Construcción de aplicaciones con seguridad integrada: Oracle

Por Mónica Mistretta

México, D.F.- En el marco de la segunda etapa del 9º. bSecure Conference, Sinué Botello, especialista de seguridad de Oracle, dijo que no se trata de parchar los proyectos sino tener una estrategia integral de despliegue de proyectos, tomando en cuenta los controles de seguridad e identificando el control que más se adecúa al sistema que se contempla.

Casi siempre lo que ocurre en las organizaciones es que primero los procesos se tienen que cimentar y luego se les provee de seguridad hacia los clientes.

Por su parte, Francisco González, de la misma Oracle, alertó sobre excesivos controles que pudieran desincentivar la interacción con las empresas u organizaciones. “Si para contratar un servicio el método de autenticación es muy complicado, nadie va a querer hacer transacciones con ese negocio y por eso a veces la seguridad termina saliendo, porque implica muchos obstáculos”, dijo el conferencista.

A continuación, González compartió un esquema de construcción de un sistema básico transaccional que incluya la seguridad desde su concepción. Ya sea que el usuario contacte a través del call center o de un sitio Web, los esquemas de seguridad deben empezar por un sistema de autenticación sólido.

Los socios del negocio, como son los departamentos de marketing, de cobranza o la fábrica de software, deberían estar blindados para no poder copiar y extraer información de la base de datos de clientes. Lo mismo ocurre con el almacenamiento y el backup fuera del data center.

¿Cuáles son los problemas básicos de este tipo de arquitectura?  Quizá el administrador de la base de datos tiene demasiados privilegios. Otras veces, cuando se presenta una fuga de información, sucede que el Call Center permite a los empleados entrar con mochilas, donde cargan un USB y pueden obtener copia de los registros.

Sucede también que en el portal de atención a clientes por Web, es fácil adivinar la contraseña. Muy pocas industrias aplican mejores prácticas, dijo González, como la autenticación mutua en el caso de los bancos. “Las empresas de telefonía y cable tienen nuestros datos y si los empleados de la empresa  adivinan la contraseña pueden hacer cruces de información y derivar en un fraude”, añadió el especialista.

Otro problema son los usuarios privilegiados, como los administradores de la base de datos, quienes generalmente son “como Dios”, pues pueden hacer un fraude y borrar la evidencia, si eso quieren.

En el caso de almacenamiento, los especialistas citaron un caso de robo de un disco duro completo del data center, al bloquear el ojo electrónico de la puerta con un simple post-it.

Los respaldos, ya sean internos o los que están depositados con un tercero, corren el riesgo de ser leídos por un empleado que se tome la molestia de adquirir un dispositivo para su lectura, con el fin de vender la información, sobre todo si se topa con información sensible de clientes de una tienda departamental, por ejemplo.

Para remediar las brechas de seguridad en cada uno de estos puntos vulnerables, González dijo que Oracle ofrece soluciones para atender cada uno. “Tenemos un portafolio de soluciones muy amplio. Somos una empresa con muchos productos de seguridad y líderes de la industria reconocidos en gestión de accesos e identidades”, concluyeron los conferencistas.