Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Slides:



Advertisements
Presentaciones similares
CONTENIDOS 2. Objetivos de la seguridad informática
Advertisements

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Control Interno Informático. Concepto
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS
Plan de Continuidad del Negocio.
Análisis y gestión de riesgos en un Sistema Informático
SonicWALL CDP Backup continuo y recuperación de datos Seminario comercial Maria Garcia
RESPALDO.
12.4 Seguridad de los archivos del sistema
Introducción a la Seguridad de la información
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
1.1.2 Sistemas de información para la gestión y para la ayuda en la toma de decisiones. Los SI contribuyen activamente a la consecución de los objetivos.
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Ciclo de vida de la información histórica INEGI – Aguascalientes 2008.
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Pierre Sergei Zuppa Azúa Administración de sistemas versus administración de servicios.
Implementación de un Plan de Continuidad del Negocio aplicado en el área de Contabilidad de una empresa dedicada a la comercialización de maquinarias y.
MÉTODOS DE IMPLANTACIÓN
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
SEGURIDAD INFORMÁTICA
 En Primer Lugar un administrador de recursos, por ello es importante poder determinar con que efectividad administra sus recursos un sistema determinado.
Análisis y Gestión de Riesgos
02 Que es Continuidad de Negocio? 03 Beneficios
Integrantes Grupo 7 Controles de procesos de datos El aspecto principal de la evaluación que de los controles internos que haga el auditor, es determinar.
DE SEGURIDAD INFORMÁTICA.
Ciclo de vida de la administración de servicios de TI
O Funcionamiento, ventajas y alcance o ESTUDIANTE: EDWIN ARAY VÉLEZ o PROFESOR: ING. JOSÉ MEDINA o FUNDAMENTOS TECNOLÓGICOS DE INFORMACIÓN.
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Análisis y Gestión de Riesgos en un Sistema Informático.
Administración lógica y física de la seguridad en una red computacional Docente: Hector Salazar Robinson
Diseño del servicio ITIL..
VII.RECUPERACION DE DESASTRES Y CONTINUIDAD DEL NEGOCIO.
CICLO DE VIDA Y NORMAALIZACION DE UN SISTEMA DE BASE DE DATOS
VISIÓN GENERAL DE LA IS Con independencia del modelo de proceso hay tres fases genéricas: Fase de definición Fase de desarrollo Fase de mantenimiento Cada.
Instalaciones Físicas de un Centro de Cómputos
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
V. RESPALDO DE LA INFORMACIÓN, RECUPERACIÓN Y OPTIMIZACIÓN.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
Políticas de defensa en profundidad: - Defensa perimetral
SEGURIDAD INFORMATICA LOUNDY BETZAIDA CIFUENTES
SGSI: Sistemas de Gestión de la Seguridad de la Información
Importancia de La Seguridad
UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.
Medidas de seguridad Gabriel Montañés León.
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
República Bolivariana De Venezuela Ministerio Del Poder Popular Para La Educación Superior U.N.E. Simón Rodríguez Ambiente Miranda – Núcleo Canoabo Miranda.
ORACLE 9i DATABASE  Diseñada para soportar las capacidades de Internet  Evolución: desde BD relacionales con SQL ad hoc, hasta la era Internet  Diseñado.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
PLAN DE CONTINGENCIA. EVALUACIÓN DIAGNOSTICA 1. Sabes para que te puede ayudar el respaldar la información? 2. Conoces algún método para realizar un respaldo,
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Nombre: Arianne Calderón Boutier Materia: Gerencia de Procesos.
Ciclo de Vida del Software
Universidad Latina CONTROL INTERNO.
ADMINISTRACIÓN DE REDES Planes de Migración. Migración En tecnología de información y comunicación, la migración es el proceso de la transferencia desde.
Proceso de desarrollo de Software
ASPECTOS LEGALES Y ÉTICOS DE LA SEGURIDAD INFORMÁTICA Integrantes: Rosales Amaya Ingrid Zapata Carmen Wilson Integrantes: Rosales Amaya Ingrid Zapata Carmen.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
PLAN DE CONTINGENCIA Y EMERGENCIA
APRENDERÁ ACERCA DE LOS ASPECTOS ADMINISTRATIVOS PARA INSTALAR, USAR Y MANTENER LOS EQUIPOS DE CÓMPUTO. CONOCERÁ SOBRE LOS PROCEDIMIENTOS PARA INSTALAR,
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Características de los Centros de Cómputo
Transcripción de la presentación:

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g

Disponibilidad

Introducción a la seguridad de la información Configuración de la plataforma Confidencialidad Integridad Disponibilidad Autenticación Autorización Auditoría Integración de bases de datos con otras aplicaciones Hacking de base de datos Índice del curso

Índice del capítulo Tolerancia a fallos El plan de contingencia Plan de copia de seguridad y restauración El plan de recuperación ante desastres El plan de continuidad de negocio

Objetivos de la disponibilidad Garantizar que los datos permanecen accesibles sin interrupciones cuando y donde se los necesita

Incidentes relacionados con la disponibilidad Fortuitas Fallos en el hardware Fallos en la alimentación eléctrica Errores en el software Condiciones ambientales extremas, como calor, frío o humedad excesivos Servicios infradimensionados que no son capaces de atender todas las peticiones, Usuarios y administradores negligentes Desastres: incendios, terremotos, inundaciones

Ataques contra la disponibilidad Deliberadas Ataques de denegación de servicio Destrucción de archivos Cortes en las líneas de comunicaciones Ataques terroristas

Contramedidas para proteger la disponibilidad Mecanismos de control de acceso Monitorización del tráfico para dimensionar adecuadamente los servidores y recursos de red, Utilización de cortafuegos y routers correctamente configurados para evitar ataques DoS Tolerancia a fallos Gestión de copias de respaldo Plan de Continuidad de Negocio

Tolerancia a fallos Entorno Fallos en el suministro eléctrico, incendios, calor y frío excesivos, humedad, robos, Hardware Líneas de comunicaciones, equipamiento de red, servidores, discos duros, Software Postura segura ante fallos, gestión de excepciones, integridad transaccional, etc.

Tolerancia a fallos

Protección del entorno Fallos en el suministro eléctrico Protectores de sobretensión Sistemas de alimentación ininterrumpida Sistemas de alimentación alternativos Detección y extinción de incendios Calefacción, ventilación y aire acondicionado Seguridad física de los equipos Controles activos: detectores de movimiento, puerta abierta, cristal roto, etc. Controles pasivos: puertas, cerraduras, candados, blindaje, etc.

Protección del hardware Sistemas RAID Redundancia en el almacenamiento Almacenamiento directamente conectado (DAS) Almacenamiento conectado a la red (NAS) Redes de almacenamiento por área (SAN) Cluster de servidores Cold-standby Hot-standby Balanceo de carga Interrupción de la conexión de red

Protección del software Temporizadores Gestión de excepciones Reinicios incrementales

Plan de contingencia Objetivo: Retornar a la normalidad tras un suceso inesperado en el menor tiempo y con el menor coste posibles En el caso mejor, el plan de contingencia conseguirá que la marcha del negocio no se vea afectada apreciablemente Dos niveles básicos de planificación: Plan de recuperación ante desastres (Disaster Recovery Plan o DRP) Plan de continuidad de negocio (Business Continuity Plan o BCP),

Plan de recuperación ante desastres Dar respuesta a incidentes Prepara a la organización para afrontar y recuperarse ante un desastre, tanto de carácter natural como humano Típicamente, el DRP se concentra en el proceso de datos y en que vuelvan a estar disponibles Representa la acción a corto plazo para solucionar los problemas

Plan de continuidad de negocio Mantener las operaciones de negocio mientras la empresa se recupera del desastre y en minimizar sus efectos El BCP aumenta la capacidad de la organización para continuar adelante con las funciones críticas del negocio ante la ocurrencia de un incidente de seguridad o un desastre Se concentra en los procesos de negocio tanto técnicos como operativos Ofrece la visión global para seguir adelante una vez se han recuperado los datos Su objetivo es asegurar el funcionamiento de la organización a largo plazo

Desastres O bien la organización es incapaz de contener o controlar el impacto de un incidente o bien el nivel de daño o destrucción causado por un incidente es tan severo que la organización no puede recuperarse de él con rapidez Tipos de desastre Naturales Causados por el hombre Frecuencia e impacto variables

Desastres naturales Temblores de tierra Inundaciones Tormentas Incendios a gran escala

Desastres causados por el hombre Incendios provocados Explosiones, ataques terroristas Apagones Errores de hardware/software Huelgas Robo Bajas inesperadas de personal clave Vandalismo Ataques de hackers o de virus

Gestión de copias de seguridad Tipos de copia de seguridad Duración de las copias de seguridad Tipos de medios de almacenamiento Lugar de almacenamiento de las copias de seguridad

