SlideShare una empresa de Scribd logo

mod6seguridadbasedatos-150120143406-conversion-gate02.pptx

Descargar como PPTX, PDF
A
anytrix

mod6seguridadbasedatos-150120143406-conversion-gate02.pptx

Derecho
1 de 48
M´odulo 6. Seguridad de Bases de Datos M´odulo 6. Seguridad de Bases de Datos Disen˜o y Administraci´on de Bases de Datos Francisco Medina López — paco.medina@comunidad.unam.mx http://aulavirtual.capacitacionentics.com Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2015-1
M´odulo 6. Seguridad de Bases de Datos Agenda 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿Qué es la seguridad en bases de datos? Definici´on Nivel en el cual los datos están completamente protegidos contra intentos y/o accesos no autorizados Comprende sistemas de informaci´on y conceptos de seguridad de la informaci´on.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿De quien nos queremos proteger? (Antes) Wannabe lamer: “I wanna be a hacker but I can’t ‘hack’ it” (9-8 an˜os/ Grupo / Usuario Final / Diversi´on) Script-kiddie: The script kid (10-18 an˜os / Grupo / Organizaciones con vulnerabilidad bien conocidas / Fama) Cracker: The destroyer (17-35 an˜os / Solo / Empresas / Fama, Reconocimiento) Ethical hacker: The Hacker “par excellence” (15-50 an˜os / Solo (rara vez en grupo)/ Organizaciones de gran taman˜o / Curiosidad, Aprender, Mejorar habilidades) Quiet: Highly specialized hacker, uncommunicative, extremely paranoid (16-50 an˜os / Solo / Desconocido / Curiosidad, Aprender, Egocentrismo) Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿De quien nos queremos proteger? (Ahora) Gobiernos Robo de propiedad intelectual (PI), datos y espionaje. Motivaci´on: Pol´ıtica y nacionalismo. M´etodos preferidos: Ataques dirigidos. Crimen Organizado Robo de propiedad intelectual (PI), datos. Motivaci´on: Pol´ıtica y nacionalismo. M´etodos preferidos: Ataques dirigidos y fraude. Hacktivistas Exposici´on de propiedad intelectual y poner en riesgo la infraestructura. Motivaci´on: Causas pol´ıticas, ideolog´ıay agendas personales. M´etodos preferidos: Ataques dirigidos, ataques de negaci´on de servicio.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿De quien nos queremos proteger? (Ahora) Cyber warrior: The mercenary (18-50 an˜os / Solo / Organizaciones de prestigio / Lucro) Industrial spy: The industrial spy (22-50 años / Solo / Empresas multinacionales/ Lucro) Government agent: The government agent (CIA, Mossad, FBI, etc.) (25-45 an˜os / Solo o en Grupo / Terroristas, pr´ofugos, industrias / Actividad profesional) Military hacker: Recruited to fight “with a computer”(25-45 an˜os/ Solo o en Grupo (rara vez en grupo)/ Gobiernos e Industria / Actividad profesional y por una causa) Hacktivista: Idealistas (16-35 an˜os/ Grupo / Gobierno, Figuras públicas / Desprestigio) Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Clasificaci´on de los Hackers Black-hats: Muestran sus habilidades en inform´atica rompiendo sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o apoder´andose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking. Grey-hats: Grupo de individuos que en ocasiones penetran sistema sin permiso y otras con permiso. White-hats: Se dedican a asegurar y proteger los sistemas de Tecnolog´ıas de informaci´on y comunicaci´on. Suelen trabajar para empresas de seguridad inform´atica. Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 47
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿Por que es importante la seguridad en base de datos? http://www.elfinanciero.com.mx/empresas/
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿Por que es importante la seguridad en base de datos? http://protecciondatos.mx/2013/10/ esmultas-sanciones-impuestas-por-el-ifai-enfines-sanctions-imposed-ifai/
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción 8 of the Biggest Data Breaches Ever and How They Happened http://www.entrepreneur.com/article/237098
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción 2014 Data Breach Investigations Report http://www.verizonenterprise.com/DBIR/2014/
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Website defacement en M´exico http://www.zone-h.org/archive
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Website defacement en M´exico http://www.zone-h.org/archive
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Who is the biggest threat to your organization?
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Sistemas de Informaci´on Decisiones inteligentes requieren: informaci´on precisa y en tiempo integridad en la informaci´on Sistema de informaci´on: comprende todos los componentes necesarios para producir y generar informaci´on precisa. Clasificaci´on de acuerdo a su uso.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Sistemas de Informaci´on (2)
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Componentes de los sistemas de informaci´on Datos Procedimientos Hardware Software Red Personas
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de Sistemas de Informaci´on Cliente-Servidor Basado en un modelo de negocio Puede ser implementado por niveless: un nivel; dos niveles; n niveles Formado por tres capas (layer) Capa: Plataforma fı́sica o lógica Sistema manejador de bases de datos (DBMS): Conjunto de programas que administran bases de datos
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Ejemplos de arquitectura cliente-servidor
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Administracio´n de Bases de Datos Esencial para el ´exito de un sistema de informaci´on Funcionalidad de un DBMS: Organiza los datos Almancena y recupera informaci´on de manera eficiente Manipula datos (update y delete) Cumple con integridad referencial y consistencia Cumple e implementa pol´ıticas y procedimientos de seguridad de datos Respalda, recupera y restaura datos en caso de desastre
