Una
encuesta realizada Unisphere Research y patrocinada por Oracle desvela la falta
de medidas de seguridad en una gran mayoría de las empresas.
Irónicamente, Oracle una de las compañías más
criticadas por la seguridad de sus productos y su modelo de seguridad, publica
un informe relacionado con la seguridad en entornos corporativos. Por lo general,
los datos publicados reflejan una preocupante falta de seguridad en las bases
de datos corporativas.
Bajo el título "DBA – Security Superhero:
2014 IOUG Enterprise Data Security Survey" se presentan los resultados de
una encuesta llevada a cabo entre un grupo de 353 usuarios independientes de
Oracle. Un 44% de los encuestados son administradores de bases de datos,
seguido por directores. Un tercio trabaja para grandes organizaciones, con más
de 10.000 empleados. Por sectores industriales la mayoría de los encuestados
son proveedores de servicios, gobierno, educación, servicios financieros y
fabricación.
Las empresas reconocen que la mayoría de los
riesgos provienen de dentro de la propia compañía, un 81% de los encuestados
citan el error humano como mayor preocupación, seguido por un 65% de los
posibles ataques internos. Los encuestados también señalan otros tipos de
riesgos, por ejemplo, el 54% están preocupados por el abuso de los privilegios
de acceso de su propio personal de IT. Un porcentaje similar, un 53%, creen que
el código malicioso y los virus son una amenaza para sus sistemas.
Pero a pesar de tener la consciencia del
riesgo por parte de los empleados, la mayoría de ellos reconocen tener pocas
medidas de seguridad contra algún tipo de incidencia. Un 51% reconocen que no
tienen garantías y un 21% desconocen seguro si tienen garantías para prevenir
que un administrador o desarrollador puedan eliminar accidentalmente una tabla
o que de forma inintencionada puedan provocar algún tipo de daño a las bases de
datos críticas.
Respecto al cifrado de datos (tanto los datos
internos, datos online o copias de seguridad), una cuarta parte de los
encuestados indicó que cifran todos los datos mientras que solo un poco más de
la mitad (un 56%) cifran al menos una parte de las copias de seguridad. Por
otra parte, solo un 38% de los encuestados confirman realizar algún tipo de
acción para la prevención de ataques de inyección SQL.
Respecto a la instalación de los parches de
seguridad que Oracle publica trimestralmente, solo un 25% confirma que los
aplica en torno a uno o tres meses después de su publicación, e incluso un 8%
confirma que nunca ha instalado una actualización de seguridad.
La encuesta también confirma que todavía se
realizan pocas auditorías de seguridad de datos, solo una sexta parte realiza
una revisión de sus activos de datos al menos una vez mes. Incluso un 6%
reconoce no haber realizado nunca una auditoría de seguridad.
Más
información:
- DBA – Security Superhero: 2014 IOUG Enterprise
Data Security Survey http://www.oracle.com/us/products/database/2014-ioug-dba-security-superhero-2338955.pdf