REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN UNIVERSITARIA

INSTITUTO UNIVERSITARIO DE TECNOLOGÍA AGRO INDUSTRIAL
PNF INFORMATICA

Seguridad de Base de Datos

 San Cristóbal junio 2016

Introducción

Este trabajo se realizara con la finalidad de aprender un poco más sobre una base
de datos,
Una base de datos tiene mucha importancia en el ritmo de vida que llevamos en
los actuales momentos, ya que, está acelera el ritmo en el momento realizar una
búsqueda de información. Una base de datos es un conjunto de datos integrados,
adecuado a varios usuarios y a diferentes usos, es el propio uso concurrente de
los datos el que plantea problemas de seguridad.

Aspectos fundamentales de la seguridad:Confidencialidad. No desvelar datos a

usuarios no autorizados. Comprende también la privacidad (protección de datos
personales)Accesibilidad. La información debe estar disponible.Integridad. Permite
asegurar que los datos no han sido falseados.

La seguridad en las bases de datos es un mecanismo fundamental ya que todo de

sistema informatizado está expuesto a cualquier tipo de amenazas de daño,
enormes y desastrosas como pequeñas y leves pero que de una manera u otra
causan perdida de confidencialidad.
 Seguridad de Base de Datos

La seguridad de los datos implica protegerlos de operaciones indebidas que

pongan en peligro su definición, existencia, consistencia e integridad
independientemente de la persona que los accede. Esto se logra mediante
mecanismos que permiten estructurar y controlar el acceso y actualización de los
mismos sin necesidad de modificar o alterar el diseño del modelo de datos;
definido de acuerdo a los requisitos del sistema o aplicación software. El objetivo
es proteger la Base de Datos contra accesos no autorizados. Se llama también
privacidad.

Principios básicos de seguridad de bases de datos

Los principios que se evalúan para obtener un excelente seguridad en la

base de datos son los siguiente:

1. Identifique su sensibilidad

No se puede asegurar lo que no se conoce. Confeccione un buen catálogo

de tablas o datos sensibles [2] de sus instancias de base de datos. Además,
automatice el proceso de identificación, ya que estos datos y su correspondiente
ubicación pueden estar en constante cambio debido a nuevas aplicaciones o
cambios producto de fusiones y adquisiciones.

Desarrolle o adquiera herramientas de identificación, asegurando éstas

contra el malware [3], colocado en su base de datos el resultado de los ataques de
inyección SQL [4]; pues aparte de exponer información confidencial debido a
vulnerabilidades, como la inyección SQL, también facilita a los atacantes
incorporar otros ataques en el interior de la base de datos.

2. Evaluación de la vulnerabilidad y la configuración

Evalúe su configuración de bases de datos, para asegurarse que no tiene

huecos de seguridad. Esto incluye la verificación de la forma en que se instaló la
base de datos y su sistema operativo (por ejemplo, la comprobación privilegios de
grupos de archivo -lectura, escritura y ejecución- de base de datos y bitácoras de
transacciones). Asimismo con archivos con parámetros de configuración y
programas ejecutables. Además, es necesario verificar que no se está ejecutando
la base de datos con versiones que incluyen vulnerabilidades conocidas; así como
impedir consultas SQL desde las aplicaciones o capa de usuarios. Para ello se
pueden considerar (como administrador):

 Limitar el acceso a los procedimientos a ciertos usuarios.

 Delimitar el acceso a los datos para ciertos usuarios, procedimientos y/o

datos.

 Declinar la coincidencia de horarios entre usuarios que coincidan.

3. Endurecimiento

Como resultado de una evaluación de la vulnerabilidad a menudo se dan

una serie de recomendaciones específicas. Este es el primer paso en el
endurecimiento de la base de datos. Otros elementos de endurecimiento implican
la eliminación de todas las funciones y opciones que se no utilicen. Aplique una
política estricta sobre que se puede y que no se puede hacer, pero asegúrese de
desactivar lo que no necesita.

4. Audite

Una vez que haya creado una configuración y controles de endurecimiento,

realice auto evaluaciones y seguimiento a las recomendaciones de auditoría para
asegurar que no se desvíe de su objetivo (la seguridad). Automatice el control de
la configuración de tal forma que se registre cualquier cambio en la misma.
Implemente alertas sobre cambios en la configuración. Cada vez que un cambio
se realice, este podría afectar a la seguridad de la base de datos.

5. Monitoreo

Monitoreo en tiempo real de la actividad de base de datos es clave para

limitar su exposición, aplique o adquiera agentes inteligentes [5] de monitoreo,
detección de intrusiones y uso indebido. Por ejemplo, alertas sobre patrones
inusuales de acceso, que podrían indicar la presencia de un ataque de inyección
SQL, cambios no autorizados a los datos, cambios en privilegios de las cuentas, y
los cambios de configuración que se ejecutan a mediante de comandos de SQL.

