República Bolivariana De Venezuela

Ministerio Del Poder Popular Para La Educación Universitaria,

Ciencia Y Tecnología
Universidad Politécnica Territorial Del Alto Apure “Pedro Camejo”
San Fernando — Edo. Apure

SEGURIDA
DY
FACILITADOR (A):
CONTROL PARTICIPANTE:

Lusmary Rojas
DE C.I.:20.231.202

ACCESO
EN BASES
DE DATOS
Ing. Javier
 San Fernando, abril de 2.024

INTRODUCCIÓN

La seguridad de las bases de datos son los procesos, herramientas y

controles que aseguran y protegen las bases de datos contra amenazas
accidentales e intencionadas. El objetivo de la seguridad de las bases de
datos es proteger los datos confidenciales y mantener la confidencialidad,
disponibilidad e integridad de la base de datos. Además de proteger los
datos dentro de la base de datos, la seguridad de la base de datos protege el
sistema de gestión de la base de datos y las aplicaciones asociadas, los
sistemas, los servidores físicos y virtuales y la infraestructura de red.

Es importante reconocer que existen varios tipos de riesgos de

seguridad. La seguridad de las bases de datos debe protegerse contra los
errores humanos, los privilegios excesivos de los empleados sobre las bases
de datos, los ataques de hackers y de información privilegiada, el malware, la
exposición de los medios de almacenamiento de las copias de seguridad, los
daños físicos a los servidores de bases de datos y las bases de datos
vulnerables, como las bases de datos sin parches o las que tienen
demasiados datos en el búfer.
 SEGURIDAD Y CONTROL DE ACCESO EN BASES DE DATOS

Son todas aquellas medidas, tecnologías y protocolos que una

organización implementa para proteger los datos que gestiona, así como
para establecer candados que impidan el acceso a dicha información a
personas o entidades no autorizadas.

La seguridad de las bases de datos debe tratar y proteger lo siguiente:

Los datos de la base de datos.

El sistema de gestión de bases de datos (DBMS)

Cualquier aplicación asociada

El servidor de base de datos físico y/o el servidor de base de datos

virtual, y el hardware subyacente

La infraestructura informática y/o de red utilizada para acceder a la

base de datos

Los datos están contenidos o circulando en diferentes puntos, por

ejemplo, en tu sitio web, en tus transferencias, en los ordenadores, en un
email, registros de contacto, bases, etcétera. La función de la seguridad de
base de datos es garantizar la privacidad de estos canales.

Para generar esfuerzos eficientes de seguridad de bases de datos hay

que involucrar a las personas, los protocolos y los sistemas tecnológicos; de
otra manera, difícilmente habrá una protección. La seguridad de la
información o protección de bases de datos es proactiva, predictiva y
reactiva, es decir, se deben establecer acciones que inhiban los
ciberataques, así como tecnologías que estén protegiendo desde el origen
de forma continua.

Es proactiva cuando se establecen procesos y protocolos de

seguridad de la información; cuando se capacita a los colaboradores y
se comunican las medidas.

Es predictiva porque se deben establecer mecanismos de monitoreo y

análisis de posibles casos vulnerables, por lo tanto, una organización
podrá anticiparse a lo que un hacker está buscando.

Es reactiva cuando la amenaza ya es inminente y si hay un

ciberataque reacciona para evitarlo, garantizando así la protección.

La seguridad de bases de datos se enfocará en la información crítica,

valiosa o sensible para la organización. Los sistemas de seguridad de bases
de datos garantizan la confidencialidad, la integridad, la disponibilidad y la
autenticación (un método para identificar a las personas que pueden tener
acceso).

Teniendo en cuenta esto, la protección de bases de información

funciona en etapas que puedes ir escalando de acuerdo al tipo de operación
que tiene tu empresa. Por eso:

Identifica los datos más vulnerables, es decir, los que son más sensibles
para la compañía, pues así tendrás visibilidad de qué es lo que quieres
proteger.
Analiza los recorridos y canales por donde circulan esos datos, ya que de
esta forma podrás ubicar cuáles son los puntos más críticos.
Establece procesos y protocolos para que todos los involucrados en el
manejo de dichos datos sepan qué hacer y qué no hacer.
 Implementa controles de acceso y autenticación a las bases de datos.
Luego debes cifrar o encriptar la información con base en los sistemas o
tecnologías de seguridad de información que utilices en tu empresa.

