Distintas experiencias sobre la seguridad de las bases de datos

Distintas experiencias sobre la seguridad de las bases de datos

Distintas experiencias sobre la
seguridad de las bases de datos
Ing. Ricardo Lira, M. en C., CISSP, PMP
VIII Encuentro Iberoamericano de Protección
de Datos – Ciudad de México
Agenda
9 Introducción
9 Estrategia integral de protección de las bases
de datos
9 Conclusiones
VIII Encuentro Iberoamericano de Protección de Datos
Introducción
VIII Encuentro Iberoamericano de Protección de Datos
Introducción
Hecho de todos los días:
Incremento en
robo/pérdida de datos
VIII Encuentro Iberoamericano de Protección de Datos
Introducción
9
Existen organizaciones que prestan poca atención a la seguridad de
las bases de datos
datos, a pesar de que son un activo fundamental y
habilitador clave para los negocios y gobiernos
9
Los volúmenes de datos en las organizaciones han crecido de forma
exponencial
VIII Encuentro Iberoamericano de Protección de Datos
Introducción
9
Existen organizaciones que prestan poca atención a la seguridad de
las bases de datos
datos, a pesar de que son un activo fundamental y
habilitador clave para los negocios y gobiernos
9
Los volúmenes de datos en las organizaciones han crecido de forma
exponencial
“Our digital information universe is
exploding
l di and
d conservatively
ti l should
h ld reach
h
2,500 billion gigabytes by 2012. Eightyfive percent of this information will be
managed by corporations at some point
in its”
Fuente: EMC
VIII Encuentro Iberoamericano de Protección de Datos
Introducción
9
Existen organizaciones hoy en día que:
9
9
9
9
9
9
9
Muestran una posición reactiva ante la seguridad y privacidad de la
información
No cuentan con una estrategia clara de seguridad y privacidad de la
información
Se preocupan poco por concientizar y capacitar a sus empleados en
seguridad y privacidad de la información
Cuentan con políticas de seguridad y privacidad de información que sólo
son papel muerto
N cuentan
No
t con un enfoque
f
iintegral
t
l que les
l permita
it atender
t d ell
problema de seguridad (tecnología, procesos y gente)
Asumen que el “problema” de seguridad y privacidad de la información
es responsabilidad
bilid d única
ú i de
d la
l “Dirección
“Di
ió de
d Sistemas”
Si
”
No saben el tratamiento que sus empleados y socios de negocio le
están dando a su información y la de sus clientes
VIII Encuentro Iberoamericano de Protección de Datos
Introducción
Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT
VIII
Encuentro
deTeam
Protección
de Datos
A study
conductedIberoamericano
by the Verizon RISK
in cooperation
with the United States Secret Service.
Introducción
Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT
VIII
Encuentro
deTeam
Protección
de Datos
A study
conductedIberoamericano
by the Verizon RISK
in cooperation
with the United States Secret Service.
Introducción
Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT
VIII
Encuentro
deTeam
Protección
de Datos
A study
conductedIberoamericano
by the Verizon RISK
in cooperation
with the United States Secret Service.
►
Estos son los hechos,, pero
p
que p
q
podemos ((debemos))
hacer:
Definir, implementar y verificar una
E t t i integral
Estrategia
i t
l de
d protección
t
ió de
d las
l
bases de datos
VIII Encuentro Iberoamericano de Protección de Datos
Concientización y entrenamiento de usuarios
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Monitoreo de actividades en las
bases de datos - DAM
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Auditoría – verificación de
cumplimiento de controles
técnicos, administrativos y físicos
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Detección y prevención de fuga
de datos (DLP)
Definición de privilegios, roles y
perfiles
Gestión e implementación de
perfiles y privilegios
Respuesta a incidentes de
seguridad
Estrategia de protección de sistemas operativos
Estrategia de protección a nivel red
Políticas, procedimientos y estándares de seguridad y privacidad de la información
Evaluación de Riesgos
VIII Encuentro Iberoamericano de Protección de Datos
Estrategia d
E
de seguridad
d alineada con estrate
egia de nego
ocio
Estrattegia de p
protección de bases de datos
Estrategia de protección de aplicativos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
VIII Encuentro Iberoamericano de Protección de Datos
Monitoreo
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Inventario y clasificación de bases de datos, no sólo aquellas que están en
custodia/operación de Sistemas también todas las que “administra y
operan” las propias áreas del negocio
operan
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Políticas de protección por tipo
de bases de datos
Políticas dirigidas a los administradores y usuarios de las bases de datos
datos.
Establecer lo qué está permitido y qué está prohibido.
Algunas de las políticas más importantes: control de acceso, respaldos,
control de actualizaciones y cambios
cambios, cifrado
cifrado, monitoreo
monitoreo, entre otras
otras.
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Políticas de protección por tipo
de bases de datos
Definición de estándares y guías
de robustecimiento
Lineamientos de seguridad y privacidad específicos por cada tipo de
manejador de base de datos. Algunos ejemplos: política de contraseñas
robustas, depuración de cuentas de acceso, privilegios, roles, perfiles por
omisión permisos sobre tablas y objetos
omisión,
objetos, bitácoras
bitácoras, entre otros
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Políticas de protección por tipo
de bases de datos
Definición de estándares y guías
de robustecimiento
Definición de privilegios, roles y
perfiles
Análisis de usuarios, perfiles y roles requeridos en cada una de las Bases
de Datos con base en mínimo privilegio y segregación de funciones.
