Encontrar información confidencial en SQL Server

EN: Finding sensitive data in SQL Server

Desde el momento que tenemos la necesidad de proteger datos sensibles en nuestras Base de Datos empieza un nuevo reto. No siempre se sabe exactamente dónde están estos datos y debemos clasificarlos. SQL Server Management Studio nos trae una alternativa para encontrar esta información confidencial en SQL Server.

¿Dónde están tus datos sensibles?

Primero pregúntate (o pregunta al encargado) «¿qué entendemos por información sensible?«.

Muchas empresas ya tienen (o DEBERÍAN TENER) una clasificación de datos confidenciales los cuales deben protegerse.

Tú, como profesional encargado de los datos, tu misión es dar la vida por ellos.

¿Por qué debo proteger estos datos?

Para mantener tus niveles de compliance. Todos tus procedimientos y normativas o apego a estándares nacionales y/o internacionales.

En los países se manejan diferentes estándares y hay algunos que son muy fuertes y rígidos en la exigencia de su cumplimiento. Dale una mirada a HIPAA, SOX, GDPR; y bueno, tenemos varios otros. Muchos ya en el radar y en cumplimiento desde Microsoft Azure.

Y así nos llega Data Discovery & Classification

Microsoft no quería dejarnos solos en esta tarea y así nos entrega esta funcionalidad desde SQL Server Management Studio (17.5 o superior) para versiones a partir de SQL Server 2012.

Una útil ayuda para descubrir, clasificar y etiquetar nuestra información en nuestras Bases de Datos.

Todo desde Management Sudio

Desde la Base de Datos que quieres analizar, click derecho, tareas y empecemos.

SSMS revisa qué es lo que tienes ahí y puede darte algunas recomendaciones. Fíjate en este ejemplo, se encontraron 9 columnas que podrían tener datos sensibles.

Si le das el click sobre el recuadro, verás los resultados de esta búsqueda.

He señalado algunos para que puedas ver el tipo de información que el mismo SSMS te dice que puedes etiquetar.

Como puedes ver en la parte superior izquierda, tienes un botón para aceptar las recomendaciones de SSMS luego de haber selecionado de toda la lista a aquellos que consideras correctos.

En este caso yo seleccioné tres y podemos incluso cambiar su clasificación de acuerdo a lo que necesitamos.

¿Ya está protegida la información confidencial en SQL Server?

No es tan sencillo como decir que luego de este procedimiento todo está seguro.

Como decía el título, con estos pasos «encontramos» la información sensible. Tal vez no de una manera como la que quisieramos ya que Data Discovery tiene algunos puntos débiles.

El punto aquí es que debes llegar a un momento en el que puedas decir dónde están tus datos críticos, aquellos secretos o estos que deseas proteger.

No te olvides que para cuidar accesos no autorizados también puedes Enamscarar datos en SQL Server. Así, evitar que aspectos secretos queden visibles a cualquier persona.

Cuidar la información confidencial en SQL Server es todo un proceso, casi como cualquier tema de seguridad en tecnologías. También Genera un Reporte de estos datos sensibles y trabaja permanentemente con él.

Pablo Javier Fernández

www.datoptim.com
I love working on SQL Server Performance Tuning and finding the origin of the problems. Music and SQL Server passionate.

Esta entrada tiene 2 comentarios

Erica Alzate dice:

13 marzo, 2021 a las 4:00 pm

Hola

Quería preguntar si tienen algunos videos o documentación sobre seguridad en base de datos (Confidencialidad, Integridad y Autenticación).
1. Pablo Javier Fernández dice:
  
  29 marzo, 2021 a las 8:30 pm
  
  Hola Erica! Todas las publicaciones que realizamos sobre este tema están con el tag de ‘security’
  Puedes verlos en el enlace https://datoptim.com/category/security/

Los comentarios están cerrados.