Comunica, capacita e informa a todos los integrantes de la empresa

sobre las medidas de forma continua.

Monitorea las bases de datos, analiza los entornos informáticos y las

posibles vulnerabilidades.

Crea un plan de acción en casos de amenazas e incidentes para

saber cómo reaccionar, detener o minimizar los impactos de un
ataque cibernético.

Tipos de Seguridad de Bases de Datos

 Seguridad de hardware

Tiene que ver con todos los dispositivos físicos que pueden contener o
por los que pueden transitar los datos, por ejemplo, firewalls o cortafuegos de
hardware, servidores proxy, módulos de seguridad para claves encriptadas,
sistemas de autenticación, entre otros.

 Seguridad de software

En este caso se enfoca a la parte virtual, es decir, a los programas,

plataformas, software y aplicaciones enfocados a la protección de la
información. El ejemplo más conocido en este caso son los antivirus.

 Seguridad de red

Este tipo de seguridad se enfoca en el camino por donde se

transmiten datos, como es el caso de la nube, con el fin de garantizar el
acceso a los datos sin hacerlos vulnerables a un posible robo. Aquí se
concentra todo tipo de defensa contra espionaje cibernético, hackeos,
troyanos, intercepción de comunicaciones y demás.

 Respaldos de base de datos

Un tipo de seguridad específico es el respaldo de las bases de datos,

los cuales pueden ser completos cuando se copian todos los datos;
diferenciales cuando solamente se almacenan datos que han sido
modificados o actualizados, o backups incrementales cuando se guarda
información añadida.

 Encriptación

Con esta se protegen los datos que además de estar almacenados

hacen algún tipo de recorrido por la red. Si hubiera un robo de datos, lo que
hace este tipo de seguridad es dificultar al ciberdelincuente la interpretación y
uso de los mismos.

 Detección de intrusos

Este tipo de seguridad se activa cuando el sistema detecta que

alguien está queriendo entrar a un acceso denegado o hay una actividad
sospechosa alrededor de los datos. Se trata de sistemas de detección de
intrusos de red (NIDS) que están monitoreando de forma continua el tránsito
de datos.

 Gestión de incidentes

Los sistemas de información de seguridad y gestión de eventos

(SIEM) visualizan la seguridad de bases de datos de una forma integral, ya
que a través del monitoreo hacen un análisis de incidencias para generar
informes que ayudan a la gestión de la información segura.

 Protocolos de internet

Toda acción en internet supone un riesgo cibernético porque te haces

visible y estás en el camino de todos, por lo tanto, este tipo de seguridad
busca proteger a los usuarios en internet a través de sistemas de
ciberseguridad HTTPS, SSL y TLS, que se aplican para que los sitios web
sean seguros y los usuarios puedan compartir información o interactuar en
estos espacios.

 Prevención de pérdida de datos (DLP)

Este tipo de seguridad aplica acciones que garanticen que ciertos datos no
sean enviados desde la red, de tal forma que supervisa y asegura a las
personas autorizadas que no se están copiando o compartiendo datos
confidenciales.

 Defensa a profundidad

Este tipo de seguridad trata de abarcar todas las rutas, entornos y

procesos por los que circulan o se almacenan los datos de una empresa, por
lo que implicará tecnologías o sistemas para cifrar, enmascarar datos, aplicar
controles de acceso, monitorear constantemente y generar informes.

