Distintas experiencias sobre la seguridad de las bases de datos
Transcripción
Distintas experiencias sobre la seguridad de las bases de datos
Distintas experiencias sobre la seguridad de las bases de datos Ing. Ricardo Lira, M. en C., CISSP, PMP VIII Encuentro Iberoamericano de Protección de Datos – Ciudad de México Agenda 9 Introducción 9 Estrategia integral de protección de las bases de datos 9 Conclusiones VIII Encuentro Iberoamericano de Protección de Datos Introducción VIII Encuentro Iberoamericano de Protección de Datos Introducción Hecho de todos los días: Incremento en robo/pérdida de datos VIII Encuentro Iberoamericano de Protección de Datos Introducción 9 Existen organizaciones que prestan poca atención a la seguridad de las bases de datos datos, a pesar de que son un activo fundamental y habilitador clave para los negocios y gobiernos 9 Los volúmenes de datos en las organizaciones han crecido de forma exponencial VIII Encuentro Iberoamericano de Protección de Datos Introducción 9 Existen organizaciones que prestan poca atención a la seguridad de las bases de datos datos, a pesar de que son un activo fundamental y habilitador clave para los negocios y gobiernos 9 Los volúmenes de datos en las organizaciones han crecido de forma exponencial “Our digital information universe is exploding l di and d conservatively ti l should h ld reach h 2,500 billion gigabytes by 2012. Eightyfive percent of this information will be managed by corporations at some point in its” Fuente: EMC VIII Encuentro Iberoamericano de Protección de Datos Introducción 9 Existen organizaciones hoy en día que: 9 9 9 9 9 9 9 Muestran una posición reactiva ante la seguridad y privacidad de la información No cuentan con una estrategia clara de seguridad y privacidad de la información Se preocupan poco por concientizar y capacitar a sus empleados en seguridad y privacidad de la información Cuentan con políticas de seguridad y privacidad de información que sólo son papel muerto N cuentan No t con un enfoque f iintegral t l que les l permita it atender t d ell problema de seguridad (tecnología, procesos y gente) Asumen que el “problema” de seguridad y privacidad de la información es responsabilidad bilid d única ú i de d la l “Dirección “Di ió de d Sistemas” Si ” No saben el tratamiento que sus empleados y socios de negocio le están dando a su información y la de sus clientes VIII Encuentro Iberoamericano de Protección de Datos Introducción Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT VIII Encuentro deTeam Protección de Datos A study conductedIberoamericano by the Verizon RISK in cooperation with the United States Secret Service. Introducción Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT VIII Encuentro deTeam Protección de Datos A study conductedIberoamericano by the Verizon RISK in cooperation with the United States Secret Service. Introducción Fuente: 2010 DATA BREACH INVESTIGATIONS REPORT VIII Encuentro deTeam Protección de Datos A study conductedIberoamericano by the Verizon RISK in cooperation with the United States Secret Service. ► Estos son los hechos,, pero p que p q podemos ((debemos)) hacer: Definir, implementar y verificar una E t t i integral Estrategia i t l de d protección t ió de d las l bases de datos VIII Encuentro Iberoamericano de Protección de Datos Concientización y entrenamiento de usuarios Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo de actividades en las bases de datos - DAM Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Auditoría – verificación de cumplimiento de controles técnicos, administrativos y físicos Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Detección y prevención de fuga de datos (DLP) Definición de privilegios, roles y perfiles Gestión e implementación de perfiles y privilegios Respuesta a incidentes de seguridad Estrategia de protección de sistemas operativos Estrategia de protección a nivel red Políticas, procedimientos y estándares de seguridad y privacidad de la información Evaluación de Riesgos VIII Encuentro Iberoamericano de Protección de Datos Estrategia d E de seguridad d alineada con estrate egia de nego ocio Estrattegia de p protección de bases de datos Estrategia de protección de aplicativos Estrrategia de protecció ón de base es de dato os Definición Operación VIII Encuentro Iberoamericano de Protección de Datos Monitoreo Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Inventario y clasificación de bases de datos, no sólo aquellas que están en custodia/operación de Sistemas también todas las que “administra y operan” las propias áreas del negocio operan VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Políticas de protección por tipo de bases de datos Políticas dirigidas a los administradores y usuarios de las bases de datos datos. Establecer lo qué está permitido y qué está prohibido. Algunas de las políticas más importantes: control de acceso, respaldos, control de actualizaciones y cambios cambios, cifrado cifrado, monitoreo monitoreo, entre otras otras. VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Políticas de protección por tipo de bases de datos Definición de estándares y guías de robustecimiento Lineamientos de seguridad y privacidad específicos por cada tipo de manejador de base de datos. Algunos ejemplos: política de contraseñas robustas, depuración de cuentas de acceso, privilegios, roles, perfiles por omisión permisos sobre tablas y objetos omisión, objetos, bitácoras bitácoras, entre otros VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Políticas de protección por tipo de bases de datos Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Análisis de usuarios, perfiles y roles requeridos en cada una de las Bases de Datos con base en mínimo privilegio y segregación de funciones. VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo Políticas de protección por tipo de bases de datos Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Clave contar con política política, proceso y controles para cambios a DATOS! En la prueba de cambios se deben utilizar técnicas de enmascaramiento porque si no los datos reales productivos estarán ahora en pruebas y desarrollo VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Monitoreo Definición de estándares y guías de robustecimiento Definición de privilegios, roles y perfiles Es clave identificar aquellas posibles actualizaciones que no es viable aplicarlas por dependencia con aplicaciones u otros componentes para establecer controles compensatorios. Gran reto: ventanas de mantenimiento mantenimiento. VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Monitoreo Definición de privilegios, roles y perfiles Cifrado de datos en las bases de datos productivas, durante su t transmisión i ió y su almacenamiento. l i t Incluso considerar todo el ciclo de vida de los datos, no sólo mientras residen en las bases de datos - ¿qué pasa una vez que el datos esta en el endpoint? VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Definición de privilegios, roles y perfiles Gestión e implementación de perfiles y privilegios Monitoreo Cumplimiento de política y proceso de control de acceso VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo de actividades en las bases de datos - DAM Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Definición de privilegios, roles y perfiles Gestión e implementación de perfiles y privilegios Monitoreo M it en tiempo ti reall d de llas actividades ti id d en llas b bases d de d datos. t N No sólo debemos de cuidar las bases de datos de los que no tienen acceso sino también de los que SI tiene acceso. DAM Database Activity DAM: Acti it Monitoring VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo de actividades en las bases de datos - DAM Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Auditoría – verificación de cumplimiento de controles técnicos, administrativos y físicos Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Definición de privilegios, roles y perfiles Gestión e implementación de perfiles y privilegios Revisar R i aquellos ll eventos t que son relevantes l t para lla organización i ió y que pueden mostrar signos de acceso no autorizado o abuso en privilegios otorgados. Revisar periódicamente el cumplimiento de las políticas y controles establecidos (técnicos (técnicos, administrati administrativos os y físicos) VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo de actividades en las bases de datos - DAM Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Auditoría – verificación de cumplimiento de controles técnicos, administrativos y físicos Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Detección y prevención de fuga de datos (DLP) Definición de privilegios, roles y perfiles Gestión e implementación de perfiles y privilegios C id ttodo Cuidar d ell ciclo i l d de vida id d de llos d datos: t sii en llas b bases d de d datos, t pero también en su tránsito y en los endpoints. VIII Encuentro Iberoamericano de Protección de Datos Estrrategia de protecció ón de base es de dato os Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo de actividades en las bases de datos - DAM Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Auditoría – verificación de cumplimiento de controles técnicos, administrativos y físicos Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Detección y prevención de fuga de datos (DLP) Definición de privilegios, roles y perfiles Gestión e implementación de perfiles y privilegios Respuesta a incidentes de seguridad Si estamos t preparados d para llo peor podremos d minimizar i i i ell iimpacto t en caso de que algo nos suceda. VIII Encuentro Iberoamericano de Protección de Datos No olvidar las demás capas p de nuestra Arquitectura q – las Bases de Datos son elementos claves pero no son los únicos VIII Encuentro Iberoamericano de Protección de Datos Concientización y entrenamiento de usuarios Definición Operación Monitoreo Descubrimiento y clasificación de bases de datos Gestión de cambios: en configuración y datos (enmascaramiento) Monitoreo de actividades en las bases de datos - DAM Políticas de protección por tipo de bases de datos Gestión e implementación de actualizaciones, versiones y configuraciones seguras Auditoría – verificación de cumplimiento de controles técnicos, administrativos y físicos Definición de estándares y guías de robustecimiento Gestión e implementación de mecanismos de cifrado (at rest, tránsito y almacenamiento) Detección y prevención de fuga de datos (DLP) Definición de privilegios, roles y perfiles Gestión e implementación de perfiles y privilegios Respuesta a incidentes de seguridad Estrategia de protección de sistemas operativos Estrategia de protección a nivel red Políticas, procedimientos y estándares de seguridad y privacidad de la información Evaluación de Riesgos VIII Encuentro Iberoamericano de Protección de Datos Estrategia d E de seguridad d alineada con estrate egia de nego ocio Estrattegia de p protección de bases de datos Estrategia de protección de aplicativos Conclusiones 9 Necesitamos una estrategia integral de protección de información en nuestras organizaciones 9 Los requerimientos de volúmenes de información está incrementando exponencialmente, pero no así la seguridad y privacidad de los mismos 9 Seguir con una posición reactiva ante la seguridad y privacidad de la información puede llevar a la quiebra a nuestra organización 9 El enfoque actual de seguridad y privacidad de la información es insostenible VIII Encuentro Iberoamericano de Protección de Datos Gracias! [email protected] @pentestmexico VIII Encuentro Iberoamericano de Protección de Datos