Tipos de copia de seguridad Completa Diferencial Registro de transacciones

Copia de seguridad completa Se almacena una réplica exacta de toda la base de datos La primera vez que se realiza una copia de seguridad siempre se utiliza este método Si el volumen de datos es muy grande, el proceso de copia puede requerir tiempos y espacios en disco muy elevados, inaceptables en entornos de producción Por este motivo, suele complementarse con otros mecanismos, como las copias diferenciales y de transacciones Las copias de seguridad completas son independientes y a partir de ellas puede restaurarse la base de datos completa en un solo paso

Copia de seguridad completa El proceso de restauración sobrescribe la base de datos existente o crea la base de datos si no existe El estado de la base de datos restaurada será el mismo que el de la base de datos en el momento en que terminó la copia de seguridad

Copia de seguridad diferencial Solamente se copian aquellos registros que han sido modificados desde la última copia de seguridad completa Por lo tanto, en la siguiente copia diferencial volverán a copiarse los registros que fueron copiados en copias de seguridad diferenciales anteriores, desde la última copia completa Debido a que las copias de seguridad diferenciales almacenan menos datos que las completas, pueden realizarse más rápidamente y con mayor frecuencia Conviene hacerlas frecuentemente para reducir el riesgo de pérdida de datos

Copia de seguridad diferencial La frecuencia de copia dependerá de la rapidez a la que se modifican los cambios y de la importancia de la pérdida de datos Entre cada dos copias de seguridad completas deben realizarse frecuentes copias diferenciales Estrategia de copia de seguridad global: puede realizarse una copia de seguridad completa semanalmente y una copia de seguridad diferencial diariamente Según el Art. 14 del Reglamento de Medidas de Seguridad de la LOPD, deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

Copia de seguridad diferencial

Copia de seguridad del registro de transacciones El registro de transacciones guarda un registro de todas las transacciones que han tenido lugar en la base de datos desde que se copió el último registro Estas copias de respaldo permiten recuperar la base de datos a un estado específico o hasta el punto de fallo Suelen utilizarse en conjunción con las copias completas y diferenciales

Modelos de restauración Restauración completa Los datos son importantes y se deben recuperar hasta el momento del error, por lo que se registran todas las modificaciones de datos. Restauración simple Todas las modificaciones de datos realizadas desde la última copia de seguridad, completa o diferencial, son prescindibles, o es posible rehacerlas. Aunque ejerce una mínima sobrecarga sobre el sistema, no es posible recuperarse más allá del final de la última copia de seguridad.

Puesta a prueba del plan de recuperación Es fundamental poner a prueba el plan de recuperación, paso del proceso a menudo olvidado Las pruebas para verificar que el DRP funciona en la práctica deberían realizarse antes y después de que el sistema ha salido a producción Las pruebas sirven para validar que las copias de seguridad son completas sin pérdida de información y que las restauraciones devuelven a la base de datos a su estado original El 35% de las cintas de copia no funcionan: cuando se realiza una restauración tras una pérdida de datos, el resultado final rara vez es el esperado Asegurarse de que la estrategia de copias de respaldo implantada funciona adecuadamente

Duración de las copias de seguridad Las copias de seguridad consumen espacio y cuestan dinero No puede almacenarse un número ilimitado de ellas En algún momento habrá que reutilizar las cintas u otro medio de almacenamiento utilizado Existen diferentes esquemas de rotación de medios de almacenamiento, con el fin de conservar la información correspondiente al mayor intervalo de tiempo posible en el menor espacio de almacenamiento posible Las tres estrategias de rotación más utilizadas son Padre-Hijo Abuelo-Padre-Hijo Torres de Hanoi

Definición del escenario En los ejemplos que siguen supóngase que sólo se trabaja los cinco días laborables El trabajo de cada día se almacena en la cinta con la copia diferencial de ese día, mientras que la cinta del viernes contiene la copia completa de la semana

Padre-Hijo Requiere cuatro cintas para las copias diarias (los hijos) y dos cintas para las semanales (los padres) que almacenan la copia completa del viernes Las cintas de las copias diarias son las que más se utilizan, por lo que su tiempo de vida se verá acortado Con este esquema la recuperación se limita a seis días

Padre-Hijo

Abuelo-Padre-Hijo Se utilizan tres conjuntos de cintas: Hijos: conjunto de cuatro cintas para cada día, que son sobrescritas semanalmente Padres: conjunto de tres cintas, cada una de las cuales almacena la copia completa de cada viernes Abuelos: conjunto de cintas para almacenar la última copia completa de cada mes La copia del último viernes del mes es también la copia de ese mes: es un abuelo y no un padre Las cintas hijo se deterioran mucho antes que las padre, las cuales a su vez lo hacen antes que las abuelo