La seguridad de los datos es el término que se emplea para describir

el proceso, las políticas y la tecnología que garantizan que los datos de una
empresa estén resguardados y protegidos de acceso interno y externo no
autorizado o de la corrupción de datos, incluidos ataques maliciosos y
amenazas internas. Antes de la era de la digitalización, una empresa podía
abordar la seguridad de los datos manteniendo la puerta de entrada cerrada,
apilando archivos de papel con información sensible en archiveros y
protegiendo sus ordenadores con contraseñas. Pero con la transformación
digital, actualmente se requiere de un mayor esfuerzo y lo último en
tecnología y herramientas para proteger sus sistemas, aplicaciones y datos.

La seguridad de las bases de datos debe abordar y proteger lo

siguiente:

Los datos de la base de datos

El sistema de gestión de bases de datos (DBMS)

Cualquier aplicación asociada

El servidor de base de datos (físico y/o virtual) y el hardware

subyacente.

La infraestructura informática y/o de red utilizada para acceder a la

base de datos.

La seguridad de las bases de datos es una tarea compleja y difícil que

implica todos los aspectos de las tecnologías y prácticas de seguridad de la
información. También está naturalmente reñida con la usabilidad de la base
de datos. Cuanto más accesible y utilizable sea la base de datos, más
vulnerable será a las amenazas de seguridad; cuanto más invulnerable sea
la base de datos a las amenazas, más difícil será acceder a ella y utilizarla.

Según la regla de Anderson, no es posible construir una base de datos

que sea a la vez escalable, funcional y segura, porque si se diseña un gran
sistema para facilitar el acceso, deja de ser seguro, mientras que si se hace
estanco, se vuelve imposible de utilizar.
 Un administrador de bases de datos (también conocido como ABD (en
inglés database administrator o ABD) es aquel profesional
que administra las tecnologías de la información y la comunicación, siendo
responsable de los aspectos técnicos, tecnológicos, científicos, inteligencia
de negocios y las legalidades de las bases de datos, y de su calidad de
datos.

Sus tareas incluyen las siguientes:

Implementar, dar soporte y gestionar bases de datos corporativas.

Crear y configurar bases de datos relacionales.

Ser responsables de la integridad de los datos y la disponibilidad.

Diseñar, desplegar y monitorizar servidores de bases de datos.

Diseñar la distribución de los datos y las soluciones de

almacenamiento.

Garantizar la seguridad de las bases de datos, realizar copias de

seguridad y llevar a cabo la recuperación de desastres.

Planificar e implementar el aprovisionamiento de los datos y

aplicaciones.

Diseñar planes de contingencia.

Diseñar y crear las bases de datos corporativas de soluciones

avanzadas.

Analizar y reportar datos corporativos que ayuden a la toma de

decisiones en la inteligencia de negocios.
 Producir diagramas de entidades relacionales y diagramas de flujos de
datos, normalización esquemática, localización lógica y física de
bases de datos y parámetros de tablas.

Los administradores de bases de datos tienen competencias y

capacidades en uno o más sistemas de gestión de bases de datos, algunos
ejemplos: Microsoft SQL Server, IBM DB2, Oracle MySQL, Oracle database,
IBM Informix y SQL Anywhere.

En ingeniería estadística es una de las cualificaciones subyacentes,

que trata la información para almacenarla, hacerla altamente explotable y
altamente disponible. Además, vela por la eficacia tecnológica del
almacenamiento en el desempeño de investigaciones, buscando inferencias
sólidas y compactas, para canalizar resultados manteniendo un equilibrio
entre las ciencias involucradas y la propiamente enunciada, ingeniería
estadística de las ciencias de la computación.

El control de tecnologías de bases de datos y las matemáticas permite

al ABD rendir informes, realizar reportes sobre cualquier proceso industrial y
participar de forma activa en procesos avanzados de desarrollo,
consolidando las capacidades propias de un profesional de tecnologías de la
información y un ingeniero especialista.

