Encriptación de datos, un pilar de la seguridad de una base de datos

El aumento de las brechas de seguridad está haciendo que la seguridad esté recibiendo más atención y presupuesto que nunca. La encriptación de datos es, junto a la autenticación, la autorización y la auditoría, uno de los 4 pilares de la seguridad de una base de datos.

Créditos fotográficos: istock CrulUA

Reforzar la seguridad de las bases de datos requiere conocimientos técnicos y privilegios elevados. Para muchos aspectos de la seguridad de las bases de datos son necesarias diferentes utilidades, procedimientos de sistema e implementación de comandos. Pero cuando los usuarios requieren acceder a múltiples bases de datos en múltiples servidores, distribuidos en diferentes localizaciones físicas, la seguridad de la base de datos se vuelve todavía mucho más complicada. Cualquier medida de seguridad que se tome a nivel de usuarios debe repetirse en cada una de las bases de datos y no hay un repositorio central donde sea fácil modificar y borrar la  configuración de seguridad de los usuarios.

¿Qué es la encriptación de datos?

Desde un punto de vista de alto nivel, la seguridad de la base de datos se reduce a responder a 4 preguntas:

• ¿Quién es? -> Autenticación de usuarios

• ¿Quién puede hacerlo? -> Autorización a usuarios

• ¿Quién lo hizo? -> Auditoría

• ¿Quién puede verlo? - > Encriptación de datos

La encriptación es el proceso de ofuscar datos mediante el uso de una clave o contraseña que consigue que, quienes accedan a ellos sin la password adecuada, no puedan encontrar ninguna utilidad en los mismos, puesto que resulta imposible descifrar su contenido. Por ejemplo, en el caso de que el ordenador host de la base de datos estuviese mal configurado y un hacker llegase a obtener datos confidenciales, esa información robada le sería del todo inútil si estuviese cifrada.

Al plantearse la encriptación de datos hay que tener en cuenta que:

• El cifrado no resuelve los problemas de control de acceso.

• Esta opción sí que mejora la seguridad, al limitar la pérdida de datos incluso si se omitieran esos controles.

Estas limitaciones quedan cubiertas por otra técnica, la de data masking, que en este sentido sí que ofrece una mayor cubertura de seguridad.

Gestión de claves de encriptación de datos

El cifrado en una base de datos se puede aplicar a:

• Sus datos.

• Conexiones.

• Los procedimientos almacenados.

Para que la encriptación de datos sea efectiva, al gestionarla hay que tener en cuenta 4 claves:

a) Estrategia.

La encriptación de datos no resulta tan efectiva si no se entiende como parte de una estrategia de seguridad de la información. En este plan, la administración de claves debe situarse en el núcleo de la infraestructura de seguridad de TI de la organización puesto que al ser el cifrado un elemento inquebrantable, el sistema de administración de claves se convierte en un objetivo natural, para quienes buscan una vía de acceso a los activos informacionales de la empresa. Algunas mejores prácticas son:

• Evitar el uso de software para el almacenamiento de claves y reemplazarlo por el hardware.

• Guardar copia en hardware de las políticas de seguridad basadas en papel.

• No olvidarse de la importancia de las auditorías de seguridad.

b) Autenticación.

La amenaza proviene del interior en más casos de los imaginables y, por eso, es necesario autenticar a los administradores y garantizar la separación de tareas. No hay que confiarse en exceso puesto que, incluso un sistema de gestión de claves físicamente seguro, puede ser vulnerado si los controles de acceso de administrador no son lo suficientemente robustos. En esta línea, las organizaciones deberían:

• Buscar la manera de aumentar la fiabilidad y fortaleza de las técnicas de autenticación para los administradores.

• Emplear diferentes controles de acceso de administradores para los datos encriptados y facilitarlos a los responsables con acceso a las claves.

c) Automatización.

Cada vez existen más claves, más contraseñas y, en vez de fortalecer la seguridad, ésta se puede ver debilitada por el aumento de complejidad, si éste da pie a la aparición de errores. Automatizando las tareas de administración de claves se ahorran costes y se aumenta la protección de la información, una solución fácil de aplicar, puesto que la mayoría de las tareas de administración de contraseñas se basan en procedimientos establecidos.

Esta decisión garantiza muy buenos resultados y sólo habría que aplicar excepciones, en el caso de situaciones de emergencia o cuando se trate de resolver una solicitud urgente de acceso a datos. En este tipo de circunstancias hay que recurrir a una estrategia integral de gestión de claves, que facilita la localización de contraseñas para copias de seguridad creadas semanas, meses o varios años antes.

d) Registro.

Mantener un registro de las actividades clave de gestión es esencial para prevenir los posibles problemas derivados de la destrucción de claves. Muchas veces, los dispositivos donde se contiene información sensible van deteriorándose hasta quedar inservibles. No obstante, este estado no implica que dejen de ser una fuente potencial de pérdida de datos. La destrucción física del hardware podría no destruir la información que contiene y, a este respecto, la encriptación de datos proporciona un medio muy eficaz para asegurar la protección de los activos informacionales de la empresa puesto que, la destrucción de la clave está destruyendo efectivamente los datos.

La contrapartida es que, claro, resulta imprescindible que la organización pueda demostrar que cada copia de la clave que se hizo ha sido destruida, y debe ser capaz de demostrarlo, algo que sólo es posible cuando se cuenta con un sólido registro de auditoría. Para evitar las consecuencias de la pérdida de datos o claves, es necesario actuar a tres niveles:

1. Llevar a cabo una buena gestión de claves.
2. Mantener un registro que permita el seguimiento de todas las actividades en relación a la gestión de claves.
3. Nunca olvidarse de destruir la clave cuando se desee eliminar permanentemente los datos asociados.