Abuelo-Padre-Hijo Para conservar la información de los últimos seis meses harían falta cintas, es decir, 13 cintas La recuperación a largo plazo se extiende a seis meses, mientras que la recuperación a corto plazo sigue siendo de seis días Con 19 cintas se podría cubrir un año completo

Lugar de almacenamiento de las copias de seguridad Conviene almacenarlas cerca del centro de proceso de datos para restaurar en el menor tiempo posible un sistema afectado por algún tipo de desastre Si un desastre azota el lugar normal de trabajo y las copias se almacenaban junto a él, puede que también sean destruidas Conviene extremar la seguridad en su almacenamiento (por ejemplo en armarios ignífugos) y mantener copias también en un lugar distinto y distante del de operación diaria: Otra sede de la empresa Una empresa especializada en prestar este servicio Internet

Lugar de almacenamiento de las copias de seguridad El lugar de almacenamiento de las copias de seguridad debe protegerse contra accesos físicos no autorizados Las copias de seguridad contienen toda la información vital de la organización Posibilidad de utilizar una caja de seguridad ignífuga para las copias de seguridad de la información más sensible

Art. 25 del Reglamento de Medidas de Seguridad de la LOPD Para los datos de nivel alto: deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento

Recomendaciones para las copias de seguridad Utilice el sistema de rotación de cintas que mejor se adapte a sus necesidades Verifique cada copia después de su creación Si se realizan las copias automáticamente, asegúrese de registrar y revisar los posibles errores. Utilice cintas de alta calidad. Lo barato sale caro. Cambie frecuentemente de cintas y retire las viejas. Etiquete las cintas inmediatamente, incluyendo fecha, contenidos y equipo copiado. Ponga a prueba las copias de respaldo efectuando restauraciones. Registre todos los errores, excepciones y anomalías durante la operación con copias y restauraciones.

Plan de Continuidad de Negocio Es imposible conseguir una política de prevención que elimine totalmente el riesgo Aun existiendo una política de prevención rigurosa, siempre hay un margen para el imponderable, el imprevisto o el error La recuperación de los servicios afectados por una catástrofe no es sencilla, incluso si esta recuperación ha sido previamente planificada

Plan de Continuidad de Negocio Una paralización más o menos prolongada de los servicios afectados por una catástrofe resulta inaceptable al dar lugar a pérdidas no asumibles por la entidad. El desarrollo y mantenimiento de una estrategia de Gestión de la Continuidad constituye una decisión estratégica de la Dirección, íntimamente ligada a la continuidad del negocio, y de coste significativo No existe alternativa a la estrategia de Gestión de la Continuidad

Plan de Continuidad de Negocio Conjunto de Planes de Actuación, Planes Financieros, Planes de Comunicación y Planes de Contingencias, etc..., destinados a mitigar el impacto, provocado por la concreción de determinados riesgos sobre la Información y los Procesos de Negocio de una compañía. Garantizará la continuidad de los Procesos críticos ante los desastres y eventualidades contemplados en el Plan. El PCN es un elemento estratégico global. En este sentido, se sustancia en N planes de contingencia de áreas de negocio y en N planes de contingencia de las infraestructuras que soportan al negocio, entre ellas, los Sistemas de Información y Comunicaciones

Plan de Contingencia de los Sistemas de Información Estrategia planificada en FASES, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración, ordenada, progresiva y ágil de los Sistemas de Información que soportan la Información y los Procesos de Negocio considerados críticos en el Plan de Continuidad de Negocio de una compañía.

Características de los Planes de Contingencias El Plan de Contingencias es un elemento que se encuadra en un proceso continuo de Gestión del Riesgo en la organización. Debe estar totalmente orientado a recuperar los procesos de negocio críticos para la organización. Debe estar diseñado para integrarse con el resto de elementos del PCN de la compañía. El Principal objetivo de un Plan de Contingencias es automatizar un conjunto de tareas para evitar tener que dedicar tiempo a su planificación en momentos de crisis.

Plan de Continuidad de Negocio LOS PCN son procesos complejos que una vez puestos en marcha deben mantenerse vivos. Dada su enorme complejidad la mejor opción es abordar su desarrollo e implantación en etapas. El objetivo debe ser implantar un proceso cíclico. ANÁLISIS DISEÑO DEL PCN IMPLANTACIÓN DEL PCN REVISION TEST DEL PCN MANTENIMIENTO DEL PCN RECOPILACIÓN DE INFORMACIÓN FASE 1FASE 2 FASE 3

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.