SlideShare una empresa de Scribd logo

Seguridad de Datos en Bases de Datos

Descargar como PPT, PDF
Escuela de Computación UCV
Escuela de Computación UCV

Segunda clase de seguridad de datos, ABD, UCV

Educación
1 de 56
Administración de Base de Datos Seguridad de datos II Profesora: Mercy Ospina Mercy.ospinat@gmail.com UNIVERSIDAD CENTRAL DE VENEZUELA FACULTAD DE CIENCIAS ESCUELA DE COMPUTACIÓN
Objetivos 50%40%
Repaso • Defina política de seguridad de datos: ¿Qué es, para qué y en qué se basa? • Defina mecanismos de seguridad • ¿Qué significa que hay amenazas donde se pierde la privacidad y que consecuencias trae? • ¿Qué significa que hay amenazas donde se pierde la confidencialidad y que consecuencias trae? • ¿Qué es el control de acceso y cuales son los tipos de cc actualmente conocidos?
Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
Políticas de control de acceso Marzo 2012 Administración de Base de Datos 5
Políticas de control de acceso Marzo 2012 Administración de Base de Datos 6 Reglas de acceso Requerimiento de acceso Existe una regla que autorice el acceso?Acceso permitido Acceso denegado Si No
Políticas de control de acceso Marzo 2012 Administración de Base de Datos 7 Reglas de acceso Requerimiento de acceso Existe una regla que niegue el acceso?Acceso permitido Acceso denegado No Si
Políticas de control de acceso Marzo 2012 Administración de Base de Datos 8
Políticas de control de acceso Marzo 2012 Administración de Base de Datos 9 CI Nombre Cargo Sueldo codD CI Nombre Cargo codD Sueldo codD
Políticas dependientes del contexto GRANT SELECT ON dbo.Employee (EmployeeID, FirstName, MiddleName, SurName) TO HR_Intern; GRANT SELECT ON dbo.Employee (SSN, Salary) TO HR_Employee; CREATE TABLE dbo.Employee ( EmployeeID INT IDENTITY(1,1), FirstName VARCHAR(20) NOT NULL, MiddleName VARCHAR(20) NULL, SurName VARCHAR(20) NOT NULL, SSN CHAR(9) NOT NULL, Salary INT NOT NULL, CONSTRAINT PK_Employee PRIMARY KEY (EmployeeID) );
Medidas de control Marzo 2012 Administración de Base de Datos 11
Control de inferencias Marzo 2012 Administración de Base de Datos 12 Seguridad
Ejemplo control de Inferencias Marzo 2012 Administración de Base de Datos 13 SELECT COUNT (Ocupación) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado: SELECT SUM (Salario) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado:
Medidas de control Ejemplo control de Inferencias Marzo 2012 Administración de Base de Datos 14 Seguridad SELECT COUNT (Ocupación) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado: 1 SELECT SUM (Salario) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado: 50K Revela información detallada
Políticas para Control de inferencias Marzo 2012 Administración de Base de Datos 15
Medidas de control Marzo 2012 Administración de Base de Datos 16
Control de Flujo
Control de Flujo U1 tiene acceso a R1 y R2 R1 R2 Lee datos de R1 escribe datos de R1 a R2 U2 Tiene acceso a R2 pero no a R1 Problema: U2 Puede leer datos que vienen de R1
Control de Flujo
Medidas de control Marzo 2012 Administración de Base de Datos 20
• Es el proceso de ofuscar datos mediante el uso de una clave o contraseña que consigue que, quienes accedan a ellos sin el password adecuado, no puedan encontrar ninguna utilidad en los mismos, puesto que resulta imposible descifrar su contenido. • Por ejemplo, en el caso de que el Servidor de la base de datos estuviese mal configurado y un hacker llegase a obtener datos confidenciales, esa información robada le sería del todo inútil si estuviese cifrada. Encriptación
• Soportado mediante algoritmos de cifrado. • El cifrado en una base de datos se puede aplicar a: • Sus datos. • Conexiones (cifrado de los datos en tránsito) • Los procedimientos almacenados. Encriptación