Recuerde que el monitoreo usuarios privilegiados, es requisito para la

gobernabilidad de datos y cumplimiento de regulaciones como SOX y regulaciones
de privacidad. También, ayuda a detectar intrusiones, ya que muchos de los
ataques más comunes se hacen con privilegios de usuario de alto nivel. El
monitoreo dinámico es también un elemento esencial de la evaluación de
vulnerabilidad, le permite ir más allá de evaluaciones estáticas o forenses. Un
ejemplo clásico lo vemos cuando múltiples usuarios comparten credenciales con
privilegios o un número excesivo de inicios de sesión de base de datos.

6. Pistas de Auditoría

Aplique pistas de auditoría y genere trazabilidad de las actividades que

afectan la integridad de los datos, o la visualización los datos sensibles. Recuerde
que es un requisito de auditoría, y también es importante para las investigaciones
forenses.

La mayoría de las organizaciones en la actualidad emplean alguna forma de

manual de auditoría de transacciones o aplicaciones nativas de los sistemas
gestores de bases de datos. Sin embargo, estas aplicaciones son a menudo
desactivadas, debido a: su complejidad altos costos operativos problemas de
rendimiento la falta de segregación de funciones y la necesidad mayor capacidad
de almacenamiento. Afortunadamente, se han desarrollado soluciones con un
mínimo de impacto en el rendimiento y poco costo operativo, basado en
tecnologías de agente inteligentes.

7. Autenticación, control de acceso, y Gestión de derechos

No todos los datos y no todos los usuarios son creados iguales. Usted debe
autenticar a los usuarios, garantizar la rendición de cuentas por usuario, y
administrar los privilegios para de limitar el acceso a los datos.

Implemente y revise periódicamente los informes sobre de derechos de

usuarios, como parte de un proceso de formal de auditoría. Utilice el cifrado [6]
para hacer ilegibles los datos confidenciales, complique el trabajo a los atacantes,
esto incluye el cifrado de los datos en tránsito, de modo que un atacante no puede
escuchar en la capa de red y tener acceso a los datos cuando se envía al cliente
de base de datos.

Aspecto de base de datos

 Aspectos legales, sociales y éticos.

 Políticas de la empresa, niveles de información pública y privada.

 Controles de tipo físico, acceso a las instalaciones.

 Identificación de usuarios: voz, retina del ojo, etc.

 Controles de sistema operativo.

Seguridad de archivos personales

En los diferentes sistemas operativos se ha implementado un mecanismo de
seguridad adicional que previene modificar de formar intencional o accidental
archivos personales o de usuarios o archivos de sistema, no dejando que los
usuarios tomen control de estos, ya que no están asignados a ningún usuario. Por
lo tanto si se tiene la necesidad de acceder, modificar o eliminar estos archivos o
carpetas, vamos a necesitar permiso de usuarios.

Para proteger un equipo y sus recursos, debe decidir qué tareas y acciones
pueden realizar los usuarios o grupos de usuarios. Las tareas y acciones que un
usuario o un grupo de usuarios pueden realizar dependen de los derechos de
usuario que les asigne. Por ejemplo, si un miembro de confianza del grupo
Usuarios necesita supervisar el registro de seguridad, puede concederle el
derecho "Administrar auditoría y registro de seguridad" en lugar de agregar el
usuario a un grupo con más privilegios, como el grupo Administradores. De la
misma forma, puede proteger un objeto, como un archivo o una carpeta, si asigna
permisos.

Algunas de las tareas más comunes son Para asignar derechos de usuario en el
equipo local, Para asignar derechos de usuario en toda la organización y Para
definir, ver, cambiar o quitar permisos de archivos y carpetas.

Proteger carpetas compartidas en Windows no es tarea fácil, ya que el sistema no

provee de herramientas predeterminadas para ello. Por lo general, el usuario
prefiere recurrir a algunas aplicaciones (que en la mayoría de los casos pueden
contener software malicioso) El objetivo de darle protección o seguridad a las
carpetas compartidas es evitar que usuarios no autorizados puedan ver, editar o
simplemente, ingresar a dichas carpetas.

Carpetas compartidas

Las carpetas compartidas, son todas aquellas carpetas que tenemos destinadas a
intercambiar archivos con otros usuarios que pertenezcan a nuestro mismo grupo
de trabajo. De esta manera, se puede trabajar en equipo con los mismos archivos.
Es una solución ideal para realizar tareas en redes informáticas, el único
inconveniente, es que todos los usuarios del mismo grupo de trabajo tendrán
acceso a esta carpeta.

