2. PASQYRA E PROJEKTIT:
• Çfarë është siguria e bazës së të dhënave?
• Pse është e rëndësishme?
• Kërcënimet dhe sfidat e përbashkëta
• Praktikat më të mira
• Kontrollet dhe politikat
• Perfundimi
3. ÇFARË ËSHTË SIGURIA E BAZËS SË TË
DHËNAVE?
Siguria e bazës së të dhënave i referohet gamës së mjeteve, kontrolleve dhe masave të krijuara për të vendosur dhe
ruajtur konfidencialitetin, integritetin dhe disponueshmërinë e bazës së të dhënave. Konfidencialiteti është
elementi që rrezikohet në shumicën e shkeljeve të të dhënave.
Siguria e bazës së të dhënave duhet të adresojë dhe mbrojë sa vijon:
● Të dhënat në bazën e të dhënave.
● Sistemi i menaxhimit të bazës së të dhënave (DBMS).
● Çdo aplikacion shoqërues.
● Serveri fizik i bazës së të dhënave ose serveri virtual i bazës së të dhënave dhe hardueri themelor.
● Infrastruktura kompjuterike ose e rrjetit që përdoret për të hyrë në bazën e të dhënave.
Siguria e bazës së të dhënave është një përpjekje komplekse dhe sfiduese që përfshin të gjitha aspektet e
teknologjive dhe praktikave të sigurisë së informacionit. Është gjithashtu natyrshëm në kundërshtim me
përdorshmërinë e bazës së të dhënave. Sa më e aksesueshme dhe e përdorshme të jetë baza e të dhënave, aq më e
prekshme është ajo ndaj kërcënimeve të sigurisë; sa më e paprekshme të jetë baza e të dhënave ndaj kërcënimeve,
aq më e vështirë është qasja dhe përdorimi i saj. Ky paradoks nganjëherë referohet si Rregulli i Andersonit (lidhja
ndodhet jashtë ibm.com).
4. PSE ËSHTË E RËNDËSISHME?
Një shkelje e të dhënave ka pasoja të rëndësishme për një ndërmarrje. Nëse informacioni i
rëndësishëm kompromitohet, siç është pronë intelektuale ose sekrete tregtare, kompania rrezikon
humbjen e avantazhit konkurrues dhe ndikimin negativ në zhvillimin e inovacioneve. Humbja e
besueshmërisë së klientëve dhe partnerëve mund të shkaktojë dëme të mëdha për imazhin e
markës dhe të çojë në humbje të klientëve. Në raste ekstreme,një shkelje e dhënave mund të çojë
në ndalimin e operacioneve,me pasoja financiare të mëdha dhe rrezik për vazhdimësinë e biznesit.
Gjobat e mundshme për mosrespektimin e rregulloreve të privatësisë së të dhënave, si dhe kostot e
riparimit dhe njoftimit të klientëve, përkeqësojnë situatën duke shtuar ngarkesën financiare për
kompaninë.
Gjobat për mosrespektimin e rregulloreve globale të privatësisë së të dhënave si Akti Sarbannes-
Oxley (SAO), Standardi i Sigurisë së të Dhënave të Industrisë së Kartës së Pagesave (PCI DSS),
HIPAA dhe GDPR mund të shkaktojnë ndikim financiar shkatërrues,duke rezultuar në gjoba që
mund të arrijnë disa milionë dollarë për shkelje. Po ashtu, kostot për riparimin e shkeljeve dhe
njoftimin e klientëve janë të mëdha,duke përfshirë komunikimin me klientët, aktivitetet
mjekoligjore dhe hetimore, menaxhimin e krizave, riparimin e sistemeve të prekura dhe shumë të
tjera.
5. KËRCËNIMET DHE SFIDAT E PËRBASHKËTA
Kërcënime dhe sfidat e zakonshme në sigurinë e bazave të të dhënave përfshijnë një gamë të gjerë të
vulnerabiliteteve dhe riskut:
1. Kërcënime nga brenda: Këto vijnë nga individët me qasje të privilegjuar, duke përfshirë brenda të ndërgjegjshëm, punonjës
të pakujdesshëm, ose infiltrues që marrin leje të paligjshme për qasje. Ato shpesh janë rezultat i lejes së shumë punonjësve për
akses të privilegjuar.
2. Gabimet njerëzore: Aksidentet, fjalëkalimet e dobëta, dhe sjelljet e tjera të përdoruesve përbëjnë pothuajse gjysmën e
shkeljeve të raportuara të të dhënave, duke theksuar rrezikun vazhdimisht të sjelljeve të pabesueshme ose të pakujdesshme.
3. Shfrytëzimi i sëmundshmërive të softuerit: Hackerët shfrytëzojnë sëmundshmëritë në softuerin e menaxhimit të bazës së të
dhënave. Edhe pse furnizuesit shpërndajnë patch-e rregullisht, mosaplikimi i tyre menjëherë rrit ekspozimin ndaj sulmeve.
