No se han encontrado resultados

Su búsqueda no coincide con ningún resultado.

Le sugerimos que pruebe lo siguiente para poder encontrar lo que está buscando:

  • Verifique la ortografía de su búsqueda de palabras clave.
  • Utilice sinónimos para la palabra clave que escribió; por ejemplo, intente con “aplicación” en lugar de “software”.
  • Pruebe con una de las búsquedas populares que se muestran a continuación.
  • Comience una nueva búsqueda.
Tendencias de preguntas

Definición de seguridad de datos

La seguridad de datos se refiere a las medidas de protección implementadas para proteger los datos contra el acceso no autorizado y preservar su confidencialidad, integridad y disponibilidad. Las prácticas recomendadas de seguridad de datos incluyen técnicas de protección de datos, por ejemplo, cifrado de datos, administración de claves, redacción de datos, subconjunto de datos y enmascaramiento de datos, así como controles de acceso de usuarios privilegiados y auditoría y monitoreo.

Prácticas recomendadas de seguridad de datos

Las prácticas recomendadas de seguridad de datos deben aprovecharse en entornos locales y en la nube para mitigar el riesgo de una filtración de datos y ayudar a lograr el cumplimiento normativo. Las recomendaciones específicas pueden variar, pero suelen requerir una estrategia de seguridad de datos por capas diseñada para aplicar un enfoque de defensa profundo. Los diferentes controles mitigan las diferentes amenazas. Las distintas áreas de solución incluyen la posibilidad de evaluar, detectar y monitorear la actividad y las amenazas de la base de datos.

La importancia de la seguridad de datos

Los datos son uno de los activos más importantes para cualquier organización. Por ello, es primordial protegerlos contra el acceso no autorizado. Las filtraciones de datos, las auditorías fallidas y el incumplimiento de los requisitos reglamentarios pueden dañar la reputación, generar pérdida del valor de la marca, comprometer la propiedad intelectual y suponer multas por incumplimiento. Según el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, las filtraciones de datos pueden dar lugar a multas de hasta el 4 % de los ingresos anuales globales de una organización, lo que suele suponer pérdidas financieras significativas. Los datos confidenciales incluyen información de identificación personal, información financiera, información de salud y propiedad intelectual. Los datos deben estar protegidos para evitar una filtración de datos y contribuir a lograr el cumplimiento.

Seguridad de datos y GDPR

El enmascaramiento de datos, la creación de subconjuntos de datos y la redacción de datos son técnicas para reducir la exposición de los datos confidenciales incluidos en las aplicaciones. Estas tecnologías son críticas para abordar los requisitos de anonimización y seudonimización asociados con normativas como el RGPD de la UE. El RGPD de la Unión Europea se basó en principios de privacidad establecidos y generalmente aceptados, como la limitación del propósito, la legalidad, la transparencia, la integridad y la confidencialidad. Refuerza los requisitos de privacidad y seguridad existentes, incluidos los requisitos de notificación y consentimiento, las medidas de seguridad técnicas y operativas, y los mecanismos de flujo de datos transfronterizos. Para adaptarse a la nueva economía digital, global y controlada por datos, el GDPR también formaliza nuevos principios de privacidad, como la responsabilidad y la minimización de datos.

Según el Reglamento General de Protección de Datos (GDPR), las filtraciones de datos pueden suponer multas de hasta el cuatro por ciento de la facturación anual global de una empresa o €20 millones, lo que sea mayor. Las empresas que se ocupan de la recopilación y el tratamiento de datos en la UE deberán considerar y administrar sus prácticas de tratamiento de datos, incluidos los siguientes requisitos:

  • Seguridad de datos. Las empresas deben implementar un nivel adecuado de seguridad, que abarque controles de seguridad técnicos y organizativos para evitar pérdida de datos, fugas de información u otras operaciones de procesamiento de datos no autorizadas. El RGPD anima a las empresas a incorporar cifrado, administración de incidentes, y requisitos de resistencia, disponibilidad e integridad de sistemas y redes en su programa de seguridad.
  • Derechos extendidos de las personas. Las personas tienen un mayor control y, en última instancia, una mayor propiedad de sus propios datos. También tienen un conjunto extendido de derechos de protección de datos, incluido el derecho a la portabilidad de datos y el derecho al olvido.
  • Notificación de filtración de datos. Después de darse cuenta de que sufrieron una filtración en sus datos, las empresas deben informar, sin demoras injustificadas, a sus reguladores o las personas afectadas.
  • Auditorías de seguridad. Se espera que las empresas documenten y conserven un registro de sus prácticas de seguridad, que controlen la efectividad de su programa de seguridad y que implementen medidas correctivas cuando corresponda.

¿Cuáles son los desafíos de la seguridad de las bases de datos?

desafíos de seguridad de la base de datos

Las bases de datos son depósitos valiosos de información confidencial, lo que las convierte en el principal objetivo de los ladrones de datos. Normalmente, los piratas informáticos se dividen en dos grupos: internos y externos. Los externos incluyen a cualquier persona, desde piratas informáticos solitarios y ciberdelincuentes que buscan la interrupción del negocio o las ganancias financieras, o grupos delictivos y organizaciones patrocinadas por el estado nacional que buscan perpetrar fraudes para crear una interrupción a escala nacional o global. Los internos incluyen empleados actuales o pasados, curiosos y clientes o partners que aprovechan su posición de confianza para robar datos o que cometen un error que deriva en un evento de seguridad no deseado. Ambos crean riesgos para la seguridad de los datos personales, los datos financieros, los secretos comerciales y los datos regulados.

cómo los hackers explotan las bases de datos

Los ciberdelincuentes disponen de diversos enfoques que ponen en práctica cuando intentan robar datos de las bases de datos:

  • Comprometer o robar las credenciales de una aplicación o un administrador privilegiado. Esto se suele lograr mediante la suplantación de identidad (phishing) basada en correo electrónico, otras formas de ingeniería social o gracias al uso de malware para descubrir las credenciales y, en última instancia, los datos.
  • Aprovechamiento de las debilidades de las aplicaciones con técnicas, como la inyección de SQL o eludir la seguridad de la capa de la aplicación al incrustar código SQL en una entrada aparentemente inocua proporcionada por el usuario final.
  • Aumento de los privilegios del tiempo de ejecución mediante la explotación de aplicaciones vulnerables.
  • Acceso a archivos de base de datos que no están cifrados en el disco.
  • Explotación de sistemas sin revisiones o bases de datos mal configuradas para evitar los controles de acceso.
  • Robo de cintas de archivo y medios que contienen copias de seguridad de las bases de datos.
  • Robo de datos de entornos que no son de producción, como DevTest, en los cuales es posible que los datos no estén tan bien protegidos como en los entornos de producción.
  • Visualización de datos confidenciales mediante aplicaciones que, accidentalmente, exponen datos confidenciales que superan lo que esa aplicación o ese usuario deberían poder ver.
  • Errores humanos, accidentes, uso compartido de contraseñas, errores de configuración y otros comportamientos irresponsables del usuario, que siguen siendo la causa de casi el 90 % de las vulneraciones de la seguridad.

Prácticas recomendadas de seguridad de bases de datos

prácticas recomendadas de seguridad de bases de datos

Una estrategia de seguridad de base de datos bien estructurada debería incluir controles que permitan mitigar amenazas diferentes. Uno de los mejores enfoques es un marco integrado de controles de seguridad que se pueda implementar fácilmente para aplicar los niveles adecuados de seguridad. Estos son algunos de los controles más utilizados para proteger las bases de datos:

  • Controles de evaluación que ayudan a evaluar la posición de seguridad de una base de datos y que también deberían ofrecer la posibilidad de identificar cambios en la configuración. Las organizaciones pueden fijar una línea de base y, luego, identificar el desfase. Los controles de evaluación también ayudan a las organizaciones a identificar datos confidenciales en el sistema, incluido de qué tipo de dato se trata y dónde está alojado. Asimismo, los controles de evaluación buscan responder las siguientes preguntas:
    • ¿El sistema de base de datos está configurado correctamente?
    • ¿Las revisiones están actualizadas y se aplican con regularidad?
    • ¿Cómo se gestionan los privilegios de usuario?
    • ¿Qué datos confidenciales hay en el sistema de base de datos? ¿Qué cantidad? ¿Dónde se aloja?
  • Los controles de detective supervisan el acceso de los usuarios y las aplicaciones a los datos, identifican comportamientos anómalos, detectan y bloquean amenazas, y auditan la actividad de la base de datos para redactar informes sobre el cumplimiento.
  • Los controles preventivos bloquean el acceso no autorizado a los datos mediante el cifrado, la redacción, el enmascaramiento y la creación de subconjuntos de datos, según para qué se vayan a usar esos datos. El objetivo final de los controles preventivos es detener el acceso no autorizado a los datos.
  • Los controles de datos específicos hacen cumplir las políticas de acceso a nivel de aplicación dentro de la base de datos, proporcionan un modelo de autorización uniforme en varias aplicaciones, herramientas de informes y clientes de bases de datos.
  • Los controles de usuario específicos hacen cumplir las políticas de autorización y autenticación de usuarios adecuadas para asegurar que solo los usuarios autenticados y autorizados tengan acceso a los datos.

Soluciones de seguridad de datos

Reduzca el riesgo de una filtración de datos y simplifique el cumplimiento con las prácticas recomendadas de seguridad de datos que incluyen cifrado, administración de claves, enmascaramiento de datos, controles de acceso de usuarios privilegiados, monitoreo de actividades y auditoría.

  • Protección de datos: Reduzca el riesgo de una filtración de datos y el incumplimiento de las soluciones que se adapten a diferentes usos diferentes, como cifrado, administración de claves, redacción y enmascaramiento. Obtenga información sobre Data Safe.
  • Control de acceso a los datos: Un paso fundamental para asegurar un sistema de base de datos es validar la identidad del usuario que quiere acceder a la base de datos (autenticación) y controlar qué operaciones puede realizar (autorización). Implementar controles de autenticación y autorización seguros ayuda a proteger los datos contra los atacantes. Además, exigir el cumplimiento de la separación de funciones ayuda a evitar que los usuarios privilegiados abusen de sus privilegios del sistema y accedan a datos confidenciales y, además, permite evitar que se incorporen cambios accidentales o maliciosos en la base de datos.
  • Auditoría y monitoreo: Toda la actividad de la base de datos se debería registrar para poder realizar auditorías: esto incluye la actividad que se realiza en la red y la actividad desencadenada dentro de la base de datos (generalmente mediante inicio de sesión directo) que evita cualquier monitoreo de red. La auditoría debería funcionar incluso aunque la red esté cifrada. Las bases de datos deben proporcionar una función de auditoría sólida y completa que incluya información sobre los datos, el cliente desde donde se realiza la solicitud, los detalles de la operación y la instrucción SQL en sí misma.
  • Protección de bases de datos en la nube: Las implementaciones de bases de datos en la nube pueden reducir costos, liberar personal para que trabaje en actividades más importantes y respaldar una organización de TI más ágil y receptiva. Sin embargo, estos beneficios pueden conllevar un riesgo adicional, incluido un perímetro de red extendido, una mayor superficie de amenaza con un grupo administrativo desconocido e infraestructura compartida. No obstante, al emplear las prácticas recomendadas de seguridad de bases de datos correctas, la nube puede proporcionar una seguridad mejor que la que tienen la mayoría de las organizaciones en entornos locales y, a la vez, reducir los costos y mejorar la agilidad.
Cree, pruebe e implemente aplicaciones en Oracle Cloud de manera gratuita.