MGS. PATRICIO BEDÓN SALAZARMGS. PATRICIO NAVAS MOYA QUE TAN SEGURA SON LAS BASES DE DATOS EN LAS EMPRESAS PUBLICAS Y PRIVADAS

Es un conjunto de caracteres con algún significado, pueden ser numéricos, alfabéticos o alfanumericos. Para que un conjunto de datos pueda ser procesado eficientemente y pueda dar lugar a la información primero se debe guardar lógicamente en archivos. Conjunto ordenado de datos los cuales son manejados según la necesidad del usuario. DATOINFORMACIÓN

Una base de datos es una colección de información organizada de tal modo que sea fácilmente accesible, gestionada y actualizada. Un sistema gestor de base de datos (SGBD) es un conjunto de programas que permiten el almacenamiento, modificación y extracción de la información en una base de datos, además de proporcionar herramientas para añadir, borrar, modificar y analizar los datos. Los usuarios pueden acceder a la información usando herramientas específicas de consulta y de generación de informes, o bien mediante aplicaciones al efecto.base de datos BASE DE DATOS SISTEMA GESTOR DE BASE DE DATOS

SEGURIDAD DE BASE DE DATOS Proteger los datos de operaciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad independientemente de la persona que los accede. En una base de datos es importante mantener la confidencialidad, la integridad y la disponibilidad de la información. La protección total y absoluta de la BD contra el mal uso intencionado es imposible, sin embargo; cualquier esfuerzo por conservar la seguridad de la BD merece la pena, ya que permite elevar el coste de los intentos de acceso no autorizado lo suficiente como para disuadirlos

Los datos contenidos en una Base de Datos pueden ser individuales o de una Organización. Asegurar la confidencialidad significa prevenir/ detectar/ impedir la revelación impropia de la información. El concepto de Seguridad lo medimos en:  La protección del sistema frente a ataques externos.  La protección frente a caídas o fallos en el software o en el equipo.  La protección frente a manipulación por parte del administrador. Esto se logra mediante mecanismos que permiten estructurar y controlar el acceso y actualización de los mismos sin necesidad de modificar o alterar el diseño del modelo de datos; definido de acuerdo a los requisitos del sistema o aplicación software (Privacidad) SEGURIDAD DE BASE DE DATOS

OBJETIVOS – ASPECTOS RELATIVOS A LA SEGURIDAD  Integridad: Sólo los usuarios autorizados deberían tener acceso para modificar datos.  Disponibilidad: Los datos deben estar disponibles para usuarios y programas de actualización autorizados.  Confidencialidad: Protección de los datos de su revelación no autorizada. ASPECTOS RELATIVOS A LA SEGURIDAD  Legales, sociales y éticos  Políticas de la empresa, niveles de información pública y privada  Controles de tipo físico, acceso a las instalaciones  Identificación de usuarios: voz, retina del ojo, etc.  Controles de sistema operativo.  Controles de seguridad de la Red.  Aspectos específicos de la Base de Datos

Granularidad Un atributo de una tupla. Un conjunto de columnas. Una tupla individual. Un conjunto de tuplas de una relación. Una relación en particular. Un conjunto de relaciones. La base de datos completa ELEMENTOS QUE PUEDEN SER PROTEGIDOS

TIPOS DE SEGURIDAD DE BASES DE DATOS. ·Seguridad física: este nivel de seguridad implica mantener la integridad física de los archivos donde se almacena la base de datos y el log de transacciones, en el disco del servidor. Será implementado con procedimientos de resguardo, back-up, y restauración. Dichos procedimientos serán realizados periódicamente por el administrador de la aplicación. ·Seguridad de acceso: este nivel de seguridad implica restringir el acceso a los datos por parte de usuarios no autorizados. Será implementado tanto en la base de datos como en la aplicación. La administración de la seguridad se realiza con un módulo especialmente diseñado para esa tarea.

CONTROL DE ACCESO

CONTROL DE ACCESO AL SISTEMA GLOBAL  Evitar que personal no autorizado acceda al SBD, por parte del ABD,  Cuentas de usuario de BD con login y contraseña  Autenticación de usuarios  El usuario indica al SGBD su cuenta y contraseña  Una vez que el SGBD valida esos datos, el usuario puede usar el SGBD y acceder a la información.

CONTROL DE ACCESO-ABD Crear cuentas de usuario para acceso a la base de datos  Control Global Se usa para otorgar y revocar privilegios a los usuarios a nivel de archivos, registros o campos en un modo determinado (consulta o modificación). No impone ningún control acerca de cómo la información es propagada y utilizada una vez que ésta ha sido accedida por los sujetos autorizados  Control Discrecional (Nombre) Comparación de etiquetas de seguridad (indican la sensibilidad o criticidad de un recurso) con la acreditación de seguridad. Basado en la clasificación de la información  Control Obligatorio (Contenido) Modelo Bell-LaPadula: OBJETOS (tablas, vistas, tuplas) y SUJETOS (usuarios, programas de usuario) Clases de Seguridad: Top secret (TS), secret (S), confidential (C), unclassified (U) TS > S > C > U El Sujeto S puede leer el objeto O sólo si clase(S) >= clase(O) El Sujeto S puede escribir el objeto O sólo si clase(S) <= clase(O)

VULNERABILIDADES A BASE DE DATOS De acuerdo al reporte de Verizon sobre violación/descubrimiento de datos del año 2014 el 66% corresponde a base de datos y el resto a datos en tránsito _en_xg.pdf En el 2012 la OSF (Open Security Foundation) reveló que 242,6 millones de registros fueron potencialmente comprometidos.