4. Sulmet me injektim SQL ose NoSQL: Sulmuesit fusin kod të rreme në kërkesat e aplikacioneve të rrjetit, duke shfrytëzuar
praktikat e dobëta të kodimit ose mungesën e testimit të sëmundshmërive në aplikacionet e rrjetit.
5. Shfrytëzimi i tejkalimit të bufferit: Sulmuesit tejkalojnë blloqet e memorjes me gjatësi të caktuar për të ekzekutuar kod të
rreme, duke përdorur të dhënat e tepërta të ruajtura në adresat e memorjes të afërta si një vend i nisjes për sulme.
6. Malware: Softuer i rremë shfrytëzon sëmundshmëritë për të dëmtuar ose komprometuar bazat e të dhënave, shpesh infiltrimi
nëpërmjet pajisjeve të fundit të lidhura me rrjetin.
7. Sulmet në backup-e: Moszbatimi i të dhënave të rezervuara adekuatë eksponon organizatat ndaj sulmeve që synojnë sistemet
e rezervuara.
6. PRAKTIKAT MË TË MIRA
Praktikat më të mira për sigurinë e bazave të të dhënave përfshijnë:
1. Siguria fizike:Vendosja e serverit të bazës së të dhënave në mjedis të sigurt dhe të kontrolluar klimatikisht.
2. Kontrollet e aksesit: Kufizimi i numrit të përdoruesve dhe nivelit të aksesit në minimumin e nevojshëm.
3. Siguria e llogarisë së përdoruesit dhe pajisjeve: Monitorimi i qasjeve dhe aktiviteteve të përdoruesve dhe
pajisjeve, dhe zbatimi i masave të sigurisë.
4. Enkriptimi: Mbrojtja e të dhënave me enkriptim në të gjitha nivelet.
5. Siguria e softuerit të bazës së të dhënave: Përdorimi i versionit më të fundit të softuerit dhe zbatimi i patcheve
të sigurisë.
6. Siguria e aplikacionit dhe serverit të rrjetit:Testimi i sigurisë dhe menaxhimi i praktikave më të mira për
aplikacionet dhe serverat që ndërveprojnë me bazën e të dhënave.
7. Siguria e backup-ave: Zbatimi i kontrollit të sigurisë për të gjitha kopjet rezervë të bazës së të dhënave.
8. Auditimi: Regjistrimi dhe monitorimi i hyrjeve dhe veprimeve në bazën e të dhënave përkatësisht.
7. KONTROLLET DHE POLITIKAT
Përveç zbatimit të kontrolleve të sigurisë nëpër të gjithë mjedisin tuaj të rrjetit, siguria e bazës së të dhënave
kërkon që të vendosni kontrolle dhe politika të duhura për qasjen në bazën e të dhënave vetë. Këto përfshijnë:
1. Kontrollet administrative për menaxhimin e instalimit, ndryshimeve dhe konfigurimit të bazës së të dhënave.
2. Kontrollet parandaluese për të kontrolluar qasjen, enkriptimin, tokenizimin dhe maskimin.
3. Kontrollet zbuluese për monitorimin e aktivitetit të bazës së të dhënave dhe mjeteve të parandalimit të
humbjes së të dhënave. Këto zgjidhje bëjnë të mundur identifikimin dhe alarmin për aktivitetet anormale ose të
dyshimta.
Politikat e sigurisë së bazës së të dhënave duhet të jenë të integruara me dhe të mbështesin qëllimet tuaja të
përgjithshme të biznesit, si mbrojtja e pronës intelektuale kritike dhe politikat tuaja të sigurisë së cyber dhe
politikat e sigurisë së cloud-it. Sigurohuni që të keni caktuar përgjegjësinë për mbajtjen dhe auditimin e
kontrolleve të sigurisë brenda organizatës suaj dhe që politikat tuaja përputhen me ato të ofruesit tuaj të cloud-it
në marrëveshjet e përgjegjësisë së ndarë. Kontrollet e sigurisë, trajnimi dhe programet e edukimit për
vetëdijesimin për sigurinë, si dhe strategjitë për testimin e penetrimit dhe vlerësimin e sëmundshmërive, duhet
të jenë të vendosura në mbështetje të politikave formale të sigurisë tuaj.
8. PERFUNDIMI
Në përfundim, siguria e të dhënave është një aspekt kyç për çdo organizatë për të
mbrojtur informacionin e ndjeshëm dhe për të mbajtur integritetin e të dhënave. Përmes
implementimit të kontrolleve të sigurisë dhe politikave të përshtatshme, si dhe përdorimit
të trajnimeve dhe teknologjive të avancuara për monitorimin e rreziqeve potenciale, mund
të sigurojmë një ambient të sigurt për të dhënat tona. Është e rëndësishme të kemi një
qasje proaktive ndaj sigurisë së të dhënave dhe të ndërmarrim hapa të rregullt për të
përditësuar dhe testuar sistemet tona për të qëndruar përpara kërcënimeve të ndryshme.
Në fund të fundit, një qasje e përshtatshme ndaj sigurisë së të dhënave ndihmon në
ruajtjen e reputacionit të organizatës dhe në mbrojtjen e informacionit të vlefshëm.
