Guía 6 Fase Evaluacion Bases de Datos.pdf

SERVICIO NACIONAL DE APRENDIZAJE SENA GUÍA DE APRENDIZAJE SISTEMA INTEGRADO DE GESTIÓN Proceso Gestión de la Formación Profesional Integral

Versión: 01 Fecha: 01/04/2013

Procedimiento Ejecución de la Formación Profesional Integral

Código: F004-P006-GFPI

Guía de aprendizaje Nº. 6 1.

IDENTIFICACIÓN DE LA GUÍA DE APRENDIZAJE

Programa de Formación: ESPECIALIZACIÓN ESPECIALIZAC IÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

Código del programa: 217219 Versión: 1

Nombre del proyecto: DISEÑO Y ADMINISTRAC ADMINISTRACIÓN IÓN DE UNA BASE DE DATOS PARA UNA ALCALDÍA.

Código del proyecto:

Fase del proyecto: EVALUACIÓN EVALUACIÓN Actividad del Proyecto: Efectuar acciones de protección a la base de datos

Actividad de Aprendizaje: Ambiente de formación: AA11 - Confirmar el Escenario, elementos cumplimiento políticas de y condiciones de seguridad. seguridad industrial, salud ocupacional y AA12 - Aplicar acciones medio ambiente. de protección a la base de datos.

AA13 - Producir documentación técnica de la seguridad de la información de las bases de datos Resultados de Aprendizaje: Competencia: • Realizar las acciones de Diagnóstico del nivel de protección de la BD de seguridad de la información acuerdo con las políticas de acuerdo con las normas de la organización y los internacionales y el objeto planes de contingencias de negocio. establecidos • Comprobar el cumplimiento de las políticas de seguridad siguiendo los protocoles establecidos

Materiales de formación: Devolutivo Consumible (Herramienta (unidades - equipo) empleadas durante el programa)

Ambiente Virtual N/A de Aprendizaje dispuesto en el Sistema de Gestión de Aprendizaje (LMS) accedido a través de la plataforma SENA SOFIA PLUS.

N/A

• Elaborar documentación

técnica de la seguridad de la información de las bases de datos según procedimientos de la organización y normas internacionales. Duración de la guía: 200 Horas

1 FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje

The world’s largest digital library

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.







Versión: 01 Fecha: 01/04/2013 Código: F004-P006-GFPI

2. INTRODUCCIÓN Un factor crítico para el buen desarrollo de las actividades que como administradores de base de datos debemos realizar tiene que ver con el aseguramiento de la información. Ya al inicio de las actividades de formación se conceptualizo sobre los estándares internacionales para la seguridad de la Información, a través de la norma ISO-27000, ahora es el momento de profundizar en aspectos que le permitirá definir y validar los esquemas de seguridad de la organización, así como la determinación de privilegios sobre los datos. Se introducirá sobre la gestión de riesgos como elemento que posibilita analizar los riesgos ri esgos y plantear las acciones ac ciones que permitirán prevenir, prevenir, mitigar o generar contingencias sobre estos. Durante el desarrollo de esta actividad de aprendizaje se deberán verificar las Políticas de Seguridad Seguri dad de la información a partir de los aspectos relevantes de las Normas y Estándares asociados a la Seguridad informática y el análisis y evaluación de Riesgos, con el fin de construir en forma colaborativa directrices que orienten el uso de las tecnologías y sensibilicen sobre la importancia de la protección a la información y a los servicios asociados a ésta. En procura de todo lo anterior, usted encontrará en el desarrollo de esta guía, actividades que le permitirán afrontar estas tareas, no solo para identificar riesgos o para realizar diagnósticos de seguridad, sino particularmente el tener la visión global de la seguridad en la información y las acciones requeridas para controlar accesos no autorizados y la preservación de los datos. Ahora lo invitamos a desarrollar las tareas para alcanzar los objetivos de esta fase con actitud crítica, argumentativa y propositiva. 3. ESTRUCTURACION DIDACTICA DE LAS ACTIVIDADES DE APRENDIZAJE 3.1 Actividades de Reflexión inicial. En el proceso de asegurar el acceso y la integridad de los datos, nos encontramos con tareas asociadas como son: • Clasificar los riesgos a partir de herramientas para su valoración. • Identificar las pruebas de seguridad que deben ser aplicadas. • Reconocer las características y funciones de seguridad que posee el SMBD. • Analizar el comportamiento obtenido al diligenciar la plantilla de verificación de Norma ISO

270002.