• Aspectos a considerar 1. Estrategia: No es efectiva si no forma parte de la estrategia de seguridad de datos de la compañía 2. Autenticación: La amenaza proviene del interior en más casos de los imaginables y, por eso, es necesario autenticar a los administradores y garantizar la separación de tareas. 3. Automatización: de la tarea de administración de claves para todo acceso a los datos 4. Registro: mantener un registro de actividades de la gestión de claves Encriptación
Encriptado en bases de datos
Políticas de administración de seguridad Marzo 2012 Administración de Base de Datos 25 Integridad
Políticas de administración de seguridad Con control centralizado: un único autorizado (o grupo) controla todos los aspectos de seguridad del sistema
Políticas de administración de seguridad Control descentralizado: diferentes administradores controlan diferentes porciones de la BD, normalmente siguiendo lineamientos que aplican sobre la BD completa
Políticas de administración de seguridad Marzo 2012 Administración de Base de Datos 28 Integridad
Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
Modelos de Seguridad para Bases de Datos
• Contiene tres elementos • (s,O,t) Modelo Básico de Seguridad Sujetos: •Usuarios •Grupos de usuarios •Roles •Procesos Objetos: •Tablas, columnas •Indices •Vista permisos Tipos de acceso •Select •Insert •Update •Delete permite modelar políticas de control de acceso dependientes del nombre GRANT SELECT, INSERT, UPDATE, DELETE ON employees TO smithj;
• Se puede representar con la matriz de control de acceso Modelo básico para control de acceso Permisos
• Para modelar políticas dependientes del contenido • se debe agregar a la tripleta un elemento predicado p que define los miembros de un conjunto. (s,O,t,p) • Por ejemplo: un predicado puede restringir los resultados de la consulta Extensiones al modelo básico
Modelo básico para control de acceso: validación SELECT E.nombre FROM Empleado E WHERE E.salario = 150000; ¿Cuáles son las reglas que deben tomarse en cuenta para satisfacer la consulta?
• Se agregan tres nuevos componentes a la tupla: • Autorizador (a,s,O,t,p) • Derecho de copia f (a,s,O,t,f,p) • Procedimientos auxiliaries (cn,pn) (a,s,O,t,f,p,[(c1,p1),…,(cn,pn)]) Extensiones al Módelo Básico
Políticas dependientes del contexto GRANT SELECT ON dbo.Employee (EmployeeID, FirstName, MiddleName, SurName) TO HR_Intern; GRANT SELECT ON dbo.Employee (SSN, Salary) TO HR_Employee; CREATE TABLE dbo.Employee ( EmployeeID INT IDENTITY(1,1), FirstName VARCHAR(20) NOT NULL, MiddleName VARCHAR(20) NULL, SurName VARCHAR(20) NOT NULL, SSN CHAR(9) NOT NULL, Salary INT NOT NULL, CONSTRAINT PK_Employee PRIMARY KEY (EmployeeID) );
• Está asociado al control de acceso obligatorio (MAC). • No sólo controla el acceso de información, sino también el flujo. • Se asigna a cada objeto y sujeto un nivel de seguridad Modelo Multinivel
Modelo multinivel: niveles de seguridad
Modelo multinivel: niveles de seguridad
• Ni observar ni alterar • Sólo observar (READ) • Sólo alterar (APPEND) • Observar y Alterar (WRITE) MODELO MULTINIVEL: Acceso al objeto
• Se describen por: • El conjunto de accesos actuales descritos por reglas de autorización (s,O,t) • Una matriz de acceso • El nivel de seguridad de cada sujeto • Los niveles de cada objeto Modelo multinivel Estados de un sistema seguro
• Un estado seguro se define por dos propiedades: 1. La propiedad de seguridad simple: Para cada acceso actual (s,o,t) con un tipo READ, el nivel de seguridad del sujeto domina el nivel de seguridad del objeto. 2. Propiedad *: En un acceso (s,O,t) implica: 1. Si t = READ: ns(o) < ns(s) 2. Si t = APPEND: ns(o) >= ns(s) 3. Si t = WRITE ns(o) = ns(s) Modelo Multinivel: Estados de un sistema seguro
