T E S I N A Q U E P A R A O B T E N E R E L T Í T U L O D E : L I C E N C I AD O E N C I E N C I AS D E L A I N F O R M ÁT I C A

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS MODELO DE SEGURIDAD EN BASE DE DATOS T E S I N A Q U E P A R A O B T E N E R E L T Í T U L O D E : L I C E N C I AD O E N C I E N C I AS D E L A I N F O R M ÁT I C A P R E S E N T A N : E V A H A Y D E É H E R N Á N D E Z L Ó P E Z M I R I A M M A G A L I L Ó P E Z M U Ñ O Z A B R A H A M O L I V A R E S V A L E N T Í N D I A N A M A R I A N A R O M Á N T A P I A Q U E P A R A O B T E N E R E L T Í T U L O D E : I N G E N I E R O E N I N F O R M Á T I C A P R E S E N T A N : M A R I O A L B E R T O J U Á R E Z S O R I A N O MÉXICO. DF 2010

2 ÍNDICE RESUMEN... i INTRODUCCIÓN... iii CAPÍTULO 1 MARCO METODOLÓGICO Planteamiento del problema Objetivo general Objetivos específicos Tipos, diseño y técnicas de investigación Tipo de Investigación Diseño de la Investigación Técnicas de Investigación a Emplear Justificación... 5 CAPÍTULO 2 CONCEPTOS GENERALES Bases de Datos Tipos de Base de Datos Modelos de Base de Datos Sistemas Manejadores de Bases de Datos Características Generales de Sistemas Manejadores de Bases de Datos Tipos de Sistemas Manejadores de Bases de Datos en el Mercado Demanda de Bases de Datos en el Mercado Seguridad en Bases de Datos Seguridad Física Seguridad Lógica Riesgos y Vulnerabilidades Controles Evaluación de la seguridad de Bases de Datos Definición y Herramientas del Modelo Definición Herramientas del Modelo Balanceo CAPÍTULO 3 PROBLEMÁTICA Y RIESGOS EN LA SEGURIDAD DE LAS BASES DE DATOS Descripción de la problemática Análisis de incidencias Robo de información personal de ciudadanos chilenos (2008) Una base de datos segura?(2006) Estudio Cisco Systems Inc Caso FSA Vs HSBC CAPÍTULO 4 LEGISLACIÓN Y MEJORES PRÁCTICAS RELACIONADAS A LA SEGURIDAD DE BASES DE DATOS Legislación Informática Internacional relativa a la seguridad de bases de datos... 37

3 4.1.1 Caso de normatividad en el mundo Casos de Legislación en el Mundo Sarbanes Oxley Legislación Informática en México relativa a seguridad de bases de datos Constitución Política Ley Federal del Derecho de Autor Código Penal Federal Ley Federal de Transparencia Y Acceso A La Información Pública Gubernamental Ley del Mercado de Valores Mejores Prácticas relativas a la seguridad de las bases de datos COBIT Information Technology Infrastructure Library ITIL ISO/IEC Tecnologías de Seguridad de las bases de datos Cifrado Identificación y Autenticación Integridad Disponibilidad CAPÍTULO 5 MODELO DE SEGURIDAD LÓGICA DE BASES DE DATOS Descripción del modelo Bases del modelo Estructura del modelo Estudio del entorno Análisis de Riesgos Controles CAPÍTULO 6 CASO PRÁCTICO Estudio del Entorno Historia Visión Misión Objetivo General Soluciones Estructura y organigrama Análisis de Riesgos Controles Resultados de la aplicación del modelo CONCLUSIÓN BIBLIOGRAFÍA ANEXOS... 92

