Tipos de seguridad de base de datos: El objetivo principal es proteger la base de datos de ataques maliciosos, sean estos internos o externos.

Gran parte de los errores en cuanto a la seguridad en base de datos aun con el avance tecnolgico suele producirse por la falta de preocupacin de los procedimientos sencillos que a la larga se convierten en graves inconvenientes que afecta en lo concerniente a la seguridad, todo tiene que quedar de acuerdo con lo planeado sin ninguna omisin por ms mnima que sea, as como en la instalacin en el diseo o en el desarrollo, cualquier punto que se deje sin la preocupacin debida que no pude afectar en nada puede ser la entrada para los atacantes. Otro punto que se tendr que tomar en cuenta es la persona encargada del manejo del sistema ya que por ms elevado que sea un sistema de seguridad no podr hacer nada ante los errores cometidos por el factor humano La seguridad se refiere a la proteccin de los datos contra su revelacin, su alteracin o su destruccin no autorizadas, mientras que la integridad se refiere a la precisin o validez de esos datos. HAY DOS TIPOS DE SEGURIDAD: DIRECCIONAL Se usa para otorgar y revocar privilegios a los usuarios a nivel de archivos, registros o campos en un modo determinado (consulta o modificacin). OBLIGATORIA Sirve para imponer seguridad de varios niveles tanto para los usuarios como para los datos .Para eso se utilizan mecanismos de proteccin.

PROTECCION DE BASE DE DATOS : Proteccion de Acceso Proteger bases de datos Puede limitar lo que los usuarios pueden ver y hacer en un archivo de FileMaker Pro. Puede restringir: El acceso a datos. Puede hacer que las tablas, los campos o los registros sean de slo vista, o bien ocultarlos por completo.

El acceso a presentaciones. Impida que los usuarios modifiquen presentaciones en el Modo Presentacin. El acceso a listas de valores y guiones. Impida que los usuarios accedan a las listas de valores y los guiones y que los modifiquen, as como que ejecuten guiones. El acceso a la comparticin de archivos. Habilite archivos compartidos mediante la red FileMaker, Publicacin en la Web y ODBC/JDBC slo para usuarios determinados. La salida de datos. Evite que los usuarios impriman o exporten datos. El acceso a mens. Haga que slo est disponible un conjunto limitado de comandos de mens.

Tambin puede restringir lo que los usuarios pueden hacer en un archivo pidindoles que introduzcan un nombre de cuenta y una contrasea cuando intenten abrir un archivo. El nombre de cuenta y la contrasea que introduzcan determinarn el conjunto de privilegios que se utilizar, lo que limita las operaciones que pueden realizar en los archivos. Para obtener ms informacin sobre cuentas y conjuntos de privilegios, consulte Cuentas, conjuntos de privilegios y privilegios ampliados. Puede definir privilegios en un archivo compartido aunque haya clientes que lo estn utilizando. (En FileMaker Pro 6 y versiones anteriores, todos los clientes tenan que cerrar el archivo compartido antes de poder realizar cambios en los privilegios.) Todos los cambios realizados en los privilegios que afectan a un cliente actual no se aplicarn hasta que el cliente cierre y vuelva a abrir el archivo.

Proteger un archivo mediante contrasea Si en su equipo tiene un archivo de base de datos no compartido y quiere impedir que otros usuarios lo abran, puede proteger el archivo mediante una contrasea. Cuando haya protegido el archivo mediante la contrasea, se le pedir que introduzca un nombre de cuenta y una contrasea cada vez que abra el archivo. Las personas que no conozcan esta informacin de cuenta no podrn abrir el archivo. Para proteger un archivo de base de datos mediante contrasea: 1.Realice los siguientes cambios en las cuentas del archivo: Edite la cuenta Admin para que tenga un nombre de cuenta diferente, otra contrasea, y para que utilice el conjunto de privilegios de acceso completo. (Si

el archivo no dispone de una cuenta Admin, cree una nueva cuenta con una contrasea y asgnele el conjunto de privilegios de acceso completo.) Asegrese de que la cuenta de Invitado est inactiva. Elimine las dems cuentas del archivo o desactvelas. Para obtener ms informacin sobre cmo realizar estas modificaciones en la cuenta, consulte Editar cuentas existentes y Duplicar y eliminar cuentas. Si es necesario, edite el conjunto de privilegios de acceso completo para 2.configurarse los privilegios ampliados que desee. Para ms informacin sobre cmo editar el conjunto de privilegios de acceso completo, consulte Editar privilegios ampliados para un conjunto de privilegios. Si no necesita ningn privilegio ampliado, djelos todos desactivados.

