Documente Academic
Documente Profesional
Documente Cultură
Cele mai bune practici privind securitatea datelor ar trebui să fie utilizate atât on-premises, cât și
în cloud, în vederea reducerii riscului unei breșe de date și respectării reglementărilor.
Recomandările specifice pot diferi, dar, de obicei, se referă la necesitatea adoptării unei strategii
de securitate a datelor pe mai multe niveluri, astfel încât protecția să fie deplină. Diversele
controale reduc vectorii amenințărilor. Soluțiile din diverse domenii includ capacitățile de
evaluare, detectare și monitorizare a activităților și amenințărilor din baza de date.
Datele reprezintă unul dintre cele mai importante active pentru orice organizație. Ca atare, este
esențial să protejați datele împotriva oricărui acces neautorizat. Încălcările securității datelor,
auditurile eșuate și nerespectarea cerințelor de reglementare pot duce la prejudicii reputaționale,
pierderea valorii mărcii, compromiterea proprietății intelectuale și amenzi pentru neconformitate.
În conformitate cu Regulamentul general privind protecția datelor (RGPD) în Uniunea
Europeană, încălcările securității datelor pot duce la amenzi de până la 4% din venitul anual
global al unei organizații, ceea ce duce adesea la pierderi financiare semnificative. Datele
confidențiale includ informațiile de identificare a persoanelor, informațiile financiare,
informațiile privind starea sănătății și proprietatea intelectuală. Datele trebuie protejate pentru a
se evita divulgarea acestora și în scopul conformității.
Mascarea datelor, crearea de subseturi de date și redactarea datelor sunt tehnici de reducere a
riscului de divulgare a datelor confidențiale din cadrul aplicațiilor. Aceste tehnologii joacă un rol
cheie pentru respectarea cerințelor de anonimizare și pseudonimizare, asociate cu reglementări
precum RGPD în UE. RGPD în Uniunea Europeană a fost creat conform unor principii ale
confidențialității consacrate și acceptate pe scară largă, cum ar fi limitarea scopului, legalitatea,
transparența, integritatea și confidențialitatea. Acesta consolidează cerințele existente în materie
de confidențialitate și securitate, inclusiv cerințele privind notificarea și consimțământul,
măsurile tehnice și operaționale de securitate și mecanismele transfrontaliere pentru fluxul de
date. Pentru a se adapta la noua economie digitală, globală și bazată pe date, RGPD formulează,
de asemenea, noi principii ale confidențialității, cum ar fi responsabilitatea și minimizarea
datelor.
Infractorii cibernetici au o varietate de metode pe care le folosesc atunci când încearcă să fure
date din bazele de date:
Compromiterea sau furtul acreditărilor unui administrator sau unei aplicații privilegiate. În
acest scop, se utilizează, de obicei, phishingul prin intermediul e-mailului, alte forme de
inginerie socială sau malware, pentru dezvăluirea acreditărilor și, în cele din urmă, a datelor.
Exploatarea punctelor slabe din aplicații cu tehnici cum ar fi injectarea SQL sau ocolirea
sistemului de protecție a aplicației prin înglobarea codului SQL într-o intrare aparent
inofensivă furnizată de un utilizator final.
Eludarea privilegiilor de utilizare prin exploatarea aplicațiilor vulnerabile.
Accesarea fișierelor bazei de date care nu sunt criptate pe disc.
Exploatarea sistemelor necorectate sau a bazelor de date configurate greșit, pentru ocolirea
controalelor de acces.
Furtul înregistrărilor arhivate și al suporturilor media care conțin backupurile bazei de date.
Furtul de date din medii care nu sunt de producție, cum ar fi DevTest, unde este posibil ca
datele să nu fie protejate la fel de bine ca în mediile de producție.
Vizualizarea datelor confidențiale prin intermediul aplicațiilor care expun din greșeală date
confidențiale depășind ceea ce ar trebui să poată accesa aplicația sau utilizatorul respectiv.
Erori umane, accidente, transmiterea parolelor, greșeli de configurare și alte comportamente
iresponsabile ale utilizatorilor, care continuă să fie cauza a aproape 90% din breșele de
securitate.
O strategie de securitate bine structurată privind bazele de date ar trebui să includă controale
pentru atenuarea unei varietăți de vectori de amenințări. Cea mai bună metodă este un cadru
integrat de controale de securitate, care pot fi implementate ușor, pentru a aplica niveluri de
securitate corespunzătoare. Iată unele dintre cele mai uzuale controale pentru securizarea bazelor
de date:
Reduceți riscul unei breșe de date și simplificați conformitatea cu soluțiile pentru securitatea
datelor urmând cele mai bune practici privind securitatea datelor, inclusiv criptarea, gestionarea
cheilor, mascarea datelor, controalele de acces pentru utilizatori privilegiați, monitorizarea
activității și auditul.
Protecția datelor: reduceți riscul unei breșe de date și al neconformității cu soluții valabile
pentru o gamă largă de cazuri de utilizare, cum ar fi criptarea, gestionarea cheilor, redactarea
și mascarea. Aflați mai multe despre Data Safe
Controlul accesului la date: un pas esențial pentru securizarea unui sistem de baze de date
este validarea identității utilizatorului care accesează baza de date (autentificarea) și
controlarea operațiunilor pe care le poate efectua acesta (autorizare). Autentificarea puternică
și autorizarea contribuie la protejarea datelor împotriva atacatorilor. În plus, impunerea
separării responsabilităților contribuie la împiedicarea utilizatorilor privilegiați să abuzeze de
privilegiile lor de sistem pentru accesarea datelor confidențiale și la prevenirea modificării
accidentale sau rău intenționate a bazei de date.
Audit și monitorizare: toate activitățile bazei de date trebuie înregistrate în scopuri de audit -
inclusiv activitățile care au loc în rețea, precum și activitățile declanșate în baza de date (de
obicei prin conectare directă) ocolindu-se orice monitorizare a rețelei. Auditul ar trebui să
funcționeze chiar dacă rețeaua este criptată. Bazele de date trebuie să furnizeze un audit
robust și cuprinzător, care să includă informații despre date, clientul de unde se face cererea,
detaliile operațiunii și declarația SQL în sine.
Securizarea bazelor de date în cloud: prin implementarea bazelor de date în cloud, costurile
se pot reduce, personalul are mai mult timp pentru activități mai importante, iar activitatea IT
devine mai flexibilă și mai rapidă. Însă aceste beneficii pot fi însoțite de riscuri suplimentare,
inclusiv din cauza perimetrului de rețea extins, suprafeței extinse a amenințărilor reprezentate
de un grup administrativ necunoscut și infrastructurii comune. Totuși, prin utilizarea celor
mai bune practici de securitate a bazelor de date, cloudul le poate oferi organizațiilor o
securitate mai bună decât majoritatea soluțiilor on-premises, reducând totodată costurile și
îmbunătățind flexibilitatea.
Sursa: https://www.oracle.com/ro/security/database-security/what-is-data-security/