La mayoría de las empresas tienen diferentes tipos de datos para almacenar información del negocio y mantener la producción sin contratiempos. Los datos pueden estar en diferentes formatos, uno de esos son las bases de datos.

1. Para afianzar los conceptos de asegurabilidad de las base de datos se plantea seleccionar 5 diferentes bases de datos comerciales y de libre distribución, para revisar, describir los temas referentes a la seguridad de las mismas, teniendo en cuenta lo siguiente:

ORACLE: Es un sistema de gestión de base de datos relacional (o RDBMS por el acrónimo en inglés de Relational Data Base Management System), fabricado por Oracle Corporation.

Se considera a Oracle como uno de los sistemas de bases de datos más completos, destacando su: Soporte de transacciones. Estabilidad. Escalabilidad. Es multiplataforma.

Ref: https://basesdedatos.wordpress.com/sgbd-comerciales/

Proporciona seguridad multicapa que abarca prevención, detección y control administrativo. Esto incluye el cifrado transparente de datos, redacción de datos, enmascaramiento de datos, controles de usuario con privilegios, análisis de uso de privilegios, auditoría condicional y seguridad de las aplicaciones reales. Combinado con otras herramientas de la marca, Oracle proporciona controles muy innovadores para ayudar a las organizaciones a abordar los requisitos de seguridad y cumplimiento existentes y emergentes.

MySQL:

Es un sistema de gestión de base de datos relacional, multihilo y multiusuario con más de seis millones de instalaciones. MySQL AB desarrolla MySQL como software libre en un esquema de licenciamiento dual. Por un lado lo ofrece bajo la GNU GPL, pero, empresas que quieran incorporarlo en productos privativos pueden comprar a la empresa una licencia que les permita ese uso.

Está desarrollado en su mayor parte en ANSI C.

Al contrario de proyectos como el Apache, donde el software es desarrollado por una comunidad pública, y el copyright del código está en poder del autor

individual, MySQL es propiedad y está patrocinado por una empresa privada, que posee el copyright de la mayor parte del código. Esto es lo que posibilita el esquema de licenciamiento anteriormente mencionado. Además de la venta de licencias privativas, la compañía ofrece soporte y servicios. Para sus operaciones contratan trabajadores alrededor del mundo que colaboran vía Internet. MySQL AB fue fundado por David Axmark, Allan Larsson, y Michael Widenius.

Microsoft SQL Server:

Es un sistema de gestión de bases de datos relacionales (SGBD) basada en el lenguajeTransact-SQL, capaz de poner a disposición de muchos usuarios grandes cantidades de datos de manera simultánea. Así de tener unas ventajas que a continuación se pueden describir.Entre sus características figuran:

Soporte de transacciones. Escalabilidad, estabilidad y seguridad. Soporta procedimientos almacenados. Incluye también un potente entorno gráfico de administración, que permite el

uso de comandos DDL y DML gráficamente. Permite trabajar en modo cliente-servidor donde la información y datos se

alojan en el servidor y las terminales o clientes de la red sólo acceden a la información.

Además permite administrar información de otros servidores de datos

Este sistema incluye una versión reducida, llamada MSDE con el mismo motor de base de datos pero orientado a proyectos más pequeños, que en su versión 2005 pasa a ser el SQL Express Edition.

Microsoft SQL Server constituye la alternativa de Microsoft a otros sistemas gestores de bases de datos como son Oracle, Sybase ASE o MySQL.

Es común desarrollar completos proyectos complementando Microsoft SQL Server yMicrosoft Access a través de los llamados ADP (Access Data Project). De esta forma se completa una potente base de datos (Microsoft SQL Server) con un entorno de desarrollo cómodo y de alto rendimiento (VBA Access) a través de la implementación de aplicaciones de dos capas mediante el uso de formularios Windows.

Para el desarrollo de aplicaciones más complejas (tres o más capas), Microsoft SQL Server incluye interfaces de acceso para varias plataformas de desarrollo, entre ellas.NET.

Microsoft SQL Server, al contrario de su más cercana competencia, no es multiplataforma, ya que sólo está disponible en Sistemas Operativos de Microsoft.

Ref: https://basesdedatos.wordpress.com/sgbd-comerciales/QL Server incluye muchas características que admiten la creación de aplicaciones de base de datos seguras.