4 RESUMEN Gracias al constante cambio en que permanece la tecnología y el papel que juega la información en la toma de decisiones de las organizaciones, es de vital importancia resguardar la información con audacia, de tal modo que haciendo uso correcto de los recursos del negocio se eviten fraudes, pérdidas y falsificación de la información, con lo que se obtendrán mayores beneficios en el negocio. Para esto, es necesario ser consciente de que se debe cumplir con la disponibilidad, integridad y confiabilidad de la información, lo que conlleva a mejorar la competitividad y presencia de la empresa en el mercado. En la presente, se propone un Modelo de Seguridad en Bases de Datos que cubre dichas propiedades al establecer y aplicar los procesos para una adecuada administración y operación de las bases de datos minimizando riesgos de robo, fuga y manipulación indebida de datos, sin importar el entorno operativo de la base de datos, el tipo y cantidad de datos o el giro, sector y tamaño de la empresa. Las bases de este modelo se establecen, tomando como referencia las mejores prácticas y tecnologías existentes: COBIT, ITIL e ISO 27000, que permiten la apropiada administración, uso y resguardo de la información en las bases de datos, en organizaciones públicas y privadas. El Modelo de Seguridad en Base de Datos, consiste en 3 módulos principalmente: estudio del entorno, análisis de riesgos y controles. El primero, consiste en analizar la información interna y externa a la base de datos, tal como la información general de la organización, el modo de operación, administración, monitoreo y cultura de la base de datos, además del análisis de roles y responsabilidades del personal. El segundo módulo, llamado Análisis de Riesgos, consiste en identificar, priorizar, evaluación y analizar los tipos de riesgos que afectan a la integridad de la información contenida en las bases de datos con ayuda de cuestionarios, entrevistas, chequeos al sistema, etcétera. El tercer módulo hace referencia a los Controles que son las actividades, procedimientos, herramientas y políticas que se implementan para mitigar los riesgos que rodean el tratamiento de la información de las bases de datos y se constituye en: Middleware, Personal, Procedimientos y Auditabilidad. El Middleware, son todas aquellas herramientas tecnológicas que incrementan la seguridad de la información como herramientas de respaldos, monitoreo, control de acceso, de encriptación, entre otras. El módulo de Personal se enfoca a la concientización, fortalecimiento de políticas, definición de roles y procedimientos al factor humano en cuanto a la seguridad de la Información, el cual se distribuye en Normatividad, Capacitación y Delimitación de Roles y Responsabilidades. La Normatividad implica principalmente en un análisis, revisión y reforzamiento de la política en la i

5 organización, la capacitación es la sección en el cual se da a conocer la normatividad de los controles y procesos al personal involucrado en la operación de la base de datos, la delimitación de roles y responsabilidades es la descripción detallada de los tipos de roles existentes y necesarios en el acceso y operación interno y externo de la base de datos y así mismo la asignación de responsabilidades que conllevan los roles. Los Procedimientos hacen referencia a la ejecución de controles de cifrado, autentificación, administración, operación y monitoreo de las bases de datos. Finalmente la Auditabilidad es un proceso de evaluación y mejora continua para reforzar las prácticas de seguridad del modelo con el fin de que continúe vigente y funcionando correctamente. Para terminar se realiza una demostración del funcionamiento del modelo que fue implementado en una empresa de consultoría (Quaxar México SA de CV) en el cual se evaluaron los resultados y se concluyo que la aplicación de las mejores prácticas y el seguimiento de estándares internacionales aunado al uso de tecnologías cubrió las necesidades de seguridad de la empresa estableciendo políticas y procedimientos en la operación del sistema ya que eran inexistentes, además de los planes de capacitación en relación de difusión de la cultura informática en base a leyes nacionales e internacionales, estándares y Best Practices que se adecuan a la seguridad en bases de datos. ii

