lunes, 12 de mayo de 2014

Actividad #29 Auditoria de Base de datos.

Un dato es un valor discreto que describe un hecho del mundo. Un dato no está

estructurado, no dice nada sobre el porqué de las cosas, ni tampoco sobre su posible

interpretación o propósito (por ejemplo, el valor 37).

A diferencia de los datos, la información sí tiene interpretación y propósito (ya que

intervienen el emisor y el receptor en el mensaje), es decir, están representados en un

contexto, siendo el conjunto de datos estructurados que sirven para por ejemplo,

categorizar, analizar, evaluar, etc. Los hechos del mundo que nos rodean (por ejemplo, el

valor 37 puede estar representando la temperatura de un paciente).

Finalmente, el conocimiento es mucho más amplio que la información y trata a ésta como

instrumento para poder actuar, es decir, es aquella información (adquirida, seleccionada,

evaluada, interiorizada, etc.) que nos permite llevar a cabo las acciones para alcanzar

nuestros objetivos.

ESPACIO OPARA EL ESQUEMAAAA

 Para las organizaciones, el conocimiento se puede definir como la Información que posee

valor para ella, es decir, aquella información que le permite generar una ventaja

competitiva, satisfacer las demandas del mercado o alcanzar las oportunidades a través

de la utilización de las competencias distintivas de la organización.
No hay compañía que no se vea obligada a remitir a otras empresas u organismos

públicos o a si misma grandes volúmenes de información. En algunas ocasiones, se

tratará meramente de datos económicos o de otro tipo, no susceptibles de mayor

protección. Pero ciertamente hay casos en los que se trata de informaciones privadas o

personales que requieren de un adecuado blindaje.

En consecuencia, la información en todas sus formas y estados se ha convertido en un

activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo

tanto, se hace necesario proteger, asegurar y administrar la información para garantizar

su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la

ley.

A continuación unos aspectos que hay que tener en cuenta para asegurar seguridad a

nivel corporativo para garantizar así protección de la información:

 Política de seguridad

 Aspectos organizativos para la seguridad

 Clasificación y control de activos

 Seguridad ligada al personal

 Seguridad física y del entorno

 Gestión de comunicaciones y operaciones

 Control de accesos

 Desarrollo y mantenimiento de sistemas

 Gestión de incidentes de seguridad de la información

 Gestión de continuidad de negocio

 Conformidad
OBJETIVOS

 Poder identificar como es el proceso del manejo de los recursos informaticos

 Identificar que protocolos de seguridad usan para garantizar integridad en la red

 Poder identificar el manejo de los perfiles de usuario y contraseñas.

 Identificar el manejo que se le da al internet.

 Evaluar el manejo de perfiles.

PUNTOS A EVALUAR

 Documentación sobre políticas de perfiles de usuario.

 Documentación de manejo de hardware y software.

 Documentación de manejo de internet.

 Listado de usuarios con sus roles y privilegios.

 Reglamento para usuarios de Sistemas.

 Manejo del internet por parte del administrador y de los usuarios.

 Planes de contingencia contra ataques.

 Medidas de seguridad para la información.

 INSTRUMENTOS Y TÉCNICAS

Para la recopilación de información:

 Cuestionario

 Entrevista.

 Inventarios.

Para el análisis y la evolución de la información:

 Guías de evaluación.

 Lista de verificación o chequeo.

 Confirmación.

 Comparación.


Para la verificación de la seguridad, consistencia y reglas de integridad en cualquier motor

de bases de datos es necesario verificar el ambiente de control establecido en la

instalación de este; en este contexto se deben tener presente las diferentes

características que pueden establecerse en este proceso, además en el manejo de los

motores se puede manejar un grado de Seguridad,cada motor de Bases de Datos poseen características que pueden ser utilizadas

para garantizar la calidad de la información almacenada y procesada, todo con el fin de

garantizar la eficiencia y eficacia en el manejo de los datos, es allí donde se encuentran

elementos como:

Claves Primarias

existirá una tupla o registro en la tabla. Esta situación garantiza que no se tendrá

información repetida o discordante para un valor de clave y puede ser usada como

control, para evitar la inclusión de información inconsistente o repetida en las

tablas.