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Componentes de un DBMS Datos Procedimientos Hardware Software Red Personas Servidores de bases de datos
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad de la informaci´on La informaci´on es uno de los activos m´as valioso de una organizaci´on. Seguridad de la informaci´on: Procedimientos y medidas tomadas para proteger los componentes de un sistema de informaci´on. Tri´angulo C.I.A.: Confidencialidad, Integridad y Disponibilidad Las pol´ıticas de seguridad deben estar balanceadas de acuerdo al tri´angulo C.I.A.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Tri´angulo C.I.A.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Confidencialidad Trata dos aspectos de la seguridad: Prevenci´on de acceso no autorizado. Revelaci´on de informaci´on con base a su clasificaci´on. Clasificar la informaci´on de la empresa en niveles: Cada nivel tiene sus propias medidas de seguridad Generalmente basadas en el grado de confidencialidad necesaria para proteger la informaci´on.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Clasificaci´on de la informacio´n vs Confidencialidad
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Integridad Consiste en validar los datos y procesarlos correctamente logrando certeza en la informaci´on. La informaci´on es integra si: Es precisa. No ha sido falsificada. Lectura consistente: cada usuario ve solo sus cambios y aquellos realizados (committed) por otros usuarios.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Degradaciones en la integridad de datos Datos inv´alidos Datos redundantes Datos inconsistentes Datos an´omalos Lectura de datos inconsistente Datos no concurrentes
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Disponibilidad El sistema debe estar disponible para los usuarios autorizados El sistema determina que puede hacer un usuario con la informaci´on Razones por las cuales un sistema no esta disponible: Ataques externos o falta de protecci´on del sistema Falla de un sistema o no contar con un plan de recuperaci´on de desastres Pol´ıticas de seguridad demasiado estrictas Mala implementaci´on de procesos de autenticaci´on
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de seguridad de la informaci´on Protege la informaci´on producida por los datos Modelo para proteger los activos f´ısicos y l´ogicos Disen˜o global para la implementaci´on del tri´angulo C.I.A.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de seguridad de la informaci´on
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de seguridad de la informaci´on Protege la informaci´on producida por los datos Modelo para proteger los activos f´ısicos y l´ogicos Disen˜o global para la implementaci´on del tri´angulo C.I.A.
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Componentes de la Arquitectura de seguridad de la informacion Pol´ıticas y procedimientos Seguridad del personal y administradores Equipos de detecci´on de intrusos Programas de seguridad Equipo de monitoreo Aplicaciones de monitoreo Procedimientos y herramientas de auditoria
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Bases de Datos Aplica la seguridad en todos los niveles de la base de datos Asegurar los puntos de acceso: lugar donde la seguridad de bases de datos debe proteger y aplicarse Si los datos requieren un mayor nivel de protecci´on, los puntos de acceso a los datos deben ser pocos y controlados
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Base de Datos
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Bases de Datos Reducir los puntos de acceso reduce los riesgos de seguridad Brechas de seguridad: puntos en los cuales se pierde la seguridad Vulnerabilidades: fallo en un sistema que puede convertirse en amenaza Amenaza: Riesgo que puede convertirse en una brecha de seguridad
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Base de Datos
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Compromiso de la integridad de datos
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Niveles de Seguridad en Bases de Datos 1 Base de datos relacional: Conjunto de archivos de datos relacionados 2 Archivo de datos: Conjunto de tablas relacionadas 3 Tablas: Conjunto de renglones relacionados (registros) 4 Renglones. Conjunto de columnas relacionadas (campos)
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Niveles de Seguridad en Bases de Datos
M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Anatom´ıa de un ataque de inyecci´on SQL Fuente: Pentest Magazine, p. 49, Junio 2012
M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de usuarios 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de usuarios Ciclo de vida en la administraci´on de usuarios Fuente: Pentest Magazine, p. 82, Septiembre 2012
M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de grupos 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de roles 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de usuarios 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
M´odulo 6. Seguridad de Bases de Datos Referencias bibliogr´aficas Referencias bibliogr´aficas I C. Wilson. Computer Attack and Cyberterrorism: Vulnerabilities and Policy Issues for Congress. CRS Report for Congress, 2005. E. Spafford. Seguridad Pr´actica en Unix e Internet. W. Preston Backup & Recovery. O’Reilly, 2006. Seguridad Pr´actica en Unix e Internet.
M´odulo 6. Seguridad de Bases de Datos Referencias bibliogr´aficas Referencias bibliogr´aficas II K. O’Shea Examining the RPC DCOM Vulnerability: Developing a Vulnerability-Exploit Cycle. SANS. S Harris. CISSP Certification All-in-One Exam Guide, Fourth Edition. McGraw-Hill Osborne Media; 4 edition (November 9, 2007).