6 INTRODUCCIÓN La información es un elemento clave dentro de las organizaciones para alcanzar un alto nivel de competitividad y desarrollo, por ello cualquier pérdida o fuga representa un impacto negativo que puede concluir con la extinción de la organización, por lo tanto deben implementarse medidas de seguridad en las bases de datos donde está almacenada la información de la empresa. Sin embargo en la actualidad, la seguridad de la información aún es un reto difícil de lograr, ya que como tal, pretende alcanzar la extinción de amenazas y daños mejorando la toma de decisiones para maximizar los beneficios financieros y comerciales. Anteriormente, el almacenamiento de información se llevaba en papel y esto hacía que su acceso y manejo fuera complejo, inexacto, lento y costoso. A medida que fueron desarrollándose las tecnologías de información a principios de los años 60 s se empleaban máquinas que codificaban la información en tarjetas perforadas, en los 70 s cambió en gran medida el escenario del procesamiento de la información ya que se crearon discos de almacenamiento, que permitieron el acceso directo a la información naciendo así las Bases de Datos, creadas con el objetivo de almacenar y administrar grandes cantidades de información A la fecha las bases de datos han evolucionado a la par de la tecnología provocando que su uso sea vital para el funcionamiento de una organización a cualquier escala, hoy por hoy existen bases de datos para atender todo tipo de requerimientos y necesidades de almacenamiento de información haciendo que su resguardo sea una ventaja competitiva. Sin embargo, de acuerdo a estudios hechos por empresas como CISCO, surge la problemática de que dichas bases de datos no cumplen con requerimientos de seguridad o éstas medidas no son implementadas adecuadamente, lo que produce impactos negativos en la imagen de la empresa y pérdidas económicas debido a multas o pérdidas por el valor propio de la información. Por ello, el objetivo principal de la presente investigación es proponer un modelo de seguridad que sirva de herramienta a los informáticos para establecer entornos de seguridad de las bases de datos, induciendo al resguardo y protección de la información contenida en una base de datos para prevenir y atacar las principales vulnerabilidades que pueden afectar la información almacenada, un modelo que conlleve a la implementación de medidas de seguridad, prácticas, procedimientos y controles basados ISO 27000, así como mejores prácticas COBIT e ITIL. La relevancia de este modelo radica en el hecho de que hoy en día muchas empresas no cuentan con un modelo formal de resguardo de sus bases de datos, suelen utilizar únicamente la seguridad que brinda la de bases de datos pero no se incluyen los controles, normas, procedimientos y mejores prácticas que el presente modelo considera, de esta manera usamos la seguridad de la base de datos, junto con un entorno de seguridad lo cual definitivamente robustecerá la protección de la base de datos. iii

7 Es importante señalar que no se ahonda en configuraciones ni ejecución de procesos específicos para solucionar problemas de seguridad en sistemas operativos pues se pretende hacer un modelo portable, esto es, que se pueda aplicar en cualquier ambiente de bases de datos independientemente de la plataforma. El proyecto de Tesina cuenta con 6 capítulos cuyo contenido se describe brevemente a continuación: Capitulo 1: Marco Metodológico, en este capítulo se plantea la problemática del modelo, técnicas de investigación a emplear y la justificación del desarrollo del mismo. Capitulo 2: Definiciones Principales, en este capítulo se describen los principales conceptos que se manejan dentro de la investigación, tales como bases de datos, seguridad, controles etc., que ayudan a comprender mejor el contenido del resto de los capítulos Capitulo 3: Problemática y Riesgos en la Seguridad de las Bases de Datos, en este capítulo se ahondan los riesgos que atacan una base de datos haciendo un análisis de las principales vulnerabilidades y como se pueden convertir en un riesgo para las bases de datos. Capitulo 4: Legislación, Mejores Prácticas y Tecnologías relacionadas y aplicables con la Seguridad de las Bases de Datos, en este capítulo se tratan temas relacionados a la Legislación Informática aplicada a las bases de datos para saber si existe algún tema legal que el modelo debe cubrir o prevenir, también se revisan las normas y mejores prácticas que son incluidas en el modelo además de las tecnologías que son usadas para la protección de bases de datos. Capitulo 5: Modelo de Seguridad de Bases de Datos, en este capítulo se presenta el modelo de seguridad para las bases de datos basado en las mejores prácticas, normas y tecnologías descritas en el Capítulo 4. Capitulo 6: Caso Práctico, se implementa el modelo para probar su efectividad en una empresa con la necesidad de elevar el nivel de seguridad de las bases de datos Además, la bibliografía citada brinda información de estadísticas y ejemplos de problemáticas específicas de seguridad de bases de datos en las organizaciones. iv

