Seguridad centrada en datos

Seguridad centrada en datos: la clave en en siglo XXI

Post de LinkedIn

Pequeña descripción de la publicación en LinkedIn

Leer articulo →

Webinar – 2024 April 25

Seminario Web
Seguridad de Aplicaciones

Jueves 25 de Abril

Protege tus aplicaciones: participa en nuestro webinar gratuito

¿Alguna vez te han vulnerado la seguridad de tus aplicaciones? Esto es más usual de lo que uno piensa, por lo que el desafío radica en cómo combatir estas amenazas.

Siendo parte de nuestro seminario web, podrás oír en vivo a distintos expertos en ciberseguridad e informarte más sobre como afrontar y neutralizar las distintas amenazas a las que uno se enfrenta diariamente.

Únete a nosotros para aprender sobre:

  • Inyección SQL: permite al atacante ejecutar código SQL arbitrario en la base de datos de la aplicación.
  • Cross-site scripting (XSS): permite al atacante inyectar código JavaScript en el navegador web del usuario.
  • Abuso de privilegios: permite al atacante obtener acceso a funcionalidades de la aplicación que no debería tener.
  • Y lo más importante: cómo neutralizar estos ataques y reforzar la seguridad de tus aplicaciones.

No te pierdas el evento
ÍNSCRIBETE AQUÍ

Nombre
Apellido
Correo electrónico corporativo
Número telefónico
Empresa donde trabaja
Cargo en la compañía
País
¿Cómo te enteraste del evento?

Disertantes

Ana Houlston

DBlandIT

Christian Carlos

TS4B

Felipe Araya Jaramillo

BT Consulting

Carlos Miquelarena

Blue Core Research

Paulo Camiletti

Blue Core Research

Q&A’s: Enmascaramiento de Datos

Preguntas frecuentes sobre el enmascaramiento de datos

¿Has pensado cómo proteger los datos confidenciales? El enmascaramiento estático de datos es una forma sencilla, fácil y eficaz de evitar una filtración.

Presentamos a continuación las respuestas a las preguntas más habituales:

1. ¿Por qué enmascarar? Porque no podemos proteger los datos fuera de Producción: Imagine que copia los datos de un cliente para realizar pruebas. ¿Cómo los protegerá después de copiarlos? Sin enmascaramiento de datos, usted expondrá todos los nombres, direcciones, teléfonos, correos electrónicos, información financiera y más. El enmascaramiento estático sustituye estos valores por buenas falsificaciones para que puedas hacer las pruebas sin poner en riesgo tu información confidencial o la de las personas que te la confiaron.

2. ¿Revertir el enmascaramiento? No es posible, ¡esa es la cuestión!: A diferencia del cifrado, el enmascaramiento estático es una transformación unidireccional. Los datos enmascarados se parecen a los originales, pero no los revelan. Este proceso irreversible garantiza que su información sensible permanezca protegida incluso si los datos enmascarados caen en las manos equivocadas.

3. ¿Integridad de los datos? Es imprescindible. De lo contrario, las aplicaciones no funcionarán correctamente en el entorno de prueba, o la prueba será ineficaz. El proceso de enmascaramiento debe conservar la validez, coherencia e integridad referencial de los datos. Es como un disfraz elaborado: todo parece diferente pero tiene que funcionar igual.

4. ¿Una única fórmula? Por supuesto que no. Hay muchas formas de enmascarar cualquier tipo de datos. Elegir una estrategia que se adapte a sus necesidades le garantizará alcanzar sus objetivos de seguridad a la vez que saca el máximo partido a sus datos.

5. ¿Debo preocuparme por el rendimiento? Sí y no: el rendimiento en el enmascaramiento de datos no es un problema, a menos que sea tan lento que resulte inviable. Vamos a explicarlo mejor:

Existe una idea preconcebida de que el enmascaramiento estático de datos es inherentemente lento y consume muchos recursos, pero no es un gran problema, ya que sólo tenemos que hacerlo una vez después de copiar los datos. Algunos dirían que sólo es necesario ejecutarlo una vez.

La verdad

No importa si un proceso de enmascaramiento tarda 30 segundos, 5 minutos o media hora, sólo porque no es algo que se ejecute todo el tiempo, y no se ejecuta en producción, ralentizando los procesos críticos de negocio.