Recomendados

Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de Datos
Francisco Medina
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
rayudi
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
Rosaly Mendoza
 
Si semana01
Si semana01Si semana01
Si semana01
Jorge Pariasca
 
Si semana01
Si semana01Si semana01
Si semana01
Jorge Pariasca
 
Seguridadinformatica 100211205500-phpapp02
Seguridadinformatica 100211205500-phpapp02Seguridadinformatica 100211205500-phpapp02
Seguridadinformatica 100211205500-phpapp02
Amador Fernandez Martinez
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
Corporacion Colombia Digital
 

Recomendados

Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de Datos
Francisco Medina
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
rayudi
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
Rosaly Mendoza
 
Si semana01
Si semana01Si semana01
Si semana01
Jorge Pariasca
 
Si semana01
Si semana01Si semana01
Si semana01
Jorge Pariasca
 
Seguridadinformatica 100211205500-phpapp02
Seguridadinformatica 100211205500-phpapp02Seguridadinformatica 100211205500-phpapp02
Seguridadinformatica 100211205500-phpapp02
Amador Fernandez Martinez
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
Corporacion Colombia Digital
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
AlonsoCid
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Pedro Trelles Araujo
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
Francisco Medina
 
Sistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSistemas de Seguridad Informática
Sistemas de Seguridad Informática
Soluciones Informáticas IMPULSO TECNICO E.I.R.L.
 
Politicas parte02
Politicas parte02Politicas parte02
Politicas parte02
castillodelrosario12
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfo
Roberto Moreno Doñoro
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Universidad Tecnológica
 
AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.
PowerData
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
Mao Sierra
 
Data masking
Data maskingData masking
Data masking
Sergio Sanchez
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
taxesuio
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
taxesuio
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajo
Jack Daniel Cáceres Meza
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
Miguel Cabrera
 
Seguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informáticaSeguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informática
Francisco Medina
 
Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1
reinaldo baptista
 
Seguridades en bases de datos
Seguridades en bases de datosSeguridades en bases de datos
Seguridades en bases de datos
Juan Carlos
 
Seguridad
SeguridadSeguridad
Seguridad
VictorAcan
 
seguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxseguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptx
anytrix
 
Programación a no Orientación para cambiar el paradigma
Programación a no Orientación para cambiar el paradigmaProgramación a no Orientación para cambiar el paradigma
Programación a no Orientación para cambiar el paradigma
anytrix
 

Más contenido relacionado

Similar a mod6seguridadbasedatos-150120143406-conversion-gate02.pptx

AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.
PowerData
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
Mao Sierra
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
taxesuio
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
taxesuio
 

Similar a mod6seguridadbasedatos-150120143406-conversion-gate02.pptx (20)

Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Sistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSistemas de Seguridad Informática
Sistemas de Seguridad Informática
 
Politicas parte02
Politicas parte02Politicas parte02
Politicas parte02
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Data masking
Data maskingData masking
Data masking
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajo
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Seguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informáticaSeguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informática
 
Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1
 
Seguridades en bases de datos
Seguridades en bases de datosSeguridades en bases de datos
Seguridades en bases de datos
 
Seguridad
SeguridadSeguridad
Seguridad
 

Más de anytrix

seguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxseguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptx
anytrix
 