8 CAPÍTULO 1 MARCO METODOLÓGICO En este capítulo se da a conocer el planteamiento del problema, se establecen los objetivos generales y específicos que se pretenden alcanzar con el desarrollo del Modelo de Seguridad en Bases de Datos. Además de que se establece el tipo y técnica de investigación que se emplea para la elaboración de modelo. Y finalmente se presenta la justificación, la cual indica la razón de ser de la tesina, indicando la problemática que se desea atacar y la propuesta para mitigar dicha problemática. 1.1 Planteamiento del problema Las empresas hoy en día, recurren a la automatización de sus procesos y de la información con el fin de optimizar recursos y maximizar ganancias, sin importar el giro y tamaño de la organización, de aquí que cada entorno informático es diferente y contiene distintos tipos de información, centralizada habitualmente en bases de datos. Considerando esto, las bases de datos deben proteger la confidencialidad e integridad de la información para erradicar posibles ataques y extracción de la misma, ya que con base a estudios realizados por organizaciones internacionales como Cisco Sistemas Inc. y Trend Micro Inc. se arrojan porcentajes elevados de violaciones de la seguridad de las bases de datos ya sea por omisión, accidental o intencional. En base al estudio encargado por Cisco 1 y realizado por InsightExpress en el 2008, se realizó una encuesta a más de 2000 empleados y profesionales de tecnología de la información en 10 países y se demostró que las principales preocupaciones de los profesionales de TI, están ponderadas de la siguiente manera: 33% corresponde al robo de datos a través de dispositivos USB 39% se refiere a las amenazas provenientes de sus propios empleados. 27% ignoran la pérdida de información. Hablando de pérdidas financieras, podemos hacer referencia al estudio realizado por la FSA 2 (Autoridad Británica de Servicios Financieros) en el cual se sancionó con más de 3.47 millones de euros a 3 filiales del Banco HSBC por la pérdida de datos confidenciales de sus clientes, debido al mal manejo de la información por el personal que no recibió la formación adecuada para la identificación y gestión de riesgos de seguridad, dejándola expuesta a su uso ilegal. 1 Informe Técnico de Cisco: "Fuga de datos a nivel mundial: El elevado costo de las amenazas internas". Fuente: 2 Nota informativa de El Universal: "HSBC recibe multa por pérdida de datos personales" Fuente: 1

9 Otro dato importante, es el caso de Network Solutions 3, compañía de tecnología para registro de dominios de Internet, quienes en el pasado mes de Julio, detectaron código malicioso utilizado para transferir datos sobre operaciones de tarjetas de crédito de alrededor de 600,000 personas en aproximadamente 4,343 sitios Web que enviaba información de sus bases de datos a terceros. De esta manera, se demuestra que los riesgos en las bases de datos no sólo provocan la pérdida o corrupción de la información, sino que impacta de forma general a la empresa, ya que se traduce en altas pérdidas financieras que ponen en riesgo la continuidad de las organizaciones. Es por esta razón que las bases de datos con más demanda actualmente prometen altos niveles de seguridad, integridad y disponibilidad de la información, sin embargo la realidad reflejada en estos estudios demuestra lo contrario, ya que las prácticas de los analistas, administradores y usuarios finales son inadecuadas e ineficientes, provocando que empleados y terceras partes cometan fraudes poniendo en riesgo la integridad de las organizaciones. 1.2 Objetivo general Proponer un modelo de seguridad para bases de datos, basado en las mejores prácticas que atiendan las necesidades de protección, accesibilidad, disponibilidad e integridad de la información en las organizaciones públicas y privadas. 1.3 Objetivos específicos Realizar un análisis de vulnerabilidades, basado en la ejecución de herramientas y mejores prácticas, tales como Cobit (Dominio 4), ITIL e ISO 27002:2005 en las base de datos. Realizar una auditoría en bases de datos en una organización y elaborar un análisis en función del cumplimiento de la legislación Informática en México. Elaborar un modelo de Seguridad en Bases de Datos que permita hacer recomendaciones que ayuden a fortalecer la seguridad de las bases de datos. Implementar el modelo propuesto en una organización y verificar el cumplimento de las recomendaciones establecidas. Entregar resultados obtenidos del modelo implementado en la organización. 1.4 Tipos, diseño y técnicas de investigación Tipo de Investigación Descriptiva: Comprende la descripción, registro, análisis e interpretación de la naturaleza actual, y procesos 3 Artículo: "Ataque a Network Solutions compromete los datos de medio millón de personas" Fuente: 2