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Monitoreo
Políticas de protección por tipo
de bases de datos
Definición de estándares y guías
de robustecimiento
Definición de privilegios, roles y
perfiles
Clave contar con política
política, proceso y controles para cambios a DATOS!
En la prueba de cambios se deben utilizar técnicas de enmascaramiento
porque si no los datos reales productivos estarán ahora en pruebas y
desarrollo
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Monitoreo
Definición de estándares y guías
de robustecimiento
Definición de privilegios, roles y
perfiles
Es clave identificar aquellas posibles actualizaciones que no es viable
aplicarlas por dependencia con aplicaciones u otros componentes para
establecer controles compensatorios.
Gran reto: ventanas de mantenimiento
mantenimiento.
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Monitoreo
Definición de privilegios, roles y
perfiles
Cifrado de datos en las bases de datos productivas, durante su
t
transmisión
i ió y su almacenamiento.
l
i t
Incluso considerar todo el ciclo de vida de los datos, no sólo mientras
residen en las bases de datos - ¿qué pasa una vez que el datos esta en el
endpoint?
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Definición de privilegios, roles y
perfiles
Gestión e implementación de
perfiles y privilegios
Monitoreo
Cumplimiento de política y proceso de control de acceso
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Monitoreo de actividades en las
bases de datos - DAM
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Definición de privilegios, roles y
perfiles
Gestión e implementación de
perfiles y privilegios
Monitoreo
M
it
en tiempo
ti
reall d
de llas actividades
ti id d en llas b
bases d
de d
datos.
t
N
No
sólo debemos de cuidar las bases de datos de los que no tienen acceso
sino también de los que SI tiene acceso.
DAM Database Activity
DAM:
Acti it Monitoring
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Monitoreo de actividades en las
bases de datos - DAM
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Auditoría – verificación de
cumplimiento de controles
técnicos, administrativos y físicos
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Definición de privilegios, roles y
perfiles
Gestión e implementación de
perfiles y privilegios
Revisar
R
i
aquellos
ll eventos
t que son relevantes
l
t para lla organización
i
ió y que
pueden mostrar signos de acceso no autorizado o abuso en privilegios
otorgados. Revisar periódicamente el cumplimiento de las políticas y
controles establecidos (técnicos
(técnicos, administrati
administrativos
os y físicos)
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Monitoreo de actividades en las
bases de datos - DAM
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Auditoría – verificación de
cumplimiento de controles
técnicos, administrativos y físicos
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Detección y prevención de fuga
de datos (DLP)
Definición de privilegios, roles y
perfiles
Gestión e implementación de
perfiles y privilegios
C id ttodo
Cuidar
d ell ciclo
i l d
de vida
id d
de llos d
datos:
t
sii en llas b
bases d
de d
datos,
t
pero
también en su tránsito y en los endpoints.
VIII Encuentro Iberoamericano de Protección de Datos
Estrrategia de protecció
ón de base
es de dato
os
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Monitoreo de actividades en las
bases de datos - DAM
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Auditoría – verificación de
cumplimiento de controles
técnicos, administrativos y físicos
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Detección y prevención de fuga
de datos (DLP)
Definición de privilegios, roles y
perfiles
Gestión e implementación de
perfiles y privilegios
Respuesta a incidentes de
seguridad
Si estamos
t
preparados
d para llo peor podremos
d
minimizar
i i i
ell iimpacto
t en
caso de que algo nos suceda.
VIII Encuentro Iberoamericano de Protección de Datos
No olvidar las demás capas
p de nuestra Arquitectura
q
–
las Bases de Datos son elementos claves pero no son
los únicos
VIII Encuentro Iberoamericano de Protección de Datos
Concientización y entrenamiento de usuarios
Definición
Operación
Monitoreo
Descubrimiento y clasificación de
bases de datos
Gestión de cambios: en
configuración y datos
(enmascaramiento)
Monitoreo de actividades en las
bases de datos - DAM
Políticas de protección por tipo
de bases de datos
Gestión e implementación de
actualizaciones, versiones y
configuraciones seguras
Auditoría – verificación de
cumplimiento de controles
técnicos, administrativos y físicos
Definición de estándares y guías
de robustecimiento
Gestión e implementación de
mecanismos de cifrado (at rest,
tránsito y almacenamiento)
Detección y prevención de fuga
de datos (DLP)
Definición de privilegios, roles y
perfiles
Gestión e implementación de
perfiles y privilegios
Respuesta a incidentes de
seguridad
Estrategia de protección de sistemas operativos
Estrategia de protección a nivel red
Políticas, procedimientos y estándares de seguridad y privacidad de la información
Evaluación de Riesgos
VIII Encuentro Iberoamericano de Protección de Datos
Estrategia d
E
de seguridad
d alineada con estrate
egia de nego
ocio
Estrattegia de p
protección de bases de datos
Estrategia de protección de aplicativos
Conclusiones
9
Necesitamos una estrategia integral de protección de información en
nuestras organizaciones
9
Los requerimientos de volúmenes de información está incrementando
exponencialmente, pero no así la seguridad y privacidad de los
mismos
9
Seguir con una posición reactiva ante la seguridad y privacidad de la
información puede llevar a la quiebra a nuestra organización
9
El enfoque actual de seguridad y privacidad de la información es
insostenible
VIII Encuentro Iberoamericano de Protección de Datos
Gracias!
[email protected]
@pentestmexico
VIII Encuentro Iberoamericano de Protección de Datos