Prácticamente todas las empresas y organizaciones hoy en día tienen bases de datos. Una base de datos es un recurso valioso e importante que a menudo contiene información sensible o confidencial, y perder esos datos o que se los roben puede tener consecuencias desastrosas para la empresa. A continuación se ofrecen algunos consejos importantes sobre cómo proteger su base de datos para que no sean pirateados.
Controlar el acceso de los usuarios a la base de datos
Limitar el acceso a los datos es el primer paso para proteger la base de datos. Los usuarios solo deben tener los permisos y privilegios mínimos que necesitan para hacer su trabajo. Por ejemplo, a un usuario se le puede permitir agregar y editar entradas en una tabla, solo ver pero no cambiar otra tabla y no tener acceso a las tablas restantes. Considere también limitar el acceso de los usuarios al horario de oficina siempre que sea posible.
Los sistemas de gestión de acceso son una forma posible de controlar quién tiene acceso a qué información. Hay muchos en el mercado; puede elegir el que mejor se adapte a su situación.
Además, se deben utilizar contraseñas seguras y las cuentas deben tener un límite de intentos fallidos de inicio de sesión para contrarrestar los ataques de fuerza bruta.
Usar encriptación
Es mejor utilizar el cifrado en todos los datos sensibles y confidenciales, de modo que incluso si los piratas informáticos obtienen acceso a la base de datos, no podrán usar o vender la información.
Realice copias de seguridad de sus datos con regularidad
Siempre tenga copias de seguridad (¡encriptadas!) De sus datos importantes. La regla 3-2-1 dice tener al menos tres copias de sus datos, en al menos dos medios diferentes, y al menos una copia debe almacenarse fuera del sitio (por ejemplo, en la nube). Las copias de seguridad deben almacenarse desconectadas del sistema. En ese caso, incluso si el servidor es violado y los datos son destruidos o encriptados por ransomware, podrá restaurarlos desde copias de seguridad. Si las copias de seguridad no se desconectan, pueden terminar eliminadas o cifradas, así como la copia principal de los datos.
Mantenga su software actualizado
Debe actualizar periódicamente su aplicación de base de datos, sistema operativo y otro software. Muchos piratas informáticos de todo el mundo intentan encontrar vulnerabilidades para explotar en todo tipo de software. Esas vulnerabilidades pueden ser utilizadas por los propios piratas informáticos o vendidas en la web oscura. Los desarrolladores de software, a su vez, intentan mantenerse al tanto de las vulnerabilidades en sus programas y lanzan parches de seguridad para mitigar las vulnerabilidades. Para proteger la base de datos de los piratas informáticos, esos parches deben instalarse tan pronto como aparezcan.
Supervisar la actividad de la base de datos
Debe monitorear y registrar quién y cuándo accede a la base de datos, y qué acciones realizan. La actividad sospechosa debe enviar alertas a los administradores de la base de datos. Los registros deben revisarse periódicamente para detectar actividades potencialmente maliciosas.
Proteja la base de datos de ataques de inyección de código (inyecciones de SQL, ataques XSS)
Los ataques de inyección de código son un problema si tiene un sitio web donde los usuarios pueden ingresar algo en los campos de texto (formularios de inicio de sesión, formularios de comentarios, etc.). Un pirata informático puede intentar inyectar código en esos campos para engañar al servidor para que ejecute el código. Como resultado, el delincuente podría tener acceso a su base de datos o partes de ella, cambiar o eliminar datos, etc. Hay formas de mitigar los riesgos saneando las entradas, utilizando consultas parametrizadas, etc.
También puede usar un firewall de aplicaciones web (WAF) para proteger su base de datos de inyecciones de SQL, secuencias de comandos entre sitios (XSS) y otros ataques que pueden llegar a través de su sitio web.
Utilice cortafuegos de base de datos
Su base de datos debe tener un firewall que niegue el acceso a todo el tráfico de Internet que no proviene de aplicaciones web o servidores específicos.