AUDITORIA DE BASE DE DATOS La auditora es un proceso sistemtico para obtener y evaluar de manera objetiva, las evidencias relacionadas con informes sobre actividad pertenecientes a la entidad, con el objetivo de determinar el grado de precisin del contenido con las evidencias que le dieron origen y las reglas establecidas previamente por la entidad. la Auditora constituye una herramienta de control y supervisin que contribuye a la creacin de una cultura de la disciplina de la organizacin y permite descubrir fallas en las estructuras o vulnerabilidades existentes en la organizacin.

La Auditoria de Bases de datos La Auditora de Bases de Datos permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos. Demostrando:

Cundo se accedi a los datos Quin accedio a los datos Mediante que dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL El efecto que produce a la BD

Anteriormente las organizaciones no eran precisamente muy diligentes a la hora de cumplir con sus obligaciones respecto a la seguridad de la informacin contenida en sus bases de datos, sin embargo en la actualidad el uso de la Auditoria de las Bases de Datos a garantizado mayor seguridad en las bases de datos auditadas

Objetivos Los principales objetivos de una auditoria de Bases de Datos son principalmente garantizar la integridad de la informacin almacenada en la Base de Datos mediante la deteccion, recopilacin, anlisis de todos los regristros pertinentes a la base de Datos para determinar: Actividades dudosas sobre la BD. Recopilacion de informacin acerca de actividades especficas de la BD Recopilacion de estadsticas sobre qu tablas actualizadas, E/S lgicas, cantidad de usuarios conectados concurrentemente. Recopilacion de inverosimilitudes en los datos ( De esta manera se pueden detectar errores en la base de datos) Recopilar los errores por prdida de informacin (Estos fallos son ms fciles de detectar y prevenir) Mitigar los riesgos asociados con el manejo inadecuado de los datos. Evitar acciones criminales. Importancia Las auditorias de las bases de datos son esenciales porque permiten determinar de donde proviene la informacin almacenada asi como tambin garantiza el resguardo de la informacin, gracias a las auditorias la seguridad de las BD ha aumentado. La publicacin sobre casos de fraude y robos de datos han generado cierta preocupacin ya que los administradores de bases de datos eran los encargados de salvaguardar la informacin, pero ahora se les ve como uno de los aspectos ms vulnerables, porque la base de datos poda ser modificada por ellos y la entidad poda no poseer registros sobre la modificacin es por esta razn que surgen las auditorias para garantizar : -La naturaleza de la informacin almacenada en la BD. -Demostrar la integridad de dicha informacin. -Mitigar los riesgos asociados a la perdida de informacin. -Resguardar informacin confidencial. -Monitoreo los datos con el fin de saber como, cuando y por quien fueron modificados. Recoleccion de los Datos

La recoleccin de los datos para llevar a cabo las auditorias se realiza mendiante diferentes escenarios: Sentencias SQL: Registro de los intentos de conexin con la base de datos. Privilegios: recopila las operaciones que se han efectuado sobre la base de datos y los usuarios Objetos: Se pueden recoger operaciones realizadas sobre determinados objetos de la base de datos.

Propiedades - Revisin de los permisos de cada usuario y fichero del sistema con el objetivo de detectar fallas de seguridad. -Una auditora completa no es un conjunto estricto de validaciones a realizar, sino que evoluciona segn los riesgos detectados. -Consume mucho tiempo Es una tarea ardua y no garantiza siempre que se tenga un sistema 100% limpio. Planificacin Los pasos que se deben llevar a cabo para realizar una auditoria de bases de datos son: -Identificacin de todas las BD de la organizacin. -Clasificar los niveles de riesgo de los datos de las BD. -Analizar los permisos de acceso de los usuarios. -Analizar los controles de acceso existentes. -Establecer los modelos de auditoria a utilizar. -Establecer las pruebas a realizar para cada BD, aplicacin y/o usuario. Elementos a Auditar

Generalmente durante una auditoria se monitorea el comportamiento de: -Los accesos a data sensible. -Las modificaciones a esquemas (Create, Drop, Alter). -Cambios en los datos (sentencias DML). -Excepciones de seguridad y modificaciones de cuentas y privilegios.

Metodologias

Check-List:

Metodologa basada en Riesgo vs. Control vs. Coste. El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar. La evaluacin consiste en identificar la existencia de unos controles establecidos. Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una gua de referencia, para asegurar que se han revisado todos los controles.