Administracion. Administracion Administracion
Administracion. Administracion AdministracionAdministracion. Administracion Administracion
Administracion. Administracion Administracion
anytrix
 
seis_sigma_.Seis Sigma Seis Sigma Seis Sigma
seis_sigma_.Seis Sigma Seis Sigma Seis Sigmaseis_sigma_.Seis Sigma Seis Sigma Seis Sigma
seis_sigma_.Seis Sigma Seis Sigma Seis Sigma
anytrix
 
revolucionado la informática. revolucionado la informática revolucionado la i...
revolucionado la informática. revolucionado la informática revolucionado la i...revolucionado la informática. revolucionado la informática revolucionado la i...
revolucionado la informática. revolucionado la informática revolucionado la i...
anytrix
 
aeronautica.pptx aeronautica aeronautica aeronautica
aeronautica.pptx aeronautica aeronautica aeronauticaaeronautica.pptx aeronautica aeronautica aeronautica
aeronautica.pptx aeronautica aeronautica aeronautica
anytrix
 
estandares web estandares web estandares web
estandares web estandares web estandares webestandares web estandares web estandares web
estandares web estandares web estandares web
anytrix
 
Seguridad Seguridad Seguridad Seguridad
Seguridad Seguridad Seguridad SeguridadSeguridad Seguridad Seguridad Seguridad
Seguridad Seguridad Seguridad Seguridad
anytrix
 
Historia de Internet Historia de Internet Historia de Internet
Historia de Internet Historia de Internet Historia de InternetHistoria de Internet Historia de Internet Historia de Internet
Historia de Internet Historia de Internet Historia de Internet
anytrix
 
Sistemas operativos en la Nube Sistemas operativos en la Nube
Sistemas operativos en la Nube Sistemas operativos en la NubeSistemas operativos en la Nube Sistemas operativos en la Nube
Sistemas operativos en la Nube Sistemas operativos en la Nube
anytrix
 

Más de anytrix (16)

seguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptxseguridadbasedatos-150120143406-conversion-gate02.pptx
seguridadbasedatos-150120143406-conversion-gate02.pptx
 
Programación a no Orientación para cambiar el paradigma
Programación a no Orientación para cambiar el paradigmaProgramación a no Orientación para cambiar el paradigma
Programación a no Orientación para cambiar el paradigma
 
Administracion. Administracion Administracion
Administracion. Administracion AdministracionAdministracion. Administracion Administracion
Administracion. Administracion Administracion
 
seis_sigma_.Seis Sigma Seis Sigma Seis Sigma
seis_sigma_.Seis Sigma Seis Sigma Seis Sigmaseis_sigma_.Seis Sigma Seis Sigma Seis Sigma
seis_sigma_.Seis Sigma Seis Sigma Seis Sigma
 
Arranque y activación del sistema operativo.pptx
Arranque y activación del sistema operativo.pptxArranque y activación del sistema operativo.pptx
Arranque y activación del sistema operativo.pptx
 
revolucionado la informática. revolucionado la informática revolucionado la i...
revolucionado la informática. revolucionado la informática revolucionado la i...revolucionado la informática. revolucionado la informática revolucionado la i...
revolucionado la informática. revolucionado la informática revolucionado la i...
 
aeronautica.pptx aeronautica aeronautica aeronautica
aeronautica.pptx aeronautica aeronautica aeronauticaaeronautica.pptx aeronautica aeronautica aeronautica
aeronautica.pptx aeronautica aeronautica aeronautica
 
Algoritmos y solución de problemas.pptx Algoritmos y solución de problemas.pptx
Algoritmos y solución de problemas.pptx Algoritmos y solución de problemas.pptxAlgoritmos y solución de problemas.pptx Algoritmos y solución de problemas.pptx
Algoritmos y solución de problemas.pptx Algoritmos y solución de problemas.pptx
 
Clases abstractas en C#. Clases abstractas en C#
Clases abstractas en C#. Clases abstractas en C#Clases abstractas en C#. Clases abstractas en C#
Clases abstractas en C#. Clases abstractas en C#
 
estandares web estandares web estandares web
estandares web estandares web estandares webestandares web estandares web estandares web
estandares web estandares web estandares web
 
Herramientas de la web. Herramientas de la web
Herramientas de la web. Herramientas de la webHerramientas de la web. Herramientas de la web
Herramientas de la web. Herramientas de la web
 
Seguridad Seguridad Seguridad Seguridad
Seguridad Seguridad Seguridad SeguridadSeguridad Seguridad Seguridad Seguridad
Seguridad Seguridad Seguridad Seguridad
 
