Sicurezza dei dati fa riferimento alle misure di protezione impiegate per proteggere i dati da accessi non approvati e per preservare la riservatezza, l'integrità e la disponibilità dei dati. Le best practice per la sicurezza dei dati includono tecniche di protezione dei dati, come crittografia dei dati, gestione delle chiavi, offuscamento dei dati, sottocategoria dei dati e mascheramento dei dati, nonchè controlli di accesso degli utenti privilegiati, auditing e monitoraggio.

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea, le violazioni dei dati possono comportare sanzioni pecuniarie fino al 4% del fatturato annuo globale di un'organizzazione, spesso con conseguenti perdite finanziarie significative. I dati sensibili includono informazioni di identificazione personale, informazioni finanziarie, informazioni sanitarie e proprietà intellettuale. I dati devono essere protetti per evitarne una violazione e per contribuire a raggiungere la compliance.

In genere, gli hacker di dati possono essere suddivisi in due gruppi: estranei e addetti ai lavori. Gli estranei includono chiunque, da hacker solitari e criminali informatici, alla ricerca di interruzioni dell'attività o guadagni finanziari, o gruppi criminali. Gli addetti ai lavori possono comprendere dipendenti attuali o precedenti, curiosi e clienti o partner che approfittano della propria posizione di fiducia per rubare dati o che commettono un errore che provoca un evento di sicurezza non intenzionale. Sia gli estranei sia gli addetti ai lavori creano rischi per la sicurezza dei dati personali, dei dati finanziari, dei segreti commerciali e dei dati regolamentati.

I criminali informatici adottano vari approcci nel tentativo di rubare dati dai database:

• Compromettere o rubare le credenziali di un'applicazione o un amministratore con privilegi. Ciò avviene solitamente tramite phishing basato su e-mail, altre forme di social engineering o utilizzando malware per scoprire le credenziali e, di conseguenza, i dati.
• Sfruttare i punti deboli nelle applicazioni con tecniche come SQL injection o aggirare la sicurezza a livello di applicazione incorporando il codice SQL in un input fornito dall'utente finale apparentemente innocuo.
• Eseguire l'escalation dei privilegi di runtime sfruttando le applicazioni vulnerabili.
• Accedere ai file di database non crittografati sul disco.
• Sfruttare sistemi privi di patch o database configurati in modo errato per aggirare i controlli di accesso.
• Rubare supporti e nastri di archivio contenenti backup di database.
• Rubare dati da ambienti non di produzione, come DevTest, dove i dati potrebbero non essere protetti come negli ambienti di produzione.
• Visualizzare dati sensibili tramite applicazioni che li espongono inavvertitamente oltre ciò che l'applicazione o l'utente dovrebbero essere in grado di accedere.
• Errore umano, incidenti, condivisione di password, errori di configurazione e altri comportamenti irresponsabili degli utenti, che continuano a essere la causa di quasi il 90% delle violazioni della sicurezza.

Una strategia di sicurezza del database ben strutturata è un framework integrato di controlli di sicurezza che può essere implementato facilmente per applicare livelli di sicurezza appropriati. Di seguito sono riportati alcuni dei controlli più comunemente utilizzati per la protezione dei database:

• I controlli di valutazione consentono di valutare lo stato di sicurezza di un database e dovrebbero anche offrire la possibilità di identificare le modifiche alla configurazione. I controlli di valutazione provano a rispondere alle seguenti domande:
  • Il sistema di database è configurato correttamente?
  • Le patch sono aggiornate e applicate regolarmente?
  • Come vengono gestiti i privilegi degli utenti?
  • Quali dati sensibili sono presenti nel sistema di database? In quale quantità? In quale posizione?
• I controlli investigativi monitorano l'accesso di utenti e applicazioni ai dati, identificano comportamenti anomali, rilevano e bloccano le minacce e riesaminano l'attività del database per fornire reporting di compliance.
• I controlli preventivi bloccano l'accesso non autorizzato ai dati crittografando, modificando, mascherando e suddividendo in categorie i dati in base al caso d'uso previsto.
• I controlli specifici dei dati applicano criteri di accesso a livello di applicazione all'interno del database e forniscono un modello di autorizzazione coerente tra più applicazioni, strumenti di reporting e client di database.
• I controlli specifici dell'utente applicano criteri di autenticazione e autorizzazione degli utenti appropriati per garantire che solo gli utenti autenticati e autorizzati abbiano accesso ai dati.

Riduci il rischio di violazione dei dati e semplifica la compliance con le best practice per la sicurezza dei dati, inclusi crittografia, gestione delle chiavi, mascheramento dei dati, controlli di accesso degli utenti privilegiati, monitoraggio delle attività e auditing.

• Controllo degli accessi ai dati: un passaggio fondamentale nella protezione di un sistema di database è verificare l'identità dell'utente che accede al database (autenticazione) e controllare quali operazioni l'utente può eseguire (autorizzazione). I controlli avanzati di autenticazione e autorizzazione proteggono i dati dai malintenzionati.
• Auditing e monitoraggio: tutta l'attività del database deve essere registrata a scopo di auditing. Ciò include le attività che si svolgono sulla rete e le attività che vengono attivate nel database (di solito tramite accesso diretto) che aggirano qualsiasi monitoraggio della rete. L'auditing dovrebbe funzionare anche se la rete è crittografata. I database devono consentire un auditing solido e completo che includa informazioni sui dati, sul client da cui viene effettuata la richiesta, nonchè i dettagli del processo e l'istruzione SQL stessa.