• Determinar el esquema de seguridad de acceso a implantar en el SMBD de acuerdo con las

características particulares de cada uno de ellos y de los acuerdos de niveles de servicio.

acci ones para mitigar • Construir el plan de gestión del riesgo, a partir de la cual se determinaran acciones o contrarrestar sus efectos.

• Establecer las políticas de seguridad a implantar desde la perspectiva de la gestión sobre las








Detengámonos un instante y pensemos en lo siguiente: • ¿Cómo se puede garantizar que la base de datos estará protegida protegi da contra accesos no autorizados? • ¿Cómo se deben definir los permisos y niveles de acceso? • ¿En qué se diferencia la identificación de la autenticación? • ¿Qué es ethical hacking? • ¿Qué es la Gestión de Riesgos? • ¿Por qué es importante Monitorear una base bas e de datos? Ahora lo invitamos a compartir sus respuestas a través del foro “Reflexión Inicial Guía N° 6” y

comentar la participación de dos compañeros retroalimentando desde su experiencia y acciones de aprendizaje. 3.2 Actividades de contextualización e identificación de conocimientos necesarios para el aprendizaje. La actividad de proyecto Efectuar acciones de protección a la Base de Datos, que se presenta y describe en esta guía, se desarrolla a través de las actividades de aprendizaje: AA11 - Confirmar el cumplimiento de políticas de seguridad, AA12 - Aplicar acciones de protección a la base de datos y AA13 - Producir documentación técnica de la seguridad de la información de las bases de datos. datos . Para el desarrollo de la AA11 – “Confirmar el cumplimiento de políticas de seguridad” se proporcionan documentos de apoyo, con el fin de realizar un trabajo autónomo que le permita asociar las temáticas dispuestas en esta actividad de aprendizaje y su aplicación. Así mismo se plantea la realización de las siguientes acciones: característi cas y funciones de seguridad del SGBD. • Actividad AA11-1: Conceptualizar sobre las características Las cuales están relacionadas con procesos a realizar dentro de la gestión de la seguridad de una base de datos como lo son: • Definir los procesos críticos del negocio

s eguimiento y control • Realizar el proceso de seguimiento • Verificar la presencia de amenazas y vulnerabilidades

La actividad AA12 - Aplicar acciones de protección a la base de datos, datos , en su desarrollo plantea la realización de las siguientes acciones: • Actividad AA12-1: Conceptualización sobre sistemas de seguridad








• Actividad AA12-2: Elaborar la Matriz de Análisis de Riesgos

Las cuales están relacionadas con procesos para proteger y mitigar los riesgos de seguridad en los datos: • Ajustar políticas de seguridad. • Clasificar los riesgos de información • Evaluar los riesgos de información. • Aplicar políticas de seguridad

Por último, la actividad AA13 - Producir documentación técnica de la seguridad de la información de las bases de datos, datos, en su desarrollo plantea la realización de las siguientes acciones: • Actividad AA13-1: Plan de gestión de riesgos (PGR).

Las cuales están relacionadas con la l a documentación de los procesos realizados para el aseguramiento de la información como lo son: • Generar informes de la seguridad de la información • Documentar planes de mitigación de riesgos

Para el desarrollo de las acciones asociadas a esta actividad de proyecto, se deben tener conceptos claros sobre: • Gestión del riesgo: Amenazas, vulnerabilidades, fuentes de riesgos, Identificación, evaluación

(métodos, probabilidad, impacto, exposición), control, matriz para el análisis de riesgos, planes de mitigación, planes de contingencia.

• Documentación técnica de la seguridad de la información de las bases de datos según

procedimientos de la organización y normas internacionales

Utilice el mapa conceptual con el fin de identificar cuáles son las actividades y evidencias de aprendizaje a desarrollar, en procura de alcanzar las competencias y resultados de aprendizaje que le permitan desarrollar en forma exitosa la actividad de proyecto “Efectuar acciones de protección a la base de datos” .








3.3 Actividades de apropiación del conocimiento Actividad AA11-1: Conceptualizar sobre las características y funciones de seguridad del SGBD. Para esta actividad se debe realizar una investigación sobre las opciones y herramientas suministradas por un sistema manejador de base de datos (SMBD) (SMB D) relacionadas con la seguridad de la información. Dentro de la investigación debe tener presente los siguientes aspectos: • Características de seguridad configurables. • Cuentas de Usuario y privilegios sobre los objetos del Sistema. • Integridad • Mecanismos de integridad y privacidad • Funciones de seguridad








