Autoevaluación de la seguridad de tu base de datos

¡Hola! Te invitamos a participar de un juego para obtener información de calidad sobre el estado actual de la seguridad de tu base de datos. Responder estas preguntas no demorará más de 5 minutos y una vez completada, recibirás información de calidad sobre seguridad.

¿Sabes dónde está tu información sensible? ¿Cuáles bases de datos y qué tablas y columnas las contienen?

Conocemos algunas de las bases de datos sensibles

Conocemos las principales bases de datos sensibles y las columnas que contienen información sensible.

Conocemos la exacta base de datos y columna de cada pieza de información sensible.

El requerimiento más elemental para proteger datos sensibles es saber dónde están. Es esencial contar con la lista de bases de datos que los contienen y las tablas y columnas que requieren protección.

¿Has asegurado que tus usuarios sólo cuenten con los mínimos privilegios que necesitan (menos privilegiado)?

Solo con algunos de los usuarios

Solo para administradores de privilegios y roles

Sí, validamos los privilegios y permisos de todos

Una importante buena práctica es asegurar los mínimos privilegios – que los usuarios solo tengan los permisos necesarios para desarrollar su trabajo. Esto es especialmente importante para la administración de privilegios que son, desafortunadamente, a menudo ofrecidos por error o sin una buena justificación.

¿Estás al tanto de los cambios en tu base de datos?

Recibimos reportes/alertas cuando los usuarios crearon, modificaron, o cambiaron

Recibimos reportes/alertas cuando tablas u objetos son creados, modificados, o cambiados.

Recibimos reportes/alertas cuando cambia la configuración de la base de datos

Revisamos información detallada sobre todos los cambios anteriores en la base de datos

Revisamos todos los cambios así como monitoreamos todos los DDLs en la base de datos

El control de cambios es una forma simple de demostrar el control básico sobre los ambientes. Dado que los administradores a veces olvidan documentar estos cambios, es altamente recomendado cerrar el círculo monitoreando los cambios y aprobándolos.

¿Revisas quién se conectó a tu base de datos?

Tenemos algunos registros establecidos, pero no los revisamos.

Revisamos conexiones consideradas de alto riesgo

Sí, somos conscientes de las conexiones de todos a las bases de datos.

El conocer qué usuarios, programas, y máquinas están conectadas a la base de datos es la más mínima visibilidad para entender qué está sucediendo. Esta información debería ser revisada diaria o semanalmente.

¿Revisas los accesos a las tablas sensibles?

Tenemos logs de acceso pero no los revisamos.

Tenemos reportes, pero son muy largos e imposibles de revisar.

Revisamos accesos importantes y sospechosos a datos sensibles.

Tenemos reportes efectivos y están al tanto de todos los accesos relevantes.

Especial atención debe darse a tablas sensibles. Es importante saber quién está desempeñando cada acceso, a cuánta data es accedida, cuándo ese acceso es “inusual”, y más. Establecer reportes efectivos es esencial entonces los reportes son cortos, significativos y fáciles de revisar.

¿Monitoreas la actividad de DBAs?

El equipo de DBA tienen monitoreo interno de su actividad.

Tenemos logs de toda la actividad, pero no son revisadas

Tenemos reportes efectivos y están al tanto de todos los accesos relevantes

Debido a sus elevados privilegios, la actividad de DBAs es considerada de alto riesgo. Esto es tanto desde una amenaza interna de abuso de privilegios, y en caso de que sus credenciales fueran robadas o sus máquinas hackeadas.

¿Cuánto tiempo, en promedio, pasas en la seguridad de tu base de datos?

Nada de tiempo. Todo es automático.

Hasta dos horas por semana por base de datos (30 minutos por día)

3-5 horas por semana por base de datos (hasta una hora por día)

Más de 5 horas por semana por base de datos (más de una hora por día).

El monitoreo efectivo puede usualmente ser hecho en menos de 2 horas por semana. Pasar más tiempo sugiere que sus controles no son efectivos y que estás ahogándote en información inútil. No pasar nada de tiempo, sugiere que tus controles están calibrados tan bajos que es poco probable que sepas si ocurrió un problema real.

¿Monitoreas la actividad inusual de la base de datos como usuarios conectándose desde diferentes programas o desde diferentes computadoras?

Manualmente revisamos los accesos para encontrar comportamiento inusual.

Tenemos algunos monitoreos, pero no creo que sean muy efectivos

Tenemos monitoreos efectivos para actividad inusual

Las bases de datos tienen un montón de conexiones y es fácil perder cambios pequeños como diferentes direcciones IP para un usuario particular, o un programa que un usuario normalmente no usa. La automatización puede ayudar a asegurar que estés al tanto de cualquier cambio en las conexiones de perfiles.

¿Monitoreas actividades de aplicaciones anómalas como inyección SQL?

Sí, monitoreamos inyecciones de SQL, pero nunca recibimos ninguna alerta

Nuestra aplicación solo usa variables de vinculación, entonces las inyecciones de SQL no es un problema.

Sí, monitoreamos inyecciones de SQL tanto como otras anomalías de la aplicación.

Las aplicaciones ejecutan una masiva cantidad de SQLs que son imposibles de revisar manualmente. Este es un lugar donde la automatización es la única solución. Análisis de anomalías, por ejemplo, puede analizar la actividad de los perfiles y señalar cambios en el comportamiento de la aplicación. La inyección de SQL es un ejemplo de un ataque apalancando un error de aplicación.

¿Cómo auditas la actividad de tu base de datos?

No auditamos la actividad de la base de datos

Manualmente, usando guiones caseros, y estamos felices con eso.

Tenemos una solución, pero no hace todo lo que necesitamos.

Tenemos una solución que hace todo lo que requerimos.

La auditoría de la actividad de la base de datos requiere la correcta tecnología. A una escala menor, guiones hechos en casa pueden ser efectivos. Como sea, cuando se audita más actividad de largas bases de datos, el desarrollo se vuelve muy alto y la inversión de tiempo requerido – desafiante. Usar la solución adecuada puede ayudar a monitorear toda la actividad, con poco trastorno, y alcanzar reportes efectivos.

¿Tienes separación de deberes que previenen, por ejemplo, DBAs de acceder a datos sensibles?

Usamos la auditoría para estar al tanto de actividad maliciosa de cuentas de DBA.

Si, DBAs no pueden acceder a datos sensibles sin una autorización especial

Las bases de datos son diseñadas para tener cuentas administrador con privilegios ilimitados. Estas cuentas son un vector de ataque de alto riesgo tanto por amenazas internas – abusos de privilegios- como por las externas – robo de credenciales por hackeo en máquinas de DBA. Reducir el acceso a estas cuentas y establecer la separación de deberes puede significativamente reducir el riesgo de cuentas de DBA.

¡Haz terminado el asesoramiento!

La madurez de la seguridad de tu base de datos es de 10

Por favor completa esta información para recibir por mail un reporte con el resultado y más detalles:

Nombre
Apellido
Compañía
Rol
Email
Teléfono
	Email Results

¡Haz terminado el asesoramiento!

También te puede interesar

Calculadora de Riesgos 2.0

Requisitos de auditoría de bases de datos