UCB > La Paz > PROCEDIMIENTOS DE LA BASE DE DATOS


GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN


Para le gestión de seguridad de la información se tomaron en cuenta los siguientes parámetros:

a) Privacidad

Se define como el derecho que tienen los individuos y organizaciones para determinar, ellos mismos, a quién, cuándo y qué información referente a ellos serán difundidas o transmitidas a otros.

b) Seguridad

Se refiere a las medidas tomadas con la finalidad de preservar los datos o información que en forma no autorizada, sea accidental o intencionalmente, puedan ser modificados, destruidos o simplemente divulgados.

El acceso a los datos queda restringido mediante el uso de palabras claves, de forma que los usuarios no autorizados no puedan ver o actualizar la información de una base de datos o a subconjuntos de ellos.

c) Integridad

Se refiere a que los valores de los datos se mantengan tal como fueron puestos intencionalmente en el sistema. Las técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la base de datos, por fallas de programas, del sistema, hardware o errores humanos.

El concepto de integridad abarca la precisión y la fiabilidad de los datos, así como la discreción que se debe tener con ellos.

d) Acceso

Es la recuperación o grabación de datos que han sido almacenados en un sistema de computación. Cuando se consulta a una base de datos, los datos son primeramente recuperados hacia la computadora y luego transmitidos a la pantalla del terminal.

e) Ataque

Término general usado para cualquier acción o evento que intente interferir con el funcionamiento adecuado de un sistema informático, o intento de obtener de modo no autorizado la información confiada a una computadora.

f) Ataque activo

Acción iniciada por una persona que amenaza con interferir el funcionamiento adecuado de una computadora, o hace que se difunda de modo no autorizado información confiada a una computadora personal. Ejemplo: El borrado intencional de archivos, la copia no autorizada de datos o la introducción de un virus diseñado para interferir el funcionamiento de la computadora.

g) Ataque pasivo

Intento de obtener información o recursos de una computadora personal sin interferir con su funcionamiento, como espionaje electrónico, telefónico o la intercepción de una red. Todo esto puede dar información importante sobre el sistema, así como permitir la aproximación de los datos que contiene.

h) Amenaza

Cualquier cosa que pueda interferir con el funcionamiento adecuado de una computadora personal, o causar la difusión no autorizada de información confiada a una computadora. Ejemplo: Fallas de suministro eléctrico, virus, saboteadores o usuarios descuidados.

i) Incidente

Cuando se produce un ataque o se materializa una amenaza, tenemos un incidente, como por ejemplo las fallas de suministro eléctrico o un intento de borrado de un archivo protegido

Seguridad Integral de la Información

Las medidas de seguridad están basadas en la definición de controles físicos, funciones, procedimientos y programas que conlleven no sólo a la protección de la integridad de los datos, sino también a la seguridad física de los equipos y de los ambientes en que éstos se encuentren.

En relación a la seguridad misma de la información, estas medidas han de tenerse en cuenta para evitar la pérdida o modificación de los datos, información o software inclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas, entre las cuales figurarán el asignar números de identificación y contraseñas a los usuarios.

Control de acceso a la Información

Algunos usuarios o extraños (personal no autorizado) pueden encontrar alguna forma mediante la cual, logren el acceso al sistema o la base de datos y descubrir información clasificada o datos no autorizados.

Para contrarrestar este problema se dispone de: Programas de Control y Palabra de Acceso (Password).

La identificación de un individuo debe ser muy difícil de imitar y copiar. Aunque su nombre pueda ser único, es fácil que cualquiera que observe a quienes tienen acceso al sistema lo copie, por lo que no es una clave adecuada.

A fin de proteger el proceso de obtención de una llave del sistema, cuando el usuario realiza la entrada (en inglés LOGIN), solicita una clave de acceso con el nombre del usuario, la cual consiste de unas cuantas letras elegidas por el usuario.

Un intruso puede intentar descubrirla de dos maneras: una, observando el ingreso de la clave y otra, utilizando un método de ensayo y error para introducir posibles claves de acceso y lograr entrar.

Para evitar el punto anterior, el sistema se cierra después que un individuo no autorizado falle dos veces al intentar ingresar una clave de acceso.

Las claves de acceso no deben ser largas puesto que son más difíciles de recordar.

En todo proceso corporativo es recomendable que el responsable de cada área asigne y actualice en forma periódica el password a los usuarios.

No se puede depender de que la ausencia de un operador o responsable de un computador trabe la operatividad normal de una institución, por lo que puede ser necesario el establecimiento de un procedimiento de tener un duplicado de los passwords asignados, bajo un esquema de niveles jerárquicos, en sobre lacrado.

Esto es, el Jefe Inmediato superior tendrá en un sobre lacrado, los passwords de su personal, debiendo utilizar un cuaderno de control, cuando exista la necesidad de romper el sobre lacrado (anotando fecha, hora, motivo, etc.), así como un procedimiento de cambio de passwords periódicos y por dichas eventualidades.


Niveles de Acceso. Los programas de control de acceso deberán identificar a los usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso están referidos a la lectura o modificación en sus diferentes formas.

De acuerdo a ello se tienen los siguientes niveles de acceso a la información:

  • Nivel de consulta de la información no restringida o reservada.
  • Nivel de mantenimiento de la información no restringida o reservada.
  • Nivel de consulta de la información incluyendo la restringida o reservada.
  • Nivel de mantenimiento de la información incluyendo la restringida.


a) Nivel de consulta de la información

El privilegio de lectura está disponible para cualquier usuario y sólo se requiere un conocimiento de la estructura de los datos, o del Sistema de otro usuario para lograr el acceso.

La autorización de lectura permite leer pero no modificar la base de datos.

b) Nivel de mantenimiento de la información

El concepto de mantenimiento de la información consiste en:

  • Ingreso. Permite insertar datos nuevos pero no se modifica los ya existentes.
  • Actualización. Permite modificar la información pero no la eliminación de datos.
  • Borrado. Permite la eliminación de datos.

Un usuario puede tener asignados todos, ninguno o una combinación de los tipos de autorización anteriores. Además de las formas de autorización de acceso de datos antes mencionadas, es posible autorizar al usuario para que modifique el esquema de la base de datos, pero es preferible que esta función sea de responsabilidad del Centro de Cómputo.

Cada palabra clave debe tener asignado uno de los niveles de acceso a la información mencionados anteriormente.

La forma fundamental de autoridad es la que se le da al administrador de la base de datos, que entre otras cosas puede autorizar nuevos usuarios, reestructurar la base de datos, etc. Esta forma de autorización es análoga a la que se provee a un "super usuario" o al operador para un sistema operativo.


© Universidad Católica Boliviana "San Pablo" 2005.
    Sitio Web Oficial