• El concepto de clases y categorías se adapta en un único concepto llamado clase de seguridad. • Se introduce un operador de combinación variable. • Posee 5 componentes: • Conjunto de objetos • Conjunto de clases de seguridad • Operador de combinación de clases • Relación de flujo • Conjunto de procesos Modelo de Flujo de Información
Modelo de Flujo de Información m: Médica f: Financiera c: Criminal ¿Qué sucede si se desea mover información desde la clase {m,f} a {m}?
• Data Leakeage Prevention DLP: es una estrategia para asegurarse de que los usuarios finales no envían información sensible o crítica fuera de la red corporativa o a usuarios no autorizados. • Etiquetar información sensible • Controlar los flujos de información externos e internos Prevención de fuga de información
https://www.isaca.org/chapters7/Monterrey/Events/Documents/20121025%20Preveci%C3%B3n%20de%20Fuga%20de%20Datos.pdf
Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
• No usar superusuarios de la BD en tareas del día a día. • Las cuentas dueñas de los esquemas no deben ser usadas para ejecución de aplicaciones • Los DBA no deben tener privilegios para modificar o leer información de las aplicaciones • La actividad del SO que afecte la BD debe estar restringida y ser auditada • Tomado de http://www.acis.org.co/fileadmin/Base_de_Conocimiento/X_JornadaSeguridad/Con Buenas practicas en Seguridad de BD Marzo 2012 Administración de Base de Datos 48
• Hacer un inventario de datos: • ¿Qué datos sensibles existen en la organización? • ¿Dónde se guardan estos datos? • ¿Por qué necesita la organización estos datos? • ¿Quién requiere acceso a ellos? • ¿Cómo utilizan los datos? • Cree una Política de Datos • Una buena seguridad de la información comienza siempre con una bien pensada política de datos. Incluso las mejores tecnologías de seguridad no pueden sustituir a una buena planificación Tendencias
• Aproveche el Control de Acceso – • Puede que ya tenga muchas buenas herramientas tales como un sistema operativo de autenticación, gestión de acceso e identidad, firewalls, redes ACL y otros controles de seguridad; pero, ¿los está usando? El simple hecho de segmentar a los usuarios basados en el rol que desempeñan, puede ayudar • Utilice Encriptación – • La encriptación puede ser costosa. Pero para datos en reposo y en movimiento es de vital importancia para documentos sensibles. Sin embargo, Usted no tiene que cifrar todo. Puede concentrarse en encriptar solo los datos más importantes de su organización.
• Adopte Tecnología para Prevención de Fugas de Datos (DLP) – • Los proveedores están ofreciendo soluciones rentables y fáciles de usar que pueden ayudar a las organizaciones a detectar y bloquear los datos sensibles en reposo, en uso y en movimiento. • http://www.cioal.com/2013/12/09/los-cinco-mejores- consejos-para-proteger-datos-criticos/
Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
Tendencias en seguridad de datos
Tendencias • Enmascaramiento de datos: • es una técnica de seguridad de datos en la que se realiza una copia de un conjunto de datos pero en la cual los datos sensibles son cambiados por otros de forma que funcionalmente sigan siendo similares a los reales. De esta forma, esa copia se puede utilizar para propósitos como pruebas de programación, formación o para enviarlos a terceros si fuese necesario. La idea es mantener las características y complejidad de los datos pero evitando revelar datos reales • Seguridad de datos en la nube • Seguridad de datos para IoT • DLP
Objetivos
Administración de Base de datos Seguridad de Datos II Profesora: Mercy Ospina Mercy.ospinat@gmail.com UNIVERSIDAD CENTRAL DE VENEZUELA FACULTAD DE CIENCIAS ESCUELA DE COMPUTACIÓN

