Las bases de datos de cualquier empresa es el objetivo principal de muchos ciberatacantes. Nombres, números de teléfono y cédula, correos electrónicos y hasta contraseñas pueden verse comprometidas si quienes ejecutan el ataque logran su cometido. Por eso es importante seguir estas cinco recomendaciones que nos comparte ESET, empresa de seguridad informática, para las bases de datos que están en la nube o en servicios tercerizados.
Limita los accesos
Es importante que los responsables realicen un riguroso control de ingreso para que sepan quiénes, cuándo y desde dónde han ingresado. Esto impedirá que cualquier tercero pueda ingresar sin haber sido registrado previamente. También es importante que se limiten los tipos de procesos que estén autorizados con las bases de datos. Si existen procedimientos autorizados pero que ya no se realizan, también es aconsejable deshabilitarlos para que no haya ataques por allí. Además, siempre que sea posible, la base de datos debe estar en un servidor que no tenga acceso directamente desde Internet, para evitar que la información quede expuesta a atacantes remotos.
Datos sensibles y críticos
Luego de limitar los accesos hay que definir qué información de esas bases de datos son sensibles y críticos. Para esto, es importante entender la lógica y arquitectura de la base de datos. No todos los datos que almacenamos son críticos o deben ser protegidos, por lo que no tiene sentido gastar tiempo y recursos en esta información. Recuerda tener un inventario de lo que tienes en tu base de datos para que no se quede ningún dato sensible o crítico por fuera al momento de hacer una copia de respaldo.
Cifrado de información
Utiliza algoritmos robustos en esos datos sensibles y críticos para cifrar la información. Cuando un atacante usa una vulnerabilidad y logra tener acceso a un servidor o un sistema, lo primero que intentará robar son las bases de datos. Las mismas tienen un gran valor, ya que normalmente incluyen muchos gigas de información, y la mejor manera de preservarla es volverla ilegible.
Anominizar las bases de datos no productivas
Muchas empresas invierten tiempo y recursos en proteger sus bases de datos productivas, pero al momento de hacer un desarrollo o crear un entorno de pruebas, simplemente hacen una copia de la base original y comienzan a utilizarla en ambientes mucho menos controlados, exponiendo de esta manera toda la información sensible.
La anonimización es un proceso mediante el cual se crea una versión similar, manteniendo la misma estructura que la original, pero alterando los datos sensibles para que permanezcan protegidos. A partir de esta técnica se cambian los valores respetando el formato.
Los datos se pueden cambiar de diferentes maneras: mezclándolos entre sí, cifrándolos, mezclando los caracteres o sustituyendo palabras. El método elegido dependerá del administrador, las reglas y formatos que se deban mantener, pero sea cual sea, debe garantizar que el proceso sea irreversible. Es decir, que no se pueda hacer ingeniería reversa para volver a obtener los datos originales.
Monitoreo constante
Estar atento, controlar y registrar los usuarios y sus movimientos sobre los datos te permitirá saber quién, qué, cuándo y cómo han manipulado la información. Puedes construir historial de las transacciones para comprender patrones en el acceso y modificación de los datos, evitando así las fugas de información, controlar cambios fraudulentos y detectar acciones sospechosas en tiempo real.
Imagen: iStock.
