ADMINISTRACIÓN

DE BASE DE DATOS

2024
 2

TALLER GRUPAL

Investigación de Seguridades
SIN-S-NO-4-7
FACULTA INGENIERÍA INDUSTRIAL
SISTEMAS DE LA INFORMACIÓN
ENERO 15 DEL 2024

GRUPO 6

Yulán Carriel Kevin Josué

Navarrete Betty José Andrés
Triviño Moreira Gabriela Estefanía
Mendoza Tóala Diego Josué
Mero Álava Eliana Norely
Espinoza Tomala Jefferson Stalin
 3

Contenido
SEGURIDAD EN LA ADMINISTRACIÓN DE LA BASE DE DATOS ...................................................... 4
Introducción .................................................................................................................................. 4
Conceptos de seguridad de los datos: confidencialidad, integridad y disponibilidad. .............. 4
Medidas de seguridad (niveles de seguridad) y documento de seguridad .................................. 6
Medidas de seguridad de nivel básico: ......................................................................................... 6
Medidas de seguridad de nivel medio .......................................................................................... 7
Medidas de seguridad de nivel alto: ............................................................................................. 9
RESUMEN .................................................................................................................................... 10
BIBLIOGRAFÍAS ............................................................................................................................ 11
CERTIFICADOS BIBLIOTECA VIRTUAL........................................................................................... 12
 4

SEGURIDAD EN LA ADMINISTRACIÓN DE LA BASE DE DATOS

Introducción
Debido al aumento de la capacidad de almacenamiento de los sistemas informáticos
actuales y gracias a la globalización de las comunicaciones, conseguida por el
inmenso incremento de las redes de comunicaciones, el peligro de la pérdida de
intimidad por el acceso a los datos personales por parte de cualquier organización
se vuelve cada vez mayor.

Las autoridades han intentado poner freno a estas vulnerabilidades legislando, para
dotar al individuo de medios que le permitan en la mayor medida posible preservar
su intimidad.

Se debe asegurar que cada organización que disponga de datos personales

empleará todos los medios posibles para protegerlos, tanto en su ubicación como
durante el tránsito de estos datos por redes no seguras. Para ello, se limitará en la
medida de lo posible el acceso a los datos en su origen, así como se llevará a cabo
su codificación usando las herramientas de criptografía disponibles.

Conceptos de seguridad de los datos: confidencialidad,

integridad y disponibilidad.
La seguridad de los datos tiene como fin la protección de estos y de los sistemas de
la información, el acceso, uso, divulgación, la no interrupción y evitar la destrucción
no autorizada. La seguridad de los datos, seguridad informática y garantía de la
información son términos que, aunque su significado no sea el mismo, buscan una
misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la
información.

La seguridad de los datos conlleva crear y aplicar una serie de estrategias que
cubran los procesos en donde los datos son el activo primordial. Estas estrategias
deben fijar el establecimiento de políticas, controles de seguridad, y procedimientos
para detectar amenazas que puedan explotar vulnerabilidades y que pongan en
riesgo dichos datos; es decir, que ayuden a proteger y salvaguardar tanto
información como los sistemas que la almacenan y gestionan.

La seguridad es un proceso continuo de mejora, por lo que las políticas y controles

establecidos para la protección de la información deberán revisarse y adecuarse
ante los nuevos riesgos que vayan apareciendo, a fin de tomar las medidas que
permitan reducirlos. Cualquier entidad pública o privada acumula una gran cantidad
de información confidencial sobre sus empleados, clientes, etc.

La mayor parte de esta información es recogida, tratada, almacenada y puesta a la

disposición de sus usuarios en ordenadores y se transmite a través de las redes de
comunicaciones.
 5

En caso de que la información confidencial de una empresa, sus clientes, sus

productos o cualquier otro dato caigan en manos de un competidor, o se difunda de
manera no autorizada, esta podría ser la causa de la pérdida de credibilidad frente
a los clientes, pérdida de negocios, demandas legales, etc. Por lo tanto, proteger la
información confidencial es, además de un objetivo de la empresa, también un
imperativo legal que si no se tiene en cuenta puede provocar muy graves
consecuencias.

La confidencialidad, integridad y disponibilidad (en inglés: confidentiality, integrity

and availability) son los principios básicos de la seguridad de la información.

La confidencialidad es la propiedad de prevenir la divulgación de información a

personas o sistemas no autorizados. Se tiene el derecho a la intimidad y que los
datos propios no sean ni públicos ni conocidos por personas no autorizadas. Es un
derecho constitucional y debe ser objeto de amplia protección.

