Quando damos dicas de privacidade e segurança costumamos falar de senhas fortes, sugerimos fazer backup, contar com soluções de segurança, manter os sistemas atualizados e evitar as configurações de fábrica. Em geral, costumam ser os cuidados básicos e essenciais que qualquer administrador de infraestrutura deve ter em conta. No entanto, de acordo com o sistema que queira proteger, existem algumas questões adicionais para considerar.
Tendo em conta a alarmante frequência de roubos e vazamento de informações, apresentamos cinco dicas para manter bases de dados seguras, especialmente quando estão hospedadas na nuvem ou em serviços terceirizados.
#1 Limitar o acesso à base de dados
quanto mais limitadas forem as permissões e os privilégios, melhor
“Panela que muitos mexem, não toma tempero”, dizia a minha avó cada vez que os netos queriam ajudá-la a cozinhar.
Este velho ditado popular é ideal para aplicar à segurança da informação: quando muitas pessoas interferem em um assunto, o resultado não pode ser positivo.
Algo parece acontece com os acessos às bases de dados: quanto mais limitadas forem as permissões e os privilégios, melhor.
Um rigoroso controle de acesso é o primeiro passo para manter os cibercriminosos longe das informações. Além das permissões básicas como em qualquer sistema, neste caso também é importante considerar:
- Limitar o acesso aos dados sensíveis selecionando usuários e procedimentos – assim, somente determinados usuários e procedimentos estão autorizados a consultar dados sensíveis.
- Limitar o uso de procedimentos importantes somente a usuários específicos.
- Sempre que for possível, evitar as consultas e acessos fora do horário de trabalho habitual.
De outra forma, também é uma boa prática desabilitar todos os serviços e procedimentos que não estão sendo utilizados, para evitar que sejam atacados. Por outro lado, é uma boa prática desabilitar todos os serviços e procedimentos que não sejam utilizados, para evitar que possam ser atacados. Além disso, sempre que possível, a base de dados deve estar em um servidor que não possa ser acessado diretamente pela Internet, evitando que a informação fique exposta para cibercriminosos remotos.
#2 Identificar os dados sensíveis e os dados críticos
O primeiro passo, antes de pensar nas técnicas e ferramentas de proteção, é analisar e identificar quais informações importantes devem ser protegidas. Para isso, é fundamental compreender a lógica e a arquitetura da base de dados, para poder determinar facilmente onde e como os dados confidenciais são armazenados.
Nem todos os dados que armazenamos são críticos ou devem ser protegidos, portanto, não faz sentido gastar tempo e recursos nesse tipo de informação.
Também é aconselhável fazer um inventário das bases de dados da empresa, tendo em conta todas as áreas. A única maneira de ter uma administração completa e não perder informações é ter conhecimento e registro de todas as instâncias e bases de dados da empresa.
Além disso, o inventário é especialmente útil ao fazer um backup das informações, evitando que os dados críticos estejam fora do esquema.
#3 Criptografar a informação
Depois que os dados e as informações confidenciais são identificados, uma boa prática é utilizar algoritmos robustos para criptografar esses dados.
Quando um invasor explora uma vulnerabilidade e ganha acesso a um servidor ou sistema, a primeira coisa que tentarão roubar são as bases de dados. As bases são um tesouro cobiçado, pois geralmente incluem muitos gigas de informações valiosas. A melhor maneira de preservá-la é torná-la ilegível para quem chega sem autorização.
Confira mais informações em nosso guia gratuito de criptografia de dados.
#4 Tornar anónima todas as bases de dados que não sejam produtivas
Muitas empresas investem tempo e recursos na proteção de suas bases de dados produtivas, mas ao desenvolver ou criar um ambiente de teste, simplesmente fazem uma cópia da base de dados original e começam a usá-la em ambientes muito menos controlados, expondo assim toda a informação confidencial.
Mascarar ou tornar anônimo é um processo pelo qual uma versão similar é criada, mantendo a mesma estrutura que o original, mas alterando os dados confidenciais para que permaneçam protegidos. A partir desta técnica, os valores são alterados respeitando o formato.
Os dados podem ser alterados de diferentes formas: misturando entre si, criptografando-os, misturando os caracteres ou substituindo as palavras. O método escolhido dependerá do administrador, das regras e dos formatos que devem ser mantidos, mas o que quer que seja, deve garantir que o processo seja irreversível; ou seja, que a engenharia reversa não pode ser feita para obter novamente os dados originais.
Esta técnica é especialmente utilizada (e recomendada) para bases de dados que fazem parte dos ambientes de teste e desenvolvimento, considerando que permite manter a estrutura lógica dos dados, assegurando que a informação sensível do cliente não esteja disponível fora do ambiente de produção.
#5 Monitorar a atividade da sua base de dados
Estar atento, auditar e gravar as ações e movimentos dos dados permite saber quem, que, quando e como as informações são manipuladas. Ter um histórico completo de transações permite compreender os padrões de acesso e a modificação de dados para evitar vazamentos de informações, monitorar mudanças fraudulentas e detectar ações suspeitas em tempo real.
As informações alojadas nelas são muito valiosas para a empresa e um grande atrativo para os criminosos e, por isso, requerem muita atenção.