Recomendados

Seguridad datos i
Seguridad datos i Seguridad datos i
Seguridad datos i Escuela de Computación UCV
 
Integridad de datos
Integridad de datosIntegridad de datos
Integridad de datosEscuela de Computación UCV
 
Tema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionTema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionEmanuel López
 
Examadb
ExamadbExamadb
Examadbqjoselito
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
GDPR Evita el riesgo de incumplimiento con virtualizacion de datos
GDPR Evita el riesgo de incumplimiento con virtualizacion de datosGDPR Evita el riesgo de incumplimiento con virtualizacion de datos
GDPR Evita el riesgo de incumplimiento con virtualizacion de datosDenodo
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Exposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiExposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiFrancis Perez
 

Recomendados

Seguridad datos i
Seguridad datos i Seguridad datos i
Seguridad datos i Escuela de Computación UCV
 
Integridad de datos
Integridad de datosIntegridad de datos
Integridad de datosEscuela de Computación UCV
 
Tema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionTema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionEmanuel López
 
Examadb
ExamadbExamadb
Examadbqjoselito
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
GDPR Evita el riesgo de incumplimiento con virtualizacion de datos
GDPR Evita el riesgo de incumplimiento con virtualizacion de datosGDPR Evita el riesgo de incumplimiento con virtualizacion de datos
GDPR Evita el riesgo de incumplimiento con virtualizacion de datosDenodo
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Exposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiExposicion iii gestion de riesgos bd ii
Exposicion iii gestion de riesgos bd iiFrancis Perez
 
seguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxseguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxanytrix
 
mod6seguridadbasedatos-150120143406-conversion-gate02.pptx
mod6seguridadbasedatos-150120143406-conversion-gate02.pptxmod6seguridadbasedatos-150120143406-conversion-gate02.pptx
mod6seguridadbasedatos-150120143406-conversion-gate02.pptxanytrix
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracledcordova923
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
presentacion-auditoria-informcatica (1).ppt
presentacion-auditoria-informcatica (1).pptpresentacion-auditoria-informcatica (1).ppt
presentacion-auditoria-informcatica (1).ppthugo124330
 
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018SolidQ
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
 
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfCap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfALDAIRALEXANDERUBILL
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Sistema de información
Sistema de informaciónSistema de información
Sistema de informaciónmaria de los angeles santeliz lopez
 
Conceptos de bases de datos
Conceptos de bases de datosConceptos de bases de datos
Conceptos de bases de datostheobromacacao2013
 
Base de datos
Base de datosBase de datos
Base de datosJota Vela
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Creando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de DatosCreando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de DatosSymantec LATAM
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Tema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionTema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionximena molano
 
Recuperacion ABD UCV
Recuperacion ABD UCVRecuperacion ABD UCV
Recuperacion ABD UCVEscuela de Computación UCV
 
Concurrencia 2 ABD UCV
Concurrencia 2 ABD UCVConcurrencia 2 ABD UCV
Concurrencia 2 ABD UCVEscuela de Computación UCV
 

Más contenido relacionado

Similar a Seguridad de Datos en Bases de Datos

seguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxseguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxanytrix
 
mod6seguridadbasedatos-150120143406-conversion-gate02.pptx
mod6seguridadbasedatos-150120143406-conversion-gate02.pptxmod6seguridadbasedatos-150120143406-conversion-gate02.pptx
mod6seguridadbasedatos-150120143406-conversion-gate02.pptxanytrix
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracledcordova923
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
presentacion-auditoria-informcatica (1).ppt
presentacion-auditoria-informcatica (1).pptpresentacion-auditoria-informcatica (1).ppt
presentacion-auditoria-informcatica (1).ppthugo124330
 
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018SolidQ
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
 
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfCap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfALDAIRALEXANDERUBILL
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Base de datos
Base de datosBase de datos
Base de datosJota Vela
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 
Creando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de DatosCreando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de DatosSymantec LATAM
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Tema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionTema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionximena molano
 

