Ron Ben-Natan, de Guardium

 
En la conferencia organizada por NeoSecure sobre Protección de Base de Datos participó como orador principal el Dr. Ron Natan, especialista en el tema, reconocido a nivel internacional por su experiencia y publicaciones. El evento se llevó a cabo el pasado 13 de septiembre en el Palacio Duhau del Park Hyatt.

El Dr. Ron Ben-Natan es CTO de Guardium, empresa de seguridad de Base de Datos con más de 20 años de experiencia y clientes a nivel mundial, entre los que figuran Merrill Lynch, JP Morgan, Intel, AT&T Bell Laboratories, entre otros.

Como consultor Gold de IBM y autor  de nueve libros técnicos, el Dr. Natan es un experto en base de datos y aplicaciones de seguridad, data governance, todo lo referido al manejo integral de la información utilizada en una empresa, desde la disponibilidad, integridad, uso y seguridad y aplicaciones distribuídas.

Su libro más reciente Implementing Database Security and Auditing, describe las mejores prácticas para proteger ambientes de base de datos heterogéneos y constituye una guía para los administradores (DBA), profesionales de seguridad informática y auditores en cuanto la implementación de seguridad y auditorías, monitoreo de todo tipo de ambientes, autenticación, autorización y protección de vulnerabilidades y ataques existentes en estos entornos.

• Las Bases de Datos actuales contienen muchos más datos críticos que hace una década
• Hoy en día, mediante aplicaciones web - que no existían 10 años atrás, cualquier persona puede acceder a la base de datos. Esto representa una vulnerabilidad que puede significar un ataque a la base de datos.
• Las arquitecturas de datos son mucho más complejas en la actualidad - incluyendo accesos por internet a bases de datos, transacciones distribuidas, replicación, entre otras. Además de las múltiples funcionalidades que han incorporado las bases de datos. Esto es importante para el negocio pero agrega complejidad al problema de la seguridad de la información.
• Y el cambio más significativo consiste en que hace diez años no contábamos con prácticas de requerimientos de regulaciones internas y externas referidas a los datos e infraestructura IT. En la actualidad existen múltiples requisitos, que hacen particular foco en las bases de datos.

Si bien podemos afirmar que los usuarios internos son el riesgo más considerable y en un ambiente de base de datos este tema adquiere particular relevancia; el mayor problema no es necesariamente la utilización inapropiada de la información por parte de los usuarios autorizados, ni el "hacking" o acceso no autorizado a los datos.

El problema de mayor importancia radica en los controles alrededor de las bases de datos y los usuarios que acceden a los datos.

Existen muchas instancias de fisuras de seguridad informática, pero adicionalmente, existen problemas en el cumplimiento de normas IT y en la implementación de adecuados controles y procesos a fin de comenzar con el desarrollo de una infraestructura de datos que puedan lidiar con estos riesgos. Este es definitivamente un problema global.

Dificultad para lograr una Base de Datos segura 

Alcanzar la seguridad de la base de datos es una tarea difícil dado la complejidad de las mismas. Los servidores de base de datos son por lejos los más complejos de una infraestructur IT. La complejidad de SQL como un lenguaje de elevados procedimientos técnicos y la amplitud de las cosas que una base de datos puede hacer, hacen más difícil garantizar la seguridad de las mismas.

Además hay que considerar que las bases de datos son administradas por "DBAs" o Administradores de Bases de Datos, y en general su mayor preocupación es la performance y la disponibilidad de la información, dejando a la protección de los datos en un segundo plano.

Considerando que las bases de datos han sido parte de la infraestructura IT por 20 años o más, las prácticas actuales de seguridad son inadecuadas y obsoletas.

Los peligros de no proteger la base de datos 

Una base de datos desprotegida es un riesgo inaceptable que las compañías no deberían afrontar. Las bases de datos son consideradas "la joya de la corona" - todo lo que importa se guarda en una base de datos - por lo cual no es información que una empresa pueda poner en riesgo.

Las implicaciones de no contar con una adecuada seguridad, pueden generar para la empresa una pérdida de credibilidad entre sus clientes. Más aún, las regulaciones actuales ponen foco en las mejores prácticas y controles para una seguridad de estándares aceptables en bases de datos, de tal forma que no recurrir a estos niveles de protección informática no es una opción. Sean estas regulaciones específicas a una oferta vertical de industria - como PCI - o geográficas o regulaciones como SOX.

El riesgo de una base de datos no radica solamente en un ataque si no también en no operar conforme a normas, estándares y regulaciones.

Tendencias en Seguridad de Base de Datos 

Las tendencias en seguridad de bases de datos se basan en la necesidad de:

• Auditar completamente a usuarios con acceso privilegiado.
• Clasificar los datos de manera que las políticas puedan ser aplicadas correctamente.
• Instalar mejores controles sobre los administradores, de tal forma que no utilicen sus privilegios de forma inapropiada.
• Proteger y auditar los datos considerados críticos.
• Generar bases de datos más fuertes y evaluar su configuración.
• Automatizar el reporte de acceso a la base de datos para reducir costos en el cumplimiento de las regulaciones y normativas.

.