La integridad es la propiedad que busca mantener los datos libres de

modificaciones no autorizadas. La falta de integridad puede darse cuando un usuario
o una aplicación (con o sin intención) modifica o borra información.

La integridad debe asegurar que el contenido de la información permanezca

inalterado, a menos que sea modificado por personal autorizado, y esta modificación
sea registrada, asegurando que sea precisa y confiable.

La disponibilidad significa que la información tiene que estar disponible para su uso
y que no haya ninguna interrupción que evite el funcionamiento. En un SGBD se
obliga a que esté funcionando tanto el servidor que suministra los datos como los
terminales desde donde se accede a ellos, y que también las líneas de comunicación
funcionen correctamente. Se deben evitar cortes en el servicio producidos por
cualquier causa, como puede ser fallos en el suministro de energía o incluso una
actualización del sistema.
 6

Medidas de seguridad (niveles de seguridad) y documento de

seguridad
Según la naturaleza de la información y del grado de necesidad de garantizar su
confidencialidad e integridad, las medidas de seguridad exigibles a los ficheros se
fijan en función del nivel de seguridad correspondiente al fichero. Existen tres niveles
de seguridad en función de la mayor o menor sensibilidad de los datos recogidos en
ellos. Estos niveles se clasifican en nivel básico, medio y alto:

• Nivel básico: nombre, apellidos y datos de contacto (dirección, teléfono,

email, etc.).

• Nivel medio: datos relativos a la comisión de infracciones administrativas o

penales. Por ejemplo, multas de tráfico. También aquellos tratamientos o
ficheros de los que sean responsables las entidades financieras y los que
contengan un conjunto de datos de carácter personal que ofrezcan una
definición de las características o de la personalidad de los ciudadanos y que
permiten evaluar determinados aspectos de la personalidad o del
comportamiento de los mismos.

• Nivel alto: datos de ideología, afiliación sindical, creencias, origen racial,

salud y vida sexual; así como datos recabados para fines policiales o datos
de violencia de género.

A continuación, se expondrá de forma resumida cada una de las medidas que se

han de adoptar en cada nivel de seguridad.

Medidas de seguridad de nivel básico:

Se aplica a todos los ficheros que contienen datos de carácter personal. Existe una
serie de normas de obligado cumplimiento, entre ellas:

➢ Definir las funciones y obligaciones de las personas con acceso a los datos
de carácter personal y a los sistemas de información, y asegurarse de que
todas conozcan las normas de seguridad que les afectan y las
consecuencias de incumplirlas.

➢ Se ha de definir el control de accesos a los registros o ficheros. Para ello,

cada usuario tendrá acceso solamente a los recursos que necesite y,
además, existirá una relación actualizada de usuarios y perfiles de usuarios,
y los accesos autorizados para cada uno, y no podrán acceder a otros
registros o bases de datos no autorizados.

➢ Se implantarán medidas para garantizar la identificación y autenticación de

los usuarios. En el caso de que la identificación y autenticación de los
usuarios se realizará mediante la asignación de contraseñas, deberá existir
 7

en la empresa un procedimiento para la asignación, distribución y

almacenamiento de las contraseñas (estas habrá que cambiarlas como poco
una vez al año).

➢ Se realizará como mínimo cada semana una copia de respaldo y se verificará

cada seis meses el funcionamiento y aplicación de los procedimientos de
realización de las copias de respaldo y de recuperación de los datos.

➢ Deberá existir en la empresa procedimientos de notificación y gestión de las

incidencias que afecten a la protección de datos de carácter personal, por lo
que se crearán registros en los que se haga constar el tipo de incidencia, la
persona que detecta la incidencia, a quién se le comunica y las medidas
correctoras que se han de aplicar para evitar que se vuelva a producir dicha
incidencia.

Para implementar la medida de nivel básico de identificación y autenticación

de un usuario a los datos, se puede realizar mediante la asignación de un
nombre de usuario y contraseña asociada a dicho usuario, como muestra la
imagen.

Medidas de seguridad de nivel medio

Aquí se engloban los datos que contienen, además, información sobre cuestiones
administrativas, penales, hacienda pública, servicios financieros o cuando varios
datos en su conjunto permitan obtener el perfil de un individuo.

En este se aplicarán todas las normas del nivel de seguridad básico, pero con los
siguientes añadidos:

➢ Se designará un responsable de seguridad que coordine y controle las

medidas definidas en el documento de seguridad. Esta designación no
liberará de la responsabilidad que le corresponda al responsable o al
encargado.