Similar a Seguridad de Datos en Bases de Datos (20)

seguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxseguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptx
 
mod6seguridadbasedatos-150120143406-conversion-gate02.pptx
mod6seguridadbasedatos-150120143406-conversion-gate02.pptxmod6seguridadbasedatos-150120143406-conversion-gate02.pptx
mod6seguridadbasedatos-150120143406-conversion-gate02.pptx
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracle
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
presentacion-auditoria-informcatica (1).ppt
presentacion-auditoria-informcatica (1).pptpresentacion-auditoria-informcatica (1).ppt
presentacion-auditoria-informcatica (1).ppt
 
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos Básicos
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013
 
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfCap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bd
 
Sistema de información
Sistema de informaciónSistema de información
Sistema de información
 
Conceptos de bases de datos
Conceptos de bases de datosConceptos de bases de datos
Conceptos de bases de datos
 
Base de datos
Base de datosBase de datos
Base de datos
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datos
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Creando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de DatosCreando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de Datos
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
 
Tema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacionTema 2 -_sistemas_de_informacion
Tema 2 -_sistemas_de_informacion
 

Más de Escuela de Computación UCV

Más de Escuela de Computación UCV (20)

Recuperacion ABD UCV
Recuperacion ABD UCVRecuperacion ABD UCV
Recuperacion ABD UCV
 
Concurrencia 2 ABD UCV
Concurrencia 2 ABD UCVConcurrencia 2 ABD UCV
Concurrencia 2 ABD UCV
 
Concurrencia 1 ABD UCV
Concurrencia 1 ABD UCVConcurrencia 1 ABD UCV
Concurrencia 1 ABD UCV
 
Abd manejo memoria III
Abd manejo memoria IIIAbd manejo memoria III
Abd manejo memoria III
 
Abd manejo memoria II
Abd manejo memoria IIAbd manejo memoria II
Abd manejo memoria II
 
Abd manejo memoria Parte I
Abd manejo memoria Parte IAbd manejo memoria Parte I
Abd manejo memoria Parte I
 
Bd no sq ldocumento
Bd no sq ldocumentoBd no sq ldocumento
Bd no sq ldocumento
 
Bd nosql clave valor
Bd nosql clave valorBd nosql clave valor
Bd nosql clave valor
 
Bd nosql tecnicas III
Bd nosql tecnicas IIIBd nosql tecnicas III
Bd nosql tecnicas III
 
Bd no sql tecnicas2
Bd no sql tecnicas2Bd no sql tecnicas2
Bd no sql tecnicas2
 
Bd no sql tecnicas
Bd no sql tecnicasBd no sql tecnicas
Bd no sql tecnicas
 
Bd no sqlcb2
Bd no sqlcb2Bd no sqlcb2
Bd no sqlcb2
 
Bd no sql conceptos basicos
Bd no sql conceptos basicosBd no sql conceptos basicos
Bd no sql conceptos basicos
 
Abd procesamiento consultas (parte 3)
Abd procesamiento consultas (parte 3)Abd procesamiento consultas (parte 3)
Abd procesamiento consultas (parte 3)
 
Abd procesamiento consultas (parte2)
Abd procesamiento consultas (parte2)Abd procesamiento consultas (parte2)
Abd procesamiento consultas (parte2)
 
Abd procesamiento consultas (parte1)
Abd procesamiento consultas (parte1)Abd procesamiento consultas (parte1)
Abd procesamiento consultas (parte1)
 
Abd tema0y1
Abd tema0y1Abd tema0y1
Abd tema0y1
 
Abd tema1 parteii
Abd tema1 parteiiAbd tema1 parteii
Abd tema1 parteii
 
Abd procesamiento consultas
Abd procesamiento consultasAbd procesamiento consultas
Abd procesamiento consultas
 
Abd seguridad
Abd seguridadAbd seguridad
Abd seguridad
 

Último

PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
Éteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reaccionesÉteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reaccionesLauraColom3
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxdeimerhdz21
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxolgakaterin
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...JonathanCovena1
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfPaolaRopero2
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSjlorentemartos
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 

Último (20)

PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
Éteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reaccionesÉteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reacciones
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdfTema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 

