Base de Datos

2020
UPDATE SET Update Trigger
Seguridad de Base de Datos
Delete Trigger
Empezar

Empezar
…

Patricia Méndez Leon

UTP0005902
12-7-2020
Seguridad de Base de Datos

Referencias Técnicas

Video 1
En el primer video conocemos a Andrés Velázquez presidente de MaTTica (primer
laboratorio de investigación de delitos informáticos de América Latica).
Él nos habla un poco sobre seguridad de la información donde nos dice que lo
mejor que podemos hacer es prevenir ya que muchas veces es el usuario el que
abre todo esto, ya sean niños o mayores que comparten cosas que no son.
Nos recomiendan poner contraseñas seguras no prestarlas a nadie y cambiarlas
regularmente.

Video 2
En este video nos habla de la seguridad en teléfonos y computadoras.
Uno de los fraudes que más se están dando tanto en celulares como en
computadoras es el ciber criminal (phishing) el cual crea páginas que se ven
idénticas a las páginas de un banco, aerolínea, etc.
Y así pueden conseguir las contraseñas de la gente.
También están empezando a usar las redes sociales para crear perfiles de la
persona.
Los hackers no distinguen si son usuarios individuales, pequeños o grandes
empresas.
Algunas recomendaciones para usuarios de Windows, Apple etc.
1. Actualizar
2. Protección fuerte y robusta
3. Tomar responsabilidad de a dónde vamos y que publicamos.

Video 3
Bases de la seguridad informática
Los datos son valores, números, medidas, textos documentos en bruto.
La información es el valor de esos datos.
Los 3 pilares de la seguridad de la información son:

Integridad

informacion

Confidencialidad Disponibilidad

1
Seguridad de Base de Datos

Confidencialidad:
Si alguien accede a nuestra información
 Pierde valor
 Perdemos intimidad
 Perdemos credibilidad

Como implementar la confidencialidad

 Autenticación de usuario: contraseña y permiso
 Gestión de privilegios: que usuario crea la base de datos y a cuales les
otorga acceso.
 Cifrado de datos y comunicaciones: que no esté disponible para gente que
no y hacer candados.

Integridad:
Consiste en asegurarse de que la información no se pierde ni se ve comprometida
voluntariamente ni involuntariamente.
Voluntariamente: ataques, sabotajes, robos, engaños.
Involuntariamente: accidentes, catástrofes, errores.

Como gestionar la integridad

 Monetizar el tráfico de red: flujo de operaciones sobre base de datos.
 Auditar los sistemas: monitores o auditorias de que usuario entro.
 Implementar sistemas de detecciones de cambios.
 Copia de seguridad.

Disponibilidad:
 La información solo es útil si es accesible al usuario.
 Problemas de disponibilidad
Ejemplo ataques DDoS
Ejemplo entrar en listas de Spam
Ejemplo pérdida de control del nombre de dominio
Ejemplo ransomuare

Como incrementar la disponibilidad

 Acuerdos de nivel de servicio
 Balanceadores de cargo de trafico de red
 Copias de seguridad
 Sistemas de alimentación interrumpida
 Disponer de recursos alternativos a los primarios

La información es segura si es:

 Confidencial
 Integra
 Disponible

2
Seguridad de Base de Datos

Video 4
Seguridad y control de acceso a la base de datos

Datos que debemos tener en cuenta

 Sensibilidad: Adquirir herramientas de identificación asegurando estas
contra el melud.
 Evaluación de la vulnerabilidad y la configuración: Evaluar la configuración
de la base de datos para asegurarse que no tiene trucos de seguridad.
Esto se puede especificar en:
 Limitar el acceso a los procedimientos a ciertos usuarios
 Delimitar el acceso a los datos para ciertos usuarios, procedimiento o
datos
 Declinar la coincidencia de horarios entre usuarios que coincidan

 Endurecimiento: proceder a la eliminación de todas las funciones y

operaciones que no se utilicen.
 Aplicar una política estricta sobre que se puede y no se puede
hacer, pero asegurando de desactivar lo que no se necesita.

 Auditar: una vez creado una configuración controle endurecimiento realiza

auto evaluaciones y seguimiento a las recomendaciones de auditoria para
asegurar que no se desvié de su objetivo la seguridad.
 Aumentar el control de la configuración de tal forma que se reguistre
cualquier cambio en la misma
 Implementar alertas sobre cambios de configuración.

