Professional Documents
Culture Documents
discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/279983428
CITATIONS READS
0 3,682
1 author:
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Jorge Domínguez Chávez on 12 July 2015.
Resumen—Un problema común de seguridad a todos los que trabajan en la organización y que cuentan con privilegios.
sistemas de computo es el evitar que personas no autorizadas Sin embargo, hay muchas medidas que tomar para proteger las
tengan acceso al sistema, ya sea para obtener información, bases de datos de su organización y, al mismo tiempo, su
efectuar cambios mal intencionados en la totalidad o una reputación.
porción o totalidad de la base de datos. Se presentan algunas
reglas básicas para empezar a gestionar la seguridad en el La seguridad de las bases de datos es un área amplia que
diseño e implementación de una base de datos. abarca múltiples temas, entre ellos:
La ciberdelincuencia se define como cualquier tipo de Los mecanismos de seguridad pueden estar orientados a las
actividad ilegal en la que se utilice Internet, una red privada o políticas de control de acceso basadas en la identidad del
pública o un sistema informático. Muchas formas de este tipo usuario, conocida como seguridad discrecional, o a las
de delito giran en torno a la obtención de información sensible políticas que restringen el acceso a información clasificada
para usos no autorizados, como la invasión de la intimidad del como confidencial al personal autorizado, denominada
mayor número posible de usuarios de computadores. seguridad obligatoria.
Entonces, la ciberdelincuencia comprende cualquier acto En la actualidad, se habla de dos tipos de mecanismos de
criminal que utilice computadores y redes de comunicación. seguridad en las bases de datos:
Además, incluye delitos tradicionales realizados a través de
Internet, como los delitos motivados por prejuicios, el • Los mecanismos de seguridad discrecionales para
telemarketing1 y fraude de Internet, la suplantación de otorgar privilegios a los usuarios, incluida el acceso a
identidad y el robo de cuentas de tarjetas de crédito. archivos, registros o campos de datos específicos en
un determinado modo.
Las bases de datos no protegidas son el sueño de cualquier
cyber delincuente. Contienen los datos más valiosos de la • Los mecanismos de seguridad obligatorios
organización, blanco fácil de un ataque y que están para la igualdad de múltiples niveles
convenientemente organizados. No es de extrañar que las
clasificando los datos y los usuarios en
bases de datos sean el objetivo principal de los cyber ataques
más sofisticados de los crackers 2 y de, cada vez más, usuarios varias clases (o niveles) e implementando
después la política de seguridad apropiada
1
El telemarketing (o telemercadotecnia) es una forma de mercadotecnia
directa en la que un asesor utiliza el teléfono, la tableta, laptop o cualquier de la organización.
otro medio de comunicación para contactar clientes potenciales y
comercializar productos y servicios. Los clientes potenciales se identifican y
clasifican por varios medios como su historial de compras, encuestas previas,
participación en concursos o solicitudes de empleo (todo, a través de Internet).
2
El término cracker se refiere a las personas que rompen algún sistema de
seguridad. Los crackers pueden estar motivados por una multitud de razones,
incluyendo fines de lucro, protesta, o por el desafío.
Jornada de Investigación, Desarrollo Socio Productivo y Vinculación Social del Departamento de Informática, 2015
Universidad Politécnica Territorial del estado Aragua, Domínguez Chávez Jorge. Principios básicos de seguridad... 2
También, instalan cualquier otra aplicación web (un chat, • Sistema de bases de datos.
paste, foro, etc) y hacen lo mismo, siempre usan el usuario • Sistema operativo.
root de MariaDB.
• Red.
3
Sistema Gestor de Base de datos o SGBD.
4
Administrador de la base de datos. • Físico.
5
Root es una cuenta de usuario que tiene control absoluto de todo lo que
ocurre en un sistema. • Humano.
6
MariaDB es una derivación directa de MySQL que asegura que
permanecerá una versión de este producto con licencia GPL.
Jornada de Investigación, Desarrollo Socio Productivo y Vinculación Social del Departamento de Informática, 2015
Universidad Politécnica Territorial del estado Aragua, Domínguez Chávez Jorge. Principios básicos de seguridad... 3
Para conservar la seguridad en todos estos niveles para debe • El usuario no sabrá que existen aquellos atributos que
afianzar la seguridad de la base de datos. La debilidad de los se han omitido al definir una vista.
niveles bajos de seguridad (físico o humano) permite burlar las
medidas de seguridad estrictas de niveles superiores (base de
V. EL CIFRADO.
datos). La seguridad dentro del sistema operativo se aplica en
El concepto de cifrado es muy sencillo: dado un mensaje en
varios niveles, que van desde las contraseñas para el acceso al
claro, es decir, mensaje reconocible, al que se le aplique un
sistema hasta el aislamiento de los procesos concurrentes que
algoritmo de cifrado, se generará como resultado un mensaje
se ejecutan en él. El sistema de archivos también proporciona
cifrado que sólo podrá ser descifrado por aquellos que
algún nivel de protección.
conozcan el algoritmo utilizado y la clave que se ha empleado.
Jornada de Investigación, Desarrollo Socio Productivo y Vinculación Social del Departamento de Informática, 2015
Universidad Politécnica Territorial del estado Aragua, Domínguez Chávez Jorge. Principios básicos de seguridad... 4
Jornada de Investigación, Desarrollo Socio Productivo y Vinculación Social del Departamento de Informática, 2015
Universidad Politécnica Territorial del estado Aragua, Domínguez Chávez Jorge. Principios básicos de seguridad... 5
• Nivel de relación: En este nivel se controlan los Privilegios de autorización: LEER, ESCRIBIR, EJECUTAR,
privilegios para tener acceso cada relación o vista SELECCIONAR, INSERTAR, ACTUALIZAR,
individual. Cada tabla de BD tiene asignada una REFERENCIAR, INDEXAR
cuenta propietario, que tiene todos los privilegios
Las políticas de control de acceso se clasifican en dos grupos:
sobre esa tabla y se encarga de otorgarlos al resto de
cuentas. • Cerradas: Solamente los accesos
autorizados explícitamente son permitidos.