➢ Se realizará al menos cada dos años una auditoría interna o externa para ver
el cumplimento de las medidas de seguridad.

➢ Se establecerá un mecanismo que limite la posibilidad de intentar

reiteradamente el acceso no autorizado al sistema; es decir, se limitará el
 8

número de intentos en conexiones fallidas, en los procedimientos de

identificación y autenticación de los usuarios.

➢ Solamente el personal autorizado en el documento de seguridad podrá tener

acceso a los lugares donde se hallen instalados los servidores de datos
(control de acceso físico).

➢ Se creará un registro de incidencias donde se anotarán los procedimientos

realizados de recuperación de los datos, señalando quién lo ha realizado y
qué se ha realizado (para recuperar datos se necesitará la autorización del
responsable).

➢ Deberá establecerse un sistema de registro de entrada y salida de soportes

de la empresa, que permita, directa o indirectamente, conocer el tipo de
soporte o documento, la fecha y la hora, el emisor/ destinatario, el número
de documentos o soportes en el envío, la forma de envío y la persona
responsable de la entrega/recepción de los documentos, que debe estar
autorizada para ello.
Un ejemplo de registro de incidencias en el nivel medio sería el siguiente:
 9

Medidas de seguridad de nivel alto:

En este nivel de protección se engloban ficheros que contienen datos (al menos uno)
relacionados con la ideología, religión, orientación sexual o política, salud, datos
policiales obtenidos sin consentimiento o cualquier otro que, si fuera conocido,
dañaría principios fundamentales. Se aplicarán las medidas de seguridad de nivel
básico y de nivel medio, y se añadirán también las siguientes:

➢ Los soportes que guardan los datos usarán sistemas de etiquetado

comprensibles y con significado para los usuarios con acceso autorizado, y
que sea difícil la identificación para el resto de las personas. La distribución
de los soportes que contengan datos de carácter personal se realizará
cifrando los datos. Se cifrarán los datos que contengan los dispositivos
portátiles cuando estos se encuentren fuera de las instalaciones de
tratamiento de los datos.
➢ Habrá una copia de seguridad de los datos en un lugar diferente de donde
estén almacenados los datos.

➢ Habrá un control exhaustivo del intento de acceso a los datos: para cada
intento de acceso a los datos se guardarán, como mínimo, la identificación
del usuario, la fecha y hora en que se realizó, el fichero al que se accedido,
el tipo de acceso y si el acceso se autorizó o no, y a qué registro se ha
accedido. Los mecanismos de control de acceso no se podrán desactivar y
se conservarán durante dos años. Nota: Solo habrá dos excepciones para
no tener que implementar el registro de acceso: cuando el responsable del
fichero o del trata- miento sea una persona física y cuando el responsable
del fichero o del tratamiento garantice que solamente él tiene acceso a los
datos.

➢ La transmisión de datos de carácter personal a través de redes públicas o

redes inalámbricas se realizará cifrando los datos. Para finalizar, hay que
hablar del documento de seguridad. Todas las empresas deben elaborar un
documento de seguridad, independientemente del nivel de seguridad que
tengan sus ficheros. El documento de seguridad es de tipo privado, pero de
acceso público, en el que se deben recoger las políticas de seguridad que se
van a seguir en la gestión de la base de datos por quienes traten datos
personales; es decir, recogerá las medidas de seguridad de índole técnica y
organizativa que serán de obligado cumplimiento para el personal con
acceso a los datos.
 10

RESUMEN
En resumen, el aumento de la capacidad de almacenamiento y la globalización de
las comunicaciones han aumentado el riesgo de pérdida de intimidad por el acceso
no autorizado a datos personales.

La seguridad en la administración de bases de datos busca proteger la

confidencialidad, integridad y disponibilidad de la información. Se enfatiza la
necesidad de establecer políticas, controles y procedimientos para detectar
amenazas y proteger los datos.

Se describen tres niveles de seguridad según la sensibilidad de la información,

desde básica hasta alta, y se destaca la importancia de la revisión constante de
medidas de seguridad. La confidencialidad evita la divulgación no autorizada, la
integridad busca mantener la información sin modificaciones no autorizadas, y la
disponibilidad asegura que la información esté accesible sin interrupciones.
 11

BIBLIOGRAFÍAS
• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:
administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=136.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=137.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=138.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=139.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=163.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=164.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=165.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=166.

• Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473): ( ed.). Antequera, Málaga, Spain:
IC Editorial. Recuperado de
https://elibro.net/es/ereader/uguayaquil/44140?page=168.
 12

CERTIFICADOS BIBLIOTECA VIRTUAL

13