10 o la composición de los fenómenos. El enfoque se hace sobre conclusiones dominantes o sobre como una persona, grupo o cosa se conduce o funciona en el presente. La investigación descriptiva trabaja sobre realidades de hechos, y su característica fundamental es la de presentarnos una interpretación correcta. Su objetivo no se limita a la recolección de datos, si no a la predicción e identificación de las relaciones que existen entre dos o más variables. La investigación descriptiva tiene como objetivo dar un panorama, lo más preciso posible, del problema que se estudia. La tarea de investigación en este tipo de investigación tiene las siguientes etapas: 1. Descripción del Problema 2. Marco Teórico 3. Selección de Técnicas de Recolección de Datos 4. Categorías de Datos, a fin de facilitar relaciones 5. Descripción, Análisis e Interpretación de Datos. Experimental: Se presenta mediante la manipulación de una variable experimental no comprobada, en condiciones rigurosamente controladas, con el fin de describir de qué modo o por qué causa se produce una situación o acontecimiento particular. El experimento es una situación provocada por el investigador para introducir determinadas variables de estudio manipulada por él, para controlar el aumento o disminución de esas variables y su efecto en las conductas observadas. La tarea del investigador, el investigador maneja de manera deliberada la variable experimental y luego observa lo que ocurre en condiciones controladas. La tarea del investigador en este tipo de investigación presenta las siguientes etapas: 1. Presencia de un problema para el cual sea realizado una revisión bibliográfica 2. Identificación y definición del problema 3. Diseño del plan experimental 4. Prueba de confiabilidad de datos 5. Realización de experimento 6. Tratamiento de datos Diseño de la Investigación El diseño de la investigación va a ser de tipo documental y experimental. 3

11 Documental: Se recabará información acerca de las bases de datos, mejores prácticas y demás información requerida para el análisis de la seguridad lógica en éstas, mediante fuentes de información electrónicos e impresos. Experimental: Se llevará a cabo el uso de herramientas y mejores prácticas, enfocadas a la seguridad en bases de datos. Con los resultados obtenidos se implementara controles, que permitan robustecer la seguridad en la base de datos Oracle Técnicas de Investigación a Emplear Documental La investigación documental es la presentación de un escrito formal que sigue una metodología reconocida. Consiste primordialmente en la presentación selectiva de los expertos que ya han dicho o escrito sobre un tema determinado. Además, puede presentar la posible conexión de ideas entre varios autores y las ideas del investigador. Su preparación requiere que éste reúna, interprete, evalúe y reporte datos e ideas en forma imparcial, honesta y clara. La Investigación Documental podemos caracterizarla de la siguiente manera: Por la utilización de documentos; recolecta, selecciona, analiza y presenta resultados coherentes. Utiliza los procedimientos lógicos y mentales de toda investigación; análisis, síntesis, deducción, inducción, etc. Realiza una recopilación adecuada de datos que permiten redescubrir hechos, sugerir problemas, orientar hacia otras fuentes de investigación, orientar formas para elaborar instrumentos de investigación, elaborar hipótesis, etc. Nuestra información documental será recabada de algunos títulos de libros y páginas de internet, que se encuentran en la ficha bibliográfica. De Campo La investigación de campo la realizaremos en la organización que nos brindara el acceso necesario para realizar las pruebas descritas a continuación: Entrevistas al personal de informática. Aplicación de cuestionario. Pruebas a la base de datos. 4

