Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo, se crea un riesgo innecesario. Est...
GESTION DE LA SEGURIDAD INFORMATICADescripción completa
Acercamiento a las bases de datos.
Breve descripción de bases de datos relacionalesDescripción completa
Descripción completa
Descripción completa
administracion de bases de datos como monitorearDescripción completa
Bases de datosDescripción completa
Un pequeño resumen sobre bases de datos, donde se describen varios motores de bases de datos.
Descripción completa
Descripción: base de datos
Descripción completa
Descripción completa
Todo Sobre Bases de DatosDescripción completa
Full description
Descripción completa
Descripción: Bases de Datos
Descripción: Informacion acerca de bases de datos Centralizadas
1
Gestión de la Seguridad Informática
EVIDENCIA INFORME “AME AMENAZA NAZAS S A LAS BASES BAS ES DE DATOS”
Estudiante CARLOS ALIRIO DUARTE DUARTE
ACTIVIDAD N° 2
Doente
In!enie"a de Siste#as $ANET% ACEVEDO LE&UIZAM'N &esti(n de )a Se!u"idad In*o"#+tia Cent"o Indust"ia) de Manteni#iento , Manu*atu"a SENA Re!iona) Bo,a+ - So!a#oso
SERVICIO NACIONAL DE APRENDIZAJE
Vi))a.ienio /Meta01 2 de se3tie#4"e de 2567
2
Gestión de la Seguridad Informática
“A#ena8as a )as 4ases de datos” ¿9u: es una 4ase de datos ? Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar fácilmente. Las bases de datos son el “corazón” del negocio es el acti!o más importante Las empresas no in!ierten en la protección de sus bases de datos. Los piratas informáticos acceden a datos sensibles y pueden e"traer !alores causar da#os o afectar las operaciones comerciales causando pérdidas financieras. ¿9u: es a#ena8a? $eligro inminente que surge de un %ec%o o acontecimiento que a&n no %a sucedido pero que de concretarse aquello que se di'o que iba a ocurrir dic%a circunstancia o %ec%o per'udicará a una o !arias personas en particular. La infraestructura empresarial de bases de datos está sometida a una cantidad abrumadora de riesgos. Las diez principales amenazas para las bases de datos (. *. ,. . /. 3. 5. 7. 9. (;.
)buso de permisos e"cesi!os. )buso de permisos leg+timos. -le!ación de pri!ilegios. -"plotación de bases de datos !ulnerables y mal configuradas. 01L 2n'ection. 4razas de auditor+a deficientes. 6enegación de ser!icio. 8ulnerabilidades de protocolo de comunicación de bases de datos. :opias no autorizadas de datos confidenciales. -"posición de datos de copia de seguridad.
Usted como representante de la organización debe dar a conocer al menos dos de las amenazas que se muestran en la tabla y sus posibles controles o la disminución de estos riesgos.
6; A4uso de e<esi.os
3e"#isos
:uando a los usuarios
3
Gestión de la Seguridad Informática
administrador uni!ersitario cuya responsabilidad sólo necesita la capacidad de cambiar la información de contacto de los estudiantes puede apro!ec%arse de la concesión de permisos e"cesi!os de actualización de bases de datos para cambiar las calificaciones de los estudiantes.
="e.eni(n de) a4uso de 3e"#isos e<esi.os> e)i#inai(n de de"e?os e<esi.os , su a3)iai(n a t"a.:s de) ont"o) de aeso a ni.e) de onsu)ta; La solución para la amenaza que representan los permisos e"cesi!os es la eliminación de éstos. $ara ello es necesario poder identificar los derec%os e"cesi!os es decir derec%os que el usuario no necesita para lle!ar a cabo su traba'o. -sto se logra mediante la e"tracción de permisos de las bases de datos correlación de permisos con el usuario de la organización y análisis de estos permisos. 0e trata de un proceso largo y complicado que si se %ace manualmente absorbe grandes cantidades de tiempo y recursos. Una solución automatizada puede reducir en gran medida el tiempo y recursos necesarios y acortar el proceso de análisis.
