Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3.5-Proteccion de Acceso A Los Recursos
3.5-Proteccion de Acceso A Los Recursos
Índice
1. Mejores prácticas 2
9. Eliminación de datos 11
1
1. Mejores prácticas
Cada organización debe mantener sus aplicaciones, servidores y siste-
mas de usuario final en funcionamiento para hacer uso de la información
y mantener el el más alto grado de disponibilidad e integridad de la infor-
mación.
Un modelo de protección de datos por niveles trabaja mejor; incluye
una defensa en capas, diligencia debida y gestión restringida. Implemen-
tado correctamente, la seguridad debe ser transparente. Las mejores prác-
ticas para proporcionar un entorno seguro de almacenamiento de datos
incluyen lo siguiente:
2
7. Incluir cualquier tecnología de replicación de datos o replicación de
almacenamiento en el plan de seguridad de almacenamiento en ge-
neral, donde dicho tráfico de replicación puede incluir transacciones
diarias y otras ubicaciones temporales con copias parciales o comple-
tas de datos confidenciales.
8. Evaluación e implementación de tecnologías de prevención de pérdi-
da de datos (DLP) para mantener la seguridad de los datos almace-
nados fuera de la empresa.
9. Crear una política para descartar dispositivos viejos y servicios de al-
macenamiento de datos y medios, para incluir tareas rutinarias como
la limpieza segura o la destrucción física de todos los datos almace-
nados en dispositivos y medios de almacenamiento.
10. Evaluar e implementar políticas de retención y destrucción de datos,
asegurando cumplimiento con cualquier asunto regulatorio organi-
zacional o gubernamental aplicable.
11. Aislar la red de administración de almacenamiento de la red principal
de la organización. Al no aislar la red, cada empleado potencialmente
tiene acceso a datos almacenados.
12. Establecimiento de monitoreo de bitácoras de acceso (access-log).
13. Realizar verificaciones de antecedentes de empleados y contratistas
como parte de los procedimientos de contratación de personal.
14. Establecer de controles en las instalaciones de la organización para
restringir el acceso físico a los centros de datos, bloquear gabinetes de
almacenamiento y bastidores de servidores, usar bloqueos integrados
en algunos servidores y garantizar la confiabilidad del perímetro y
los edificios y verificar que dichos controles también se apliquen para
el control las ubicaciones de almacenamiento remoto.
15. Tratar la seguridad de los copias de seguridad en un alto nivel de
importancia dentro de los sistemas de monitoreo y alarmas. Adoptar
políticas de seguimiento y manejo seguro de la gestión de medios que
incluyan requisitos de respaldo para información financiera, datos de
empleados y de propiedad intelectual.
3
2. Sistemas de almacenamiento DAS, NAS, y SAN
Existen primordialmente tres métodos para el almacenamiento de da-
tos:
Las unidades
Almacenamiento de Conexión Directa (Direct Attached Storage—DAS).
son aquellas que están conectadas directamente a la computadora.
El DAS puede ser interno, contenido dentro de la carcasa de la compu-
tadora o externo y conectado a través de una interconexión de com-
ponentes periféricos, PCI, eSATA u otro canal de bus.
Los riesgos para los dispositivos DAS son el robo físico o el acceso a
través del sistema informático que atienden.
Estos dispo-
Almacenamiento Conectado en Red (Network Attached Storage—NAS).
sitivos son servidores especializados que ejecutan sistemas operati-
vos minimizados y sistemas de archivos diseñados específicamente
para admitir entrada/salida (I/O) de otros servidores.
Los servidores que se conectan a los dispositivos NAS tienen DAS
que contiene sus sistemas operativos, aplicaciones y otros componen-
tes pero, normalmente, escriben todos los datos en el dispositivo NAS
a través de conexiones TCP/IP sobre Ethernet.
NAS es utilizado a través del protocolo para compartir archivos, co-
mo el Sistema de Archivos de Red (NFS) para sistemas UNIX y el
Bloque de Mensajes del Servidor (SMB) o el Sistema de Archivos de
Internet Común (CIFS) para sistemas Microsoft.
Al igual que con cualquier conexión Ethernet, las conexiones entre
un sistema y el servidor NAS que usa están sujetas a ser rastreados, a
espionaje y para capturar sus paquetes.
Son colecciones de
Red de Área de Almacenamiento (Storage Area Network—SAN).
discos centralizados a los que pueden acceder numerosos servidores.
