1

Gestin de la Seguridad Informtica

EVIDENCIA INFORME
AMENAZAS A LAS BASES DE DATOS

Estudiante
CARLOS ALIRIO DUARTE DUARTE

ACTIVIDAD N 2

Docente
Ingeniera de Sistemas YANETH ACEVEDO LEGUIZAMN
Gestin de la Seguridad Informtica
Centro Industrial de Mantenimiento y Manufactura
SENA Regional Boyac - Sogamoso

SERVICIO NACIONAL DE APRENDIZAJE

Villavicencio (Meta), 25 de septiembre de 2017

 2

Gestin de la Seguridad Informtica

Amenazas a las bases de datos

Qu es una base de datos?

Una base de datos es un almacn que nos permite guardar grandes cantidades de
informacin de forma organizada para que luego podamos encontrar y utilizar
fcilmente.

Las bases de datos son el corazn del negocio, es el activo ms importante

Las empresas no invierten en la proteccin de sus bases de datos. Los piratas

informticos acceden a datos sensibles y pueden extraer valores, causar daos o
afectar las operaciones comerciales causando prdidas financieras.

Qu es amenaza?

Peligro inminente, que surge, de un hecho o acontecimiento que an no ha

sucedido, pero que de concretarse aquello que se dijo que iba a ocurrir, dicha
circunstancia o hecho perjudicar a una o varias personas en particular.

La infraestructura empresarial de bases de datos est sometida a una cantidad

abrumadora de riesgos.

Las diez principales amenazas para las bases de datos

1. Abuso de permisos excesivos.

2. Abuso de permisos legtimos.
3. Elevacin de privilegios.
4. Explotacin de bases de datos vulnerables y mal configuradas.
5. SQL Injection.
6. Trazas de auditora deficientes.
7. Denegacin de servicio.
8. Vulnerabilidades de protocolo de comunicacin de bases de datos.
9. Copias no autorizadas de datos confidenciales.
10. Exposicin de datos de copia de seguridad.

Usted como representante de la organizacin, debe dar a conocer al menos dos de

las amenazas que se muestran en la tabla y sus posibles controles o la disminucin
de estos riesgos.

1. Abuso de permisos
excesivos

Cuando a los usuarios (o las

aplicaciones) se les conceden
permisos de acceso a la base de
datos que superan los requisitos de
su funcin, es posible que exista
abuso de estos permisos con fines
malintencionados. Por ejemplo, un
 3

Gestin de la Seguridad Informtica

administrador universitario cuya responsabilidad slo necesita la capacidad de

cambiar la informacin de contacto de los estudiantes puede aprovecharse de la
concesin de permisos excesivos de actualizacin de bases de datos para cambiar
las calificaciones de los estudiantes.

Prevencin del abuso de permisos excesivos: eliminacin de derechos

excesivos y su aplicacin a travs del control de acceso a nivel de consulta.

La solucin para la amenaza que representan los permisos excesivos es la

eliminacin de stos. Para ello, es necesario poder identificar los derechos
excesivos, es decir, derechos que el usuario no necesita para llevar a cabo su
trabajo. Esto se logra mediante la extraccin de permisos de las bases de datos,
correlacin de permisos con el usuario de la organizacin y anlisis de estos
permisos. Se trata de un proceso largo y complicado, que si se hace manualmente
absorbe grandes cantidades de tiempo y recursos. Una solucin automatizada
puede reducir en gran medida el tiempo y recursos necesarios y acortar el proceso
de anlisis.

2. Explotacin de bases de datos

vulnerables y mal configuradas

Es comn encontrar bases de datos

vulnerables a las que no se han aplicado
parches, o bases de datos que todava
tienen las cuentas y los parmetros de
configuracin predeterminados. Un
atacante que busque aprovecharse de los
puntos dbiles de la base de datos por lo
general probar los sistemas para detectar estas vulnerabilidades, lo que puede
comprometer la seguridad, mientras los proveedores no lanzan un parche para
proteger a los sistemas contra una cierta vulnerabilidad, la base de datos de la
organizacin queda desprotegida.

Prevencin: evaluacin y parcheo de vulnerabilidades.

Para mitigar la amenaza sobre las bases de datos vulnerables y sin parches, en
primer lugar, es necesario evaluar la situacin de seguridad de las bases de datos y
cerrar todas las vulnerabilidades y brechas de seguridad conocidas. La organizacin
debe examinar peridicamente la base de datos para detectar vulnerabilidades y
parches no aplicados. Las evaluaciones de configuracin deben proporcionar una
imagen clara del estado actual de la configuracin de los sistemas de datos.

Estas evaluaciones tambin deben identificar las bases de datos que no cumplan
con las polticas de configuracin definidas. Cualquier parche de seguridad no
aplicado debe instalarse lo antes posible. Si se descubre una vulnerabilidad y el
parche an no est disponible, ya sea porque el proveedor no lo ha proporcionado o
porque todava no se ha instalado, se debe implementar una solucin de parche
virtual. Este tipo de solucin bloquea cualquier intento de explotar estas
vulnerabilidades. Por lo tanto, al minimizar el plazo de exposicin con parches
 4

Gestin de la Seguridad Informtica

virtuales se protege a la base de datos contra los intentos de explotacin de sus

vulnerabilidades hasta que se instala un parche.

3. Exposicin de datos de copia de

seguridad

Los medios de almacenamiento de las

copias de seguridad de las bases de datos
quedan a menudo sin proteccin contra los
ataques. Como resultado, varias
violaciones de seguridad de alto perfil han
involucrado el robo de cintas y discos con
copias de seguridad de bases de datos.

Prevencin de la exposicin de datos de copia de seguridad

Todas las copias de seguridad de las bases de datos deberan ser cifradas. En
realidad, varios proveedores han sugerido que los futuros productos de sistemas de
gestin de bases de datos no admitan la creacin de copias de seguridad sin cifrar.
A menudo se ha sugerido el cifrado de la informacin de bases de datos de
produccin en lnea, pero los problemas de rendimiento y de gestin de las claves
criptogrficas a menudo hacen que esto no resulte prctico y por lo general se
considera como un sustituto deficiente para los controles granulares de privilegios
que se describen anteriormente.

Conclusin

Contar con una estrategia de seguridad de la informacin basada en riesgos que

est alineada con las necesidades del negocio. Esto permite lograr el cumplimiento
y mantener la integridad y confidencialidad de la informacin crtica.

Buscar medios para medir, monitorear y reportar sobre la eficacia del programa de
seguridad y los controles.

Aunque la informacin de las bases de datos es vulnerable ante una serie de

ataques, es posible reducir drsticamente el riesgo concentrndose en las
amenazas ms crticas. Al ofrecer soluciones a tres principales amenazas que se
describen anteriormente, las organizaciones satisfarn los requisitos de
cumplimiento y mitigacin de riesgos de las industrias ms reguladas del mundo.

Optimizar los programas de seguridad para obtener eficiencias y reducir costos.

Crear una cultura de confianza y responsabilidad entre los clientes, consumidores,

proveedores y empleados en un mundo con cada vez menos fronteras.