Sin embargo, eso no es del todo cierto, ya que el enmascaramiento deja de ser práctico si tarda días o semanas. Tampoco es cierto que el enmascaramiento sólo se ejecute una vez, ya que hay que hacerlo cada vez que se actualizan los datos de prueba. A medida que el enmascaramiento se hace más rápido y sencillo, puede actualizar sus datos de prueba con más frecuencia y sacarle más partido.

Culpables del rendimiento

El enmascaramiento lento suele deberse a una de estas razones:

  • Selección del producto: Las diferentes soluciones ofrecen distintas capacidades de rendimiento. Entre los motivos más comunes se encuentran la calidad del código, las API de base de datos elegidas, el tamaño de las transacciones, etc.
  • Rendimiento de la base de datos: Como cualquier producto que funciona con una base de datos, el rendimiento del enmascaramiento también depende del rendimiento de la base de datos subyacente.

Disparadores: Uno de los problemas de rendimiento más difíciles de resolver son estas pequeñas piezas de código que se ejecutan cada vez que cambian los datos. Al actualizar millones de filas, un desencadenador se ejecutará millones de veces, lo que puede hacer que el proceso de enmascaramiento se eternice. Sin embargo, los disparadores no deberían desactivarse automáticamente, ya que a menudo son esenciales para la validez e integridad de los datos.

Domar a la “bestia del rendimiento”

Abordar estos problemas permitirá que el enmascaramiento de datos sea una parte integral de un ciclo de vida de datos dinámico, en lugar de una carga lenta e inutilizable que todo el mundo quiere evitar.

Presentamos algunas cuestiones a tener en cuenta para cada una de las razones en el punto anterior:

Si hablamos de la selección de productos, al buscar una solución de enmascaramiento de datos, siempre es aconsejable probar varias soluciones en su entorno con su red, base de datos y volumen de datos. Aunque las pruebas de productos pueden llevar mucho tiempo, es la única manera de asegurarse de que la solución funciona. Las grandes marcas, los productos conocidos, los analistas de mercado y los consejos amistosos a menudo pueden resultar contraproducentes y dar lugar a un software propio inutilizable.

En cuanto al rendimiento de la base de datos, el enmascaramiento de datos es un proceso muy intensivo en escritura que requiere un ajuste diferente de la base de datos. Para mejorar temporalmente el rendimiento de la base de datos durante el enmascaramiento, puede, por ejemplo, eliminar índices y restricciones, detener el archivado, suspender la replicación, etc. Las acciones previas y posteriores al enmascaramiento pueden ayudar a automatizar estas acciones durante el mismo. Colabore con sus DBA para maximizar la velocidad de escritura de su base de datos. 

Finalmente, resolver los problemas de rendimiento de los disparadores requiere algo de trabajo manual. En primer lugar, evalúe qué disparadores son relevantes para los datos que está enmascarando y desactive los irrelevantes. En segundo lugar, convierta los disparadores necesarios en un procedimiento de actualización vertical. Una única actualización de todas las filas es mucho más rápida que millones de pequeñas actualizaciones. Core Audit puede ayudar a acelerar este proceso identificando las SQL que deben reescribirse como actualizaciones verticales.

El enmascaramiento es esencial

Al hablar de problemas de rendimiento, es fácil perder de vista el panorama general: ¿por qué es tan importante el enmascaramiento de datos?

  • Reduce el riesgo: la eliminación de la exposición de datos confidenciales fuera de la producción reducirá drásticamente su perfil de exposición y riesgo.
  • Tiene un cumplimiento simplificado: el enmascaramiento es esencial a la hora de adherirse a las normativas de cumplimiento y privacidad de datos. Este le permite reducir el ámbito de cumplimiento, ya que los sistemas con datos enmascarados no suelen estar sujetos a dicho cumplimiento.

Mejora el desarrollo: los datos enmascarados alimentan los entornos de desarrollo y pruebas, lo que mejora la calidad del producto, acorta los ciclos de desarrollo y acelera los plazos de los proyectos.

Reflexiones finales

El enmascaramiento de datos es un componente fundamental del ciclo de vida de los datos y de la forma en que nuestros datos pueden impulsar y mejorar muchas funciones de nuestra empresa, como el desarrollo de productos, las pruebas, el análisis de datos, etc. A su vez, nos permite utilizar los datos de forma segura fuera de la producción, multiplicando el valor que podemos obtener de ellos.

Aunque sencillo y esencial, no es trivial. Muchos proyectos de enmascaramiento fracasan por diversos motivos, como la definición de las políticas de enmascaramiento adecuadas o la resolución de posibles problemas de rendimiento, entre otros.

