Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/11/2014
Una enquesta d'Oracle revela la falta de seguretat en les bases de dades
Una enquesta realitzada Unisphere Research i patrocinada per Oracle desvela la falta de mesures de seguretat en una gran majoria de les empreses.
En Hispasec ens informen d’esta enquesta patrocinada per Oracle:
Irònicament, Oracle una de les companyies més criticades per la seguretat dels seus productes i el seu model de seguretat, publica un informe relacionat amb la seguretat en entorns corporatius. Generalment, les dades publicades reflectixen una preocupant falta de seguretat en les bases de dades corporatives.
Amb el títol "DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey" es presenten els resultats d’una enquesta duta a terme entre un grup de 353 usuaris independents d’Oracle. Un 44% dels enquestats són administradors de bases de dades, seguit per directors. Un terç treballa per a grans organitzacions, amb més de 10.000 empleats. Per sectors industrials la majoria dels enquestats són proveïdors de servicis, govern, educació, servicis financers i fabricació.
Les empreses reconeixen que la majoria dels riscos provenen de dins de la mateixa companyia, un 81% dels enquestats citen l’error humà com a major preocupació, seguit per un 65% dels possibles atacs interns. Els enquestats també assenyalen altres tipus de riscos, per exemple, el 54% estan preocupats per l’abús dels privilegis d’accés del seu personal d’IT. Un percentatge semblant, un 53%, creuen que el codi maliciós i els virus són una amenaça per als seus sistemes.
Però a pesar de tindre la consciència del risc per part dels empleats, la majoria d’ells reconeixen tindre poques mesures de seguretat contra algun tipus d’incidència. Un 51% reconeixen que no tenen garanties i un 21% desconeixen segur si tenen garanties per a previndre que un administrador o desenvolupador puguen eliminar accidentalment una taula o que de forma inintencionada puguen provocar algun tipus de dany a les bases de dades crítiques.
Respecte al xifrat de dades (tant les dades internes, dades en línia o còpies de seguretat), una quarta part dels enquestats va indicar que xifren totes les dades mentres que només un poc més de la mitat (un 56%) xifren almenys una part de les còpies de seguretat. D’altra banda, només un 38% dels enquestats confirmen realitzar algun tipus d’acció per a la prevenció d’atacs d’injecció SQL.
Respecte a la instal·lació dels pedaços de seguretat que Oracle publica trimestralment, només un 25% confirma que els aplica més o menys un o tres mesos després de la seua publicació, i inclús un 8% confirma que mai no ha instal·lat una actualització de seguretat. L’enquesta també confirma que encara que es realitzen poques auditories de seguretat de dades, només una sexta part realitza una revisió dels seus actius de dades almenys una vegada mes. Inclús un 6% reconeix no haver realitzat mai una auditoria de seguretat.