Las consideraciones comunes de seguridad, como el robo de datos o el vandalismo, se aplican independientemente de la versión de SQL Server que se use. La integridad de los datos también se debe considerar como un problema de seguridad. Si los datos no están protegidos, es posible que acaben perdiendo su valor si se permite la manipulación de datos ad hot y los datos se modifican sin intención o de forma malintencionada con valores incorrectos o bien se eliminan por completo. Además, a menudo existen requisitos legales que se deben cumplir, como el almacenamiento correcto de información confidencial. El almacenamiento de determinados tipos de datos personales está totalmente prohibido, en función de las leyes que se apliquen en una jurisdicción determinada.

Cada versión de SQL Server incluye diferentes características de seguridad, del mismo modo que las versiones de Windows más recientes mejoran la funcionalidad respecto a las anteriores. Es importante comprender que las características de seguridad no pueden garantizar por sí solas una aplicación de base de datos segura. Cada aplicación de base de datos es única en lo que respecta a los requisitos, el entorno de ejecución, el modelo de implementación, la ubicación física y el rellenado por parte del usuario. Algunas aplicaciones que son locales en cuanto al ámbito pueden necesitar una seguridad mínima, en tanto que otras aplicaciones locales o las aplicaciones implementadas en Internet pueden precisar medidas estrictas de seguridad y supervisión y evaluación continuas.

Los requisitos de seguridad de una aplicación de base de datos de SQL Server se deben tener en cuenta en el tiempo de diseño, no a posteriori. La evaluación de las amenazas en las primeras fases del ciclo de desarrollo permite reducir al mínimo los posibles daños cuando se detecte una vulnerabilidad.

Sin embargo, a pesar de que el diseño inicial de la aplicación resulte adecuado, pueden surgir nuevas amenazas a medida que evoluciona el sistema. La creación de varias líneas de defensa en torno a la base de datos permite reducir al mínimo los daños producidos por una infracción de seguridad. La primera línea de defensa consiste en reducir el área de ataque; para ello, no se deben conceder más permisos que los estrictamente necesarios.

Ref: https://msdn.microsoft.com/es-es/library/bb669074%28v=vs.110%29.aspx

DB2: DB2 es un producto de base de datos de IBM. Se trata de un sistema de

gestión de bases de datos relacionales (RDBMS). DB2 está diseñado para

almacenar, analizar y recuperar los datos de manera eficiente. Producto DB2 se

amplía con el respaldo de los servicios orientados a objetos y estructuras no

relacionales con XML.

Inicialmente, IBM había desarrollado producto DB2 para su plataforma

específica. Desde el año 1990, se decidió desarrollar una base de datos

Universal Database (UDB) Server DB2, que puede ejecutarse en cualquier

sistema operativo con autoridad, como Linux, UNIX y Windows.

Permite el manejo de objetos grandes (hasta 2 GB), la definición de datos y funciones por parte del usuario, el chequeo de integridad referencial, SQL recursivo, soporte multimedia: texto, imágenes, video, audio; queries paralelos, commit de dos fases, backup/recuperación on−line y offline.

Además cuenta con un monitor gráfico de performance el cual posibilita observar el tiempo de ejecución de una sentencia SQL y corregir detalles para aumentar el rendimiento.

Mediante los extensores se realiza el manejo de los datos no tradicionales, por ejemplo si tengo un donde tengo almacenados los curriculums de varias personas, mediante este puedo realizar búsquedas documentos con los datos que me interesen sin tener que ver los CV uno por uno.

Esta capacidad se utiliza en sistemas de búsqueda de personas por huellas digitales, en sistemas información geográfica, etc.

Internet es siempre la gran estrella, con DB2 es posible acceder a los datos usando JDBC (tan potente como escribir directamente C contra la base de datos), Java y SQL (tanto el SQL estático, como complementa el SQL dinámico).

Permite agilizar el tiempo de respuestas de esta consulta Recuperación utilizando accesos de sólo índices. Predicados correlacionados. Tablas de resumen Tablas replicadas Uniones hash DB2 utiliza una combinación de seguridad externa y control interno de acceso

a proteger datos. DB2 proporciona un juego de datos de acceso de las interfaces para los

diferentes tipos de usuarios y aplicaciones. DB2 guarda sus datos contra la pérdida, acceso desautorizado, o entradas

inválidas. Usted puede realizar la administración de la DB2 desde cualquier puesto de

trabajo.

La tecnología de replicación heterogénea (heterogeneous replication) en SQL Server permite la publicación automática de los datos en otros sistemas que no sean SQL Server, entre los que se incluyen DB2.