Carpeta de usuario

La carpeta de usuario es un directorio específico asignado por el sistema

operativo, donde un usuario almacena de forma independiente sus archivos
personales. En la actualidad la carpeta de usuario tiene en su interior varias
carpetas entre las que podemos encontrar: "documentos", "música", "videos" y
"descargas". El sistema operativo solo permite que el usuario y el administrador
accedan o modifiquen los contenidos de la carpeta de usuario.

Encriptación de software

Encriptar o cifrar una información es ocultar un mensaje con una contraseña.

Desde un punto de vista informático consiste en aplicar un algoritmo asociado a
una o varias contraseñas, que convierte la información en una cadena de letras,
números y símbolos sin sentido.

La encriptación no es algo nuevo. Hace 2.500 años se encriptaban mensajes

durante las campañas militares para que el enemigo no pudiera leerlos, si los
interceptaba. Los Aliados ganaron la Segunda Guerra Mundial (o al menos
adelantaron su final uno o dos años) gracias a que descifraron el código de la
máquina de encriptación Enigma de los nazis, y pudieron acceder a sus
comunicaciones de alto secreto.

Ventajas e inconvenientes

Si encriptas un dispositivo nadie podrá ver lo que contiene. Ten en cuenta que es
un sistema de seguridad mucho más fuerte que una contraseña en la pantalla de
inicio del móvil o el PC, que sólo protege el acceso, pero no los datos. Basta con
extraer el disco duro de un PC y usarlo en otro ordenador para romper la
contraseña de acceso de Windows, y hay herramientas para arrancar el móvil en
modo root y acceder a su contenido. La encriptación evita esto porque cada
fichero, cada dato, están encriptado.

Sin embargo, si pierdes la contraseña de encriptación o el disco duro se corrompe

o falla, perderás el acceso a todos los datos. Además en dispositivos con poca
potencia de proceso la encriptación ralentiza el acceso a los datos, pues deben
ser encriptados y desencriptados en tiempo real.

Valora lo bueno y lo malo pero si apuestas por la privacidad, las ventajas superan
ampliamente a los inconvenientes.

Encriptación automática

Las compañías de software e Internet han reconocido que tienen un problema de

privacidad. Muchas de ellas colaboraron con las agencias de espionaje para
permitirles que espiasen a los usuarios mientras miraban hacia otro lado. Parece
que han hecho propósito de enmienda y han comenzado a cifrar automáticamente
sus servicios.
Desde hace unos meses, Gmail encripta la recepción y envío de correos.
Facebook, Twitter, WhatsApp y otras redes sociales también hacen lo mismo con
el envío de mensajes. IOS encripta automáticamente todos los archivos de los
usuarios, y Android permite hacerlo a partir de Android 5.0 Lollipop. Windows 10
incluye herramientas para llevarlo a cabo.

Ten en cuenta que en el caso de los servicios de Internet, encriptan el envío y

recepción de datos, el proceso de transporte, pero no lo que almacenas en tu
dispositivo. Vamos a mostrarte cómo completar el proceso de encriptación en los
principales dispositivos.
 Conclusión

Durante la realización de este trabajo, aprendimos acerca de los sistemas de

gestión de bases de datos, y su importancia y utilidad a la hora de almacenar,
clasificar y manejar información, de cualquier tipo.Desde usuarios particulares,
hasta grandes empresas, gozan de las ventajas que brindan los SGBD, desde
clasificar la información según el criterio deseado por el usuario, modificar la
información que contiene una base de datos, entre otras.

Hoy en día las Bases de Datos, ocupan un lugar vital en cualquier área del
quehacer humano, comercial, y tecnológico. No sólo las personas involucradas en
el área de Informática, sino todas las personas administrativas, técnicas y con
mayor razón los profesionales de cualquier carrera, deben de tener los
conocimientos necesarios para poder utilizar las bases de datos.Podemos decir
que el propósito de una base de datos es doble: responder a consultas sobre los
datos que contiene, y ejecutar transacciones.

La encriptación es un método que no es muy utilizado y si nosotros lo llegáramos

a utilizar en algún grupo social sería muy difícil descifrarlo ya que ese tipo de
gente no lo conoce y a la vez sería bueno darlo a conocer.

Mi conclusión de esto es que la encriptación se ha definido como la parte de

la criptología que se ocupa de las técnicas, bien sea aplicadas al arte o la ciencia,
que alteran mensajes, mediante técnicas de cifrado o codificado, para hacerlos
ininteligibles a intrusos que intercepten esos mensajes. Por tanto el único objetivo
de la criptografía era conseguir la confidencialidad de los mensajes. Para ello se
diseñaban sistemas de cifrado y códigos. En esos tiempos la única criptografía
que había era la llamada criptografía clásica.