Programación Orientada a Objetos Programación Orientada a Objetos
Programación Orientada a Objetos Programación Orientada a ObjetosProgramación Orientada a Objetos Programación Orientada a Objetos
Programación Orientada a Objetos Programación Orientada a Objetos
 
Estándares de Base de datosEstándares de Base de datos Estándares de Base de ...
Estándares de Base de datosEstándares de Base de datos Estándares de Base de ...Estándares de Base de datosEstándares de Base de datos Estándares de Base de ...
Estándares de Base de datosEstándares de Base de datos Estándares de Base de ...
 
Historia de Internet Historia de Internet Historia de Internet
Historia de Internet Historia de Internet Historia de InternetHistoria de Internet Historia de Internet Historia de Internet
Historia de Internet Historia de Internet Historia de Internet
 
Sistemas operativos en la Nube Sistemas operativos en la Nube
Sistemas operativos en la Nube Sistemas operativos en la NubeSistemas operativos en la Nube Sistemas operativos en la Nube
Sistemas operativos en la Nube Sistemas operativos en la Nube
 

Último

UNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORRO
UNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORROUNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORRO
UNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORRO
Gilramirezccoyllo
 
LEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion leyLEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion ley
46058406
 
Fin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptxFin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptx
caamiguerra4
 
Caso-practico-Deterioro-de-valor-de-los-activos1.docx
Caso-practico-Deterioro-de-valor-de-los-activos1.docxCaso-practico-Deterioro-de-valor-de-los-activos1.docx
Caso-practico-Deterioro-de-valor-de-los-activos1.docx
yovana687952
 
SESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdf
SESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdfSESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdf
SESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdf
ANALLELYALEXANDRALOZ
 
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
olmedorolando67
 

Último (20)

LGSM.pdf ley general sociedades mercantiles
LGSM.pdf ley general sociedades mercantilesLGSM.pdf ley general sociedades mercantiles
LGSM.pdf ley general sociedades mercantiles
 
U4_S7_S8_S9_Proceso contencioso tributario_.pdf
U4_S7_S8_S9_Proceso contencioso tributario_.pdfU4_S7_S8_S9_Proceso contencioso tributario_.pdf
U4_S7_S8_S9_Proceso contencioso tributario_.pdf
 
UNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORRO
UNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORROUNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORRO
UNIDAD DPCC INSTITUCIÓN EDUCATIVA SECUNDARIA NUESTRA SEÑORA DEL PERPETUO SOCORRO
 
Caso Galeria Nicolini Perú y análisis ..
Caso Galeria Nicolini Perú y análisis ..Caso Galeria Nicolini Perú y análisis ..
Caso Galeria Nicolini Perú y análisis ..
 
318347050-Suspension-del-Contrato-de-Trabajo.ppt
318347050-Suspension-del-Contrato-de-Trabajo.ppt318347050-Suspension-del-Contrato-de-Trabajo.ppt
318347050-Suspension-del-Contrato-de-Trabajo.ppt
 
delitos contra la vida humana dependiente
delitos contra la vida humana dependientedelitos contra la vida humana dependiente
delitos contra la vida humana dependiente
 
MAPA-CONCEPTUAL Derecho Internacional Público
MAPA-CONCEPTUAL Derecho Internacional PúblicoMAPA-CONCEPTUAL Derecho Internacional Público
MAPA-CONCEPTUAL Derecho Internacional Público
 
EL PROCEDIMIENTO REGISTRAL EN EL PERU.pptx
EL PROCEDIMIENTO REGISTRAL EN EL PERU.pptxEL PROCEDIMIENTO REGISTRAL EN EL PERU.pptx
EL PROCEDIMIENTO REGISTRAL EN EL PERU.pptx
 
articulo 87 Ley General de Sociedades Ley N° 26887.pptx
articulo 87 Ley General de Sociedades Ley N° 26887.pptxarticulo 87 Ley General de Sociedades Ley N° 26887.pptx
articulo 87 Ley General de Sociedades Ley N° 26887.pptx
 
sistema tributario boliviano en el contexto actual
sistema tributario boliviano en el contexto actualsistema tributario boliviano en el contexto actual
sistema tributario boliviano en el contexto actual
 
LEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion leyLEY 27444 (2).ppt informaciion sobre gestion ley
LEY 27444 (2).ppt informaciion sobre gestion ley
 
Fin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptxFin de la existencia de la persona física.pptx
Fin de la existencia de la persona física.pptx
 
Ejercicio abusivo del derecho a la libertad de expresion de los medios de com...
Ejercicio abusivo del derecho a la libertad de expresion de los medios de com...Ejercicio abusivo del derecho a la libertad de expresion de los medios de com...
Ejercicio abusivo del derecho a la libertad de expresion de los medios de com...
 