Dominio de los atributos

puede tomar este atributo. Además de los dominios "naturales", usados como tipos

de datos. Esta característica, usada en forma correcta, se convierte en mecanismo

de control, restricción y validación de los datos a ingresar.

Reglas de Integridad

la Base de Datos. Se debe implementar en especial para verificaciones en cada

actualización, para evitar que se caiga en estados de inconsistencia. En particular

se debe verificar que se implementen correctamente la regla de la Entidad (un

atributo foráneo no puede ser nulo) y reglas de Integridad Referencial, esta ultima

garantiza que solo se puedan incluir registros para valores previamente ingresados

en otras tablas.

Reglas de integridad del negocio

tiene reglas asociadas a su actividad que pueden ser definidas como restricciones

en la Base de Datos. Esto implicaría que cualquier operación que se realice debe

respetar estas limitantes.

Vistas: Sirve como mecanismo de compartimentación de la información


almacenada, permitiendo presentar a diferentes usuarios parte de los datos

almacenados, según se considere necesario. Según las políticas de seguridad, es

usual que gran parte de los usuarios nunca tengan acceso directamente a las

tablas completas, sino que lo hagan a través de las vistas, las cuales, por ser un

objeto, son sujetas de otras medidas de seguridad.

Perfiles de usuario y Acceso: Asignación de nombres de usuarios, con su

respectiva clave de acceso (password) y perfiles asociados. Pueden también ser

creados roles que serán concedidos a los usuarios según sus funciones.




Dato: Un dato es un valor discreto que describe un hecho del mundo. Un dato no está estructurado, no dice nada sobre el porqué de las cosas, ni tampoco sobre su posible interpretación o propósito.
Informacion: tiene interpretación y propósito, es decir, están representados en un contexto, siendo el conjunto de datos estructurados.
Conocimiento: es mucho más amplio que la información y trata a ésta como instrumento para poder actuar.

Observable / No Observable: Es el conocimiento que se ve reflejado en los productos o  servicios que ofrece la organización.

Positivo / Negativo: Es el conocimiento generado por el área de I+D en los procesos Desarrollo de Nuevos Productos o Innovación de los Procesos (según el MGIT) particionado en los descubrimientos (positivo) y las aproximaciones no útiles (negativo).

Autónomo / Sistémico: Es el conocimiento que genera valor sin la necesidad de aplicar sensibles modificaciones en la configuración de la organización (autónomo) o el que depende del valor generado por otros componentes de la configuración de la organización (sistémico).

Régimen de Propiedad Intelectual: Es el conocimiento protegido por la Ley de Propiedad  Intelectual.
 Claves Primarias: Esta definición determina que para un valor llave primaria solo existirá una tupla o registro en la tabla.
Dominio de los atributos: El dominio de un atributo define los valores posibles que puede tomar este atributo.
Reglas de Integridad: Son restricciones que definen los estados de consistencia de la base de datos.
Datawarehouse: Un Data Warehouse es un conjunto de datos integrados orientados a una materia, que varían con el tiempo y que no son transitorios, los cuales soportan el proceso de toma de decisiones de la administración.
Datos Antiguos: Tienen gran importancia en los procesos iníciales de población de la base de datos.

Datos Operacionales: Datos operativos actualizados por aplicaciones OLTP (On Line Processing Transaction.)



Line Processing Transaction.







Publicado por en No hay comentarios:

Actividad #28



Databases and ERP Selection:
Oracle vs SQL Server

En el siguiente escrito se definen las características básicas y funcionales de un SGBD que es ORACLE comparado a SQL Server, donde se resaltan cada una con sus detalles y se enfoca en porque es mejor ORACLE.
Hacemos mención que en cualquier desarrollo de software la capa o la sección de la base de datos crea algo de incertidumbre en los desarrolladores y administradores al no saber cuál SGBD elegir ya sea por el costo o por los beneficios que cada uno de ellos les ofrece.
En este documento técnico, vamos a tratar de dejar de lado los prejuicios y preferencias para comparar cómo se comparan las bases de datos SQL Server y Oracle cuando llega a su capacidad para soportar una aplicación empresarial en las pequeñas y medianas empresas (PYMES).
Analistas de TI pertenecientes a  “The Edison Group” encontró que son más escalables, más rápido, más fiable y más asequible. Específicamente, Edison encontró que Oracle es un 47 por ciento más rápido que cualquier servidor SQL instalar en un entorno Windows y cuesta un 20% menos.
Oracle ha añadido numerosas características, para agilizar la instalación y la gestión de la base de datos, así como características para automatizar la gestión de almacenamiento y la gestión de memoria. Oracle también ha desarrollado herramientas de diagnóstico que no sólo puede proporcionar información en tiempo real sobre la salud de la base de datos pero hacer recomendaciones inteligentes sobre cómo evitar problemas o incluso mejorar el rendimiento basado en los patrones de uso real de la base de datos.
En el ámbito del costo financiero, la base de datos Oracle tiene ventajas sobre otra base de datos productos en el mercado, pero ha sido tal vez caracterizado erróneamente como llevar un precio superior. Cuando se trata de su coste de adquisición, la base de datos Oracle tiene un precio en diferentes niveles, incluyendo los niveles para computadoras de rango medio en el que el precio es muy agresivo. Precios de Oracle licencias de bases de datos al mercado utilizando SQL Server como punto de referencia, y en muchos casos, la base de datos Oracle puede entrar por debajo de SQL para una comparable licencia.
Concurrencia, el grado en el que controla la base de datos el acceso de múltiples usuarios y actualizaciones, es fundamental para el rendimiento de aplicaciones y cómo las escalas de la base de datos.
Concurrencia se refiere a menudo como "bloqueo", y si no se manejan correctamente puede causar retrasos de aplicaciones y volúmenes de transacción. Oracle siempre ha incluido el apoyo a los controles de concurrencia escalables, incluyendo "bloqueo a nivel de fila", la forma más granular de control de concurrencia.
Redundancia  la capacidad de la base de datos para continuar la operación en el caso de un fallo de hardware, es fundamental para el funcionamiento de aplicaciones ininterrumpido.
Conclusiones:
La base de datos es un aspecto importante de una solución global de aplicaciones empresariales, pero es sólo una parte de la solución. Desde una perspectiva de aplicación empaquetada, mirando en cualquier parte de la solución tiene menos sentido que mirar la solución global y la forma en que se dirige a las necesidades del negocio.


Publicado por en No hay comentarios:

miércoles, 7 de mayo de 2014

Actividad #27 Replicación

¿Qué es?

La replicación es un mecanismo utilizado para propagar y diseminar datos en un ambiente distribuido, con el objetivo de tener mejor performance y confiabilidad, mediante la reducción de dependencia de un sistema de base de datos centralizado.
La réplica proporciona una manera rápida y confiable de diseminar la información corporativa entre múltiples localizaciones en un ambiente de negocio distribuido, permitiendo distribuir la información de manera confiable.

Beneficios
Con la replicación se pueden llegar a obtener dos mejoras importantes:

1. Por un lado, se garantiza que el servicio ofrecido por la aplicación, no se vea interrumpido en caso de que se dé un fallo en alguna de las réplicas. Además, el tiempo necesario para restablecer el servicio en la aplicación podría llegar a ser grande en algunos tipos de fallo.



2. Por otra parte, la capacidad de servicio se ve incrementada cuando las peticiones efectuadas por los clientes únicamente implican consultas.
Pasos para poner en marcha la replicación
A continuación vamos a exponer los pasos a realizar la replicación de una base de datos bd_autentia en un único servidor esclavo. Si quisieramos configurar más esclavos, los pasos a realizar serían los mismos sobre cada uno de los esclavos.
Creamos de un usuario MySQL en el servidor maestro con privilegios de replicación
El servidor esclavo se autenticará frente al servidor maestro como un usuario normal.
Para crear el usuario debemos ejecutar desde la consola de comandos de mysql las siguientes sentencias SQL:


Con la sentencia anterior el usuario sólo tendría permiso de acceso desde la máquina <slave_address>, en caso de no requerir esta medida de seguridad puedes sustituir el comodin % por el parámetro <slave_address>.


