El documento proporciona siete recomendaciones sobre seguridad en bases de datos, incluyendo identificar datos sensibles, evaluar vulnerabilidades y configuración, endurecer la seguridad eliminando funciones innecesarias, monitorear la actividad, y usar controles internos y auditorías.

1. OSCAR SUACHE
CRISTIAN CARDOZO

2. La gran mayoría de los datos sensibles del mundo
están almacenados en sistemas gestores de bases
de datos comerciales tales como Oracle, Microsoft
SQL Server entre otros, y atacar una bases de datos
es uno de los objetivos favoritos para los
criminales.

3. En esta sección daremos siete recomendaciones
sobre seguridad en bases de datos, instaladas en
servidores propios de la organización.

4. Identifique su sensibilidad: Confeccione un buen
catálogo de tablas o datos sensibles de sus
instancias de base de datos. Además, automatice
el proceso de identificación, ya que estos datos y
su correspondiente ubicación pueden estar en
constante cambio debido a nuevas aplicaciones o
cambios producto de fusiones y adquisiciones.

5. Evaluación de la vulnerabilidad y la
configuración: Evalúe su configuración de bases
de datos, para asegurarse que no tiene huecos de
seguridad. Esto incluye la verificación de la forma
en que se instaló la base de datos y su sistema
operativo (por ejemplo, la comprobación
privilegios de grupos de archivo -lectura,
escritura y ejecución- de base de datos y
bitácoras de transacciones).
Endurecimiento: Como resultado de una
evaluación de la vulnerabilidad a menudo se dan
una serie de recomendaciones específicas. Este
es el primer paso en el endurecimiento de la base
de datos. Otros elementos de endurecimiento
implican la eliminación de todas las funciones y
opciones que se no utilicen.

6. Monitoreo: Monitoreo en tiempo real de la
actividad de base de datos es clave para limitar su
exposición, aplique o adquiera agentes inteligentes
de monitoreo, detección de intrusiones y uso
indebido. Por ejemplo, alertas sobre patrones
inusuales de acceso, que podrían indicar la
presencia de un ataque de inyección SQL, cambios
no autorizados a los datos, cambios en privilegios
de las cuentas, y los cambios de configuración que
se ejecutan a mediante de comandos de SQL.

7. Al margen de la seguridad, nos parece que el mayor riesgo,
aun teniendo un entorno muy seguro, es que la informática, y
la tecnología de la información en general, no cubran las
necesidades de la entidad: no estén alineadas con el plan de
negocio. Limitándonos a la seguridad propiamente dicha, los
riesgos pueden ser múltiples: el primer paso es conocerlos, y
el segundo es tomar decisiones al respecto; el conocerlos y
no tomar decisiones no tiene sentido y debiera crearnos una
situación de desasosiego.

8. Son activos vitales todos aquellos relacionados con la continuidad de la entidad,
como pueden ser: planes estratégicos, fórmulas magistrales, diseño de prototipos,
resguardos, contratos, pólizas... y datos estratégicos, que son los que más nos
interesan bajo la perspectiva de la seguridad de la información. Y debemos
protegerlos pensando en los intereses de los accionistas, de los clientes y también
pensando en los empleados y en los proveedores .Cabe preguntarse el coste de la
seguridad frente al coste de la no seguridad, si bien con antelación no es fácil saber
qué alternativas es mejor, pero no se trata de buscar la mayor rentabilidad
económica, porque hay razones de otra índole.
El CONTROL INTERNO, basado en los objetivos de control y llevado a cabo por los
supervisores a distintos nivele.
La AUDITORIA DE SISTEMAS DE INFORMACIÓN INTERNA, objetiva e
independiente y con una preparación adecuada, como control del control.
La AUDITORIA DE SISTEMAS DE INFORMACIÓN EXTERNA, contratada cuando
se considera necesaria, y como un nivel de protección más. Igualmente objetiva e
independiente.

9. Les ofrezco una visión global del mecanismo
de seguridad de Access y la forma de
administrar la misma con código VB. Aclaro
que VB no proporciona ningún método para
crear una BD del sistema de seguridad, pero
si cuenta con la capacidad de administrar la
seguridad que esta provee.

10. Las versiones recientes de Microsoft Access ofrecen
dos métodos para proteger una base de datos: contraseña para
abrir un archivo de base de datos o mediante seguridad a nivel
de usuario o de cuentas. Además de estos métodos, puede
eliminar código modificable de VB de la base de datos y así
proteger el diseño de formularios, informes y módulos de la
base de datos de posibles modificaciones guardándolo como un
archivo MDE. Estos últimos tópicos no serán tratados en este
documento.

11. Brevemente me refiero a esta opción para centrarnos en el Sistema de
Cuentas que es el propósito de este articulo. El método Contraseña de
Archivo MDB es simple y consiste en habilitar una contraseña para abrir un
archivo MDB especifico. El método es el adecuado para una base de datos
que esté compartida entre un pequeño grupo de usuarios o sobre un sólo
equipo. No es aplicable si quiere replicar la BD o pretende implantar un
sistema de seguridad en red. Si desea abrir una BD con contraseña de
archivo siga este código:
Dim wrkJet As Workspace
Dim dbsM97 As Database
Set wrkJet = CreateWorkspace("", "admin", "", dbUseJet)
Set dbsM97 = wrkJet.OpenDatabase("miBD.mdb", True, False,
";PWD=miContraseña")
Tenga en cuenta este código porque en ninguna parte de la ayuda en línea lo
encuentra tan claro.
En caso de usar el DataControl, hacerlo de esta forma, (dato de Jose Ramon):
Data1.Connect = ";pwd=MiClave"
Para compactar una BD con contraseña pueden seguir este ejemplo particular
(dato de Jose Ramon Laperal):
DBEngine.CompactDatabase "MiBase", "MiBaseCompacta", dbLangGeneral, _
dbVersion30, ";pwd=MiClave"
El exito de la intrucción depende de los parámetros suministrados.