¿Cómo mantener segura una base de datos?
Limitar el acceso o cifrar la información son solamente dos recomendaciones básicas que ofrece ESET.
La cantidad de contenido que se almacena en las bases de datos las convierte en objeto de ataque por parte de los ciberdelincuentes. Así lo advierte la compañía de seguridad ESET que, para ayudar a las empresas, ha publicado una lista con cinco consejos a seguir si se quieren mantener seguras esas bases de datos.
En primer lugar, ESET recomienda “limitar el acceso a la base de datos”. Esto supondría revisar los permisos, vinculando los procedimientos importantes con usuarios específicos. Y es que hay consultas que afectan a información sensible que solamente se le deberían permitir a personas muy concretas. Además, ESET propone descartar los accesos fuera del horario de trabajo.
Asimismo, no estará de más deshabilitar servicios que no se usan y, de ser posible, tener la base de datos en un servidor sin acceso directo desde internet.
El segundo gran consejo que da ESET es el de “identificar los datos sensibles y los datos críticos”, porque esto ayudará a elegir las herramientas de protección correctamente y a racionalizar recursos. Otra buena práctica sería llevar un inventario de las bases de datos que posee la empresa.
En tercer lugar, y con los datos sensibles y críticos ya identificados, hay que “cifrar la información” con algoritmos robustos para que quien pueda intentar hacerse con ella sin permiso se encuentre con contenido ilegible.
“Anonimizar las bases de datos que no son productivas” es el cuarto punto a tener en cuenta. Consiste en “un proceso mediante el cual se crea una versión similar” de la base de datos, “manteniendo la misma estructura que la original, pero alterando los datos sensibles para que permanezcan protegidos”, explica ESET. “A partir de esta técnica se cambian los valores respetando el formato”. Y es importante asegurarse de que sea imposible acometer ingeniería inversa.
Por último, es básico “monitorear la actividad de tu base de datos”, registrando y auditando movimientos para saber quién manipula los datos, cuándo lo ha hecho y cómo.