Una
encuesta realizada Unisphere Research y patrocinada por Oracle desvela la falta de medidas de seguridad en una
gran mayoría de las empresas.
Irónicamente, Oracle una de las
compañías más criticadas por la seguridad de sus productos y su modelo de
seguridad, publica un
informe relacionado con la seguridad en entornos corporativos. Por lo
general, los datos publicados reflejan una preocupante falta de seguridad en las
bases de datos corporativas.
Bajo el título "DBA – Security Superhero: 2014 IOUG
Enterprise Data Security Survey" se presentan los resultados de una
encuesta llevada a cabo entre un grupo de 353 usuarios independientes de Oracle.
Un 44% de los encuestados son administradores de bases de datos, seguido por
directores. Un tercio trabaja para grandes organizaciones, con más de 10.000
empleados. Por sectores industriales la mayoría de los encuestados son proveedores
de servicios, gobierno, educación, servicios financieros y fabricación.
Las empresas reconocen que la
mayoría de los riesgos provienen de dentro de la propia compañía, un 81% de los encuestados citan el error
humano como mayor preocupación, seguido por un 65% de los posibles ataques
internos. Los encuestados también señalan otros tipos de riesgos, por ejemplo,
el 54% están preocupados por el abuso de los privilegios de acceso de su propio
personal de IT. Un porcentaje similar, un 53%, creen que el código malicioso y los
virus son una amenaza para sus sistemas.
Pero a pesar de tener la consciencia
del riesgo por parte de los empleados, la mayoría de ellos reconocen tener
pocas medidas de seguridad contra algún tipo de incidencia. Un 51%
reconocen que no tienen garantías y un 21% desconocen seguro si tienen garantías
para prevenir que un administrador o desarrollador puedan eliminar
accidentalmente una tabla o que de forma inintencionada puedan provocar algún
tipo de daño a las bases de datos
críticas.
Respecto al cifrado de datos (tanto
los datos internos, datos online o copias de seguridad), una cuarta parte de
los encuestados indicó que cifran todos los datos mientras que solo un poco más
de la mitad (un 56%) cifran al menos una parte de las copias de seguridad. Por
otra parte, solo un 38% de los
encuestados confirman realizar algún tipo de acción para la prevención de ataques
de inyección SQL.
Respecto a la instalación de los
parches de seguridad que Oracle publica trimestralmente, solo un 25% confirma
que los aplica en torno a uno o tres meses después de su publicación, e incluso
un 8% confirma que nunca ha instalado una actualización de seguridad.
La encuesta también confirma que
todavía se realizan pocas auditorías de seguridad de datos, solo una sexta
parte realiza una revisión de sus activos de datos al menos una vez mes.
Incluso un 6% reconoce no haber realizado
nunca una auditoría de seguridad.
Más información:
DBA – Security Superhero: 2014 IOUG Enterprise
Data Security Survey
Antonio Ropero
Twitter: @aropero