12 1.5 Justificación El crecimiento de la Tecnologías Informática (TI) y su estricta dependencia con el negocio de las empresas, hace crítica la inversión en seguridad ya que los procesos comerciales se ven estrictamente ligados a procesos informáticos. Prácticamente toda organización que haga uso de TI, hace uso de bases de datos para almacenar su información, como: resultados de ventas, carteras de clientes, datos históricos de la operación de la empresa, nómina, entre otros. Todos estos datos son información crítica que de ser extraída o mal manejada llevan a pérdidas financieras que pueden tener un fuerte impacto para la organización dueña de la base de datos y en algunos casos también a la economía de un país. Existen diversos datos que demuestran que no se tiene una cultura de seguridad en las bases de datos, por ejemplo, la multa de 3.47 millones de euros a HSBC por la pérdida de una base de datos de clientes o el caso de la empresa Boeing, donde un ex empleado robó 320,000 archivos de una base de datos la cual se calcula podría tener un impacto de entre 5 y 15 millones de dólares, además de un cálculo hecho por la consultora norteamericana Forrester Research, que indica que un registro perdido puede llegar a costar entre USD$90 y USD$315, esto sin contar el costo que supone la pérdida de credibilidad y el impacto a la imagen que un robo o fuga de información de clientes pueda suponer a una organización de prestigio. En México no se cuenta con un cálculo de costo por registro perdido pero según Websense Inc. compañía de software de productividad de seguridad y filtrado Web, el 40% del PIB lo conforman las PyMES, y para una empresa grande probablemente sea posible solventar los gastos y remediar el daño que provoque una fuga de información de una base de datos, pero en una empresa pequeña o mediana, la invasión, pérdida o robo de la información de las bases de datos críticas, como la de clientes, puede ocasionar deterioros financieros o incluso banca rota. Por otro lado, no necesariamente una base de datos es vulnerada intencionalmente para hacer mal uso de la información, el estudio de Websense Inc. revela que alrededor del 80% de la fuga y pérdida de información se debe a accidentes provocados por el propio personal de la empresa, como el envío de correos electrónicos a direcciones equivocadas, lo que frena el progreso y la competitividad de una entidad comercial o de gobierno y a la postre, su viabilidad. Al existir herramientas como COBIT y estándares como ISO 27002:2005, los cuales son aplicables a varios niveles de TI, se puede hacer una extracción tanto de mejores prácticas como normas con los que se propone el desarrollo de un entorno de seguridad en bases de datos que permita robustecer el resguardo y manejo de información aplicable a distintos tipos de organizaciones de diversos tamaños, evitando pérdidas de información, protegiendo a las organizaciones e incrementando su competitividad. Por lo tanto se presenta un modelo de seguridad que disminuye la vulnerabilidad de bases de 5

13 datos, donde además de aprovechar las herramientas de seguridad del propio manejador, se incluyen políticas, procedimientos, roles, responsabilidades y mejores prácticas establecidas bajo las directrices del cuarto dominio de COBIT, las mejores prácticas ITIL y la norma ISO 27002:2005. De esta manera, dicho modelo también sirve para mitigar los problemas referentes a la pérdida financiera del negocio por fugas de información, ya que optimiza el uso de las herramientas de seguridad y disminuye riesgos de pérdida, acceso no autorizado y/o robo de información. CAPÍTULO 2 CONCEPTOS GENERALES Este capítulo muestra las características más importantes de una base de datos, al igual que las definiciones de los conceptos que la conforman. También se especifican los diferentes sistemas de manejadores de bases de datos existentes en el mercado, sus características, riesgos y vulnerabilidades principales. Para finalizar, se presenta la definición y herramientas de modelado de las bases de datos con sus características y componentes. 2.1 Bases de Datos El término base de datos surge debido a que las organizaciones no contaban con una infraestructura que les permitiera resguardar la información y anteriormente su almacenamiento se limitaba sólo a cuadernillos de papel, lo que hacía que su acceso, manejo e integridad fuera complejo, inexacto, lento y costoso. A medida que fue evolucionando la tecnología en la década de 1950 y a principios de 1960 se desarrollaron máquinas que codificaban la información en tarjetas perforadas por medio de agujeros. Esto no fue muy funcional ya que también era muy costoso y sólo lo utilizaban organizaciones de gran tamaño. A finales de la década de los 60 s y en la década de los 70 s cambió en gran medida el escenario del procesamiento de la información, ya que se inició el uso de los discos fijos que permitieron el acceso directo a la información disminuyendo tiempos y costos, ya que no era necesario saber exactamente donde estaban los datos en los discos, en milisegundos era recuperable la información. Estos discos dieron inicio a las Bases de Datos, creadas con el objetivo de almacenar grandes cantidades de datos en discos. Si bien este concepto fue escuchado por primera vez en 1963, en un simposio celebrado en california USA. Y de esto se derivan varias definiciones, algunas de ellas citadas a continuación: Colección no redundante de datos que son compartidos por diferentes sistemas de aplicación, (Howe, 1983). Colección integrada y generalizada de datos, estructurada atendiendo a las relaciones 6

