martes, 26 de mayo de 2009

Reflexiones sobre la seguridad en las bases de datos


Al albur del último encuentro e-tic celebrado sobre la seguridad, es sin duda un buen momento para haceros partícipes de una reflexión sobre la seguridad de nuestros datos almacenados, con la intención de que nos hagan pensar sobre el estado de nuestros sistemas de bases de datos y por lo tanto ponernos en marcha para implementar las mejoras pertinentes, que nos lleven a una mejor protección de nuestros datos, que en el fondo son el principal activo de nuestras empresas.
Con esta reflexión pretendo dejar en el lugar que le corresponde a la seguridad implementada en el motor de base de datos contra la implementada en el lado de la aplicación.
Independientemente de la tecnología y arquitectura usada para el desarrollo de la aplicación, la base de datos es el último bastión de la seguridad de nuestros datos y siempre surtirá el efecto deseado. Todos los motores de bases de datos incorporan elementos de seguridad suficientes para cualquier escenario, desde el modelo clásico, privilegios sobre tablas, vistas, columnas ó procedimientos y funciones, concedidos a los usuarios o roles, con la posibilidad de denegación -SQL Server- lo que nos lleva a roles “maximalistas” o sin esta posibilidad -Oracle- que nos lleva a roles “minimalistas”, pasando por la implementación jerárquica de la seguridad en la base de datos -SQL Server 2005 ó superior- lo que simplifica la gestión de los privilegios ya que privilegios concedidos en niveles superiores se heredan dinámicamente en los elementos de los niveles inferiores de la jerarquía formada por servidor - Base de datos – esquema – tablas, vistas, procedimientos y funciones. Oracle a partir de 8i implementa las “Virtual Private Databases” de forma que la misma consulta devuelve información distinta en función del usuario que la realiza, en función del entorno definido para el usuario, lo que representa un salto cualitativo, ya que la seguridad se aplica a nivel de fila, en lugar de tabla, de manera transparente al código de la aplicación.
La seguridad en el lado de la aplicación, normalmente es por ocultación -una concepción muy débil de la seguridad-, de opciones de menú en base a un usuario de la aplicación, pero no de la base de datos, accediendo a la base de datos mediante un único usuario de base de datos, generalmente con grandes privilegios -System ó dbo-, para todos los usuarios con acceso, con los problemas que ello conlleva tanto a nivel de acceso, inyección de código sql, “bugs” de la aplicación así como la imposibilidad de trazabilidad, en los acceso a la base de datos, tam importante en algunos sectores como el bancario o el sanitario.
Muchos argumentarán que la implementación de la seguridad del lado del motor de base de datos es más costosa, cuando en mi opinión es un problema de método, si la seguridad es una prioridad durante el desarrollo es muy fácil y económica su implementación, una vez desarrollada la aplicación no es ya momento del diseño de esta y lo único que nos queda es la huida hacia delante de la seguridad en el lado de la aplicación.
Por último y a modo de conclusión, comentar que en un altísimo porcentaje de las bases de datos sobre las que he trabajo, tanto Oracle como SQL Server, quizás el 85% ó el 90%, la seguridad está implementada solo y exclusivamente en el lado de la aplicación, tanto para aplicaciones comerciales como propias. Creo que ante estos números es evidente que debemos invertir, que no gastar, bastante más en la seguridad de nuestras bases de datos, o mejor dicho de nuestros datos, que al fin y al cabo son nuestro activo, tanto para protegerlos de miradas indiscretas como para evitar la manipulación incorrecta en base al principio de mínimos privilegios, haciendo accesible la información solo a aquel que realmente tiene la necesidad de conocerla.

