privilegiați să abuzeze de privilegiile lor de sistem pentru accesarea datelor confidențiale și la prevenirea modificării accidentale sau rău intenționate a bazei de date.
• Audit și monitorizare: toate activitățile bazei de date trebuie înregistrate în scopuri de audit - inclusiv activitățile care au loc în rețea, precum și activitățile declanșate în baza de date (de obicei prin conectare directă) ocolindu-se orice monitorizare a rețelei. Auditul ar trebui să funcționeze chiar dacă rețeaua este criptată. Bazele de date trebuie să furnizeze un audit robust și cuprinzător, care să includă informații despre date, clientul de unde se face cererea, detaliile operațiunii și declarația SQL în sine.
• Securizarea bazelor de date în cloud: prin implementarea bazelor de date în cloud, costurile se pot reduce, personalul are mai mult timp pentru activități mai importante, iar activitatea IT devine mai flexibilă și mai rapidă. Însă aceste beneficii pot fi însoțite de riscuri suplimentare, inclusiv din cauza perimetrului de rețea extins, suprafeței extinse a amenințărilor reprezentate de un grup administrativ necunoscut și infrastructurii comune. Totuși, prin utilizarea celor mai bune practici de securitate a bazelor de date, cloudul le poate oferi organizațiilor o securitate mai bună decât majoritatea soluțiilor on-premises, reducând totodată costurile și îmbunătățind flexibilitatea.