VULNERABILIDADES A BASE DE DATOS 1.Abuso de permisos excesivos 2.Elevación de privilegios 3.Abuso de permisos legítimos 4.SQL Injection 5.Malware 6.Trazas de auditoria de clientes 7.Explotación de bases de datos vulnerables y mal configuradas 8.Mal manejo de datos confidenciales 9.Denegación de servicio 10.Exposición de datos de copia de seguridad

SEGURIDAD DE BASE DE DATOS A unque la información de las bases de datos es vulnerable ante una serie de ataques, es posible reducir drásticamente el riesgo concentrándose en las amenazas más críticas. Al ofrecer soluciones a las 10 principales amenazas que se describen anteriormente, las organizaciones satisfarán los requisitos de cumplimiento y mitigación de riesgos de las industrias más reguladas del mundo.

SEGURIDAD DE BASE DE DATOS La base de datos debe ser protegida contra el fuego, el robo y otras formas de destrucción.  Los datos deben ser re construibles, porque por muchas precauciones que se tomen, siempre ocurren accidentes.  Los datos deben poder ser sometidos a procesos de auditoria. La falta de auditoria en los sistemas de computación ha permitido la comisión de grandes delitos.  El sistema debe diseñarse a prueba de intromisiones. Los programadores, por ingeniosos que sean, no deben poder pasar por alto los controles.  Ningún sistema puede evitar de manera absoluta las intromisiones malintencionadas, pero es posible hacer que resulte muy difícil eludir los controles.  El sistema debe tener capacidad para verificar que sus acciones han sido autorizadas. Las acciones de los usuarios deben ser supervisadas, de modo tal que pueda descubrirse cualquier acción indebida o errónea.

RECOMENDACIONES Nombre de usuario/password en blanco o bien hacer uso de uno débil Hoy en día no es raro encontrar: usuario/password del tipo admin/12345 o similar. Es recomendable usar tanto letras como números, así como de caracteres especiales tipo ¡, ¿, %... y con una longitud superior a 8 caracteres. Preferencia de privilegios de usuario por privilegios de grupo Es recomendable modificar los privilegios otorgados a los usuarios que estarán en contacto con la información con el fin de que no puedan realizar modificaciones más allá de las autorizadas. Si por ejemplo un usuario sólo realizará consultas, pero no podrá modificar ningún registro ni insertar nada nuevo, no tiene sentido que le ofrezcamos esos privilegios Características de bases de datos innecesariamente habilitadas Cada instalación de base de datos viene con una serie de paquetes o módulos adicionales que en muy pocas ocasiones son utilizadas. Es recomendable detectar esos paquetes que no se utilizan y se desactiven del servidor donde estén instalados. Ayuda a Simplifica la gestión de parches

RECOMENDACIONES Desbordamiento de búfer Se trata de otro de los medios favoritos utilizados por los piratas y que se dan por el exceso de información que se puede llegar a enviar por medio del ingreso de información mediante el uso de formularios. Por poner un ejemplo, si se espera la entrada de una cuenta bancaria que puede ocupar unos 25 caracteres y se permite la entrada de muchos más caracteres desde ese campo Bases de datos sin actualizar Es necesario ir actualizando la versión de nuestra base de datos con las últimas versiones: se solucionan problemas de seguridad detectados Datos sensibles sin cifrar No todo el mundo cifra la información más importante que se almacena en base de datos. Por ejemplo cifrar utilizando el algoritmo MD5. Una contraseña del tipo “YUghd73j%” Se almacenaría como: “993e65b24451e d c824”.

RECOMENDACIONES Inyecciones SQL Un ataque de este tipo puede dar acceso a alguien a una base de datos completa sin ningún tipo de restricción, pudiendo llegar incluso a copiar y modificar los datos. Realizar actividades de:  Identificar su sensibilidad Una cosa hay que tener claro, y es que no se puede asegurar aquello que no se conoce. Con esto queremos decir que es importante conocer la sensibilidad de nuestro sistema de bases de datos para saber cómo actuar y mejorar de esta forma su seguridad. Para ello podemos hacer uso de herramientas de identificación que nos ayuden a encontrar posibles agujeros por donde podríamos ser atacados.  Evaluación de las vulnerabilidades y la configuración Evalúe la configuración de tu base de datos para descartar posibles agujeros de seguridad. Esto incluye la verificación de la forma en la que ésta fue instalada y la de tu sistema operativo.  Audita Una vez que hayamos creado una configuración que creamos que puede ser totalmente segura. Por ejemplo, se podría poner algún tipo de alarma para que nos avisara de cualquier cambio que se pudiera dar en dicha configuración

RECOMENDACIONES  Monitoriza toda acción relacionada con la base de datos Monitorizar la actividad que se lleva a cabo en nuestra base de datos nos puede dar algún tipo de pista en caso de estar siendo utilizada de forma indebida o para la detección de intrusos.  Control de acceso y gestión de derechos No todos los datos son igual de importantes y no todos los usuarios son creados igual. Es necesario establecer una jerarquía y garantizar que cada tipo de usuario sólo pueda realizar las acciones que se le permiten en la base de datos, para garantizar de esa forma la integridad de la información.