Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin Universitaria

Universidad Politcnica Territorial del Oeste de Sucre
Clodosbaldo Russin
Programa Nacional de Formacin en Informtica
Cuman, Estado Sucre

Seguridad y Respaldo

Participante:
Jesmarian Rondn
C.I: 21.095.121
Seccin 3

Cumana, Julio 2015

Aspectos bsicos
Gran parte de los errores en cuanto a la seguridad en base de datos aun con el
avance tecnolgico suele producirse por la falta de preocupacin de los
procedimientos sencillos que a la larga se convierten en graves inconvenientes
que afecta en lo concerniente a la seguridad. Todo tiene que quedar de acuerdo
con lo planeado, sin ninguna omisin por ms mnima que sea; as como en la
instalacin, en el diseo o en el desarrollo, cualquier punto que se deje sin la
preocupacin debida puede ser la entrada para los atacantes.

Tcnicas de seguridad
Las bases de datos son una de las grandes desconocidas en el mundo de la
auditora de sistemas y en las revisiones de seguridad. No es fcil encontrarse con
auditores experimentados en este campo, y eso quizs responde a la enorme
complejidad, tecnolgica y no tecnolgica que tienen las bases de datos
empresariales, por no hablar de que cada entorno es hijo de su padre y su madre,
y la uniformidad de la tecnologa es algo que brilla por su ausencia. Es muy
frecuente que los dictmenes se basen en auditar aspectos aislados de la base de
datos y no en su conjunto, y lo que es peor: ni pararse a pensar en los datos,
estudiando solamente si la plataforma que contiene los datos es o no acorde a una
determinada gua de militarizacin.
Es por ello que algunas tcnicas de seguridad de base de datos son:
1. El modelo de proteccin de datos
Cuando se planifica la seguridad de una base de datos, la nica manera de
hacerlo bien es acorde a una definicin previa de algo tan bsico como qu es lo
que queremos proteger, dnde y cmo. Este modelo, aunque lo podemos impulsar
desde el departamento de seguridad, quien tiene que autorizarlo es el propietario
de los datos, muchas veces con ayuda de especialistas, como el departamento
legal para el caso de cumplimiento normativo.
2. El cifrado de los datos
Este es uno de los puntos cruciales y que genera ms confusin y controversia.
Qu duda cabe que si queremos proteger datos, los razonable es acudir al cifrado.
Lo razonable y lo nico que sirve, siempre y cuando se acompae al cifrado de
otras medidas que describiremos. Pequeo corolario: los datos crticos que no
estn cifrados no estn protegidos. Y peor an: el cifrado tiene que afectar a todos
los elementos que protegen a los datos, da igual que sea un campo de la base de

datos, una fila, una columna, una tabla o la base completa.es decir que el sistema
de ficheros del sistema operativo tambin tiene que estar cifrado. Y las
comunicaciones de la base de datos con el resto de la infraestructura. Incluso la
memoria de la mquina donde se ubica el gestor, idealmente. Cifrar es cifrar todo,
si algo en la cadena no est cifrado el resultado es datos crticos no protegidos.
3. Control de superusuarios y otros usuarios privilegiados
Muy atentos a este factor. Da igual lo que hagas respecto a cifrar, y da igual lo que
exista o no un plan de proteccin. Si los superusuarios no estn controlados, no
existe seguridad. Esto aplica a cada uno de los usuarios que tienen relacin con
los datos, ya sea el DBA, el root del sistema donde corre la base de datos o el
amiguete que controla las llaves maestras del HSM donde reside la criptografa.
Un superusuario sin control puede hacer lo que quiera con la base de datos, y la
nica manera de controlar esto es declarar las medidas de control all donde el
superusuario no tiene privilegio alguno. Que necesitan acceso a produccin para
resolver emergencias? Sin problema. Lo pueden tener. Es vital y necesario que
existan reglas que definan qu pueden hacer, y qu eventos requieren
autorizacin o monitorizacin especial. Tener superusuarios que pueden entrar
cuando quieren y hacer lo que quieren sin que exista control alguno es equivalente
a tener una base de datos insegura.
4. Auditora
Una instalacin de seguridad que protege a datos crticos sin trazas de auditora
es intil. Si no sabemos quin ha hecho qu, y en qu momento, no es posible
armar un sistema de monitorizacin acorde y lgicamente, se pierde toda la traza
en caso de ser necesaria una investigacin. La auditora ha de ser completa, no
slo para el motor de la base de datos, sino para el sistema operativo, y para los
datos crticos, debe quedar claramente registrado quin ha ledo, modificado o
borrado un dato. Obviamente, para proteger adecuadamente la auditora, es
preciso moverla a una consola segura y monitorizada donde los superusuarios de
la base de datos y sus componentes satelitales no tengan acceso de ningn tipo.
5. Monitorizacin
Hemos definido un plan, hemos cifrado, hemos segregado funciones y tenemos el
mejor registro de auditora de la historia. Pongamos la guinda al pastel
monitorizando los elementos crticos, por ejemplo, consultas inusuales, comandos
privilegiados, procesos que no acaban a su hora, uso de credenciales
privilegiadas, operativas de mantenimiento de la base de datos, etc.

