Seguridad datos i

Administración de Base de Datos
Seguridad de datos I
Profesora: Mercy Ospina
Mercy.ospinat@gmail.com
UNIVERSIDAD CENTRAL DE VENEZUELA
FACULTAD DE CIENCIAS
ESCUELA DE COMPUTACIÓN

Agenda
Conceptos básicos
Amenazas a los datos en un SBD
Políticas de administración de seguridad
Medidas de control de seguridad
Modelos de seguridad de datos
Aspectos de seguridad de datos
Buenas prácticas de seguridad de datos
Tendencias en la seguridad de datos

Aspectos
Marzo 2012 Administración de Base de Datos 4
Seguridad

Aspectos
Seguridad
Aspectos legales y éticos
Cierto tipo de información está considerada como
privada y no puede ser accedida legamente por personas
no autorizadas.
En Venezuela se tienen las siguientes legislaciones
•Constitución, Articulos 28, 60 y 143
•Ley de Tecnología de la Información 2006.
•Ley Especial contra Delitos Informáticos del 30 de Octubre de 2001 (Artíc

Aspectos
Carácter confidencial y privado de la información
Artículo 66.
La información sobre la vida privada e intimidad de las
personas es de carácter confidencial y privado. Los datos
personales asentados en archivos, registros, bases de
datos, u otros medios electrónicos de tratamiento de
datos, estarán íntegramente protegidos para garantizar
el derecho al honor y a la intimidad de las personas, así
como también el acceso a la información que sobre las
mismas se registre, de conformidad a lo establecido en
los artículos 28, 60 y 143 de la Constitución Nacional

Aspectos
Limitación en la solicitud de datos personales Artículo
69.
La información personal que se solicita a los ciudadanos
debe limitarse estrictamente a aquella información
básica para la prestación del servicio solicitado;
comprobar su identidad y garantizar la seguridad y
confiabilidad de la transacción. Cada vez que se reciba
del ciudadano una solicitud, se recogerá y guardará en
los registros o archivos informáticos la fecha y la hora de
la solicitud, la dirección del protocolo de Internet de
donde se origina la solicitud y el propósito de la misma.

Aspectos
Políticas a nivel gubernamental , institucional o
de empresas
La organización establece que tipo de información
no debería estar disponible públicamente.
Por ejemplo:
•Las concesiones de créditos por un banco
•Los informes médicos personales
•Los datos de diseño de partes electrónicas

Aspectos
Temas relativos al sistema
Se refiere a los niveles del sistema donde se
deben reforzar las funciones de seguridad:
•Nivel físico del hardware
•Nivel del SO
•Nivel del SMBD
•Nivel de red (Acceso por internet, cloud)

Aspectos
Niveles de seguridad para clasificar datos y
usuarios
Ciertas organizaciones requieren clasificar los
datos según su nivel de importancia y pueden
requerir tratamiento distinto dependiendo de
su tipo o clasificación
Por ejemplo en departamentos de inteligencia
policial puede haber información confidencial,
secreta, y no clasificada.

Conceptos básicos

Conceptos básicos
Integridad
Se puede
contra
es
Características

http://www.oas.org/es/sla/ddi/docs/proteccion_datos_personales_conferencias_estrasburg
o_res_madrid_2013.pdf

Conceptos básicos
Integridad

Conceptos básicos
Determinadas por
Asociados a
son

Conceptos básicos
Integridad
Se pueden
Usadas para
son

Agenda
Conceptos básicos
Amenazas a los datos en un SBD
Políticas de seguridad
Medidas de control de seguridad
Modelos de seguridad de datos
Aspectos de seguridad de datos
Buenas prácticas de seguridad de datos
Tendencias en la seguridad de datos

Cualquier situación que puede afectar adversamente
a un sistema y la organización.
Amenazas a la base de dato

Medidas de control

Medidas de Control- Control de acceso

Privilegios
• Permite o evita acceder o
modificar los datos
• Permite o evita crear,
modificar o eliminar
estructuras
Control de Acceso
Reglas de
seguridad
Autenticación: categoría de
credencial utilizada para la
verificación de identidad
• Cuenta de usuario
• Contraseña
Se conceden
Requiere

Privilegios o tipos de acceso
Datos
Estructuras
DML
-Insert
-Update
-Delete
-Select
DDL
- Create
- Alter
- Drop

Control de Acceso Discrecional (DAC)

Control de Flujo
U1
tiene acceso a R1 y R2
R1
R2
Lee datos de R1
escribe datos
de R1 a R2
U2
Tiene acceso a R2 pero no a R1
Problema: U2
Puede leer datos
que vienen de R1

Clasifica a los objetos y usuarios (sujetos)
Control de Acceso Obligatorio (MAC)
Niveles de seguridad
clase (o)
TS (Top Secret)
S (Secret)
C (Confidential)
U (Unclassified)
Niveles de
autorización
clase (s)
Forman una jerarquía

Control de acceso Obligatorio (MAC)
Debe cumplir dos propiedades:

Control de acceso Obligatorio (MAC)

Control de acceso basado en roles (RBAC)
Permisos
RolesUsuarios
Los permisos están
asociadas a rolesy a cada usuario
se le asignan los
roles apropiados

Permisos
RolesUsuarios Garantiza que sólo los
usuarios autorizados tengan
acceso a los objetos de
datos.
Alternativa a DAC
y MAC
La jerarquía de roles
refleja la jerarquía de
autoridades y
responsabilidades de la
organización

• SQL 2003
• Se basa en la creación de autoridades: si algo esta
autorizado no esta restringido.
• Nombre de la autoridad: usuario o rol
• Privilegios
• Estructura de datos sobre la que se concede el privilegio
Control de Acceso en SQL

• Un identificador de autorización es
• Un usuario
• Un rol
• Crear usuarios
• Crear roles
<authorization identifier> ::=
<role name> | <user identifier>
CREATE ROLE <role name> [ WITH ADMIN {CURRENT_USER |
CURRENT_ROLE}] IDENTIFIED BY <password>
CREATE USER <user identifier> IDENTIFIED BY <password>

• Roles
CREATE ROLE dw_manager IDENTIFIED BY warehouse;

• Concesión de privilegios
identificador de
autorización

• Revocación de privilegios
identificador de
autorización

Administración de Base de datos
Seguridad de Datos I
Profesora: Mercy Ospina
Mercy.ospinat@gmail.com
UNIVERSIDAD CENTRAL DE VENEZUELA
FACULTAD DE CIENCIAS
ESCUELA DE COMPUTACIÓN

Seguridad datos i

Más contenido relacionado

La actualidad más candente (20)

Similar a Seguridad datos i (20)

Más de Escuela de Computación UCV (20)

Último (20)

Seguridad datos i