Tema 2
No es posible proteger correctamente una base de datos si antes no se identifica qué activos existen, qué información contienen, cuál es su nivel de sensibilidad y qué impacto tendría su exposición, alteración o pérdida.
Muchas organizaciones intentan aplicar seguridad a sus bases de datos sin tener un inventario claro de qué datos almacenan, dónde se encuentran, quién los usa y qué ocurriría si fueran filtrados, modificados o destruidos. Ese enfoque suele llevar a controles genéricos, mal priorizados y costosos.
La clasificación de la información permite ordenar el problema. No todos los datos valen lo mismo, no todos tienen la misma sensibilidad y no todos requieren idénticos niveles de protección. Una base que almacena registros públicos no debe protegerse igual que una que contiene datos financieros, información médica o secretos comerciales.
En seguridad de bases de datos, clasificar bien es un paso previo a diseñar permisos, auditorías, políticas de cifrado, retención, respaldo, mascarado y monitoreo. Sin esa base, se corre el riesgo de tratar igual activos muy distintos.
Un activo crítico es cualquier componente cuya pérdida de confidencialidad, integridad o disponibilidad produciría un impacto importante sobre la operación, el negocio, el cumplimiento normativo o la reputación de la organización.
En el contexto de bases de datos, un activo crítico no es solo una tabla. Puede ser un servidor, un esquema, una credencial, una réplica, un backup, una interfaz administrativa o incluso un proceso automatizado que mueve información entre sistemas.
La criticidad depende del contexto. Un mismo tipo de dato puede ser poco relevante en una empresa y extremadamente sensible en otra. Por eso la evaluación debe hacerse considerando proceso de negocio, impacto operativo, valor legal y exposición real.
Cuando se analiza una plataforma de datos conviene separar los activos por categorías para no limitar la revisión solo a las tablas principales.
| Categoría | Ejemplos | Riesgo principal |
|---|---|---|
| Datos de negocio | Clientes, ventas, stock, facturación, contratos | Fraude, manipulación, pérdida operativa |
| Datos personales | Nombres, documentos, direcciones, teléfonos | Violación de privacidad, sanciones regulatorias |
| Datos sensibles especiales | Salud, biometría, datos financieros, datos laborales | Alto impacto legal, ético y reputacional |
| Componentes técnicos | Instancias, esquemas, usuarios, jobs, endpoints | Compromiso de administración o disponibilidad |
| Activos derivados | Backups, exports, réplicas, caches, datasets de prueba | Exposición secundaria y pérdida de control |
Los datos sensibles son aquellos cuya exposición, uso indebido, modificación o destrucción puede afectar seriamente a personas, procesos o a la propia organización. El concepto incluye tanto información protegida por regulación como datos que, aun sin norma específica, son estratégicos o confidenciales.
En la práctica, suelen considerarse sensibles:
Un error frecuente es pensar que lo sensible se limita a lo "privado". También pueden ser sensibles datos cuya manipulación afecte decisiones operativas, resultados contables o continuidad de negocio.
Estos conceptos suelen mezclarse, pero conviene diferenciarlos para diseñar controles correctos.
Un conjunto de precios internos puede ser valioso y crítico, pero no contener datos personales. Una historia clínica es sensible y crítica. Un catálogo público puede ser valioso para operar, pero su confidencialidad quizá no sea prioritaria. Esta distinción ayuda a no sobreproteger algunos activos y subproteger otros.
Clasificar la información significa asignarle categorías o niveles según su sensibilidad, criticidad y requisitos de tratamiento. El objetivo no es burocrático. Sirve para que las decisiones de seguridad sean coherentes y sostenibles.
Una clasificación bien diseñada ayuda a:
No existe un único esquema universal. Cada organización puede adaptarlo según su industria y regulación, pero suele utilizarse una jerarquía simple y comprensible.
| Nivel | Descripción | Ejemplos |
|---|---|---|
| Público | Información cuya divulgación no genera daño relevante | Catálogos, documentación abierta, contenido institucional |
| Interno | Uso operativo dentro de la organización | Informes internos, métricas de gestión, configuraciones no críticas |
| Confidencial | Información que requiere acceso restringido | Clientes, contratos, estrategias comerciales, costos |
| Restringido o sensible | Información de alto impacto si se expone o altera | Datos financieros, salud, credenciales, secretos, PII sensible |
Lo importante no es la cantidad de niveles, sino que cada nivel tenga consecuencias concretas en permisos, cifrado, auditoría y manejo operativo.
Clasificar bien exige definir criterios consistentes. No alcanza con etiquetar por intuición ni dejar la decisión exclusivamente en manos técnicas.
Este último punto es importante: un dato aislado puede parecer inofensivo, pero combinado con otros puede revelar perfiles completos, conductas o identidades.
Antes de clasificar hay que descubrir. Muchas organizaciones desconocen cuántas bases tienen, qué instancias siguen activas, qué tablas almacenan datos personales, qué backups existen o qué datasets fueron copiados a laboratorios y entornos de desarrollo.
Un inventario útil debería responder al menos estas preguntas:
Sin inventario, la seguridad se vuelve reactiva y fragmentada. Con inventario, empieza a ser gestionable.
Clasificar información no puede ser tarea exclusiva del área técnica. Debe existir una combinación entre propietarios del dato, responsables del proceso y administradores técnicos.
| Rol | Responsabilidad típica | Decisiones que influye |
|---|---|---|
| Dueño del dato | Define valor, uso legítimo y sensibilidad del activo | Clasificación, retención, necesidad de acceso |
| DBA o administrador técnico | Implementa controles en la plataforma | Permisos, auditoría, cifrado, respaldo |
| Seguridad | Define criterios y valida riesgos | Controles mínimos, monitoreo, revisión periódica |
| Desarrollo o aplicación | Consume y procesa datos desde sistemas | Consultas, mascarado, exposición funcional |
| Cumplimiento o legal | Interpreta obligaciones regulatorias | Privacidad, retención, transferencias, evidencia |
La clasificación se entiende mejor con ejemplos cercanos a una plataforma real.
Clasificar mal produce dos problemas opuestos. Si se subclasifica, datos importantes quedan insuficientemente protegidos. Si se sobreclasifica, la operación se vuelve pesada, costosa y la organización termina ignorando el esquema.
Algunos riesgos frecuentes son:
Una de las consecuencias más directas de clasificar información es ordenar el acceso. No todas las cuentas ni todos los perfiles deben ver o modificar los mismos datos.
Cuando la clasificación está bien definida, es posible construir políticas como estas:
De este modo, la clasificación deja de ser una etiqueta documental y se convierte en una base para el modelo real de autorización.
No todos los datos requieren el mismo nivel de cifrado, observabilidad o revisión. La clasificación ayuda a decidir dónde conviene invertir más esfuerzo técnico.
Clasificar información y reconocer activos críticos es una tarea esencial porque permite priorizar controles donde el impacto potencial es mayor. Sin esta etapa, la seguridad de bases de datos se vuelve difusa, reactiva y poco eficiente.
En el próximo tema estudiaremos la arquitectura de bases de datos, sus superficies de ataque y los vectores de riesgo más relevantes, para entender cómo esos activos pueden ser alcanzados o comprometidos en la práctica.