COBIT:

Es una gua de mejores prcticas dirigida a la gestin de tecnologa de la informacin (TI). Mantenido porISACA (Information Systems Audit and Control Association) y el IT Governance Institute (ITGI), tiene una serie de recursos que pueden servir de modelo de referencia para la gestin de TI, incluyendo un resumen ejecutivo, objetivos de control, mapas de auditora, herramientas para su implementacin y principalmente, una gua de tcnicas de gestin, permitiendo que los negocios se alineen con la tecnologa de la informacin para as alcanzar los mejores resultados. Los Objetivos de Control para la Informacin y la Tecnologa relacionada (CobiT) brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de CobiT estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn un patrn de medicin con el cual se podr calificar cuando las cosas no vayan bien. Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin empresarial debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control CobiT contribuye a estas necesidades de la siguiente manera:

Estableciendo un vnculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos Identificando los principales recursos de TI Definiendo los objetivos de control gerenciales

La orientacin al negocio que realiza CobiT consiste en vincular las metas del negocio con las metas de TI, brindando mtricas y modelos de madurez para medir los logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las responsabilidades de planear, construir, ejecutar y monitorear; de esta manera, se ofrece una visin de punta a punta de la TI. El concepto de arquitectura empresarial ayuda a identificar aquellos recursos esenciales para el xito de los procesos, es decir, aplicaciones, informacin, infraestructura y personas. En resumen, para proporcionar la informacin que la empresa necesita de acuerdo a sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y desempeo de TI, son los conceptos que CobiT define especficamente:

Benchmarking de la capacidad de los procesos de TI. Son modelos de madurez derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniera de Software Metas y mtricas de los procesos de TI para definir y medir sus resultados y su desempeo, basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton Objetivos de las actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT

La evaluacin de la capacidad de los procesos basada en los modelos de madurez de CobiT es una parte clave de la implementacin del gobierno de TI. Despus de identificar los procesos y controles crticos de TI, el modelado de la madurez permite identificar y demostrar a la direccin las brechas en la capacidad. CobiT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas tcnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. CobiT permite el desarrollo de polticas claras y de buenas prcticas para el control de TI por parte de las empresas. CobiT constantemente se actualiza y armoniza con otros estndares, por lo tanto, CobiT se ha convertido en el integrador de las mejores prcticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de CobiT y su enfoque de alto nivel orientado al negocio brindan una visin completa de TI y de las decisiones a tomar. Metodologa de evaluacin de riesgos.

Se debe comenzar por fijar los objetivos de control que minimizan los riesgos potenciales, los riesgos ms importantes son: La dependencia por la concentracin de Datos. -Impacto de errores externos en datos y programas. -Impacto por acceso no autorizado a los datos. -Dependencia de personas con alto conocimiento tcnico -Accesos no restringidos en la figura del DBA. -Incompatibilidades entre el sistema de seguridad de accesos del SMBD y el general de instalacin -Impactos de los errores en Datos y programas. -Rupturas de enlaces o cadenas por fallos del Software. Herramientas de auditora

Software De Auditora Son paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la extraccin de datos de la base de datos, el seguimiento de las transacciones, datos de prueba, etc. Hay tambin productos que permiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera auditora del dato.

Sistema De Monitorizacin y Ajuste (Tunning) Este tipo de sistema complementan las facilidades ofrecidas por el propio SMBD, ofreciendo mayor informacin para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del SMBD y del SO.

Sistemas Operativos El Sistema Operativo es una pieza clave del entorno, puesto que el SMBD se apoyar, en mayor o menor medida (segn se trate de un SMBD dependiente o independiente) en los servicios que le ofrezca; eso en cuanto a control de memoria, gestin de reas de almacenamiento intermedio (buffers), manejo de errores, control de confidencialidad, mecanismo de interbloqueo, etc. Monitor De Transacciones Algunos autores lo incluyen dentro del propio SMBD, pero actualmente, puede

considerarse un elemento ms del entorno con responsabilidades de confidencialidad y rendimiento.

Protocolos y Sistemas Distribuidos Cada vez ms se est accediendo a las bases de datos a travs de redes, con lo que el riesgo de violacin de la confidencialidad e integridad se acenta. Tambin las bases de datos distribuidas pueden presentar graves riesgos de seguridad. En este sentido, se debe controlar la distribucin de los datos a travs de una funcin de administracin de datos que establezca estndares generales para esta distribucin. Tambin, deben existir pistas de auditora, para todas las actividades realizadas por las aplicaciones en las bases de datos.

Paquetes de Seguridad Existen en el mercado varios productos que permiten la implantacin efectiva de una poltica deseguridad, puesto que centralizan el control de accesos, la definicin de privilegios, perfiles de usuarios, etc. Un grave inconveniente de este tipo de software es que a veces no se encuentra bien integrado con el SMBD, pudiendo resultar poco til su implantacin si los usuarios pueden saltarse los controles a travs del propio SMBD. Regulaciones para garantizar la Seguridad de BD -Para garantizar la seguridad de las bases de datos se requieren ciertas medidas: -Autenticacin de quienes acceden a la informacin en la BD -Garantizar el uso de Cuentas Individuales -Confidencialidad de la Informacin -Restricciones del uso de cuentas privilegiadas -Cifrado de la informacin