14 naturales de modo que suministre todos los caminos de acceso necesarios a cada unidad de datos con objeto de atender todas las necesidades de los usuarios, (Deen, 1985). Colección de datos interrelacionados, (Elsmari y navathe, 1989). Colección o depósito de datos integrados, almacenados en soporte secundario (no volátil) y con redundancia controlada. Los datos, que han de ser compartidos por diferentes usuarios y aplicaciones, deben mantenerse independientes de ellos, y su definición (estructura de la base de datos) única y almacenada junto con los datos, se ha de apoyar en un modelo de datos, el cual ha de permitir captar las interrelaciones y restricciones existentes en el mundo real. Los procedimientos de actualización y recuperación, comunes y bien determinados, facilitarán la seguridad del conjunto de los datos, de Miguel y Piattini (1999). De lo anterior, en la presente, las bases de datos se definen como: Un conjunto de datos relacionados y organizados que representa información operacional de una organización almacenada sistemáticamente en discos que permiten el acceso y la administración de los datos. Ahora bien, las características que debe reunir una base de datos son: 1. Independencia lógica y física de los datos: es la capacidad de modificar una definición de esquema en un nivel de la arquitectura sin que ésta modificación afecte al nivel inmediatamente superior. Para ello un registro externo en un esquema externo no tiene por qué ser igual a su registro correspondiente en el esquema conceptual Redundancia mínima: usa la base de datos como repositorio común de datos para distintas aplicaciones sin duplicación de los datos. 3. Acceso concurrente por parte de múltiples usuarios: control de concurrencia mediante técnicas de bloqueo o cerrado de datos accedidos. 4. Distribución espacial de los datos: la independencia lógica y física facilita la posibilidad de sistemas de bases de datos distribuidas. Los datos pueden encontrarse en otra habitación, otro edificio e incluso otro país. 5. Integridad de los datos: se refiere a las medidas de seguridad que impiden que se introduzcan datos erróneos. Esto puede suceder tanto por motivos físicos (defectos de hardware, actualización incompleta debido a causas externas), como de operación (introducción de datos incoherentes). 6. Consultas complejas optimizadas: la optimización de consultas permite la rápida ejecución de las mismas. 7

15 7. Seguridad de acceso y auditoría: se refiere al derecho de acceso a los datos contenidos en la base de datos por parte de personas y organismos. El sistema de auditoría mantiene el control de acceso a la base de datos, con el objeto de saber qué o quién realizó una determinada modificación y en qué momento. 8. Respaldo y recuperación: es la capacidad de un sistema de base de datos de recuperar su estado en un momento previo a la pérdida de datos. 9. Acceso a través de lenguajes de programación estándar: la posibilidad de acceder a los datos de una base de datos mediante lenguajes de programación ajenos al sistema de base de datos propiamente dicho. Una base de datos es diseñada, creada y poblada para aun propósito especifico, que puede ser mantenida por un grupo de programas de aplicación escritos específicamente para esta tarea o por un Sistema Manejador de Bases de Datos (SMBD) Tipos de Base de Datos De acuerdo a su funcionalidad y modo de operación, las bases de datos se clasifican en estáticas y dinámicas. Las bases de datos estáticas son de sólo lectura, aquellas que se emplean para almacenar datos históricos que posteriormente se pueden estudiar y analizar para realizar proyecciones y tomar decisiones. Por ejemplo, aquellas involucradas en un Data Warehouse, que es un repositorio de datos de fácil acceso que permite consultas para generar estadísticas, reportes y mejorar la toma de decisiones. Por el contrario, las bases de datos dinámicas son aquellas de lectura/escritura que cambian constantemente su contenido, permitiendo operaciones como actualización, borrado y adición de datos, además de las operaciones fundamentales de consulta. Un ejemplo de esto puede ser la base de datos utilizada en un sistema de información de una tienda de abarrotes, una farmacia o un videoclub Modelos de Base de Datos Un modelo de datos es una "descripción" de algo conocido como contenedor de datos (algo en donde se guarda la información), así como de los métodos para almacenar y recuperar información de esos contenedores. Los modelos de datos no son cosas físicas: son abstracciones que permiten la implementación de un sistema eficiente de base de datos; por lo general se refieren a algoritmos, y conceptos matemáticos. Algunos modelos con frecuencia utilizados en las bases de datos se enumeran a continuación: Bases de datos jerárquicas Los datos se organizan en una forma similar a un árbol, en donde un nodo padre de información puede tener varios hijos. 8