Evidencia a Entregar: Para la verificación verificaci ón de esta evidencia, deberá construir un documento en extensión .pdf llamado Características y Seguridad de SQL Server.pdf donde se presente la descripción de las utilidades de SQL Server de acuerdo con los ítems relacionados anteriormente y enviarlo a través de la plataforma en la opción Actividades, en la ruta: • Carpeta del Proyecto: “Diseño y Administración de una base de datos para una alcaldía”

* Subcarpeta Fase del proyecto: Evaluación * Subcarpeta de la Actividad de proyecto 6. * Enlaces para la presentación de evidencia * AA11 - Evidencia 1: Características y Funciones de Seguridad del SMBD seleccionado Actividad AA12-1: Cuestionario Sistemas de Gestión y Normas de seguridad Para completar con éxito esta actividad es necesario fortalecer los conceptos acerca de Normas y Políticas de Seguridad, además sobre Sistemas Si stemas de Gestión de la Seguridad de la información. Para realizar esta fundamentación sobre los conocimientos mencionados, podrá revisar los siguientes recursos para el aprendizaje: • Objeto de Aprendizaje: sistemas de gestión de la seguridad de la información. • Objeto de Aprendizaje: Normas de Seguridad.

Una vez leído y resuelto las inquietudes sobre el material de estudio presentando en la guía, debe ingresar a la plataforma LMS y dejar evidencia del desarrollo desarroll o de estas actividades respondiendo el cuestionario “Sistemas de Seguridad de la Información” que está disponible en la opción del

menú del curso Actividades, en la ruta:

• Carpeta del Proyecto: “Diseño y Administración de una base de datos para una alcaldía”

* Subcarpeta Fase del proyecto: Evaluación * Subcarpeta de la Actividad de proyecto 6. * Enlaces para la presentación de evidencias * AA12 - Evidencia 1: Cuestionario “Sistemas de Seguridad de la Información” Actividad AA12-2: Diligenciamiento de la Matriz de Análisis de Riesgo En el desarrollo de esta actividad deberá construir la Matriz de Análisis de Riesgo en la que se realiza una aproximación generalizada de los riesgos asociados con el manejo de la información en la organización (la plantilla está en formato Excel y la pueden encontrar en materiales del programa de la fase de evaluación Actividad AA12-2 “Plantilla Matriz_Analisis_Riesgo.xls ” ). ). Para diligenciar esta matriz tenga en cuenta lo siguiente: Solo debe diligenciar las celdas en color amarillo, con lo cual se calculara el riesgo basado en










1 = Insignificante (incluido Ninguna) 2 = Baja 3 = Mediana 4 = Alta Las columnas de clasificación se marcan con “x “x”, ”, su uso no es obligatorio, ni incide en el cálculo del riesgo, pero puede ser utilizado para soportar la magnitud del daño definido. La matriz se suministra a partir de una hoja de cálculo y está compuesta por 6 hojas : Hoja Datos: Aquí se valoran el riesgo para los Elementos de Información “Datos e Informaciones”. Hoja Sistemas: Se utiliza para valorar el riesgo en la infraestructura de la compañía y el software utilizado. Hoja Personal: Permite valorar el riesgo relacionado con el personal o talento humano de la organización. Hoja Análisis_Promedio: Esta hoja muestra automáticamente el promedio aritmético de los diferentes riesgos, permitiendo identificar los grupos con mayores riegos. Hoja Análisis_Factores: Tamb También ién se actualiza de manera automática presentando una gráfica para el análisis del riesgo de los diferentes grupos. Hoja Fuente: En esta hoja se definición los parámetros para los cálculos cálcul os realizados en la matriz. Recuerde tomar como antecedentes toda la información de las actividades anteriores incluido el caso de estudio base. La matriz diligenciada deberá ser enviada como evidencia del desarrollo de la actividad, esto a través de la ruta: • Carpeta del Proyecto: “Diseño y Administración de una base de datos para una alcaldía”

* Subcarpeta Fase del proyecto: Evaluación * Subcarpeta de la Actividad de proyecto 6.








Evidencia a Entregar: Para la verificación verificaci ón de esta evidencia, deberá construir un documento en extensión .pdf llamado Políticas de Seguridad.pdf El Documento consolidado de la evidencia, deberá realizarse y enviarse a través de la plataforma pl ataforma tecnológica del ambiente Virtual de Aprendizaje en el vínculo correspondiente • Carpeta del Proyecto: “Diseño y Administración Admini stración de una base de datos para una alcaldía”

* Subcarpeta Fase del proyecto: Evaluación * Subcarpeta de la Actividad de proyecto 6. * Enlaces para la presentación de evidencias * AA12 - Evidencia 3: Políticas de Seguridad

Actividades de evaluación. Evidencias de Aprendizaje Criterios de Evaluació Evaluación n EVIDENCIAS DE CONOCIMIENTO • Documenta las características y AA11 - Evidencia 1: Características y Funciones funcionalidades que proporciona el de Seguridad del SMBD SMBD seleccionado, para asegurar seleccionado los datos desde la perspectiva de usuarios, objetos e integridad sobre los datos. • Conceptualiza los procesos asociados AA12 - Evidencia 1: Cuestionario “Sistemas de a c Responde apropiadamente a los Seguridad de la Información” cuestionamientos presentados y analiza los conceptos presentados de manera acertada.

