viernes, 28 de agosto de 2009

2.3 Esquema de seguridad y autorización.

2.3 SEGURIDAD EN LA BASE DE DATOS


Existen múltiples riesgos para la seguridad de la información durante la operación, implantación y tiempos muertos en el sistema.


RIESGOS EN LA IMPLANTACIÓN


Cuando se esta instalando o actualizando un sistema, los principales factores de riesgo son aquellos relacionados con el ajuste de formatos, dominios y otros parámetros que pueden verse afectados por la conversión del sistema; ya sea manual-automatizado o automatizado-automatizado.


Cuando el sistema que se implanta ha de recibir nueva información, es importante el establecimiento de códigos que permitan validar la captura para minimizar los riesgos de información no confiable.


RIESGOS EN LA OPERACIÓN


Mientras el sistema se encuentra en uso, se dice que las operaciones se realizan en línea; es decir, la información se afecta por medio de los procedimientos definidos en el sistema.


La protección más común para reducir estos riesgos consiste en el establecimientos de claves de operación (Password) tanto para accesar a la aplicación como a las diversas operaciones que esta desempeña.


Las claves pueden asignarse:





  • Genérico.

  • Por niveles de seguridad.

  • Por tipos de acceso a los datos.

La selección de las claves de acceso debe llevarse a cabo utilizando los siguientes criterios:





  • No información que pueda asociarse al usuario.

  • Fácil de recordar, difícil de adivinar.

  • Debe utilizar un parámetro variable o algoritmo.

Algunos sistemas que manejan claves fijas pueden incluir controles sobre el usuario que lo obliguen a modificar su clave de acceso con cierta regularidad.


Es importante que el código que mantiene la tabla de claves de usuarios en el sistema se encuentre codificada o encriptada.


RIESGOS EN TIEMPOS MUERTOS


Cuando el sistema cuando el sistema no se encuentra en operación la información esta expuesta a ser alterada fuera de línea; es decir, sin utilizar los programas de aplicación diseñados para este fin.


Algunas de las técnicas más utilizadas para evitar y en algunos casos solo para ejecutar modificaciones fuera de línea son:



  • ENCRIPTAMIENTO.- Consiste en convertir la información de la BD a un formato que resulte ilegible sino se dispone del algoritmo de conversión.


  • APLICACIÓN DE TOTALES DE CONTROL.- Consiste en generar registros ficticios que son agregados a la BD y que permitirán detectar la inserción, eliminación o modificación de datos en la gran mayoría de los casos.

Los registros ficticios son creados con información que se obtiene de acumulados o valores estadísticos de los registros reales. Ejemplo:


Nombre Dirección Estatura


Gloria Forj. Km. 3.5 1.60


Mayra I. La Católica 320 1.65


Nelson F. Ortega 950 1.75


María Encinas 424 1.66


--------------------------------------------------------------------------------


Registro ficticio


Al azar en tablas definidas promedio de los datos reales.


  • DIGITOS DE CONTROL.- son caracteres que se anexan a las claves o a los datos que serán manejados con el objeto de autentificar su validez.

Su aplicación se extiende a procesos en línea y protección fuera de línea.

No hay comentarios:

Publicar un comentario