Seguridad de Datos en Bases de Datos

  • 1. Administración de Base de Datos Seguridad de datos II Profesora: Mercy Ospina Mercy.ospinat@gmail.com UNIVERSIDAD CENTRAL DE VENEZUELA FACULTAD DE CIENCIAS ESCUELA DE COMPUTACIÓN
  • 3. Repaso • Defina política de seguridad de datos: ¿Qué es, para qué y en qué se basa? • Defina mecanismos de seguridad • ¿Qué significa que hay amenazas donde se pierde la privacidad y que consecuencias trae? • ¿Qué significa que hay amenazas donde se pierde la confidencialidad y que consecuencias trae? • ¿Qué es el control de acceso y cuales son los tipos de cc actualmente conocidos?
  • 4. Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
  • 5. Políticas de control de acceso Marzo 2012 Administración de Base de Datos 5
  • 6. Políticas de control de acceso Marzo 2012 Administración de Base de Datos 6 Reglas de acceso Requerimiento de acceso Existe una regla que autorice el acceso?Acceso permitido Acceso denegado Si No
  • 7. Políticas de control de acceso Marzo 2012 Administración de Base de Datos 7 Reglas de acceso Requerimiento de acceso Existe una regla que niegue el acceso?Acceso permitido Acceso denegado No Si
  • 8. Políticas de control de acceso Marzo 2012 Administración de Base de Datos 8
  • 9. Políticas de control de acceso Marzo 2012 Administración de Base de Datos 9 CI Nombre Cargo Sueldo codD CI Nombre Cargo codD Sueldo codD
  • 10. Políticas dependientes del contexto GRANT SELECT ON dbo.Employee (EmployeeID, FirstName, MiddleName, SurName) TO HR_Intern; GRANT SELECT ON dbo.Employee (SSN, Salary) TO HR_Employee; CREATE TABLE dbo.Employee ( EmployeeID INT IDENTITY(1,1), FirstName VARCHAR(20) NOT NULL, MiddleName VARCHAR(20) NULL, SurName VARCHAR(20) NOT NULL, SSN CHAR(9) NOT NULL, Salary INT NOT NULL, CONSTRAINT PK_Employee PRIMARY KEY (EmployeeID) );
  • 11. Medidas de control Marzo 2012 Administración de Base de Datos 11
  • 12. Control de inferencias Marzo 2012 Administración de Base de Datos 12 Seguridad
  • 13. Ejemplo control de Inferencias Marzo 2012 Administración de Base de Datos 13 SELECT COUNT (Ocupación) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado: SELECT SUM (Salario) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado:
  • 14. Medidas de control Ejemplo control de Inferencias Marzo 2012 Administración de Base de Datos 14 Seguridad SELECT COUNT (Ocupación) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado: 1 SELECT SUM (Salario) FROM T1 WHERE Sexo=’M’ and Ocupación=’Programador’ Resultado: 50K Revela información detallada
  • 15. Políticas para Control de inferencias Marzo 2012 Administración de Base de Datos 15
  • 16. Medidas de control Marzo 2012 Administración de Base de Datos 16
  • 18. Control de Flujo U1 tiene acceso a R1 y R2 R1 R2 Lee datos de R1 escribe datos de R1 a R2 U2 Tiene acceso a R2 pero no a R1 Problema: U2 Puede leer datos que vienen de R1
  • 20. Medidas de control Marzo 2012 Administración de Base de Datos 20
  • 21. • Es el proceso de ofuscar datos mediante el uso de una clave o contraseña que consigue que, quienes accedan a ellos sin el password adecuado, no puedan encontrar ninguna utilidad en los mismos, puesto que resulta imposible descifrar su contenido. • Por ejemplo, en el caso de que el Servidor de la base de datos estuviese mal configurado y un hacker llegase a obtener datos confidenciales, esa información robada le sería del todo inútil si estuviese cifrada. Encriptación
  • 22. • Soportado mediante algoritmos de cifrado. • El cifrado en una base de datos se puede aplicar a: • Sus datos. • Conexiones (cifrado de los datos en tránsito) • Los procedimientos almacenados. Encriptación
