domingo, 16 de marzo de 2014

SEGURIDAD DE LAS BASES DE DATOS

La seguridad en las bases de datos abarca varios temas:
• Cuestiones éticas y legales relativas al derecho a tener acceso a cierta información.
• Cuestiones de política en el nivel gubernamental, institucional o corporativo relacionadas con la información que no debe estar disponible para el público.
• Cuestiones relacionadas con el sistema.
• Necesidad en algunas organizaciones de identificar múltiples niveles de seguridad y de clasificar los datos y los usuarios según estos niveles.

El SGBD debe proveer técnicas que permitan a ciertos usuarios tener acceso a porciones selectas de una base de datos sin tener acceso al resto. Por lo regular un SGBD cuenta con un subsistema de seguridad de autorización de la base de datos que se encarga de garantizar la seguridad de porciones de la base de datos contra el acceso no autorizado.
Existen dos tipos de mecanismos de seguridad:

Discrecionales, se usan para otorgar privilegios a los usuarios.
Obligatorios, sirven para imponer seguridad de múltiples niveles clasificando los datos y los usuarios en varias clases de seguridad e implementando después la política de seguridad apropiada de la organización.

Otro problema de seguridad es el acceso a una base de datos estadística, la cual sirve para proporcionar información estadística a partir de diversos criterios. Los usuarios de bases de datos estadísticas están autorizados para usarlas para obtener información estadística sobre una población pero no para tener acceso a información confidencial detallada sobre individuos específicos. La seguridad en bases de datos estadísticas debe cuidar que la información sobre individuos no sea accesible. En ocasiones es posible deducir ciertos hechos relativos a los individuos a partir de consultas, esto tampoco debe permitirse.
Otra técnica de seguridad es el cifrado de datos que sirve para proteger datos confidenciales que se transmiten por satélite o algún tipo de red de comunicaciones. Asimismo el cifrado puede proveer protección adicional a secciones confidenciales de una base de datos. Los datos se codifican mediante algún algoritmo de codificación. Un usuario no autorizado tendrá problemas para descifrar los datos codificados, pero un usuario autorizado contará con algoritmos para descifrarlos.
Entre las obligaciones del DBA está otorgar privilegios a los usuarios y clasificar los usuarios y los datos de acuerdo con la política de la organización. Las órdenes privilegiadas del DBA incluyen los siguientes tipos de acciones:

1. Creación de cuentas
2. Concesión de privilegios.
3. Revocación de privilegios.
4. Asignación de niveles de seguridad.

La acción 1 de la lista sirve para controlar el acceso al SGBD en general, la 2 y la 3 para controlar las autorizaciones discrecionales y la 4 controla la autorización obligatoria.
Publicado por en No hay comentarios:

SEGURIDAD DE LA INFORMACIÓN

En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su perdida y modificación non-autorizado. 
El motivo o el motor para implementar medidas de protección, que responden a la Seguridad de la Información, es el propio interés de la institución o persona que maneja los datos, porque la pérdida o modificación de los datos, le puede causar un daño (material o inmaterial).

Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informática, de seguridad de los sistemas de información o de seguridad de las tecnologías de la información.
En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad.


  • La confidencialidad: se cumple cuando solo las personas autorizadas (en su sentido amplio podríamos referirnos también a sistemas) pueden conocer los datos o la información correspondiente.   Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿Cuál podría ser su uso final? ¿Habrá una cadena de cesiones o ventas incontroladas de esos datos, que podría incluir datos como domicilios o perfil económico, o incluso datos médicos? ¡Y si alguien se hiciera con un disquete con lo que perciben los directivos de nuestra entidad?
  • La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoria.  Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes.  Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían viciadas (corruptas decimos a veces), lo que haría difícil la reconstrucción.
  • La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la información.El disponer de la información después del momento necesario puede equivaler a al no disponibilidad. Otro tema es disponer de la información a tiempo pero que esta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.
Otro caso grave es la no disponibilidad absoluta. Por haberse producido algún desastre. En este caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco.
En relación con ello deben existir soluciones alternativas, basadas en medios propios o contratados, copias actualizadas de la información crítica y de programas en un lugar diferente, y un verdadero plan de continuidad que permitía restablecer las operaciones en un tiempo inferior o igual al prefijo.
Para ello los usuarios habrán determinado previamente la criticidad de las aplicaciones y el impacto en sus áreas por parte de un comité, se habrán determinado las prioridades.

En la preparación y actualización del plan debemos pensar en situaciones posibles y en el impacto que tendrían en nuestra entidad (en su caso en las de nuestros clientes), especialmente si no disponemos de la información necesaria almacenada en lugares alternativos.

Publicado por en No hay comentarios:
¿Qué es una base de datos?


Una base de datos es una colección de información organizada de forma que un programa de ordenador pueda seleccionar rápidamente los fragmentos de datos que necesite. Una base de datos es un sistema de archivos electrónico.

Las bases de datos tradicionales se organizan por campos, registros y archivos. Un campo es una pieza única de información; un registro es un sistema completo de campos; y un archivo es una colección de registros. Por ejemplo, una guía de teléfono es análoga a un archivo. Contiene una lista de registros, cada uno de los cuales consiste en tres campos: nombre, dirección, y número de teléfono.
Características de las base datos
Ø  Control centralizado de los datos
Ø  Integridad de los datos
Ø  Minimización de las redundancias
Ø  Independencia de los datos y las aplicaciones
Ø  Acceso concurrente a los datos
Ø  Costo mínimo de almacenamiento y mantenimiento.
Ø  Versatilidad para la representación de relaciones
Ø  Establecimiento de medidas de seguridad
Ø  Facilidad para el cambio (hardware y software) 
TIPOS DE BASE DE DATOS
Ø  Bases de datos estáticas: Este tipo de base de datos es de solo lectura, es decir, no se puede cambiar la información, este tipo se utiliza cuando se tiene que guardar información histórica sobre algún tema para posteriormente analizar la conducta ya sea de algún lugar, persona o de lo que esta base de datos tenga, ya que esta información así se va a quedar y no hay riesgo que cambie.
Ø  Bases de datos dinámicas:  Este tipo de bases de datos se utiliza para información que se requerirá estarse modificando u actualizando cada determinado tiempo, puede ser de manera automática por el mismo ordenador o computadora o una persona lo puede actualizar y modificar por sí misma.
Ø  Bases de datos bibliográficas: Este tipo de base de datos es la que se utiliza normalmente con documentos o libros, ya que tiene información de un autor, publicación, editoriales, todos los datos con los que este cuenta.







Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)