Auditoria En Sistemas
Enviado por hseligosky • 2 de Febrero de 2013 • 1.024 Palabras (5 Páginas) • 254 Visitas
Bases de Datos
Las bases de datos son el activo más importante para las organizaciones, ya que poseen toda la información de la empresa, datos confidenciales que en manos ajenas puede ser muy riesgoso.
Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y también denegarlos.
La seguridad de la información es uno de los temas mas comentados en todo tipo de negocios, sin embargo hay aspectos claves que no siempre se consideran, y de hacerlo rara vez se lleva a la practica, perjudicando al negocio, y a la empresa en su totalidad.
Considerar la seguridad frente a nuestras bases de datos, y por tanto de nuestra información, abordando tanto el aspecto lógico como el físico como un todo, requiere variado conocimiento y sobretodo valor de acción, ya que es una tarea que involucra desde procesos claros y seguros, acciones de control sobre los repositorios de información, y una cultura organizacional de buenas.
Accesos y Controles
El objetivo es proteger la Base de Datos contra accesos no autorizados lo cual se llama también privacidad.
Accesos
INCLUYE ASPECTOS DE:
Aspectos legales, sociales y éticos
Políticas de la empresa, niveles de información publica y privada
Controles de tipo físico, acceso a las instalaciones
Identificación de usuarios: voz, retina del ojo, etc.
Controles de sistema operativo
TIPOS DE USUARIOS:
DBA, están permitidas todas las operaciones, conceder privilegios y establecer usuarios
Usuario con derecho a crear, borrar y modificar objetos y que además puede conceder privilegios a otros usuarios sobre los objetos que ha creado.
Usuario con derecho a consultar, o actualizar, y sin derecho a crear o borrar objetos.
MEDIDAS DE SEGURIDAD
Físicas: Controlar el acceso al equipo. Tarjetas de acceso, etc
Personal: Acceso sólo del personal autorizado. Evitar sobornos, etc.
SO: Seguridad a nivel de SO
SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.
Autorizaciones que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.
Discrecional: Se usa para otorgar y revocar privilegios a los usuarios a nivel de archivos, registros o campos en un modo determinado (consulta o modificación).
Obligatoria: sirve para imponer seguridad de varios niveles tanto para los usuarios como para los datos.
LAS TRES PRINCIPALES CARACTERÍSTICAS DE LA SEGURIDAD
confidencialidad,
la integridad y
la disponibilidad de la información
SERVICIOS DE SEGURIDAD Y ACCESOS
Autenticación: Se examinan las capacidades de logon único a la red, autenticación y seguridad
Sistema de Archivos Encriptado: El Sistema de Archivos Encriptado (Encrypted File System - EFS) proporciona la tecnología principal de encriptación de archivos para almacenar archivos del sistema de archivos NTFS de Windows NT encriptados en disco.
Seguridad IP: Windows IP Security, del Internet Engineering Task Force, proporciona a los administradores de redes un elemento estratégico de defensa para la protección de sus redes.
Servicios de seguridad en Windows 2000: se examinan los procedimientos relacionados con la gestión de cuentas, autenticación de red a nivel corporativo, así como el Editor de Políticas de Seguridad.
Tarjetas Inteligentes: se examinan los procesos de autenticación utilizando tarjetas inteligentes y los protocolos, servicios y especificaciones asociadas.
Tecnologías de Clave Pública: se revisa la infraestructura de clave pública incluida en los sistemas operativos de Microsoft y se proporciona información sobre criptografía.
Identificación y autentificación
En primer lugar el sistema debe identificar y autentificar a los usuarios utilizando alguno de las siguientes formas:
Código y contraseña
Identificación por hardware
Características bioantropométricas
...