A través de nuestra experiencia trabajando con clientes, hemos descubierto que los clientes siempre tienen éxito cuando cuentan con el producto adecuado y el equipo de apoyo para garantizar el éxito del proyecto. La falta de uno u otro disminuye considerablemente las posibilidades de éxito, y la falta de ambos garantiza el fracaso.


No dudes más y contáctanos hoy mismo a info@bluecoreresearch.com para saber más sobre cómo podemos ayudarte a enmascarar y asegurar tus datos.

Database Visibility: Poll Results

Visibilidad de las bases de datos: lo que todo el mundo echa en falta

Encuestas recientes a profesionales de la ciberseguridad muestran que la mayoría de los encuestados (82%) tienen visibilidad parcial o nula de sus bases de datos y la necesitan. Pocos dijeron que tienen buena visibilidad (7%) o que no la necesitan (11%).

Las encuestas se realizaron en diferentes grupos de LinkedIn tanto en inglés como en español y preguntaban “¿Tienes visibilidad de lo que ocurre dentro de tu base de datos?”. Casi todos los encuestados ingleses afirmaron tener una visibilidad parcial (40%) o no tener la visibilidad que necesitan (53%).

En la encuesta en español, hubo más personas que afirmaron tener buena visibilidad (10%) o no necesitarla (13%), pero aún así la mayoría dijo tener visibilidad parcial o no tenerla y necesitarla (47% y 30% respectivamente).

El reto de la visibilidad de la base de datos

Las bases de datos de las que somos responsables, almacenan muchos datos de terceros y de empresas que son muy sensibles, como datos financieros, información personal y mucho más. Es vital que estos datos no se vean comprometidos, filtrados o manipulados, pero no tenemos visibilidad sobre quién accede a ellos, cuándo o cómo.

Sabemos que necesitamos visibilidad. Sin ella, no podemos diseñar controles eficaces y está generalmente aceptada como un paso fundamental en la seguridad: no vueles a ciegas. No se puede controlar lo que no se ve. Entonces, ¿cómo es que es algo de lo que carecen la mayoría de las organizaciones?

Las bases de datos son un reto por el volumen de actividad y los requisitos de rendimiento. ¿Cómo se puede obtener visibilidad de miles de millones de SQL? ¿Cómo puede incluso recopilar la información sin afectar al rendimiento, por no hablar de procesarla y consumirla? ¿Cómo se puede obtener el control y saber cuándo alguien está haciendo algo malicioso cuando hay tanto ruido? Incluso limitando el alcance a los accesos a tablas confidenciales, hay demasiada actividad que comprender.

Y sin visibilidad, ¿cómo puede establecer controles, informes o alertas? ¿Qué hay que tener en cuenta? ¿Cómo sabrá si se ha producido una violación de datos? O si la ha habido, ¿qué ha ocurrido?

Cómo obtener y mejorar la visibilidad

Como ya se ha mencionado, la visibilidad de las bases de datos es un reto debido a su gran actividad y a sus requisitos de alto rendimiento. También es poco probable que pueda conseguirla por sí mismo sin la solución y la tecnología subyacentes adecuadas.

Las herramientas sencillas que se basan en funcionalidades integradas en las bases de datos suelen tener un impacto en el rendimiento y es poco probable que le proporcionen la visibilidad que necesita. Incluso las herramientas caras suelen basarse en tecnologías antiguas que no pueden ofrecer la visibilidad y el valor que usted necesita.

En los últimos años, Core Audit ha introducido importantes avances e innovaciones en este espacio del mercado, incluidas múltiples tecnologías de captura, procesamiento y análisis. Hable con nosotros para obtener más información sobre cómo podemos ayudarle a proteger sus datos.

Conclusión

Hoy en día, necesitamos proteger más datos, más sistemas y enfrentarnos a mayores riesgos como nunca antes. Estos retos son importantes y necesitamos la visibilidad y el control que ofrecen las últimas tecnologías.

Estas encuestas recientes muestran que la mayoría de los profesionales de la ciberseguridad son conscientes de lo importante que es la visibilidad. Sin embargo, la mayoría de las organizaciones siguen estando a la deriva, con una visibilidad limitada o nula de sus bases de datos.

Póngase en contacto con nosotros hoy mismo en marketing@bluecoreresearch.com para obtener más información sobre cómo podemos ayudarle a mejorar la visibilidad de sus bases de datos y proteger su información confidencial.