Probablemente, uno de los mayores retos que tienen las áreas de tecnología informática de las empresas es la seguridad de su infraestructura, procesos y datos. Esto es así en la actualidad y seguramente se intensifique en los próximos años.

La seguridad es un tema que cada vez demanda más tiempo y esfuerzo a las organizaciones; y por ende, a los profesionales que allí se desarrollan. El DBA no queda ajeno a esta situación, y se preocupa no sólo por el riesgo de una posible violación de datos, sino también por asegurar el cumplimiento de las normativas vigentes.

En mayo de 2018 entró en vigor el “Reglamento general de protección de datos” (GDPR) de la Unión Europea. Esta nueva normativa pretende que las personas tengan mayor control sobre sus datos personales.

Quizá algunos DBAs estimen que esta reglamentación no los afecta  por tratarse de una normativa de la Unión Europea. Sin embargo GDPR aplica al tratamiento de datos de personas que residen en la Unión Europea. Es decir que una organización que se encuentra fuera de Europa, queda afectada por la normativa en la medida que recolecte, procese y mantenga datos de residentes de la Unión Europea. Así por ejemplo, una aplicación argentina cuyos usuarios son ciudadanos de la UE, tendrá que adaptarse a la legislación europea. En consecuencia, la reglamentación afecta a gran cantidad de empresas que operan de manera global.

Soy DBA y estoy alcanzado por la normativa. Qué debo hacer?

A no desesperar. Lo primero que hay que hacer es informarse. Oracle pone a disposición mucha documentación. Y en última instancia, si tenemos dudas, siempre está la posibilidad de recurrir a las fuentes; es decir, el texto de la normativa. Aquí te dejo el link. (https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1528874672298&uri=CELEX%3A32016R0679)

En segundo lugar, es importante conocer la terminología. GDPR define varios actores para explicar los conceptos de protección de datos. No es intención de este artículo entrar en mucho detalle; pero sí es importante mencionar los actores más importantes:

  • Es la persona física cuyos datos personales son el núcleo de GDPR
  • Es la empresa que procesa los datos personales del interesado
  • Es la persona que procesa los datos personales del interesado en nombre del responsable. Por ejemplo un desarrollador, un analista o un administrador de base de datos.
  • Otra persona que no sea ni el interesado, ni el responsable ni el encargado pero que esté autorizado a procesar los datos del interesado bajo las directivas del responsable o encargado. Por ejemplo una empresa o persona subcontratada.
  • Autoridad de control. Una autoridad pública independiente establecida por un Estado miembro de la UE.

A modo de ejemplo, imaginemos una empresa americana que ofrece una aplicación cuyos usuarios (interesados) residen en la Unión Europea. Los analistas, desarrolladores y administradores de base de datos son subcontratados en Argentina e India. Para el cobro de sus servicios, la compañía americana usa la plataforma de un tercero en Suecia y le provee los datos personales de sus usuarios para procesar sus pagos. Si bien la empresa y sus partners residen fuera de la UE, estarán sujetos a GDPR.

A grandes rasgos, los requerimientos de GDPR, que surgen a partir de sus artículos, podrían clasificarse en las siguientes categorías:

  • Evaluación. El responsable debe realizar evaluaciones de impacto. Esto es, evaluar riesgos para prevenir violaciones de datos.
  • Prevención. GDPR recomienda las siguientes técnicas: encriptación, anonimización y seudonimización, control de acceso con privilegios granulares, y minimización de datos.
  • Monitoreo. Mediante auditoría de datos y monitoreo constante de actividades. GDPR obliga a los responsables a explicar al interesado acerca del uso que se le da a sus datos cuando éste lo requiera.
  • Detección. Notificaciones y alertas a tiempo. Ante cualquier violación de la seguridad de los datos personales se debe notificar el hecho sin dilación.
  • Protección. GDPR recomienda una administración centralizada. Establece que si el interesado lo solicita, el responsable deberá darle una copia de todos sus datos personales. El llamado “derecho al olvido” obliga a los responsables a eliminar datos personales.

