Data Security

Definiția securității datelor

Securitatea datelor se referă la măsurile de protecție adoptate în vederea securizării datelor

împotriva accesului neautorizat și pentru menținerea confidențialității, integrității și
disponibilității datelor. Cele mai bune practici privind securitatea datelor includ tehnicile de
protecție a datelor precum criptarea datelor, gestionarea cheilor, redactarea datelor, crearea de
subseturi de date și mascarea datelor, precum și controlul accesului utilizatorilor în funcție de
privilegii, auditurile și monitorizarea.

Cele mai bune practici privind securitatea datelor

Cele mai bune practici privind securitatea datelor ar trebui să fie utilizate atât on-premises, cât și
în cloud, în vederea reducerii riscului unei breșe de date și respectării reglementărilor.
Recomandările specifice pot diferi, dar, de obicei, se referă la necesitatea adoptării unei strategii
de securitate a datelor pe mai multe niveluri, astfel încât protecția să fie deplină. Diversele
controale reduc vectorii amenințărilor. Soluțiile din diverse domenii includ capacitățile de
evaluare, detectare și monitorizare a activităților și amenințărilor din baza de date.

Importanţa securității datelor

Datele reprezintă unul dintre cele mai importante active pentru orice organizație. Ca atare, este
esențial să protejați datele împotriva oricărui acces neautorizat. Încălcările securității datelor,
auditurile eșuate și nerespectarea cerințelor de reglementare pot duce la prejudicii reputaționale,
pierderea valorii mărcii, compromiterea proprietății intelectuale și amenzi pentru neconformitate.
În conformitate cu Regulamentul general privind protecția datelor (RGPD) în Uniunea
Europeană, încălcările securității datelor pot duce la amenzi de până la 4% din venitul anual
global al unei organizații, ceea ce duce adesea la pierderi financiare semnificative. Datele
confidențiale includ informațiile de identificare a persoanelor, informațiile financiare,
informațiile privind starea sănătății și proprietatea intelectuală. Datele trebuie protejate pentru a
se evita divulgarea acestora și în scopul conformității.

Securitatea datelor și RGPD

Mascarea datelor, crearea de subseturi de date și redactarea datelor sunt tehnici de reducere a
riscului de divulgare a datelor confidențiale din cadrul aplicațiilor. Aceste tehnologii joacă un rol
cheie pentru respectarea cerințelor de anonimizare și pseudonimizare, asociate cu reglementări
precum RGPD în UE. RGPD în Uniunea Europeană a fost creat conform unor principii ale
confidențialității consacrate și acceptate pe scară largă, cum ar fi limitarea scopului, legalitatea,
transparența, integritatea și confidențialitatea. Acesta consolidează cerințele existente în materie
de confidențialitate și securitate, inclusiv cerințele privind notificarea și consimțământul,
 măsurile tehnice și operaționale de securitate și mecanismele transfrontaliere pentru fluxul de
date. Pentru a se adapta la noua economie digitală, globală și bazată pe date, RGPD formulează,
de asemenea, noi principii ale confidențialității, cum ar fi responsabilitatea și minimizarea
datelor.

În temeiul Regulamentului general privind protecția datelor (RGPD), încălcările securității

datelor pot duce la amenzi de până la patru procente din cifra de afaceri anuală globală a unei
companii sau de până la 20 de milioane EUR, oricare dintre acestea este mai mare. Companiile
care colectează și gestionează date în UE vor trebui să respecte cu strictețe practicile privind
prelucrarea datelor, inclusiv următoarele cerințe:

 Securitatea datelor. Companiile trebuie să implementeze un nivel adecvat de securitate, care

să cuprindă atât controale de securitate tehnice, cât și organizaționale, pentru a preveni
pierderea datelor, scurgerile de informații sau alte operațiuni neautorizate de prelucrare a
datelor. RGPD încurajează companiile să încorporeze cerințele privind criptarea,
managementul incidentelor și integritatea rețelei și a sistemului, disponibilitatea și rezistența
în programul lor de securitate.
 Drepturile extinse ale persoanelor. Persoanele fizice au un control mai mare - și, în cele din
urmă, mai multe drepturi - asupra datelor proprii. Acestea au, de asemenea, un set extins de
drepturi privind protecția datelor, inclusiv dreptul la portabilitatea datelor și dreptul de a fi
uitate.
 Notificare privind încălcarea securității datelor. Companiile trebuie să informeze
autoritățile de reglementare și/sau persoanele afectate fără întârzieri nejustificate, după ce au
luat cunoștință de faptul că datele lor au făcut obiectul unei încălcări a securității datelor.
 Audituri de securitate. Companiile trebuie să documenteze și să mențină evidențe ale
practicilor lor de securitate, să auditeze eficacitatea programului lor de securitate și să ia
măsuri corective, dacă este cazul.

Care sunt provocările privind securitatea bazelor de date?

 Bazele de date sunt depozite valoroase de informații confidențiale, ceea ce le face ținta principală
a hoților de date. De obicei, hackerii de date pot fi împărțiți în două grupuri: externi și interni.
Externi pot fi toți hackerii, de la cei care acționează singuri, urmărind să provoace perturbări sau
să obțină câștiguri financiare, până la grupurile criminale și organizațiile sponsorizate de unele
state, care încearcă să comită fraude pentru a crea perturbări la scară națională sau globală. Din
categoria internilor pot face parte foști sau actuali angajați, curioșii și unii clienți sau parteneri
care profită de poziția lor de încredere pentru a fura date sau comit o greșeală care duce la un
eveniment de securitate neintenționat. Atât cei din afară, cât și cei din interior creează riscuri
pentru securitatea datelor cu caracter personal, a datelor financiare, a secretelor comerciale și a
datelor reglementate.

Infractorii cibernetici au o varietate de metode pe care le folosesc atunci când încearcă să fure
date din bazele de date:

 Compromiterea sau furtul acreditărilor unui administrator sau unei aplicații privilegiate. În
acest scop, se utilizează, de obicei, phishingul prin intermediul e-mailului, alte forme de
inginerie socială sau malware, pentru dezvăluirea acreditărilor și, în cele din urmă, a datelor.
 Exploatarea punctelor slabe din aplicații cu tehnici cum ar fi injectarea SQL sau ocolirea
sistemului de protecție a aplicației prin înglobarea codului SQL într-o intrare aparent
inofensivă furnizată de un utilizator final.
 Eludarea privilegiilor de utilizare prin exploatarea aplicațiilor vulnerabile.
 Accesarea fișierelor bazei de date care nu sunt criptate pe disc.
 Exploatarea sistemelor necorectate sau a bazelor de date configurate greșit, pentru ocolirea
controalelor de acces.
 Furtul înregistrărilor arhivate și al suporturilor media care conțin backupurile bazei de date.
 Furtul de date din medii care nu sunt de producție, cum ar fi DevTest, unde este posibil ca
datele să nu fie protejate la fel de bine ca în mediile de producție.
 Vizualizarea datelor confidențiale prin intermediul aplicațiilor care expun din greșeală date
confidențiale depășind ceea ce ar trebui să poată accesa aplicația sau utilizatorul respectiv.
 Erori umane, accidente, transmiterea parolelor, greșeli de configurare și alte comportamente
iresponsabile ale utilizatorilor, care continuă să fie cauza a aproape 90% din breșele de
securitate.

Cele mai bune practici privind securitatea bazelor de date

O strategie de securitate bine structurată privind bazele de date ar trebui să includă controale
pentru atenuarea unei varietăți de vectori de amenințări. Cea mai bună metodă este un cadru
integrat de controale de securitate, care pot fi implementate ușor, pentru a aplica niveluri de
securitate corespunzătoare. Iată unele dintre cele mai uzuale controale pentru securizarea bazelor
de date:

 Controalele de evaluare ajută la evaluarea situației de securitate a unei baze de date și

trebuie să ofere, de asemenea, posibilitatea identificării modificărilor configurației.
Organizațiile pot seta o configurație de bază, apoi pot identifica abaterile. Controalele de
evaluare ajută, de asemenea, organizațiile să identifice datele confidențiale din sistem,
inclusiv tipul de date și locația acestora. Controalele de evaluare caută să răspundă la
următoarele întrebări:
o Sistemul bazei de date este configurat corect?

o Corecțiile sunt actualizate și aplicate periodic?

o Cum sunt gestionate privilegiile utilizatorilor?
 o Ce date confidențiale sunt în sistemul bazei de date? Câte? Unde se află?
 Controalele de detecție monitorizează accesul utilizatorilor și al aplicațiilor la date,
identifică anomaliile comportamentale, detectează și blochează amenințările și auditează
activitatea bazei de date, oferind rapoarte privind conformitatea.
 Controalele preventive blochează accesul neautorizat la date prin criptarea, redactarea,
mascarea datelor și crearea de subseturi de date, în funcție de cazul de utilizare respectiv.
Scopul final al controalelor preventive este de a opri accesul neautorizat la date.
 Controalele specifice datelor impun politicile de acces la nivel de aplicație din cadrul bazei
de date, oferind un model de autorizare consecvent pentru mai multe aplicații, mai multe
instrumente de raportare și mai mulți clienţi ai bazei de date.
 Controalele specifice utilizatorilor impun politicile corespunzătoare de autentificare și
autorizare a utilizatorilor, asigurându-se că numai utilizatorii autentificați și autorizați au
acces la date.

Soluţii de securitate a datelor

Reduceți riscul unei breșe de date și simplificați conformitatea cu soluțiile pentru securitatea
datelor urmând cele mai bune practici privind securitatea datelor, inclusiv criptarea, gestionarea
cheilor, mascarea datelor, controalele de acces pentru utilizatori privilegiați, monitorizarea
activității și auditul.

 Protecția datelor: reduceți riscul unei breșe de date și al neconformității cu soluții valabile
pentru o gamă largă de cazuri de utilizare, cum ar fi criptarea, gestionarea cheilor, redactarea
și mascarea. Aflați mai multe despre Data Safe
 Controlul accesului la date: un pas esențial pentru securizarea unui sistem de baze de date
este validarea identității utilizatorului care accesează baza de date (autentificarea) și
controlarea operațiunilor pe care le poate efectua acesta (autorizare). Autentificarea puternică
și autorizarea contribuie la protejarea datelor împotriva atacatorilor. În plus, impunerea
separării responsabilităților contribuie la împiedicarea utilizatorilor privilegiați să abuzeze de
privilegiile lor de sistem pentru accesarea datelor confidențiale și la prevenirea modificării
accidentale sau rău intenționate a bazei de date.
 Audit și monitorizare: toate activitățile bazei de date trebuie înregistrate în scopuri de audit -
inclusiv activitățile care au loc în rețea, precum și activitățile declanșate în baza de date (de
obicei prin conectare directă) ocolindu-se orice monitorizare a rețelei. Auditul ar trebui să
funcționeze chiar dacă rețeaua este criptată. Bazele de date trebuie să furnizeze un audit
robust și cuprinzător, care să includă informații despre date, clientul de unde se face cererea,
detaliile operațiunii și declarația SQL în sine.
 Securizarea bazelor de date în cloud: prin implementarea bazelor de date în cloud, costurile
se pot reduce, personalul are mai mult timp pentru activități mai importante, iar activitatea IT
devine mai flexibilă și mai rapidă. Însă aceste beneficii pot fi însoțite de riscuri suplimentare,
inclusiv din cauza perimetrului de rețea extins, suprafeței extinse a amenințărilor reprezentate
de un grup administrativ necunoscut și infrastructurii comune. Totuși, prin utilizarea celor
mai bune practici de securitate a bazelor de date, cloudul le poate oferi organizațiilor o
securitate mai bună decât majoritatea soluțiilor on-premises, reducând totodată costurile și
îmbunătățind flexibilitatea.
Sursa: https://www.oracle.com/ro/security/database-security/what-is-data-security/