Fermín de la Sierra Moreno, es administrador de bases de datos certificado para Oracle y Sql Server además de formador en el área de base de datos en Avante Formación

viernes, 15 de mayo de 2009

Debate abierto

El Encuentro E-TIC celebrado en el pasado mes de abril, dedicado a seguridad de la información, ha sido extraordinariamente participativo. Si algo destacaría, no es ninguna de las ponencias, que han sido muy positivas y de alto nivel técnico, lo que destacaría es la intervención del público. Como ponente “muchas gracias estimado público”.
Desgraciadamente el debate quedó abierto, tanto en Sevilla como en Málaga, pues la agenda no permitía continuar las mesas redondas en las que se plantearon cuestiones de mucho interés.
De entre todas quisiera resaltar las que se refirieron a las dificultades de la implantación y mantenimiento de un SGSI en las organizaciones, fundamentalmente en las PYMES. Con ellas se demostró que los SGSI están en las miras de las empresas y entidades, pero que estas no terminan de decidirse, en gran medida por cierto desconocimiento y temor a quedarse “colgados” en un proyecto interminable.
Las principales dificultades: la concienciación y formación, particularmente del personal en los procesos de gestión del sistema, y en general en materia de seguridad, el mantenimiento posterior al primer año de vida del sistema, cuando ya los consultores y especialistas que han asistido a la implantación dejan sola a la organización, el coste unido a la dificultad de medir un retorno de la inversión, hacen que llegar a tener un SGSI se perciba mas como un problema que como una solución.
Un SGSI cuesta implantarlo, mas en organizaciones pequeñas, pero estas pueden contar con ayudas económicas y con consultorías especializadas que le ayudarán en el proceso, incluso las entidades certificadoras “entenderán” que el sistema es inmaduro y apoyarán a la entidad premiándola con el ansiado trofeo, el “certificado”, todo vale para el primer año, digamos que es cuestión de dinero.
Después el cuento es otro, el mantenimiento, me mojo, puede implicar sobre unas mil ochocientas horas de trabajo en una PYME de unos veinticinco empleados. La concienciación y formación de los empleados es esencial y nos obliga día a día, hay que operar el SGSI (esto es gestionar) y hay que operar los controles establecidos (esto es controlar), y por último a menudo los técnicos implicados tienen que convencer de continuo a su dirección corporativa.
Todo esto y mucho más quedo dicho en el E-TIC, junto a las ventajas que la organización obtiene al contar con un SGSI: supone un extraordinario crecimiento en la madurez de la gestión en la organización aumentando su supervivencia, permite incrementar la competencia al cumplir exigencias del mercado, mantiene a salvo la organización ante peligros y contingencias, extiende la confianza de los demás en la organización, facilita a la gerencia el cumplimiento legal, …
Vistas las dificultades, (sobre todo el mantenimiento del SGSI), y vistas las ventajas, la pregunta surgió en el debate, blanco y en botella…, ¿qué se puede externalizar?, ¿cómo pueden ayudar terceras partes, consultores y especialistas, empresas de servicios, a gestionar la seguridad de la información en el mantenimiento del SGSI de una corporación que lo demande? Pues yo tengo mis ideas, pero aquí dejo el debate abierto.

José Antonio Castilla
Experto en Seguridad IT. CISA.CGEIT
Avante Formación

jueves, 14 de mayo de 2009

La seguridad: un factor clave para el trabajo colaborativo

Según un informe de Webroot que podemos leer en IDG, son muchas las empresas que no adoptan el trabajo colaborativo debido a su preocupación por la seguridad.
Actualmente no podemos negar los beneficios que el trabajo colaborativo aporta a la empresa ya que permite la cooperación entre socios, empleados y clientes. Sin embargo, y según revela este informe, la mitad de las compañías consultadas pospondría la implantación de estos planes por motivos de seguridad. La verdad es que este pensamiento es comprensible ya que los planes destinados a la colaboración incluyen el uso de redes sociales, wikis o mensajería instantánea además de las aplicaciones desarrolladas internamente dentro de las organizaciones. El malware presente en Internet es un factor clave para decidir acerca de la seguridad de estas aplicaciones y es, sin duda, uno de los motivos de la reticencia inicial.


Según leemos en este artículo, Paul Simmons, miembro ejecutivo del grupo de seguridad Jericho Forum, considera que el trabajo colaborativo "requiere una arquitectura que lo apoye". Además añade que las empresas deberían utilizar "arquitecturas orientadas a la colaboración". Evidentemente, además de velar por la seguridad, el desarrollo de esta arquitectura permitirá que la implantación sea más fácil y accesible.