Configuración del servidor esclavo
Deberemos agregar las siguientes lineas al final del archivo de configuración del servidor MySQL, por defecto: <MySQL_HOME>/my.ini



Realizamos una copia de seguridad de la base de datos del maestro sobre el servidor el esclavo
Desde la consola ejecutamos los siguientes comandos:
[maestro]: <MYSQL_HOME>/bin/mysql -u root --password=<contraseña> -e "FLUSH TABLES WITH READ LOCK" 
Para limpiar las caches y bloquear el acceso de cualquier aplicacion a la base de datos.
[maestro]: <MYSQL_HOME>/bin/mysqldump --u root --password=<contraseña> --opt bd_autentia > backup.sql 
Realizamos una copia completa de la base de datos en el archivo backup.sql.
[esclavo]: <MYSQL_HOME>/bin/mysql --user=root --password=<contraseña> bd_autentia < backup.sql 
Para restaurar la copia de seguridad en el esclavo.
[esclavo]: <MYSQL_HOME>/bin/mysqladmin -u root --password=<contraseña> shutdown 
Detenemos el servidor esclavo
[maestro]: <MYSQL_HOME>/bin/mysqladmin -u root --password=<contraseña> shutdown 
Detenemos el servidor maestro (Se desbloquearán las tablas de las bases de datos previamente bloquadas)
[esclavo]: <MYSQL_HOME>/bin/mysqld-nt --defaults-file="<MYSQL_HOME>\my.ini" MySQL 
Iniciamos el servidor el cual tomará la nueva configuración.
[maestro]: <MYSQL_HOME>/bin/mysqld-nt --defaults-file="<MYSQL_HOME>\my.ini" MySQL 
Iniciamos el servidor el cual tomará la nueva configuración.
Probando la replicación
En el servidor esclavo ejecute el comando SHOW SLAVE STATUS y observe que el mensaje que le muestra es un mensaje que indica que está esperando eventos del maestro...
Modifique algo en el maestro y verifique que instantaneamente se replica en el esclavo.
Detenga el esclavo durante un tiempo, realize cambios (cree tablas, modifique registros..) en el maestro e inicie el esclavo. En cuestion de milisegundos ambas bases de datos deberían de ser iguales.


Publicado por en No hay comentarios:

martes, 6 de mayo de 2014

Actividad #25

Seguridad en las Bases de Datos

*Endurecimiento

Como resultado de una evaluación de la vulnerabilidad a menudo se dan una serie de recomendaciones específicas. Este es el primer paso en el endurecimiento de la base de datos. Otros elementos de endurecimiento implican la eliminación de todas las funciones y opciones que se no utilicen.

* Audite
Una vez que haya creado una configuración y controles de endurecimiento, realice auto evaluaciones y seguimiento a las recomendaciones de auditoría para asegurar que no se desvíe de su objetivo (la seguridad).

Automatice el control de la configuración de tal forma que se registre cualquier cambio en la misma. Implemente alertas sobre cambios en la configuración.


* Monitoreo 

 Monitoreo en tiempo real de la actividad de base de datos es clave para limitar su exposición, aplique o adquiera agentes inteligentes de monitoreo, detección de intrusiones y uso indebido.


*Modificación
La modificación no autorizada de los datos.

*Destrucción
La destrucción no autorizada de los datos.

Solución de problemas para la seguridad:

Autorizar ciertas cosas a los usuarios, para restingar el mal uso o la eliminación de datos se puede aplicar los siguientes puntos:

  1. Lectura
  2. Inserción
  3. Actualización
  4. Borrado
  5. índices
  6. Recursos
  7. Alteración
  8. Eliminación 



Problemas detectados



"es fácil hackear, pero no hay que ir demasiado lejos, porque acabarán encontrándote".


1.- El primer problema detectado fue la inundación del servidor en base a peticiones que lo bloquearan para acceder a la información donde se origina el siguiente problema detectado.

2.- La fácil manipulación de los datos y el cambio que se dio a la pagina de inicio, el acceso tan sencillo a los datos hace pensar que la encriptacion, al tratarse de una pagina de gobierno, no tenia el nivel de seguridad adecuado.

3.- Los agujeros en la seguridad de la base de datos. se tuvo un descuido enorme en el monitoreo de la base de datos, al ser una base de datos gubernamental debería de mantener un monitoreo continuo debido a la delicadeza de la información.
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)