Leo un artículo muy interesante vía dmreview titulado "The Time Has Come for Database Security". Me parece un tema realmente interesante. Y es que aunque las BBDD han estado entre nosotros durante mucho tiempo, tan sólo en años recientes se ha prestado atención a la seguridad de éstas y ésta se ha realizado incluso así de forma prograsivamente lenta. Recientes vulnerabilidades y el creciente reconocimiento de la falta de inversión en este campo además del potencial riesgo que supone están forzando a las organizaciones a prestar atencióna a la seguridad de sus BBDD. El autor plantea 4 questiones importantes:
1) ¿Merece la pena proteger los datos que residen en las BBDD?
2) ¿Es posible e incluso sencillo que los datos caigan en manos de la personas equivocadas?
3) ¿Cuál es la naturaleza de la amenaza?¿Es seria? ¿Es una paranoia?
4) Si los datos se comprometen, ¿tendría un efecto negativo en la línea de flotación del negocio?En otras palabras ¿Por qué deberíamos preocuparnos?
Es importante tener en cuenta que las bases de datos disponen de información sensible. Tradicinalmente la infraestructura de seguridad de las organizaciones se ha focalizado en el perímetro pero es necesario considerar que las bases de datos tienen vulnerabilidades específicas que requieren métodos de protección al margen de los firewalls y los sistemas IDS/IPS. Por otro lado el incremento en la complejidad de las BBDD tiene como consecuencia la aparición de nuevas vulnerabilidades que pueden ser explotadas. Es necesario tener en cuenta que la motivación del "hacking" se ha transformado completamente en los últimos años. Se trata de un objetivo puramente comercial (se trata de un gran negocio). Pensemos sino en las transacciones fraudulentas que se realizan con las tarjetas de crédito obtenidas directamente de las BBDD. Por otro lado, muchos de los ataques provienen desde dentro de la organización, desde DBA's pasando por administradores de sistemas. Asimismo se plantea la siguiente cuestión: ¿Ser responsables de acuerdo a las leyes de tipo Sarbanes-Oxley y Basilea II implica disponer de sistemas más seguros? Parece que no, obviamente. El mensaje es claro: Los sistemas de BBDD no son tan seguros como debieran y ésto está dañando los negocios. Y hay que tener en cuenta que este riesgo es demasiado grande como para ignoralo........
1) ¿Merece la pena proteger los datos que residen en las BBDD?
2) ¿Es posible e incluso sencillo que los datos caigan en manos de la personas equivocadas?
3) ¿Cuál es la naturaleza de la amenaza?¿Es seria? ¿Es una paranoia?
4) Si los datos se comprometen, ¿tendría un efecto negativo en la línea de flotación del negocio?En otras palabras ¿Por qué deberíamos preocuparnos?
Es importante tener en cuenta que las bases de datos disponen de información sensible. Tradicinalmente la infraestructura de seguridad de las organizaciones se ha focalizado en el perímetro pero es necesario considerar que las bases de datos tienen vulnerabilidades específicas que requieren métodos de protección al margen de los firewalls y los sistemas IDS/IPS. Por otro lado el incremento en la complejidad de las BBDD tiene como consecuencia la aparición de nuevas vulnerabilidades que pueden ser explotadas. Es necesario tener en cuenta que la motivación del "hacking" se ha transformado completamente en los últimos años. Se trata de un objetivo puramente comercial (se trata de un gran negocio). Pensemos sino en las transacciones fraudulentas que se realizan con las tarjetas de crédito obtenidas directamente de las BBDD. Por otro lado, muchos de los ataques provienen desde dentro de la organización, desde DBA's pasando por administradores de sistemas. Asimismo se plantea la siguiente cuestión: ¿Ser responsables de acuerdo a las leyes de tipo Sarbanes-Oxley y Basilea II implica disponer de sistemas más seguros? Parece que no, obviamente. El mensaje es claro: Los sistemas de BBDD no son tan seguros como debieran y ésto está dañando los negocios. Y hay que tener en cuenta que este riesgo es demasiado grande como para ignoralo........