EVIDENCIAS DE PRODUCTO AA12 - Evidencia 2: Matriz

●

Técnicas e Instrumentos de Evaluación Lista de chequeo para evaluar conocimiento, presentada en el instrumento de evaluación EGBDP06-AA11-EV01. Cuestionario “Sistemas de Seguridad de la Información”

publicado en el LMS.

Elabora la matriz para facilitar el Lista de chequeo para evaluar






Versión: 01 Fecha: 01/04/2013

Procedimiento Ejecución de la Formación Profesional Integral 4.

Código: F004-P006-GFPI

RECURSOS PARA EL APRENDIZAJE

ACTIVIDADES DEL PROYECTO

DURACIÓN (Horas)

MATERIALES DE FORMACIÓN

TALENTO HUMANO (Instructores) Especialidad Cantidad

AMBIENTE DE FORMACIÓN

Objetos de aprendizaje: •

Gestión de Incidentes

•

Acuerdos de niveles de servicio

•

Gestión de Desempeño

Desarrollar el mantenimiento preventivo, correctivo o proactivo para 180 horas garantizar niveles de servicio requeridos por la organización.

Índices

Profesional en Ingeniería • Optimización de La estructura de Sistemas o afines, con de la Base de Datos experiencia bloqueo, en Bases • Concurrencia, de Datos, accesos. preferiblemente con Laboratorios: Certificación Internacional • Gestión del rendimiento en en Sistemas SMBD. Manejadores de Base de • Optimización de consultas SQL Datos. a través de herramientas del SMBD. •

•

1

Ambiente Virtual de Aprendizaje dispuesto en el Sistema de Gestión de Aprendizaje (LMS) accedido a través de la plataforma SENA SOFIA PLUS.

Concurrencia y bloqueos en los SMBD.

Documentos de apoyo: •

5.

Plantilla SLA.

GLOSARIO DE TERMINOS • DIAGNÓSTICO: Una etapa en Ciclo de vida de Incidentes y Problemas. El propósito de Diagnóstico es identificar un Alternativa (solución temporal) para un Incidente o la Causa Raíz








6.

BIBLIOGRAFÍA / WEBGRAFÍA Internaci onal ISO/IEC 17799 • Estándar Internacional ISO/IEC. (15 de Junio del 2006). Estándar Internacional Segunda Edición. si stemas de gestión de seguridad de información • Alberto G. Alexander. (2007). Diseño de un sistemas (1ra edición). Bogotá, Colombia: Editorial Alfaomega.

Technology Infrastructure Library). Open Guide (2012). (2012 ). Consultado en mayo • ITIL (Information Technology de 2012 en: http://www.itlibrary.org/index.php?page=ITIL

Technology Infrastructure Library). Glosario Gl osario de Términos ITIL®, Definiciones • ITIL (Information Technology y Acrónimos. Consultado en mayo de 2012 en: www.itil-officialsite.com

• Symantec (2014) Glosario de Seguridad. Recuperado de http://www.symantec.com/es/mx/ de http://www.symantec.com/es/mx/

theme.jsp?themeid=glosario-de-seguridad

• Reyes Plata, Alejandro.(2011). Al ejandro.(2011). Ethical Hacking. UNAM UNAM-CERT -CERT.. Recuperado de http://www. de http://www.

seguridad.unam.mx/documento/?id=7

• Tori, Carlos. (2008). Hacking Ético. Rosario Argentina. Recuperado de

es/~nino/blog/lsi/documentos/hacking-etico.pdf 7. CONTROL DEL DOCUMENTO Elaboró Revisó Aprobó

Nombre Cargo Yaqueline Chavarro Instructor - Experto Técnico Rafael Neftali Lizcano Reyes Instructor – Asesor Pedagógico Rafael Neftali Lizcano Reyes Instructor – Asesor Pedagógico

http://www.tic.udc.

Fecha Mayo de 2015 Mayo de 2015 Mayo de 2015

Guía 6 Fase Evaluacion Bases de Datos.pdf

Recommend Documents