La mayoría de los que utilizan equipos IBM utilizan DB2 porque es confiable y tiene un muy buen soporte técnico".

El DB2 se basa en dos ejes que lo hacen fuerte en su rendimiento: utiliza un sistema multiprocesador (SMP) simétrico y un sistema de procesador paralelo masivo.

el DB2 distribuye y recuerda la ubicación de cada pista donde se encuentra la información. En el contexto de una larga base de datos, este sistema de partición hace que la administración sea mucho más fácil de manejar que una base de datos de la misma medida no particionada.

La base de datos se puede programar para tener una exacta cantidad de particiones que contienen la información del usuario, índice, clave de transacción y archivos de configuración. De esta forma, los administradores definen grupos de nodos, que son una serie de particiones de la base, lo que posteriormente facilita cualquier búsqueda.

Ref: http://www.monografias.com/trabajos27/d-b-dos/d-b-dos.shtml

PostgreSQL: Es un sistema de gestión de bases de datos objeto-relacional, distribuido bajo licencia BSD y con su código fuente disponible libremente. Es el sistema de gestión de bases de datos de código abierto más potente del mercado y en sus últimas versiones no tiene nada que envidiarle a otras bases de datos comerciales.

PostgreSQL utiliza un modelo cliente/servidor y usa multiprocesos en vez de multihilospara garantizar la estabilidad del sistema. Un fallo en uno de los procesos no afectará el resto y el sistema continuará funcionando.

A continuación tenéis un gráfico que ilustra de manera general los componentes más importantes en un sistema PostgreSQL.

Características:

Es una base de datos 100% ACID Integridad referencial Tablespaces Nested transactions (savepoints) Replicación asincrónica/sincrónica / Streaming replication - Hot Standby Two-phase commit

PITR - point in time recovery Copias de seguridad en caliente (Online/hot backups) Unicode Juegos de caracteres internacionales Regionalización por columna Multi-Version Concurrency Control (MVCC) Multiples métodos de autentificación Acceso encriptado via SSL Actualización in-situ integrada (pg_upgrade) SE-postgres Completa documentación Licencia BSD Disponible para Linux y UNIX en todas sus variantes (AIX, BSD, HP-UX,

SGI IRIX, Mac OS X, Solaris, Tru64) y Windows 32/64bit.

Ref: http://www.postgresql.org.es/sobre_postgresql

a) Mecanismos de seguridad existentes para motores de bases de datos

Muchas capas y tipos de control de seguridad de la información son las adecuadas para bases de datos, incluyendo:

El control de acceso Auditoría Autenticación Encryption Integridad controles Las copias de seguridad Seguridad de las aplicaciones Database Security aplicando el método estadístico

Acciones para la seguridad de bases de datos:

Proponer políticas y desarrollar procedimientos que promuevan la correcta definición y utilización de las bases de datos que contribuyan a garantizar el aprovechamiento óptimo, la seguridad de la información y el adecuado mantenimiento y respaldo de datos.

Realizar labores de administración y mantenimiento de las bases de datos, los mecanismos de seguridad de acceso a los datos, incluyendo:

Administración de Usuarios de las bases de datos (creación y modificación de perfiles).

Creación de espacios para tablas de datos (tablespaces), bases de datos, vistas, entre otros.

Administración de la seguridad de las bases de datos (garantizar que sólo las personas autorizadas acceden la información almacena).

Definición, creación y monitoreo de bitácoras del Motor de Administración de Bases de Datos.

Definición, creación y monitoreo de bitácoras de los sistemas de información. Documentación de la configuración y modificaciones efectuadas en las bases

de datos de los Sistemas.

Implementación de políticas de respaldo de información. Planificar y ejecutar procedimientos de respaldo recuperación de Bases de Datos.

Diagnóstico del motor de base de datos y de las bases de datos que administra.

Labores de afinamiento del Motor de la Base de datos, de manera que tenga un desempeño altamente eficiente.

Actualización periódica de las versiones del sistema administrador de Base de Datos.

Respaldo y Migración de bases de datos.

Diseño e implementación de bases de datos de los Sistemas de Información, incluyendo:

Asesoría a los analistas desarrolladores, en el diseño e implementación de Bases de Datos de los Sistemas de Información.

Afinamiento y optimización de diseño de bases de datos existentes.

Diseño, configuración e implementación de interfaces de bases de datos entre motores de base de datos.

Respaldar periódicamente la información contenida en las bases de datos de la institución, e implementar mecanismos de recuperación que permitan la continuidad en caso de desastres o situaciones de contingencia.