 Monitoreo: revisar en tiempo real la actividad de base de datos para limitar

su exposición aplicando o adquiriendo agentes inteligentes de monitoreo de
uso indebido.
 Autenticación, control de acceso y gestión de derechos
 Autenticar a los usuarios
 Garantizar la rendición de cuentas por usuarios
 Administrar los privilegios para limitar el acceso a los datos
 Implementar y revisar periódicamente los informes sobre derechos
de usuarios
 Utilizar el cifrado para hacer ilegibles los datos confidenciales
complicando la traba de los atacantes.
Video 5
Seguridad de dase de datos

Objetivos
 Describir las capas de seguridad del entorno de SQL server
 Entender el modelo de seguridad de SQL server
 Diferenciar el propósito de los principals y los sucursales
 Entender los distintos mecanismos de encriptación que ofrece SQL
server

3
Seguridad de Base de Datos

Agencia
 Definición de modelo de seguridad
 Autenticación
 Login y usuarios
 Autenticación
 Permisos y roles
 Encriptación
 Llaves maestras
 Certificados digitales
 Llaves simétricas y asimétricas
 Valores de Hash
Modelo de seguridad de SQL server
 Terminología SQL server
 Principals
 Securables
 Scope
 Administración de seguridad
 Logins
 Groups
 Roles
 Authentication

Scope el alcance en el área afectada

 Nivel de servidor
 Nivel de base de datos
 Nivel de esquema

Principal y surable
Principals
 Cualquier entidad que puede solicitar un recurso de SQL server

Sucurables
 Los recursos a los cuales los principals pueden solicitar acceso o privilegio.

Principals
 Server
 Domain login
 Domain group
 Local Windows login
 SQL server login
 Data base
 User
 Role
 Roles a nivel de servidor
 Roles a nivel de base de datos

4
Seguridad de Base de Datos

 Roles a nivel de aplicación

Regla de mínimo privilegio
Solo se debería otorgar acceso de mínimo nivel de recursos requeridos para llevar
a cabo tareas permitidas.

Administrar usuarios y logins

Operaciones frecuentes
 Create, alter, drop user
 Create, alter, drop login
Tablas de sistema
 Sys.database_principals
 Sys.database_permissions
 Sys.database_roles_members

Reglas de mínimo esfuerzo

 Implementación robusta
 Hacerlo con el menor esfuerzo posible
 De otra forma corremos el registro de fallar

Permisos y privilegios
Principals
 Entidades que solicitan recursos

Privileges
 Permisos que pueden ser otorgados o denegados de acuerdos a como se
relacionen con los recursos.

Video 6
Seguridad e integridad de la base de datos
Agencia
 Niveles de seguridad
 Servicios de seguridad principales
 Servicio de seguridad secundarios

Control de acceso
Se refiere a limitar el acceso de los usuarios a la data, consta de dos pasos:
 Identificar
 Verificar el derecho de acceso

Disponibilidad de datos
 No tener señal
 No tener señal a internet

Mecanismos de integridad
No se puede modificar, alterar o eliminar información.
Se reconocen 2 niveles:
 Integridad de trafico: encriptación
5
Seguridad de Base de Datos

 Integridad de entidad: suma de seguridad electrográfica

Mecanismo de acceso
Implica el control de acceso
 Funciones booleanas
 Esquema lineal
 Problemas de duración

Mecanismo de autenticación
Realiza procesos entre un nombre de usuario y una contraseña.
En la nube se ha dividido en dos procesos:
 Comprobación en fase de registro
 Comprobación en fase de operación

Video 7
Certificaciones internacionales en seguridad de la información.

Tener una certificación es tener un aval de que una persona sabe y tiene las
habilidades necesarias.

Tipos de certificación

certificación Tiempo Costo

CISA 4 hrs 200 pregs 700
CISM 4 hrs 200 pregs 700
CRISC 3.5 hrs 150 pregs 700
CISSP 4 hrs 250pregs 25hrs 700
CEH 4 hrs 125 pregs 1,000
OSCP 24 hrs 5 maquinas 1,150
GICSP 3 hrs 115 pregs 7,500
PCI-P 2 hrs 2,500