RÉGIMENES TRIBUTARIOS EN EL PERU -RUS, RER, RG
RÉGIMENES TRIBUTARIOS EN EL PERU -RUS, RER, RGRÉGIMENES TRIBUTARIOS EN EL PERU -RUS, RER, RG
RÉGIMENES TRIBUTARIOS EN EL PERU -RUS, RER, RG
 
EL INTERÉS LEGÍTIMO DE LA REVISIÓN DE LOS ACTOS ADMINISTRATIVOS CONTRARIOS A ...
EL INTERÉS LEGÍTIMO DE LA REVISIÓN DE LOS ACTOS ADMINISTRATIVOS CONTRARIOS A ...EL INTERÉS LEGÍTIMO DE LA REVISIÓN DE LOS ACTOS ADMINISTRATIVOS CONTRARIOS A ...
EL INTERÉS LEGÍTIMO DE LA REVISIÓN DE LOS ACTOS ADMINISTRATIVOS CONTRARIOS A ...
 
Libro el miedo a la libertad_ El Miedo A La Libertad.pdf
Libro el miedo a la libertad_ El Miedo A La Libertad.pdfLibro el miedo a la libertad_ El Miedo A La Libertad.pdf
Libro el miedo a la libertad_ El Miedo A La Libertad.pdf
 
Caso-practico-Deterioro-de-valor-de-los-activos1.docx
Caso-practico-Deterioro-de-valor-de-los-activos1.docxCaso-practico-Deterioro-de-valor-de-los-activos1.docx
Caso-practico-Deterioro-de-valor-de-los-activos1.docx
 
SESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdf
SESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdfSESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdf
SESIÓN 03 - LA PERSONA JURÍDICA EN EL AMBITO EMPRESARIAL - Tagged.pdf
 
DIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVIL
DIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVILDIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVIL
DIAPOSITIVAS DE DERECHO CIVIL DEL CODIGO CIVIL
 
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
LA aceptacion de herencia notarial se clasifica en dos tipos de testimonios c...
 

