La compañía experta en seguridad, NeoSecure organizó la charla magistral en El desafío de los datos seguros, una mirada a la seguridad de las bases de datos y los estándares para su protección, en la cual, el especialista en seguridad y bases de datos, Dr. Ron Ben-Natan entregó una visión del problema, estrategias para su solución y una perspectiva desde el estándar PCI.
Siempre ha existido el problema de la seguridad y hasta ahora sólo estábamos preocupados del perímetro. No obstante, hoy debemos centrarnos en la información que está en las bases de datos. Allí están los datos más importantes de los clientes, información financiera e incluso la que es clave en términos de competitividad, explicó el experto.
Asimismo, agregó, los ataques también han cambiado en estos últimos años. Antes, los hackers trataban de bajar un servidor, dejar su marca, para demostrar que podían hacerlo. Ahora, roban datos para venderlos en un mercado negro que puede comprar un número de tarjeta de crédito a casi un dólar y que pagará más por más información que se obtenga.
De acuerdo a Ron Ben-Natan, la mayor cantidad de ataques proviene de los datos sensibles que se mueven en línea y en el 70% de los casos el problema tiene que ver con malas prácticas de los propios trabajadores de una organización. Dejar en un papel amarillo, escrita la clave de acceso a un servidor, sobre el escritorio o pegada en el mural, es más común de lo que se cree, comentó.
Por ello, el especialista recomendó el uso de las mejores prácticas en términos de seguridad de la información, así como estándares World Class, como el PCI-DSS, Payment Card Industry Data Security Standard, creado por las principales marcas de tarjetas de crédito en 2006. Monitorear y auditar es clave, así como mantener políticas de seguridad de la información y saber cuáles son los datos sensibles y quiénes tienen acceso a ellos, precisó.
PCI-DSS es un estándar de seguridad muy específico, pero también un modelo práctico de cómo enfrentar el problema concreto del robo de datos, por lo cual se plantea como una excelente opción actual. En concreto, PCI plantea 12 requerimientos y seis objetivos de control: construir y mantener redes seguras, proteger la información de los titulares de tarjetas, establecer programas de pruebas de vulnerabilidades, implantar medidas sólidas de control de acceso, monitorear y probar regularmente el acceso a la red y mantener políticas de seguridad.
Por último, Ron Ben-Natan se refirió a Guardium 7, Risk Management & Governance, un set de herramientas que apoya la adopción del estándar PCI con las mejores prácticas de la industria. Es un sistema no intrusivo que detecta e identifica usuarios no autorizados e intrusos; muestra qué registros han sido tomados y qué problemas podría causar, entre muchas otras características.
