martes, 26 de abril de 2011

Gestión de Seguridad de Bases de Datos

Hace una semana pude participar en el WebCast de Application Security empresa dedicada al test de seguridad de bases de datos en el cual se menciona una serie de pasos que un analista de seguridad o administrador de base de datos debe seguir para poder gestionar de manera segura las bases de datos. Cabe resaltar segun mi experiencia es muy parecida a los pasos para la gestión de vulnerabilidades descrita segun NIST SP800-40v2

El programa cuenta con los siguientes pasos:

1. Inventario de Bases de datos: El proceso inicia con un inventariado. Al rededor de 30 a 60% de las bases de datos no estan inventariadas en las organizaciones (MySQL, Oracle, Sybes, IBM DB2, MS SQL). Perdiendo muchas veces el control o mantenimiento de las mismas.

2. Clasificar los sistemas con data sensible: Los sistemas que alamacenan o procesan data sensible o regulada necesitan un trato especial y mucha atencion. Ejemplos de estos sistemas contienen data de tarjetas de credito o debito, salarios, salud, numeros telefónicos, nombres, direcciones, etc.

3. Escaneo de vulnerabilidades y malas configuraciones: Mantener al día los parches, reforzar los paswords y auditar configuraciones. Es una buena práctica verificar constantemente los parches que libera el fabricante, cambiar los passwords cada cierto tiempo se sugiere cada 6 meses con una extensión de 15 caracteres.

4. Identificar usuarios privilegiados: Inventariar todos los usuarios con privilegios de DBA. Este paso permite verificar si algun usuario tiene privilegios que no debería tener o si un usuario fue dado de baja cuando se retiro de la organización.