Cada vez se hace más evidente la importancia de la c
iberseguridad en el mundo de los datos. El valor de los datos para una organización es tan grande como su potencial, lo que los hace un foco muy preciado para los ciberdelincuentes.
Además, en muchos casos estamos hablando también de la información de nuestros clientes. Todos riesgos que implicarían pérdidas millonarias en reputación y confianza para una marca.
Cuando hablamos de integridad de datos nos estamos refiriendo a la completitud, la exactitud y la coherencia del conjunto de datos de una base de datos. Podemos tener una percepción de esta integridad cuando vemos que entre dos instancias o entre dos actualizaciones de un registro de datos, no hay ninguna alteración, lo que significa que los datos están intactos y sin cambios.
Se sientan las bases de la integridad durante la fase de diseño de la base de datos, a través del uso de procedimientos y reglas estándar. A partir de ahí, se puede seguir manteniéndola mediante el uso de métodos de comprobación de errores y procedimientos de validación.
Adoptar este enfoque garantiza que todos los datos pueden se
r rastreados mediante técnicas de trazabilidad, así como conectarse a otros datos. De esta forma se asegura que todo se puede buscar y recuperar.
Tener un sistema de integridad de datos único, bien definido y bien controlado aumenta la estabilidad, el rendimiento, la reutilización y facilita el mantenimiento.
Qué es la seguridad de la información y qué tiene que ver con la integridad
La seguridad de la información se ocupa de proteger la confidencialidad, disponibilidad e integridad de todos los activos de conocimiento de la organización. La forma de lograrlo tiene que ver con:
- Confidencialidad: se trata del aspecto más importante de la seguridad de datos. Este objetivo se alcanza a través de la encriptación, que ha de aplicarse a datos en reposo, pero también a los datos que, por un motivo u otro, se encuentren en tránsito.
- Integridad: busca garantizar que sólo las personas autorizadas a ello podrán acceder a información privilegiada de la empresa. La integridad de una base de datos se aplica a través de protocolos de autenticación, políticas internas (como las que impulsan la seguridad de las contraseñas) y un sistema de control de acceso de usuario que define los permisos que determinan quién puede acceder a qué datos. Tampoco puede olvidarse el tomar medidas que ayuden a conseguir que las cuentas no utilizadas queden bloqueadas o sean eliminadas.
- Disponibilidad: hace referencia a la necesidad de que las bases de datos y toda la información que contienen estén listas para su uso. Por una parte, se debe garantizar su funcionalidad y confiabilidad mientras que, por otra, es recomendable planificar los tiempos de inactividad fuera del horario laboral.
Garantizar la seguridad de la información es
determinante para el buen funcionamiento del negocio. Sin embargo, la amenaza no da tregua y, a día de hoy, los ataques se multiplican, tanto en frecuencia, como en objetivo. Los piratas informáticos ya no codician sólo los activos informacionales de las grandes corporaciones multinacionales, sino que tienen en su punto de mira a todo tipo de empresas, independientemente de su tamaño, propósito o industria.
Tipos de ataques
Está claro que el riesgo implícito en este tipo de acciones maliciosas varía de una organización a otra, aunque entre los ataques más comunes se encuentran los que tienen como objetivo:
- Datos personales de clientes, números de tarjetas de crédito y seguridad social.
- Detalles estratégicos del negocio.
- Información financiera de la propia compañía y de sus socios.
- Datos sensibles acerca de los empleados.
Podría decirse que se trata de la mayoría de las bases de datos activas en los directorios de la empresa, al menos, todas las que, de alguna forma, resultan relevantes para el negocio.
Precisamente por ello, es necesario mantener
sólidas prácticas de seguridad y estrategias de defensa que permitan combatir este tipo de ataques, también en sus versiones más recientes y sofisticadas, como el phishing, el spear phishing, la inyección SQL, el DDos, la amenaza persistente avanzada o el ransomware.
La autenticación débil es la amenaza más común a la s
seguridad y la integridad en base de datos. Una misma contraseña usada con fines distintos, compartida entre usuarios, que nunca se actualiza o que resulta obvia facilita el trabajo de un atacante malintencionado en su misión encaminada a robar la identidad de un usuario legítimo. Una vez que conoce esos 8, 10 o 12 dígitos, ya tiene acceso a datos confidenciales, ya tiene a la organización en sus manos.
63% de las intrusiones maliciosas en redes son resultado de datos de autenticación (nombres de usuario y contraseñas) que han sido comprometidos en otros ciberataques. Fuente: Microsoft |
Mejores prácticas en seguridad de datos
Una de las formas más efectivas de garantizar la integridad de datos es implementando algunas de las mejores prácticas de seguridad. Entre ellas se encuentran las siguientes:
- Recurrir al enmascaramiento de datos o permitir a los usuarios acceder a cierta información sin poder verla ayuda a mantener la confidencialidad incluso en entornos de pruebas.
- Minimizar los extras y limitarse a los servicios, aplicaciones y funcionalidades que realmente son necesarios para asegurar el normal funcionamiento de las operaciones del negocio, de esta forma se reduce el riesgo.
- Asegurarse de que los administradores de la base de datos entiendan la importancia de garantizar su protección.
- Mantener actualizadas las bases de datos y eliminar los componentes desconocidos.
- Recurrir a herramientas como el análisis de código estático, que ayudan a reducir los problemas de inyección de SQL, desbordamiento de búfer y problemas de configuración.
- Hacer copias de seguridad frecuentes y emplear una fuente de alimentación ininterrumpida o SAI que garantice que un corte de energía no causa la pérdida de datos.
Los riesgos son muchos, y estar protegidos al 100% ya es una utopía. Por eso, minimizar las vulnerabilidades es fundamental para reducir el impacto de un ataque, al mismo tiempo que adoptar medidas de ciberresiliencia es indispensable para los negocios de todos los tamaños.
¿Está tu organización tomando medidas para garantizar la protección de sus datos?