Los factores de éxito en la carrera del ABD se versan sobre las

cualificaciones en los avances de las tecnologías de gestión
del almacenamiento, los avances en sistemas gestores de bases de datos y
requerimientos de cualificación para cada proyecto como garantía de calidad
necesaria en el rol a asignar, incluyendo, técnicas avanzadas de gestión
de infraestructuras tecnológicas, la gestión de protocolos y servicios de
redes, la optimización de código de programación, garantizar el
procesamiento eficaz de información, la gestión de interfaces integrales para
el tratamiento de datos, la gestión de cambios, la gestión por objetivos y las
gestión por resultados. Se definen algunos aspectos que incluye la profesión
del ABD:

Profesional de software de fabricante - Profesionales acreditados en

administración de bases de datos y tecnologías específicas,
desde, tecnólogos, ingenieros, post-graduados, másteres y doctorado
s(en proyectos de investigación como en biotecnologías y tratamiento de
datos de Genómica, por ejemplo).

Metodología de desarrollo software - Ofreciendo y compartiendo diseños

concretos sobre el trabajo total, estandarizando sus actividades,
definiendo arquitecturas compartidas en un único uso desde las fases
desarrollo y las implementaciones necesarias para ejercer el control de
los datos garantizando e inclusive el cumplimiento de los plazos de
entrega, intercambiando requerimientos de calidad en el software y
cumpliendo con todos los acuerdos contractuales alineados al objetivo
empresarial, por ejemplo SOA.

Optimización de software - Realización de tareas de mejora y solución de

problemas en los niveles de servicios implicados.

Ingeniería del software y Herramientas CASE - Diseño, Planeación,

implementación y gestión de arquitecturas e infraestructuras software.

Ingeniería de requerimientos - Estudios de funcionalidad y compatibilidad

en la analítica del negocio.

Tecnologías de almacenamiento - Coordinación de Racks, plataformas

hardware & software de sistemas operativos, cabinas de
almacenamiento, sistemas de particionamiento, Centro de procesamiento
de datos y comunicaciones.
 Desastres y recuperación - Implementación de copias de seguridad y
centros de respaldo.

Integridad de datos - Integrar proyectos compatibles de formato

controlando la consistencia de los datos desde los requerimientos del
desarrollo hasta la integración de los sistemas con las líneas del negocio.

Seguridad tecnológica - Brindar las soluciones en los estudios de gestión

de riesgos y estudios avanzados (Guerra informática, guerra digital o
ciberguerra).

Disponibilidad - Asegurar la continuidad de los servicios de las bases de

datos "full time, 24x7, non stop database, open 369".

Análisis de sistemas - Analizar ciclos de procesamiento y el retorno

funcional de todas las capas de negocio.

Realizar pruebas de software y de hardware.

Gestión de proyectos.

El ABD implementa protocolos y soluciones de seguridad en

infraestructuras tecnológicas, implementando los planes de seguridad de
aplicación orientadas a producto, implementando requerimientos
de auditoría y implementando soluciones estrictas de seguridad (Gobierno y
leyes); Además, se encarga de diseñar, actualizar y ejecutar planes de
seguridad integrales.

Las bases de datos contienen los activos más críticos de las

organizaciones. Ya sea información de identificación personal (PII) de los
empleados, propiedad intelectual de la empresa, información financiera,
estrategia competitiva o detalles privados de los clientes, proteger estos
activos es vital para garantizar el cumplimiento de las crecientes normas del
gobierno y la normativa de seguridad y protección de datos de la industria, y
para el bienestar de la reputación de la empresa. Las bases de datos
comprometidas y las violaciones de datos a menudo se asocian con fuertes
multas, sin mencionar los costos de remediación y la pérdida de confianza
del consumidor.

A medida que las organizaciones utilizan más información para

administrar sus negocios, el volumen de datos y la cantidad de bases de
datos continúan creciendo. Asegurar que diversas bases de datos estén
protegidas de manera consistente, sin importar dónde estén alojadas (en las
instalaciones, en la nube, en múltiples nubes o en entornos híbridos), se
vuelve cada vez más desafiante. Asegurar las claves criptográficas que se
utilizan para cifrar y proteger la confidencialidad de los datos es de vital
importancia. Esto presenta un desafío de gestión de claves que es
fundamental para garantizar una sólida estrategia de seguridad de la base de
datos. La gestión de claves escalable permite a las organizaciones controlar
las claves de cifrado en las bases de datos, protegiendo los activos más
sensibles de la organización y facilitar el cumplimiento normativo.

