Al hilo de una mesa redonda a la que he asistido esta mañana, quiero dejar aquí unos comentarios sobre seguridad en base de datos. Es uno de los temas que se han tratado, así que viendo que las personas que han dado la charla han atinado en el planteamiento, me he animado a compartir con vosotros lo que yo entiendo como una seguridad en base de datos adecuada.

Las bases de datos son una de las grandes desconocidas en el mundo de la auditoría de sistemas y en las revisiones de seguridad. No es fácil encontrarse con auditores experimentados en este campo, y eso quizás responde a la enorme complejidad, tecnológica y no tecnológica que tienen las bases de datos empresariales, por no hablar de que cada entorno es hijo de su padre y su madre, y la uniformidad de la tecnología es algo que brilla por su ausencia. Por desgracia, dada esta complejidad, el normal ver planteamientos de auditoría basados en verificar la configuración de seguridad de los motores, la presencia de cifrado, y con un poco de suerte, los hay que se aventuran a mirar las tripas de los procesos y dictaminar si existe una adecuada segregación de funciones. Todos son factores importantes, pero no son por sí mismos representativos del estado de seguridad de una base de datos. Es muy frecuente que los dictámenes se basen en auditar aspectos aislados de la base de datos y no en su conjunto, y lo que es peor: ni pararse a pensar en los datos, estudiando solamente si la plataforma que contiene los datos es o no acorde a una determinada guía de militarización.

La lista puede ser interminable ya que cada cual tiene su modo de proceder, pero voy a sintetizar en 5 los puntos que hay que mirar cuando se analiza una base de datos. Cubren lo que considero mínimo, y en su ausencia yo al menos, salvo casos muy aislados, consideraría que la seguridad de los datos es deficiente.

Contenido completo en el Blog de Sergio Hernando