La conclusión que obtenemos de todos esto es que, por un lado la organización debe dotarse de infraestructura adecuada para este tipo de colaboración y además de asumir un cambio de mentalidad y actitud. Se trata de un cambio muy importante y en este sentdo hay que trasladarlo al conjunto de la organización ya que todos vamos a estar implicados en el mismo. Por otro lado, debe resolver las cuestiones relativas a la seguridad de estos procesos previamente a a su implantación.

En definitiva, el trabajo colaborativo debe ser una meta para la mayoría de las empresas ya sea a corto o medio plazo pero su influencia está cada vez más presente y no podemos negar la evidencia.


jueves, 7 de mayo de 2009

Crisis y Oportunidades

Tras la celebración de los encuentros E-TIC de Sevilla y Málaga, me gustaría estrenarme en este blog con una reflexión, que sitúo en la parte final de nuestra ponencia como empresa consultora en dichos encuentros, las oportunidades.
De todos es sabido que las empresas deben tratar de aprovechar las situaciones de ciclo bajo de su actividad para preparar el próximo ciclo alto que, sin, duda llegará. Dentro de las cuestiones que las empresas se deben plantear están aquellas relacionadas con la inversión en la mejora de las TIC: la información es hoy y será aún más mañana, el activo más crítico de la mayoría de las empresas.
Afortunadamente, la situación, aunque mala para casi todos, tiene aspectos positivos, precisamente en esta propuesta de prepararnos para estar en las mejores condiciones de competir de nuevo. Son muchas y muy variadas las oportunidades que se ofrecen a las PYME para que hagan del uso de la TIC una estrategia esencial de su día a día. También se apuesta por la integración segura de las TIC en la cultura de las empresas, tanto a nivel de exigencias legales, como de sistemas de gestión o de mejora para garantizar esta integración.
Por tanto, no pensemos que “no estamos para gastar en estas cosas” sino más bien invirtamos nuestro esfuerzo e imaginación en prepararnos para competir en las mejores condiciones.
Los sistemas de gestión, como son los de la seguridad de la información ISO 27001, han demostrado en muchas ocasiones ser herramientas para acometer la mejora de las organizaciones, de forma estructurada y que, además, pueda ser reconocida por el mercado. Pues aprovechemos las oportunidades que nos dan para hacerlo ahora que quizá tenemos la ocasión.

Juan Carlos López
Socio-Director
AIDCON CONSULTING

E-TIC Seguridad en Tecnoesfera de Cibersur TV

El programa Tecnoesfera de Cibersur TV, incuyó en una de sus últimas ediciones un reportaje sobre el Encuentro E-TIC de Seguridad de la Información. Aquí os dejo el video:

lunes, 4 de mayo de 2009

El 75% de los asistentes a E-TIC considera necesaria la certificación de los SGSI

Este dato se desprende de las encuestas realizadas durante los pasados E-TIC de Seguridad de la Información, celebrados en Sevilla y Málaga. El 75% de los encuestados consideran importante esta certificación de los Sistemas de Gestión de Seguridad de la Información. Este dato no nos sorprende si conocemos el último informe de la Organización Internacional de Normalización (ISO) de finales de 2008 que recoge la clasificación mundial por países en los distintos certificados más extendidos en el plano internacional. ISO Survey España ha entrado en el ‘top ten' mundial de certificados de Sistemas de Gestión de Seguridad de la Información (SGSI) según la norma internacional ISO/IEC 27001: 2005. En concreto, España se sitúa, con 93 certificados, en novena posición del ranking mundial, por detrás de Estados Unidos (93) y Alemania (135). Esto demuestra el creciente interés en nuestro país por este tipo de certificaciones que, seguro, seguirán creciendo a lo largo de este año. Del mismo modo, también están tomando cada vez más presencia las certificaciones profesionales en seguridad como CISA, certificación de ISACA. Sin duda, estamos viviendo una etapa dorada en lo que a seguridad IT se refiere y desde este blog animamos a todos los profesionales de este campo a crear una comunidad dinámica en nuestro país para seguir creciendo en conocimiento y certificación.