Para asegurar las bases de datos de manera efectiva, las

organizaciones necesitan aplicar varias herramientas y tecnologías. El
objetivo es proteger la confidencialidad y la integridad de los datos,
garantizar que solo estén disponibles para aquellos usuarios y aplicaciones
autorizados para tener acceso, y evitar que alguien o algo accedan a los
datos, incluso si fallan las defensas perimetrales. Por lo tanto, las
organizaciones deben ver la seguridad de la base de datos como un
elemento básico necesario para ayudarlas a controlar el acceso de los
usuarios y proteger los datos críticos en reposo, en tránsito y en uso, al
mismo tiempo que facilitan el cumplimiento normativo.
 Hay seis opciones de seguridad diferentes para proteger los datos que
residen en una base de datos. Los datos se pueden proteger en el nivel de
almacenamiento, el sistema de archivos, el esquema de base de datos real,
el nivel de aplicación, el proxy o en una aplicación de usuario final.

El Cifrado a nivel de almacenamiento incluye unidades de autocifrado

(SED) que proporcionan un mecanismo para proteger la confidencialidad de
los datos. Los SED comerciales generalmente se construyen según
estándares como el Protocolo de interoperabilidad de administración de
claves (KMIP), por lo que las claves criptográficas se pueden administrar
externamente de manera consistente. Las soluciones de nivel de
almacenamiento suelen ser de bajo costo y fáciles de implementar y
mantener. Sin embargo, solo protegen contra la pérdida de almacenamiento
de datos físicos.

El cifrado a nivel de archivo incluye soluciones de sistemas operativos

nativos como Microsoft BitLocker o Linux LUKS, que también se pueden
aumentar con capacidades de cifrado externo. Dependiendo de la solución,
también pueden proteger contra usuarios privilegiados. Las soluciones
externas dependen del sistema operativo y pueden ser más difíciles de usar.

El cifrado a nivel de base de datos es donde los proveedores

establecidos como Microsoft SQL, Oracle MySQL y otros brindan cifrado de
base de datos transparente (TDE) en las instalaciones y en la nube con
AWS, GCP, Microsoft Azure y Oracle Cloud, entre otros. Este nivel
proporciona una buena protección contra la pérdida de datos, pero
normalmente tiene una gestión de claves débil. Se pueden utilizar
administradores de claves de terceros para mejorar esta capacidad.

El cifrado a nivel de aplicación se puede habilitar utilizando

tecnologías como la tokenización y el cifrado que conserva el formato para
proteger los datos sin cambiar la estructura. Estos mecanismos brindan alta
seguridad y no requieren que se realicen cambios en las aplicaciones, pero
generalmente son personalizados por naturaleza y más difíciles de
implementar.

El cifrado de capa de proxy proporciona una interfaz transparente

entre el usuario y la aplicación web que maneja los datos. Por lo general,
proporciona una seguridad robusta sin la necesidad de un cambio en la
aplicación. Sin embargo, este es un único punto de falla, y el rendimiento y la
escalabilidad pueden ser complejos.

El cifrado de aplicaciones de usuario final ofrece el más alto nivel de

protección con seguridad de extremo a extremo, pero necesita interfaces
dedicadas, lo que dificulta su implementación.

Cuando se usa una base de datos en el Panel de Control, este accede

a la base de datos en nombre de la cuenta de usuario asociada con la base
de datos. Así, cada una de las bases de datos debería tener asociada al
menos una cuenta de usuario, ya que de lo contrario no podrá acceder a
ellas.

Cualquier usuario de la base de datos puede establecerse

como usuario predeterminado para una base de datos determinada. El Panel
de Control siempre accederá a la base de datos usando las credenciales de
este usuario predeterminado, incluso en el caso de que existan otros
usuarios asociados a la base de datos. Si una base de datos tiene asociadas
varias cuentas de usuario y ninguna de estas es predeterminada, se usará la
primera cuenta de la lista.

