Mantener el orden de los datos: Nuestras bases de datos nos permiten disponer de

todos los datos almacenados en un mismo lugar, es por eso que es obligatoria que los
tengas organizados y clasificados. Debemos dedicar tiempo a categorizar la información
que se almacena en la herramienta. Además de que debe de estar en constante
actualización, es imprescindible actualizar periódicamente la información de nuestros
clientes.

Pensar en la facilidad para las consultas: Debemos poder filtrar en nuestros BD los
datos de una forma rápida y sencilla, es fundamental para una buena gestión de bases de
datos. En una consulta pueden destacarse tres aspectos: dónde (en qué tablas se quiere
realizar la búsqueda); qué (qué datos exactamente quiere que se devuelva) o cómo (con
qué apariencia se quieren los resultados). Si tenemos una buena filtración de datos
podemos tener una excelente segmentación de datos. Podemos segmentar a nuestros
clientes por áreas, regiones o número de empleados. Eso nos podría ayudar a la hora de
querer lanzar una campaña de publicidad o etc.

Limita el acceso a la base de dato: “Muchas manos en un plato hacen garabatos.” Eso
quiere decir que cuantas muchas personas tienen injerencia en un tema, el resultado NO
puede ser positivo.

Un riguroso control de acceso es el primer paso para mantener a los atacantes lejos de tu
información. Además de los permisos básicos como en cualquier sistema, en este caso
también se debe considerar:

 Limitar el acceso a los datos sensibles tanto por parte de los usuarios como de
los procedimientos, es decir, que solo determinados usuarios y procedimientos
estén autorizados a realizar consultas en información sensible.
 Limitar el uso de los procedimientos importantes solo a usuarios específicos.
 Siempre que sea posible, evitar las concurrencias y acceso fuera del horario
laboral o habitual.

Por otro lado, resulta una buena práctica deshabilitar todos los servicios y
procedimientos que no se utilicen, para evitar que sean atacados. Además, siempre que
sea posible, la base de datos debe estar en un servidor que no tenga acceso directamente
desde internet, para evitar que la información quede expuesta a atacantes remotos.

Identifica los datos sensibles y los datos críticos: El primer paso, antes de pensar en las
técnicas y herramientas de protección, es analizar e identificar cuál es la información
importante que se debe proteger. Para esto, es importante entender la lógica y
arquitectura de la base de datos, para poder determinar con facilidad dónde y cómo se
almacenan los datos sensibles.

No todos los datos que almacenamos son críticos o deben ser protegidos, por lo que no
tiene sentido gastar tiempo y recursos en esta información.

También es recomendable llevar un inventario de las bases de datos de la compañía,

teniendo en cuenta todas las áreas. La única forma de tener una administración prolija y
no perder información es tener conocimiento y registro de todas las instancias y bases
de datos de la compañía.
Además, el inventario resulta especialmente útil al momento de hacer un respaldo de la
información, para evitar que datos críticos queden fuera del esquema.

Cifra la información: Una vez identificados los datos sensibles y la información

confidencial, una buena práctica es utilizar algoritmos robustos para cifrar estos datos.

Cuando un atacante explota una vulnerabilidad y logra tener acceso a un servidor o un

sistema, lo primero que intentará robar son las bases de datos. Son un tesoro codiciado,
ya que normalmente incluyen muchos gigas de valiosa información; la mejor manera de
preservarla es volverla ilegible para cualquier persona que llegue a ella sin autorización.

Más información en nuestra guía gratuita de cifrado de la información corporativa.

#4 Anonimiza las bases de datos de que no son productivas

Muchas empresas invierten tiempo y recursos en proteger sus bases de datos
productivas, pero al momento de hacer un desarrollo o crear un entorno de pruebas,
simplemente hacen una copia de la base original y comienzan a utilizarla en ambientes
mucho menos controlados, exponiendo de esta manera toda la información sensible.

El enmascaramiento o anonimización es un proceso mediante el cual se crea una versión

similar, manteniendo la misma estructura que la original, pero alterando los datos
sensibles para que permanezcan protegidos. A partir de esta técnica se cambian los
valores respetando el formato.

Los datos se pueden cambiar de diferentes maneras: mezclándolos entre sí, cifrándolos,
mezclando los caracteres o sustituyendo palabras. El método elegido dependerá del
administrador, las reglas y formatos que se deban mantener, pero sea cual sea, debe
garantizar que el proceso sea irreversible; es decir, que no se pueda hacer ingeniería
reversa para volver a obtener los datos originales.

Esta técnica es especialmente utilizada (y recomendada) para las bases de datos que
forman parte de entornos de pruebas y desarrollo, ya que permite mantener la estructura
lógica de los datos mientras garantiza que la información sensible del cliente no está
disponible fuera del entorno de producción.

#5 Monitorea la actividad de tu base de datos

Estar atento, auditar y registrar las acciones y movimientos sobre los datos permite
saber quién, qué, cuándo y cómo ha manipulado la información. Tener un historial
completo de las transacciones permite comprender patrones en el acceso y modificación
de los datos y así evitar fugas de información, controlar cambios fraudulentos y detectar
acciones sospechosas en tiempo real.

Recuerda seguir estos consejos y ser muy precavido a la hora de administrar y proteger
tus bases de datos. La información que estas alojan es muy valiosa para la empresa y un
botín codiciado para los atacantes, por lo que sin dudas merece toda tu atención.

Los firewalls o cortafuegos permiten, por su parte, evitar las intrusiones a través de
Internet, de manera que se establecen determinadas reglas o unos patrones que bloquean
el acceso a las redes de usuarios que no estén autorizados.
Por su parte, los análisis de vulnerabilidades se basan en la evaluación del sistema
y detección de todos aquellos elementos que puedan resultar vulnerables a ataques o
intrusiones de terceros. De este modo, se trata de anticipar el ataque y señalar los
elementos endebles y fortalecerlos, para asegurar que soporten cualquier intromisión
posterior.

En cuanto a las pruebas de intrusión, persiguen la detección de intrusiones posibles a

través de la ejecución organizada de procesos de carácter manual o automático que
tengan por objeto la interrupción de las aplicaciones, las redes o los servidores que se
puedan ver afectados por la intrusión.