Recientemente la Independent Oracle Users Group's (IOUG) (ver referencias) liberó un estudio realizado con 430 de sus miembros sobre la seguridad en los datos, donde se revelan cinco puntos claves que muestran porqué falla la seguridad en las bases de datos. Los cinco puntos son:
1. Las organizaciones no saben aún donde residen sus datos sensibles
2. El monitoreo de la seguridad sigue siendo aún irregular y no sistemático
3. Los usuarios privilegiados se siguen ejecutando sin un adecuado control y seguimiento
4. Los parches en las bases de datos se despliegan y aplican lentamente
5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos
Cuando se advierten estas cinco conclusiones sobre la seguridad de la bases de datos, encontramos que son situaciones que en la mayoría de ellas se encuentran asociadas con ineficientes prácticas de seguridad de la información que exponen la información y a la organización a posibles fallas o vulnerabilidades que pueden ser explotadas tanto por atacantes internos como externos.
El estudio afirma que las organizaciones no saben donde residen sus datos sensibles. Esta es una realidad en muchas empresas a nivel internacional, la cual se manifiesta en una inadecuada o inexistente clasificación de la información. Esto es, que las corporaciones no se toman el tiempo para adelantar el análisis de riesgos propios de los flujos de información en sus negocios, de tal manera que puedan identificar aquella información que por su confidencialidad requiera niveles de protección diferentes a las demás.
Esta situación se agrava aún más cuando las prácticas de seguridad de la información no son constantes, lo que lleva a una aplicación sistemática de comportamientos inapropiados con la información que pueden ser, ingenuos por el desconocimiento del nivel de confidencialidad de la información o definitivamente intencionales, sabiendo que por la ausencia de controles e indefiniciones frente al tratamiento de la información, es posible filtrarla con la complicidad de un limitado seguimiento y control propio de los participantes en los procesos de la compañía.
Lo anterior confirma la segunda conclusión del estudio: el monitoreo sigue siendo irregular e inconstante. La seguridad de la información cuando se traduce en una inestable y débil gestión de reconocimiento de la inseguridad en los procesos de negocio, allana el camino para la materialización de incidentes de seguridad con consecuencias inesperadas, dado que no se conoce el alcance ni impacto de cada uno de los componentes del proceso y su interrelación con las otras áreas de negocio.
Esta situación, exige de las organizaciones modernas, la incorporación de prácticas de control interno, que le permitan afianzar el reconocimiento de los riesgos en el tratamiento de la información para así, hacer de ciclo de vida de la información, una experiencia conocida y apropiada por todos y cada uno de los colaboradores empresariales.
Ya la tercera conclusión, sobre la falta de monitoreo de los usuarios privilegiados es un llamado de atención al sistema de control interno informático de las organizaciones. Mientras los administradores de las bases de datos, así como los administradores de servidores o dispositivos de telecomunicaciones, mantengan su hálito de “intocabilidad” por su clara función crítica en el funcionamiento de los sistemas informáticos de las organizaciones y no se acojan a las prácticas de seguridad y control, que exige básicamente la trazabilidad de sus operaciones, así como la aplicación de guías de aseguramiento de cada uno de sus dispositivos, mantendremos una gestión parcial de seguridad que podrá ver claramente lo que los usuarios desarrollan en las aplicaciones, pero una vista borrosa e inexacta de lo que los usuarios privilegiados aplican o ejecutan sobre los componentes básico de la infraestructura computacional de las empresas.
Hablar de parches y aplicación de los mismos es hablar de una operación de cirugía de alta precisión, pues esto implica conocer muy bien las aplicaciones y la manera como ellas funcionan en los diferente servidores. Cuando de aplicar un parche se trata, se hace necesario establecer una “ventana de tiempo” para que en un ambiente controlado y donde las aplicaciones no estén funcionando, se pueda instalar éstos y ver los comportamientos de la máquina y del software base, así como de las aplicaciones. Estas últimas son las que ante una actualización pueden dejar de funcionar o hacerlo de manera errática, lo cual implica un trabajo conjunto con los líderes funcionales de éstas con el fin de asegurar que la solución sigue funcionando como se tiene previsto.
Aplicar un parche, no es instalar un archivo ejecutable en un servidor y esperar a que se termine su realización; es todo un procedimiento formal en la organización donde participan tanto el área de tecnología de información como el área de negocio, para asegurar que las condiciones y acciones requeridas para que el proceso de actualización se dé y que ante cualquier eventualidad se tienen previstos los mecanismos de “vuelta atrás” y respaldos, que permitan mantener la operación y excepcionar si es necesario, la aplicación del parche en la máquina. Es claro que una situación como la anterior, exige de la organización una revisión de la aplicación afectada, con el fin de evaluar y revisar su código para ver alternativas de afinamiento según se requiera.
Finalmente el estudio nos habla sobre el uso de las técnicas de cifrado, las cuales son ampliamente conocidas y las cuales cuentan con aplicaciones de implementación tanto en bases de datos como en aplicaciones, con el fin de asegurar la confidencialidad en el tratamiento de la información en los diferentes escenarios en los que la información fluye.
El uso de cifrado de la información en las bases de datos o en sobre cualquier información bien sea en servidores de alto desempeño o en dispositivos móviles, lleva consigo un impacto en desempeño propio de la aplicación de los algoritmos utilizados. Mientras la operacionalización de las técnicas de cifrado se apalanquen en el uso intensivo del procesador, siempre habrá un costo base en el tiempo de respuesta, que estará disminuido en la manera como cada implementador del algoritmo lo desarrolle. Así las cosas, en las bases de datos conocidas este es un costo que debe ser considerado en el momento del diseño de la seguridad de la misma, siempre y cuando esta fase, haga parte de la puesta en operación de un sistema manejador de bases de datos.
Las conclusiones del estudio realizado por la Independent Oracle Users Group's (IOUG), demuestran una vez más que la seguridad de la información aún continua siendo una realidad “externa” a la gestión propia de la tecnología de la información en las organizaciones, lo cual genera el escenario ideal para que la maestra inseguridad encuentre nuevas razones para mostrarnos que mantiene su posición vigilante ante nuestra inconstancia y falta de aseguramiento de acciones preventivas que nos permitan anticiparnos a las lecciones propias de la fallas de seguridad.
En consecuencia, debemos reconocer que si queremos, podemos aumentar la predictibilidad de la operación de las tecnologías de información, no sólo desde las buenas prácticas de seguridad inmersas en los procesos de negocio, sino dentro del colectivo cultural y social de los participantes de la empresa, quienes son los que al final del día hacen la diferencia en la gestión de la seguridad de la información.
Referencias:
http://www.darkreading.com/shared/printableArticle.jhtml?articleID=227500653
http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf
Interesante artículo. Las prácticas de control interno para el tratamiento de datos e información son hoy en día formalmente implementadas mediante un gobierno de datos y la implementación formal de una gestión de datos. El DAMA (Data Management Organization) tiene un framework llamado DAMA-DMBOK que ha tomado mucha fuerza y establece como una de las actividades de gestión de datos la gestión de seguridad de información, desde la aplicación de estándares, clasificación, hasta la propia administración y auditoría. Todo esto visto como parte integral de la gestión de datos y no como una actividad aislada propia de TI.
ResponderEliminarEste tema es emergente y aún no se concibe como una necesidad en las organizaciones porque todavía no se considera a los datos como un activo real.