mod6seguridadbasedatos-150120143406-conversion-gate02.pptx

  • 1. M´odulo 6. Seguridad de Bases de Datos M´odulo 6. Seguridad de Bases de Datos Disen˜o y Administraci´on de Bases de Datos Francisco Medina López — paco.medina@comunidad.unam.mx http://aulavirtual.capacitacionentics.com Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2015-1
  • 2. M´odulo 6. Seguridad de Bases de Datos Agenda 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
  • 3. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
  • 4. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿Qué es la seguridad en bases de datos? Definici´on Nivel en el cual los datos están completamente protegidos contra intentos y/o accesos no autorizados Comprende sistemas de informaci´on y conceptos de seguridad de la informaci´on.
  • 5. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿De quien nos queremos proteger? (Antes) Wannabe lamer: “I wanna be a hacker but I can’t ‘hack’ it” (9-8 an˜os/ Grupo / Usuario Final / Diversi´on) Script-kiddie: The script kid (10-18 an˜os / Grupo / Organizaciones con vulnerabilidad bien conocidas / Fama) Cracker: The destroyer (17-35 an˜os / Solo / Empresas / Fama, Reconocimiento) Ethical hacker: The Hacker “par excellence” (15-50 an˜os / Solo (rara vez en grupo)/ Organizaciones de gran taman˜o / Curiosidad, Aprender, Mejorar habilidades) Quiet: Highly specialized hacker, uncommunicative, extremely paranoid (16-50 an˜os / Solo / Desconocido / Curiosidad, Aprender, Egocentrismo) Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
  • 6. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿De quien nos queremos proteger? (Ahora) Gobiernos Robo de propiedad intelectual (PI), datos y espionaje. Motivaci´on: Pol´ıtica y nacionalismo. M´etodos preferidos: Ataques dirigidos. Crimen Organizado Robo de propiedad intelectual (PI), datos. Motivaci´on: Pol´ıtica y nacionalismo. M´etodos preferidos: Ataques dirigidos y fraude. Hacktivistas Exposici´on de propiedad intelectual y poner en riesgo la infraestructura. Motivaci´on: Causas pol´ıticas, ideolog´ıay agendas personales. M´etodos preferidos: Ataques dirigidos, ataques de negaci´on de servicio.
  • 7. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿De quien nos queremos proteger? (Ahora) Cyber warrior: The mercenary (18-50 an˜os / Solo / Organizaciones de prestigio / Lucro) Industrial spy: The industrial spy (22-50 años / Solo / Empresas multinacionales/ Lucro) Government agent: The government agent (CIA, Mossad, FBI, etc.) (25-45 an˜os / Solo o en Grupo / Terroristas, pr´ofugos, industrias / Actividad profesional) Military hacker: Recruited to fight “with a computer”(25-45 an˜os/ Solo o en Grupo (rara vez en grupo)/ Gobiernos e Industria / Actividad profesional y por una causa) Hacktivista: Idealistas (16-35 an˜os/ Grupo / Gobierno, Figuras públicas / Desprestigio) Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
  • 8. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Clasificaci´on de los Hackers Black-hats: Muestran sus habilidades en inform´atica rompiendo sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o apoder´andose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking. Grey-hats: Grupo de individuos que en ocasiones penetran sistema sin permiso y otras con permiso. White-hats: Se dedican a asegurar y proteger los sistemas de Tecnolog´ıas de informaci´on y comunicaci´on. Suelen trabajar para empresas de seguridad inform´atica. Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 47
  • 9. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿Por que es importante la seguridad en base de datos? http://www.elfinanciero.com.mx/empresas/
  • 10. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción ¿Por que es importante la seguridad en base de datos? http://protecciondatos.mx/2013/10/ esmultas-sanciones-impuestas-por-el-ifai-enfines-sanctions-imposed-ifai/
  • 11. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción 8 of the Biggest Data Breaches Ever and How They Happened http://www.entrepreneur.com/article/237098
  • 12. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción 2014 Data Breach Investigations Report http://www.verizonenterprise.com/DBIR/2014/
  • 13. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Website defacement en M´exico http://www.zone-h.org/archive
  • 14. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Website defacement en M´exico http://www.zone-h.org/archive
  • 15. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Who is the biggest threat to your organization?
  • 16. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Sistemas de Informaci´on Decisiones inteligentes requieren: informaci´on precisa y en tiempo integridad en la informaci´on Sistema de informaci´on: comprende todos los componentes necesarios para producir y generar informaci´on precisa. Clasificaci´on de acuerdo a su uso.
  • 17. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Sistemas de Informaci´on (2)
  • 18. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Componentes de los sistemas de informaci´on Datos Procedimientos Hardware Software Red Personas
  • 19. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de Sistemas de Informaci´on Cliente-Servidor Basado en un modelo de negocio Puede ser implementado por niveless: un nivel; dos niveles; n niveles Formado por tres capas (layer) Capa: Plataforma fı́sica o lógica Sistema manejador de bases de datos (DBMS): Conjunto de programas que administran bases de datos
  • 20. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Ejemplos de arquitectura cliente-servidor
  • 21. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Administracio´n de Bases de Datos Esencial para el ´exito de un sistema de informaci´on Funcionalidad de un DBMS: Organiza los datos Almancena y recupera informaci´on de manera eficiente Manipula datos (update y delete) Cumple con integridad referencial y consistencia Cumple e implementa pol´ıticas y procedimientos de seguridad de datos Respalda, recupera y restaura datos en caso de desastre
  • 22. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Componentes de un DBMS Datos Procedimientos Hardware Software Red Personas Servidores de bases de datos