Tipos de usuarios de base de datos

 En el Panel de Control existen dos tipos de cuentas de usuario de base
de datos:

Cuentas de usuario que solo tienen acceso a una base de datos

determinada.
Si usted colabora con terceras personas en la gestión de un sitio web y
desea proporcionarles acceso a la base de datos, debería crear
cuentas de usuario para cada una de estas personas. Cada una de
estas cuentas se usa para acceder a una única base de datos. En este
caso, primero crea una base de datos y a continuación crea las cuentas
de usuario.

Cuentas de usuario universal que tienen acceso a todas las bases de

datos.
Los usuarios universales no sólo tienen acceso a todas las bases de
datos existentes, sino que también pueden acceder a las bases de
datos nuevas.

Si tiene previsto instalar distintas aplicaciones web en su sitio, puede

resultarle útil crear una cuenta de usuario universal para que así todas las
aplicaciones puedan acceder a sus bases de datos usando esta cuenta. En
este caso, primero crea una cuenta de usuario y a continuación especifica
esta cuenta cuando instale las aplicaciones.

La auditoría de base de datos, finalmente, es un

proceso implementado por los auditores de sistemas con el fin de auditar los
accesos a los datos, por lo general siguiendo bien una metodología basada
en un checklist que contempla los puntos que se quieren comprobar o
mediante la evaluación de riesgos potenciales.
 En concreto, se realiza un examen de los accesos a los
datos almacenados en las bases de datos con el fin de poder medir,
monitorear y tener constancia de los accesos a la información almacenada
en las mismas. Si bien el objetivo puede variar en función de la casuística, en
todos los casos el fin último persigue, de uno u otro modo, la seguridad
corporativa.

Una auditoría de base de datos, por lo tanto, facilita herramientas

eficaces para conocer de forma exacta cuál es la relación de los usuarios a la
hora de acceder a las bases de datos, incluyendo las actuaciones que
deriven en una generación, modificación o eliminación de datos.

CONCLUSIÓN

La seguridad de las bases de datos es una iniciativa compleja que

implica todos los aspectos de las tecnologías y las prácticas de seguridad de
la información. Además, se enfrenta a la usabilidad de la base de datos.
Cuanto más accesible y utilizable sea la base de datos, más vulnerable será
ante las amenazas de seguridad; cuanto más protegida esté la base de datos
ante las amenazas, más difícil será acceder a ella y utilizarla. En ocasiones,
esta paradoja se denomina regla de Anderson (enlace externo a IBM).

Es importante aclarar que, si bien los datos se mueven en espacios

virtuales, tus medidas o acciones también pueden ser físicas, por eso se
menciona que la seguridad puede provenir de protocolos, es decir, de
procesos que involucran a tus colaboradores y también de ciertos elementos
físicos, por ejemplo, el hecho de que no se utilicen dispositivos USB en las
computadoras de trabajo.
 Las bases de datos son una parte fundamental para almacenar los
datos de una organización, así como también para un correcto
funcionamiento estructural de un proyecto de software. Al ser fundamental,
deben tenerse determinados parámetros de seguridad para que la
información no se vea afectada a la malicia de terceros o de personas dentro
de la organización.

Se debe limitar el número de usuarios con acceso a las bases de

datos y, estos mismos usuarios deberán seguir políticas de buenas prácticas
para manejar los equipos y/o dispositivos con los cuales trabajan. Lo anterior
con el fin de que ningún software malicioso llegue a vulnerar la información
que se encuentra almacenada en los software de bases de datos.

REFERENCIAS BIBLIOGRÁFICAS

https://blog.hubspot.es/marketing/que-es-seguridad-base-de-datos

https://blog.hubspot.es/marketing/que-es-seguridad-base-de-datos

https://www.entrust.com/es/resources/learn/how-to-secure-databases

https://ciberseguridad.comillas.edu/database-security/

https://www.digival.es/soporte/cuentas-de-usuario-de-bases-de-datos/