B. Control de Acceso Obligatorio Ver la figura siguiente.
Entre las obligaciones del DBA está otorgar privilegios y
clasificar los usuarios, así como a los datos de acuerdo con la
política de la organización. Las órdenes privilegiadas del DBA
incluyen los siguientes tipos de acciones:
1. Creación de cuentas.
2. Concesión de privilegios.
3. Revocación de privilegios.
Sujetos de autorización: •USUARIOS •GRUPOS DE Confeccione un buen catálogo de tablas o datos sensibles de
USUARIOS •ROLES •PROCESOS sus instancias de base de datos. Además, automatice el proceso
Jornada de Investigación, Desarrollo Socio Productivo y Vinculación Social del Departamento de Informática, 2015
Universidad Politécnica Territorial del estado Aragua, Domínguez Chávez Jorge. Principios básicos de seguridad... 6
de identificación, ya que estos datos y su correspondiente recomendaciones de auditoría para verificar la no desviación
ubicación pueden estar en constante cambio debido a nuevas de su objetivo (la seguridad).
aplicaciones o cambios producto de fusiones y adquisiciones.
Automatice el control de la configuración de tal forma que
Desarrolle o adquiera herramientas de identificación, registre cualquier cambio en la misma e implemente alertas
asegurando éstas contra el malware, colocado en su base de sobre cambios en ella. Cada vez que un cambio se realice,
datos el resultado de los ataques de inyección SQL; pues podría afectar a la seguridad de la base de datos.
aparte de exponer información confidencial debido a
vulnerabilidades, como la inyección SQL, también facilita a E. Supervisión8
los atacantes incorporar otros ataques en el interior de la base Supervisión en tiempo real de la actividad de base de datos es
de datos. clave para limitar su exposición, aplique o adquiera agentes
inteligentes [5] de monitoreo, detección de intrusiones y uso
B. Evaluación de la vulnerabilidad y la configuración indebido.
Evalúe la configuración de bases de datos, para asegurarse
que no tiene huecos de seguridad. Por ejemplo, alertas sobre patrones inusuales de acceso, que
Esto incluye la verificación de la forma en que se instaló la podrían indicar la presencia de un ataque de inyección SQL,
base de datos y su sistema operativo (por ejemplo, la cambios no autorizados a los datos, cambios en privilegios de
comprobación privilegios de grupos de archivo -lectura, las cuentas, y los cambios de configuración que se ejecutan a
escritura y ejecución- de base de datos y bitácoras de mediante de comandos de SQL.
transacciones). Recuerde que la supervisión de los usuarios privilegiados, es
Asimismo con archivos con parámetros de configuración y requisito para la gobernabilidad de datos y cumplimiento de
programas ejecutables. regulaciones como SOX y regulaciones de privacidad.
También, ayuda a detectar intrusiones, ya que muchos de los
Además, es necesario verificar que no se está ejecutando la ataques más comunes se hacen con privilegios de usuario de
base de datos con versiones que incluyen vulnerabilidades alto nivel.
conocidas; así como impedir consultas SQL desde las
aplicaciones o capa de usuarios. Para ello se pueden La supervisión dinámica también es un elemento esencial de
considerar (como administrador): la evaluación de vulnerabilidad, le permite ir más allá de
evaluaciones estáticas o forenses. Un ejemplo clásico lo
• Limitar el acceso a los procedimientos a ciertos vemos cuando múltiples usuarios comparten credenciales con
usuarios. privilegios o un número excesivo de inicios de sesión de base
• Delimitar el acceso a los datos para ciertos usuarios, de datos.
procedimientos y/o datos.
F. Pistas de Auditoría
• Declinar la coincidencia de horarios entre usuarios Aplique pistas de auditoría y genere la trazabilidad de las
que coincidan. actividades que afectan la integridad de los datos, o la
visualización los datos sensibles.
C. Endurecimiento
Recuerde que es un requisito de auditoría, y también es
Como resultado de una evaluación de la vulnerabilidad a
importante para las investigaciones forenses.
menudo se dan una serie de recomendaciones específicas. Este
es el primer paso en el endurecimiento de la base de datos. La mayoría de las organizaciones en la actualidad emplean
Otros elementos de endurecimiento implican la eliminación de alguna forma de manual de auditoría de transacciones o
todas las funciones y opciones que se no utilicen. Aplique una aplicaciones nativas de los sistemas gestores de bases de
política estricta sobre que se puede y que no se puede hacer, datos. Sin embargo, estas aplicaciones son a menudo
pero asegúrese de desactivar lo que no necesita. desactivadas, debido a:
D. Audite • su complejidad
Una vez creada la configuración y controles de • altos costos operativos
endurecimiento, realice auto evaluaciones y seguimiento a las
8
Monitoreo.
Jornada de Investigación, Desarrollo Socio Productivo y Vinculación Social del Departamento de Informática, 2015
Universidad Politécnica Territorial del estado Aragua, Domínguez Chávez Jorge. Principios básicos de seguridad... 7
H. Referencias
1. ISO/IEC 27001:2005 - Information technology --
Security techniques [en]
http://www.iso.org/iso/catalogue_detail?
Csnumber=42103
Jornada de Investigación, Desarrollo Socio Productivo y Vinculación Social del Departamento de Informática, 2015
View publication stats