Curso: Seguridad en las empresas

Tema: Seguridad en Bases de datos

Sesión 1. agosto 4, 2020.

Participante: Mtro. Rodrigo José Hidrobo Rodríguez

Docente: MIC. Manuel Chávez Pérez

Actividad:
Consideraciones de Seguridad en Bases de Datos
Práctica

1. La base de datos INMOBILIARIA contiene las siguientes tablas:

a. Sucursales
b. Empleados
c. Inmuebles
d. Propietarios
e. Clientes
f. Contratos

Anote ejemplos de algunos de los datos que Usted consideraría se

deberían cifrar en las tablas mencionadas (resaltado).
a. Sucursales:
• ID_Sucursal
• Número_Sucursal
• Nombre_Sucursal
• Telefono_Sucursal
• Direccion_Sucursal
• Ciudad_Sucursal
• Estado_Sucursal
b. Empleados
• ID_Empleado
• Apellido
• Nombre
• Fecha_Nacimiento
• Cargo
• Departamento
 • Usuario
• Password [CIFRADO]
• ID_Sucursal
c. Inmuebles
• ID_Inmueble
• Calle
• Numero
• Area
• Ciudad
• Estado
• Tipo_Inmueble
• Habitaciones
• Operacion
• Valor
• Estado
d. Propietarios
• ID_Propietario
• Apellido
• Nombre
• Direccion
• Telefono
e. Clientes
• ID_Cliente
• Apellido
• Nombre
• Direccion
• Telefono
f. Contratos
• ID_Contrato
• Numero_Contrato
• Fecha
• Operación
• Costo
• ID_Propietario
• ID_Cliente
• ID_Inmueble
• ID_Sucursal
 • ID_Empleado

2. Defina los roles necesarios para la base de datos de la empresa

“Servicios Inmobiliarios S.A.”, de acuerdo con la figura 1. “Tipos de
acceso según usuario”.

CREATE ROLE IF NOT EXISTS ‘Colaborador’,’Revisor’,’Manager’,’Lider’;

3. Asigne a cada usuario los privilegios apropiados de acceso a la base de

datos para que realicen sus actividades de una manera adecuada y
segura.

Directora
Permisos de lectura en todas las tablas.
• GRANT SELECT ON INMOBILIARIA.* TO ‘Directora’

Gerente
• GRANT SELECT ON INMOBILIARIA.sucursales,
INMOBILIARIA.empleados TO ‘Gerente’

NOTA
No comprendo la diferencia en el tipo de acceso “Consulta” e “Informe”,
en primera instancia los observé como accesos de sólo lectura, pero no
aparecen juntos siempre en los usuarios, ¿qué diferencia suponen ambos
términos?

También respecto del resto de usuarios tengo dudas con la clausula

GRANT y el posible uso de WHERE para restringir los permisos otorgados.

4. ¿Cuál es su opinión acerca de que el usuario “Gerente” puede dar

“mantenimiento” a todas las tablas de la BD?
No, no puede debido a que ‘Gerente’ es un cargo delimitado a la
sucursal bajo su responsabilidad, no puede, ni debe intervenir en los
datos fuera del acotamiento de su potestad.
5. Anote un ejemplo de Política y uno de Norma que deberían
considerarse en una empresa para mantener seguras las bases de
datos.

Norma: Para cualquier intervención en la estructura, contenido y

programación de la base de datos deberá llevarse un control de
accesos en una bitácora conteniendo los datos de identificación del
interviniente de manera automática.

Política: Cualquier solicitud de corrección a los datos personales

almacenados en la base de datos deberá solicitarse de manera escrita
y con copia del fundamento documental correspondiente.
Datos Tipo de acceso Directora Gerente Supervisor Ayudante
Mantener
Todas las sucursales Consulta X X
Informe X X
Mantener X
Una sola sucursal Consulta X
Informe X
Mantener
Todos los empleados Consulta X X
Informe X X
Mantener X
Empleados de una sucursal Consulta X X
Informe X X
Mantener
Todos los inmuebles Consulta X
Informe X X
Mantener X X
Inmuebles de una sucursal Consulta X X X
Informe X X X
Mantener
Todos los propietarios Consulta X
Informe X X
Mantener X X
Propietarios en una sucursal Consulta X X X
Informe X
Mantener
Todos los clientes Consulta X
Informe X X
Mantener X X
Clientes de una sucursal Consulta X X X
Informe X
Mantener
Todos los contratos Consulta X
Informe X X
Mantener X X
Contratos de una sucursal Consulta X X X
Informe X X

Figura 1. Tipos de acceso según usuario para la base de datos de la empresa.