Gestin de seguridad
Usuario responsable directo DBA, son los encargados de establecer usuarios
conceder permisos, puede crear borrar modificar objetos creados por ellos, segn

el caso que se presente, tambin puede dar permisos a otros usuarios sobre estos
objetos creados.
Medidas de seguridad Generales Fsicas: Comprende el control de quienes
acceden al equipo. Personal: Determinacin del personal que tiene el acceso
autorizado. SO: Tcnicas que se establecen para proteger la seguridad del
Sistema Operativo SGBD: Utilizacin de las herramientas que facilita el SGBD.

Concesin y renovacin de privilegios

Los controles de acceso de un sistema son los encargados de la renovacin y
concesin de privilegios, permitiendo as a los usuarios crear y acceder (es decir
leer, escribir y modificar), algn objeto de la base de datos, o ejecutar ciertas
utilidades del SGBD. Los privilegios se conceden a los usuarios para que estos
puedan llevar a cabo las tareas requeridas por su trabajo.

Herramientas de auditoria de base de datos

EventLog Analyzer permite centralizar los logs (visor de sucesos) de sus
servidores, aplicaciones y dispositivos de red, otorgando visibilidad al histrico de
sucesos a travs de una sencilla e intuitiva consola web. La centralizacin de logs
hace que la monitorizacin de sistemas crticos sea mucho ms sencilla. Se
pueden configurar notificaciones y alarmas para informar sobre sucesos concretos
y se pueden programar el envo automtico de informes mediante correo
electrnico.
PowerBroker Databases securiza, gestiona y audita eficazmente las bases de
datos en entornos heterogneos. Monitoriza y controla la actividad de los
administradores y usuarios privilegiados, y permite delegar permisos muy
especficos en el acceso a los datos. Sus herramientas de auditora, trazabilidad,
control de permisos, y reporting facilitan enormemente el cumplimiento de las
polticas de seguridad.

Respaldo y recuperacin de copia de seguridad

Copias de seguridad Respaldo es la obtencin de una copia de los datos en otro
medio (magntico, pticos, etc.) de tal modo que a partir de dicha copia es posible
restaurar el sistema al momento de haber realizado el respaldo. Por lo tanto, los
respaldos deben hacerse con regularidad, con la frecuencia preestablecida y de la
manera indicada, a efectos de hacerlos correctamente.
En general, hay tres tcnicas de copia de seguridad y son: Copia de seguridad sin
conexin (en fro) Copia de seguridad en conexin (en caliente) Copia de
seguridad en conexin activa Copias de seguridad.

Copia de seguridad sin conexin (en fro): La base de datos se cierra limpiamente
y se pone fuera de conexin. El software de copia de seguridad independiente
copia entonces los archivos en los dispositivos de copia de seguridad. Cuando la
copia finaliza, la base de datos se puede poner en conexin. Los datos dejan de
estar disponibles desde el momento en que la base de datos comienza a cerrarse
hasta que se pone de nuevo en conexin.
Copia de seguridad en conexin (en caliente): El sistema de administracin de la
base de datos se est ejecutando y la base de datos est en conexin. Sin
embargo, no se est teniendo acceso a la base de datos propiamente dicha y, por
lo tanto, no est disponible para que la usen las aplicaciones durante la copia de
seguridad.
Copia de seguridad en conexin activa: La base de datos est en conexin y se
usa activamente. La copia de seguridad se ejecuta durante el procesamiento
normal de transacciones. No se requiere ninguna pausa para la copia de
seguridad.
Tipos de respaldos: Existen diferentes tipos de respaldos posibles, que se pueden
complementar entre s, como ser: Respaldos globales (full back-up): Se realiza un
respaldo total del disco, se respalda la totalidad de las bases de datos y la
totalidad de las operaciones que se mantienen en lnea (online). Si se realiza
diariamente, ante cualquier problema solamente se debe recuperar el respaldo del
da anterior. Es el ms seguro ya que se tiene la totalidad de los datos, pero
tambin es el que insume mayor cantidad de tiempo y capacidad del soporte
magntico.

Tcnicas de recuperacin
El escenario ms comn de "recuperacin de datos" involucra una falla en el
sistema operativo (tpicamente de un solo disco, una sola particin, un solo
sistema operativo), en este caso el objetivo es simplemente copiar todos los
archivos requeridos en otro disco. Esto se puede conseguir fcilmente con un Live
CD, la mayora de los cuales proveen un medio para acceder al sistema de
archivos, obtener una copia de respaldo de los discos o dispositivos removibles, y
luego mover los archivos desde el disco hacia el respaldo con un administrador de
archivos o un programa para creacin de discos pticos. Estos casos pueden ser
mitigados realizando particiones del disco y continuamente almacenando los
archivos de informacin importante (o copias de ellos) en una particin diferente
del de la de los archivos de sistema en el sistema operativo, los cuales son
reemplazables.
La recuperacin de datos en caso de daos fsicos de los medios de
almacenamiento puede involucrar mltiples tcnicas. Algunos daos pueden ser
reparados sustituyendo piezas o partes de un disco duro. Con slo esto se puede

lograr que el disco sea utilizable, pero puede que haya an ms daos fsicos y/o
lgicos. Un procedimiento especializado de lectura bit a bit es utilizado para
recuperar cualquier bit legible de las superficies magnticas de los discos duros.
Una vez se obtiene una imagen del disco, esta se guarda en un medio confiable,
de este modo la imagen puede ser analizada de forma segura buscando daos
lgicos y posiblemente permitiendo que gran parte del sistema de archivos original
pueda ser reconstruido.