  • 23. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad de la informaci´on La informaci´on es uno de los activos m´as valioso de una organizaci´on. Seguridad de la informaci´on: Procedimientos y medidas tomadas para proteger los componentes de un sistema de informaci´on. Tri´angulo C.I.A.: Confidencialidad, Integridad y Disponibilidad Las pol´ıticas de seguridad deben estar balanceadas de acuerdo al tri´angulo C.I.A.
  • 24. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Tri´angulo C.I.A.
  • 25. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Confidencialidad Trata dos aspectos de la seguridad: Prevenci´on de acceso no autorizado. Revelaci´on de informaci´on con base a su clasificaci´on. Clasificar la informaci´on de la empresa en niveles: Cada nivel tiene sus propias medidas de seguridad Generalmente basadas en el grado de confidencialidad necesaria para proteger la informaci´on.
  • 26. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Clasificaci´on de la informacio´n vs Confidencialidad
  • 27. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Integridad Consiste en validar los datos y procesarlos correctamente logrando certeza en la informaci´on. La informaci´on es integra si: Es precisa. No ha sido falsificada. Lectura consistente: cada usuario ve solo sus cambios y aquellos realizados (committed) por otros usuarios.
  • 28. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Degradaciones en la integridad de datos Datos inv´alidos Datos redundantes Datos inconsistentes Datos an´omalos Lectura de datos inconsistente Datos no concurrentes
  • 29. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Disponibilidad El sistema debe estar disponible para los usuarios autorizados El sistema determina que puede hacer un usuario con la informaci´on Razones por las cuales un sistema no esta disponible: Ataques externos o falta de protecci´on del sistema Falla de un sistema o no contar con un plan de recuperaci´on de desastres Pol´ıticas de seguridad demasiado estrictas Mala implementaci´on de procesos de autenticaci´on
  • 30. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de seguridad de la informaci´on Protege la informaci´on producida por los datos Modelo para proteger los activos f´ısicos y l´ogicos Disen˜o global para la implementaci´on del tri´angulo C.I.A.
  • 31. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de seguridad de la informaci´on
  • 32. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Arquitectura de seguridad de la informaci´on Protege la informaci´on producida por los datos Modelo para proteger los activos f´ısicos y l´ogicos Disen˜o global para la implementaci´on del tri´angulo C.I.A.
  • 33. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Componentes de la Arquitectura de seguridad de la informacion Pol´ıticas y procedimientos Seguridad del personal y administradores Equipos de detecci´on de intrusos Programas de seguridad Equipo de monitoreo Aplicaciones de monitoreo Procedimientos y herramientas de auditoria
  • 34. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Bases de Datos Aplica la seguridad en todos los niveles de la base de datos Asegurar los puntos de acceso: lugar donde la seguridad de bases de datos debe proteger y aplicarse Si los datos requieren un mayor nivel de protecci´on, los puntos de acceso a los datos deben ser pocos y controlados
  • 35. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Base de Datos
  • 36. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Bases de Datos Reducir los puntos de acceso reduce los riesgos de seguridad Brechas de seguridad: puntos en los cuales se pierde la seguridad Vulnerabilidades: fallo en un sistema que puede convertirse en amenaza Amenaza: Riesgo que puede convertirse en una brecha de seguridad
  • 37. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Seguridad en Base de Datos
  • 38. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Compromiso de la integridad de datos
  • 39. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Niveles de Seguridad en Bases de Datos 1 Base de datos relacional: Conjunto de archivos de datos relacionados 2 Archivo de datos: Conjunto de tablas relacionadas 3 Tablas: Conjunto de renglones relacionados (registros) 4 Renglones. Conjunto de columnas relacionadas (campos)
  • 40. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Niveles de Seguridad en Bases de Datos
  • 41. M´odulo 6. Seguridad de Bases de Datos Seguridad Introducción Anatom´ıa de un ataque de inyecci´on SQL Fuente: Pentest Magazine, p. 49, Junio 2012
  • 42. M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de usuarios 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
  • 43. M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de usuarios Ciclo de vida en la administraci´on de usuarios Fuente: Pentest Magazine, p. 82, Septiembre 2012
  • 44. M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de grupos 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
  • 45. M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de roles 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
  • 46. M´odulo 6. Seguridad de Bases de Datos Seguridad Administraci´on de usuarios 1 Seguridad Introducci´on Administraci´on de usuarios Administraci´on de grupos Administraci´on de roles Administraci´on de usuarios 2 Respaldos 3 Desarrollo de planes de contingencia
  • 47. M´odulo 6. Seguridad de Bases de Datos Referencias bibliogr´aficas Referencias bibliogr´aficas I C. Wilson. Computer Attack and Cyberterrorism: Vulnerabilities and Policy Issues for Congress. CRS Report for Congress, 2005. E. Spafford. Seguridad Pr´actica en Unix e Internet. W. Preston Backup & Recovery. O’Reilly, 2006. Seguridad Pr´actica en Unix e Internet.
  • 48. M´odulo 6. Seguridad de Bases de Datos Referencias bibliogr´aficas Referencias bibliogr´aficas II K. O’Shea Examining the RPC DCOM Vulnerability: Developing a Vulnerability-Exploit Cycle. SANS. S Harris. CISSP Certification All-in-One Exam Guide, Fourth Edition. McGraw-Hill Osborne Media; 4 edition (November 9, 2007).