Privilegios del sistema

Privilegios del sistema permiten al usuario realizar acciones administrativas en una base de datos. Estos incluyen privilegios (como se encuentran en SQL Server), tales como: crear base de datos, crear procedimiento, crear opinión, la base de datos de copia de seguridad, crear la tabla, cree gatillo, y ejecutar. [2]

Privilegios de Objeto

Privilegios de objetos permiten el uso de ciertas operaciones en objetos de base según lo autorizado por otro usuario. Los ejemplos incluyen: el uso, seleccionar, insertar, actualizar y referencias.

Las evaluaciones de vulnerabilidad y el cumplimiento

Una de las técnicas para la evaluación de la seguridad de base de datos implica realizar evaluaciones de vulnerabilidad o pruebas de penetración contra la base de datos. Probadores intentan encontrar vulnerabilidades de seguridad que se podrían utilizar para derrotar a los controles de seguridad o de derivación, entrar en la base de datos, comprometer el sistema etc. administradores de bases de datos o seguridad de la información los administradores pueden, por ejemplo, el uso escaneos de vulnerabilidad automatizado para buscar a una mala configuración de los controles dentro de las capas mencionadas anterior junto con vulnerabilidades conocidas en el software de base de datos. Los resultados de estos análisis se utilizan para endurecer la base de datos (mejorar la seguridad) y cerrar las vulnerabilidades específicas identificadas, pero otras vulnerabilidades a menudo siguen sin ser reconocidos e impunes.

Abstracción

Nivel de aplicación de autenticación y autorización mecanismos pueden ser medios eficaces de suministro de abstracción de la capa de base de datos. El principal beneficio de la abstracción es la de un inicio de sesión único a través de la capacidad de múltiples bases de datos y plataformas. Un sistema único de sesión almacena las credenciales del usuario de base de datos y se autentica en la base de datos en nombre del usuario.

Monitoreo de la actividad de base de datos (DAM)

Otra capa de seguridad de carácter más sofisticado incluye en tiempo real seguimiento de la actividad de base de datos, ya sea mediante el análisis de tráfico de protocolo (SQL) en la red, o mediante la observación de la actividad de base de datos local en cada servidor utilizando agentes de software, o ambos. Se requiere el uso de agentes para capturar las actividades ejecutadas en el servidor de base de datos, que suelen incluir las actividades del administrador de base de datos. Agentes permiten que esta información se capture de manera que no puede ser desactivada por el administrador de la base, que tiene la capacidad de deshabilitar o modificar los registros de auditoría nativos.

Auditoría Nativa

Además de usar herramientas externas para la vigilancia o auditoría, nativos de auditoría de base de datos capacidades también están disponibles para muchas plataformas de bases de datos. Las pistas de auditoría nativos se extraen de forma regular y se transfieren a un sistema de seguridad designada donde los administradores de bases de datos no tienen acceso. Esto asegura un cierto nivel de separación de funciones que pueden proporcionar evidencia las pistas de auditoría nativos no fueron modificados por los administradores autenticados. Encendido de impactos nativos el rendimiento del servidor. En general, las pistas de auditoría nativos de bases de datos no proporcionan los controles suficientes para hacer cumplir la separación de funciones; por lo tanto, la capacidad de vigilancia basadas en host de red y / o módulo del kernel nivel proporciona un mayor grado de confianza para el análisis forense y preservación de las pruebas.

Procesos y procedimientos

Un buen programa de seguridad de base de datos incluye la revisión periódica de los privilegios concedidos a las cuentas de usuario y cuentas utilizadas por procesos automatizados. Para las cuentas individuales de una autenticación de dos factores sistema mejora la seguridad, pero añade complejidad y coste. Cuentas utilizadas por procesos automatizados requieren controles apropiados alrededor de almacenamiento de contraseñas como suficientes cifrado y controles de acceso para reducir el riesgo de compromiso.

Después de que ocurre un incidente, los forenses de bases de datos determinan el alcance de la violación, e identificar las soluciones en los sistemas y procesos.

Métodos estadísticos

La mayor amenaza a la seguridad de base de datos son los cambios no rastreados, no autorizadas por los usuarios internos y externos. Algoritmos basados en criptología y otros métodos estadísticos se despliegan tanto en identificar estos eventos e informar las amenazas a los administradores.

Ref: http://www.rree.go.cr/?sec=ministerio&cat=ctic&cont=460