2; E<3)otai(n de 4ases de datos .u)ne"a4)es , #a) on*i!u"adas -s com&n encontrar bases de datos !ulnerables a las que no se %an aplicado parc%es o bases de datos que toda!+a tienen las cuentas y los parámetros de configuración predeterminados. Un atacante que busque apro!ec%arse de los puntos débiles de la base de datos por lo general probará los sistemas para detectar estas !ulnerabilidades lo que puede comprometer la seguridad mientras los pro!eedores no lanzan un parc%e para proteger a los sistemas contra una cierta !ulnerabilidad la base de datos de la organización queda desprotegida.
="e.eni(n> e.a)uai(n , 3a"?eo de .u)ne"a4i)idades. $ara mitigar la amenaza sobre las bases de datos !ulnerables y sin parc%es en primer lugar es necesario e!aluar la situación de seguridad de las bases de datos y cerrar todas las !ulnerabilidades y brec%as de seguridad conocidas. La organización debe e"aminar periódicamente la base de datos para detectar !ulnerabilidades y parc%es no aplicados. Las e!aluaciones de configuración deben proporcionar una imagen clara del estado actual de la configuración de los sistemas de datos. -stas e!aluaciones también deben identificar las bases de datos que no cumplan con las pol+ticas de configuración definidas. :ualquier parc%e de seguridad no aplicado debe instalarse lo antes posible. 0i se descubre una !ulnerabilidad y el parc%e a&n no está disponible ya sea porque el pro!eedor no lo %a proporcionado o porque toda!+a no se %a instalado se debe implementar una solución de parc%e !irtual. -ste tipo de solución bloquea cualquier intento de e"plotar estas !ulnerabilidades. $or lo tanto al minimizar el plazo de e"posición con parc%es
4
Gestión de la Seguridad Informática
!irtuales se protege a la base de datos contra los intentos de e"plotación de sus !ulnerabilidades %asta que se instala un parc%e.
@; E<3osii(n de datos de o3ia de se!u"idad Los medios de almacenamiento de las copias de seguridad de las bases de datos quedan a menudo sin protección contra los ataques. :omo resultado !arias !iolaciones de seguridad de alto perfil %an in!olucrado el robo de cintas y discos con copias de seguridad de bases de datos.
="e.eni(n de )a e<3osii(n de datos de o3ia de se!u"idad 4odas las copias de seguridad de las bases de datos deber+an ser cifradas. -n realidad !arios pro!eedores %an sugerido que los futuros productos de sistemas de gestión de bases de datos no admitan la creación de copias de seguridad sin cifrar. ) menudo se %a sugerido el cifrado de la información de bases de datos de producción en l+nea pero los problemas de rendimiento y de gestión de las cla!es criptográficas a menudo %acen que esto no resulte práctico y por lo general se considera como un sustituto deficiente para los controles granulares de pri!ilegios que se describen anteriormente.
Con)usi(n :ontar con una estrategia de seguridad de la información basada en riesgos que esté alineada con las necesidades del negocio. -sto permite lograr el cumplimiento y mantener la integridad y confidencialidad de la información cr+tica. >uscar medios para medir monitorear y reportar sobre la eficacia del programa de seguridad y los controles. )unque la información de las bases de datos es !ulnerable ante una serie ataques es posible reducir drásticamente el riesgo concentrándose en amenazas más cr+ticas. )l ofrecer soluciones a tres principales amenazas que describen anteriormente las organizaciones satisfarán los requisitos cumplimiento y mitigación de riesgos de las industrias más reguladas del mundo.
de las se de
ptimizar los programas de seguridad para obtener eficiencias y reducir costos. :rear una cultura de confianza y responsabilidad entre los clientes consumidores pro!eedores y empleados en un mundo con cada !ez menos fronteras.