Una vez que el DBA está al tanto de la reglamentación, necesitará saber con qué herramientas cuenta para responder a los requerimientos de GDPR. Afortunadamente Oracle ofrece varios productos que el DBA podrá evaluar y que seguramente resultarán de gran utilidad.

Herramientas para evaluación de impacto

  1. Enterprise Manager Application Data Modeling. Permite almacenar la lista de aplicaciones, tablas y relaciones entre las columnas de las tablas. El modelo de datos de la aplicación mantiene tipos de datos confidenciales y sus columnas asociadas.
  2. Database Vault Privilege Analysis. Permite evaluar cómo se accede a los datos sensibles mediante el análisis de roles y privilegios.
  3. Enterprise Manager Database Lifecycle Management Pack. Colectando datos de configuración, permite evaluar el perfil de seguridad de las bases de datos.
  4. Database Security Assessment Tool. Permite evaluar la configuración de seguridad de la base de datos, políticas de seguridad implementadas, estado de usuarios, roles y privilegios otorgados.

Herramientas de prevención

  1. Oracle Transparent Data Encryption. Permite cifrar columnas de la base de datos y administrar claves de cifrado.
  2. Oracle Data Redaction. Con esta prestación es posible proteger los datos mostrados al usuario en tiempo real, sin necesidad de realizar modificaciones en la aplicación.
  3. Oracle Data Masking and subsetting. Permite extraer y ofuscar un subconjunto de datos de una base de datos para luego compartirlos con terceros dentro y fuera de la empresa. La integridad de la base de datos se preserva asegurando la continuidad de las aplicaciones.
  4. Oracle Label Security. proporciona seguridad a nivel de fila. Protege las filas de una tabla mediante el uso de etiquetas de filas individuales. Si un usuario intenta acceder a una fila de datos protegida, deberá tener la autorización adecuada según lo determine la etiqueta.
  5. Oracle Database Vault. Permite controlar el acceso de cuentas privilegiadas para prevenir accesos indebidos a los datos de las aplicaciones.
  6. Real Application Security. Habilita el uso de técnicas de autenticación fuerte como SSL o Kerberos para verificar la identidad de aquellos usuarios de base de datos y aplicaciones que están accediendo a información sensible.

Herramientas de detección

  1. Oracle Database Auditing. Permite la supervisión y registro de acciones que se hacen sobre la base de datos. Puede basarse en acciones individuales, como el tipo de sentencia SQL ejecutada, o en combinaciones que pueden incluir el objeto de esquema o privilegio.
  2. Oracle Fine Grained Auditing. Permite auditar el acceso a los datos a nivel más granular y sobre acciones basadas en contenido utilizando lógica Habilita la auditoría según el acceso o cambios a nivel de columnas relevantes.
  3. Oracle Audit Vault and Database Firewall. Permite monitorear y enviar alertas oportunas ante comportamientos sospechosos

En síntesis, en mayo de 2018 GDPR ha entrado en vigor. La regulación afecta a una gran cantidad de bases de datos Oracle a nivel global. Es fundamental que los administradores de base de datos se interioricen acerca del alcance de la normativa y conozcan las herramientas que ofrece el mercado para poder cumplimentar con todos los requerimientos.

About the Author

Fernando Garcia

Fernando García está ligado al mundo de las bases de datos Oracle desde 1995. Es el creador de la Comunidad Oracle Hispana, la mayor comunidad online en lenguaje español para profesionales Oracle. También es miembro fundador del Grupo de Usuarios Oracle de Argentina (AROUG) y partícipe activo en la organización de eventos de gran convocatoria como el OTN Tour Argentina y el APEX Tour Argentina. Conduce, junto a Clarisa Mamán Orfali, El Show de la Comunidad Oracle Hispana, un podcast en español dedicado íntegramente a la divulgación de las tecnologías Oracle de una forma didáctica y divertida. Es creador del canal de You Tube Asterisco Más, desde donde difunde contenidos educativos de manera totalmente gratuita.

Start the discussion at forums.toadworld.com