  • 23. • Aspectos a considerar 1. Estrategia: No es efectiva si no forma parte de la estrategia de seguridad de datos de la compañía 2. Autenticación: La amenaza proviene del interior en más casos de los imaginables y, por eso, es necesario autenticar a los administradores y garantizar la separación de tareas. 3. Automatización: de la tarea de administración de claves para todo acceso a los datos 4. Registro: mantener un registro de actividades de la gestión de claves Encriptación
  • 25. Políticas de administración de seguridad Marzo 2012 Administración de Base de Datos 25 Integridad
  • 26. Políticas de administración de seguridad Con control centralizado: un único autorizado (o grupo) controla todos los aspectos de seguridad del sistema
  • 27. Políticas de administración de seguridad Control descentralizado: diferentes administradores controlan diferentes porciones de la BD, normalmente siguiendo lineamientos que aplican sobre la BD completa
  • 28. Políticas de administración de seguridad Marzo 2012 Administración de Base de Datos 28 Integridad
  • 29. Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
  • 30. Modelos de Seguridad para Bases de Datos
  • 31. • Contiene tres elementos • (s,O,t) Modelo Básico de Seguridad Sujetos: •Usuarios •Grupos de usuarios •Roles •Procesos Objetos: •Tablas, columnas •Indices •Vista permisos Tipos de acceso •Select •Insert •Update •Delete permite modelar políticas de control de acceso dependientes del nombre GRANT SELECT, INSERT, UPDATE, DELETE ON employees TO smithj;
  • 32. • Se puede representar con la matriz de control de acceso Modelo básico para control de acceso Permisos
  • 33. • Para modelar políticas dependientes del contenido • se debe agregar a la tripleta un elemento predicado p que define los miembros de un conjunto. (s,O,t,p) • Por ejemplo: un predicado puede restringir los resultados de la consulta Extensiones al modelo básico
  • 34. Modelo básico para control de acceso: validación SELECT E.nombre FROM Empleado E WHERE E.salario = 150000; ¿Cuáles son las reglas que deben tomarse en cuenta para satisfacer la consulta?
  • 35. • Se agregan tres nuevos componentes a la tupla: • Autorizador (a,s,O,t,p) • Derecho de copia f (a,s,O,t,f,p) • Procedimientos auxiliaries (cn,pn) (a,s,O,t,f,p,[(c1,p1),…,(cn,pn)]) Extensiones al Módelo Básico
  • 36. Políticas dependientes del contexto GRANT SELECT ON dbo.Employee (EmployeeID, FirstName, MiddleName, SurName) TO HR_Intern; GRANT SELECT ON dbo.Employee (SSN, Salary) TO HR_Employee; CREATE TABLE dbo.Employee ( EmployeeID INT IDENTITY(1,1), FirstName VARCHAR(20) NOT NULL, MiddleName VARCHAR(20) NULL, SurName VARCHAR(20) NOT NULL, SSN CHAR(9) NOT NULL, Salary INT NOT NULL, CONSTRAINT PK_Employee PRIMARY KEY (EmployeeID) );
  • 37. • Está asociado al control de acceso obligatorio (MAC). • No sólo controla el acceso de información, sino también el flujo. • Se asigna a cada objeto y sujeto un nivel de seguridad Modelo Multinivel
  • 40. • Ni observar ni alterar • Sólo observar (READ) • Sólo alterar (APPEND) • Observar y Alterar (WRITE) MODELO MULTINIVEL: Acceso al objeto
  • 41. • Se describen por: • El conjunto de accesos actuales descritos por reglas de autorización (s,O,t) • Una matriz de acceso • El nivel de seguridad de cada sujeto • Los niveles de cada objeto Modelo multinivel Estados de un sistema seguro
  • 42. • Un estado seguro se define por dos propiedades: 1. La propiedad de seguridad simple: Para cada acceso actual (s,o,t) con un tipo READ, el nivel de seguridad del sujeto domina el nivel de seguridad del objeto. 2. Propiedad *: En un acceso (s,O,t) implica: 1. Si t = READ: ns(o) < ns(s) 2. Si t = APPEND: ns(o) >= ns(s) 3. Si t = WRITE ns(o) = ns(s) Modelo Multinivel: Estados de un sistema seguro