El uso de SAN puede facilitar el crecimiento de la empresa, ya que la
mayoría de las opciones de SAN permiten agregar discos adicionales
al grupo a medida que aumentan las necesidades de almacenamiento
de datos, sin tener que desconectar los sistemas conectados, como se-
ría necesario si se agregaran nuevos DAS a los sistemas individuales.
4
Las copias de seguridad de datos también pueden ser más fáciles de
controlar, ya que un único recurso de almacenamiento podría ser res-
paldado en lugar de cada sistema individual. Con la implementación
de RAID u otras implementaciones de redundancia de disco, la escri-
tura de datos en múltiples discos se puede lograr sin afectar el rendi-
miento de los servidores de aplicaciones.
Los sistemas se pueden conectar al SAN mediante varios métodos,
incluidos TCP/IP y canales de fibra. El uso de IP para conexiones
SAN permite que los servidores se conecten a través de Internet, pero
esta opción debe usarse con precaución, debido a las preocupaciones
de seguridad de la transferencia de datos a través de Internet.
5
4. Gestión de almacenamiento fuera de banda y
dentro de banda
Los administradores puede que tengan que controlar ubicaciones de al-
macenamiento de forma remota, es decir, desde una ubicación que no sea
una consola conectada directamente. Hay dos enfoques para tales comu-
nicaciones de control, cada uno con sus propios problemas de seguridad
particulares.
La gestión en banda (In-Band) utiliza la misma red que las transferen-
cias de datos; la gestión fuera de banda (Out-of-Band) utiliza una red se-
parada (Figura 1).
6
a través del cable sin estar encriptado.
Para los sistemas de almacenamiento gestionados por interfaces HTTP
de forma predeterminada, en su lugar, es posible usar HTTPS para mitigar
el riesgo de comandos e inicios de sesión desde la captura de paquetes de
red.
La gestión en banda también tiene preocupaciones. Los comandos en-
viados en banda normalmente se envían en texto claro. Otras amenazas de
la gestión del almacenamiento en banda incluyen:
7
de administrar el entorno de almacenamiento. Esta separación de funcio-
nes limita la capacidad de cualquier individuo para eludir los controles de
seguridad, sin algún tipo de conspiración entre el almacenamiento y los
administradores de seguridad.
8
que contienen a menudo son críticos para la recuperación ante desastres y
la continuidad del negocio. Existen varias amenazas para la copia de se-
guridad de datos que no se enfrentan a ataques contra otros almacenes de
datos.
Si bien la mayoría de los sistemas solo tienen sus datos almacenados en
el disco (DAS, NAS o SAN), los sistemas de respaldo a menudo escriben
datos en cartuchos de cinta u otros medios extraíbles destinados específi-
camente para el almacenamiento fuera del sitio. Otra opción es hacer una
copia de seguridad electrónica de datos en un sistema remoto, ya sea en
otro de los centros de datos de la organización o con un proveedor de co-
pias de seguridad externo.
Al igual que con cualquier transmisión de datos a instalaciones remo-
tas, los datos deben protegerse durante el tránsito y en las instalaciones de
destino.
9
que es una opción factible. Las mejores prácticas le enseñarán a en-
criptar todo con múltiples claves y diferentes algoritmos. Sin embar-
go, el personal técnico debe evaluar los efectos en el rendimiento.
10
Oracle Database 10g Release 2 mejora las opciones de cifrado
existentes en las bases de datos Oracle al introducir el Cifrado de Datos
Transparente (TDE). Al usar TDE, un administrador de base de datos pue-
de especificar que una columna necesita ser encriptada, y la base de datos
encripta automáticamente los datos durante las operaciones de inserción y
desencripta datos durante las selecciones. Esto se puede lograr “sin escribir
una sola línea de código”.
9. Eliminación de datos
Una consideración final para asegurar los datos almacenados es la eli-
minación de los medios que contienen los datos. Esencialmente, los me-
dios deben ser desinfectados para que los datos escritos originalmente no
se pueden recuperar. Un método para lograr el objetivo puede incluir los
siguientes pasos:
11
una comunicación de canales seguros, el cifrado de datos para datos en
reposo y protección física del almacenamiento de los dispositivos de al-
macenamiento de datos, la seguridad de la información puede estar mejor
asegurada. n
Referencias
[1] B OSWORTH , S., K ABAY, M.E. & W HYNE , E. (2014). Computer Secu-
rity Handbook. United States of America: John Wiley & Sons, Inc.
[2] M ICROSOFT. (2020). SQL Server 2017 features. Febrero 28, 2020,
Microsoft. Sitio web: https://www.microsoft.com/es-mx/
sql-server/sql-server-2017-features
12