  • 43. • El concepto de clases y categorías se adapta en un único concepto llamado clase de seguridad. • Se introduce un operador de combinación variable. • Posee 5 componentes: • Conjunto de objetos • Conjunto de clases de seguridad • Operador de combinación de clases • Relación de flujo • Conjunto de procesos Modelo de Flujo de Información
  • 44. Modelo de Flujo de Información m: Médica f: Financiera c: Criminal ¿Qué sucede si se desea mover información desde la clase {m,f} a {m}?
  • 45. • Data Leakeage Prevention DLP: es una estrategia para asegurarse de que los usuarios finales no envían información sensible o crítica fuera de la red corporativa o a usuarios no autorizados. • Etiquetar información sensible • Controlar los flujos de información externos e internos Prevención de fuga de información
  • 47. Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
  • 48. • No usar superusuarios de la BD en tareas del día a día. • Las cuentas dueñas de los esquemas no deben ser usadas para ejecución de aplicaciones • Los DBA no deben tener privilegios para modificar o leer información de las aplicaciones • La actividad del SO que afecte la BD debe estar restringida y ser auditada • Tomado de http://www.acis.org.co/fileadmin/Base_de_Conocimiento/X_JornadaSeguridad/Con Buenas practicas en Seguridad de BD Marzo 2012 Administración de Base de Datos 48
  • 49. • Hacer un inventario de datos: • ¿Qué datos sensibles existen en la organización? • ¿Dónde se guardan estos datos? • ¿Por qué necesita la organización estos datos? • ¿Quién requiere acceso a ellos? • ¿Cómo utilizan los datos? • Cree una Política de Datos • Una buena seguridad de la información comienza siempre con una bien pensada política de datos. Incluso las mejores tecnologías de seguridad no pueden sustituir a una buena planificación Tendencias
  • 50. • Aproveche el Control de Acceso – • Puede que ya tenga muchas buenas herramientas tales como un sistema operativo de autenticación, gestión de acceso e identidad, firewalls, redes ACL y otros controles de seguridad; pero, ¿los está usando? El simple hecho de segmentar a los usuarios basados en el rol que desempeñan, puede ayudar • Utilice Encriptación – • La encriptación puede ser costosa. Pero para datos en reposo y en movimiento es de vital importancia para documentos sensibles. Sin embargo, Usted no tiene que cifrar todo. Puede concentrarse en encriptar solo los datos más importantes de su organización.
  • 51. • Adopte Tecnología para Prevención de Fugas de Datos (DLP) – • Los proveedores están ofreciendo soluciones rentables y fáciles de usar que pueden ayudar a las organizaciones a detectar y bloquear los datos sensibles en reposo, en uso y en movimiento. • http://www.cioal.com/2013/12/09/los-cinco-mejores- consejos-para-proteger-datos-criticos/
  • 52. Agenda Conceptos básicos Amenazas a los datos en un SBD Medidas de Control de Seguridad Políticas de control de seguridad Modelos de seguridad de datos Aspectos de seguridad de datos Buenas prácticas de seguridad de datos Tendencias en la seguridad de datos
  • 54. Tendencias • Enmascaramiento de datos: • es una técnica de seguridad de datos en la que se realiza una copia de un conjunto de datos pero en la cual los datos sensibles son cambiados por otros de forma que funcionalmente sigan siendo similares a los reales. De esta forma, esa copia se puede utilizar para propósitos como pruebas de programación, formación o para enviarlos a terceros si fuese necesario. La idea es mantener las características y complejidad de los datos pero evitando revelar datos reales • Seguridad de datos en la nube • Seguridad de datos para IoT • DLP
  • 56. Administración de Base de datos Seguridad de Datos II Profesora: Mercy Ospina Mercy.ospinat@gmail.com UNIVERSIDAD CENTRAL DE VENEZUELA FACULTAD DE CIENCIAS ESCUELA DE COMPUTACIÓN