16 El nodo que no tiene padres es llamado raíz, y a los nodos que no tienen hijos se los conoce como hojas. Las bases de datos jerárquicas son especialmente útiles en el caso de aplicaciones que manejan un gran volumen de información y datos compartidos permitiendo crear estructuras estables y de gran rendimiento. Una de las principales limitaciones de este modelo es su incapacidad de representar eficientemente la redundancia de datos. Base de datos de red Es un modelo ligeramente distinto del jerárquico; su diferencia fundamental es la modificación del concepto de nodo: se permite que un mismo nodo tenga varios padres (posibilidad no permitida en el modelo jerárquico). Ofrece una solución eficiente al problema de redundancia de datos; sin embargo la dificultad que significa administrar la información en una base de datos de red ha significado que sea un modelo utilizado en su mayoría por programadores más que por usuarios finales. Bases de datos transaccionales Son bases de datos cuyo único fin es el envío y recepción de datos a grandes velocidades, estas bases son muy poco comunes y generalmente están dirigidas al entorno de análisis de calidad, datos de producción e industrial, es importante entender que su fin único es recolectar y recuperar los datos a la mayor velocidad posible, por lo tanto la redundancia y duplicación de información no es un problema como con las demás bases de datos, por lo general para poderlas aprovechar al máximo permiten conectividad a bases de datos relacionales. Bases de datos relacionales En este modelo, el lugar y la forma en que se almacenen los datos no tienen relevancia (a diferencia de otros modelos como el jerárquico y el de red). Esto tiene la considerable ventaja de que es más fácil de entender y de utilizar para un usuario esporádico de la base de datos. La información puede ser recuperada o almacenada mediante "consultas" que ofrecen una amplia flexibilidad y poder para administrar la información. Bases de datos multidimensionales Son bases de datos ideadas para desarrollar aplicaciones muy concretas, como la creación de cubos, que son bases de datos de donde las herramientas de transacciones y reporteo tomarán los datos. Básicamente no se diferencian demasiado de las bases de datos relacionales, la diferencia está más bien a nivel conceptual; en las bases de datos multidimensionales los campos o atributos de una tabla pueden ser de dos tipos, o bien representan dimensiones de la tabla, o bien representan métricas que se desean estudiar. 9

17 Bases de datos orientadas a objetos Este modelo, bastante reciente, y propio de los modelos informáticos orientados a objetos, trata de almacenar en la base de datos los objetos completos (estado y comportamiento). Una base de datos orientada a objetos es una base de datos que incorpora todos los conceptos importantes del paradigma de objetos: 1. Encapsulación - Propiedad que permite ocultar la información al resto de los objetos, impidiendo así accesos incorrectos o conflictos. 2. Herencia - Propiedad a través de la cual los objetos heredan comportamiento dentro de una jerarquía de clases. 3. Polimorfismo - Propiedad de una operación mediante la cual puede ser aplicada a distintos tipos de objetos. Bases de datos documentales Permiten la indexación a texto completo, y en líneas generales realizar búsquedas más potentes, esto es, cada registro corresponde a un documento, sea éste de cualquier tipo: una publicación impresa, un documento audiovisual, gráfico o sonoro, un documento de archivo, un documento electrónico, etcétera. Bases de datos deductivas Es un sistema de base de datos que permite hacer deducciones a través de inferencias. Se basa principalmente en reglas y hechos que son almacenados en la base de datos. Las bases de datos deductivas son también llamadas bases de datos lógicas, a raíz de que se basa en lógica matemática. Gestión de bases de datos distribuida La base de datos está almacenada en varias computadoras conectadas en red. Surgen debido a la existencia física de organismos descentralizados. Esto les da la capacidad de unir las bases de datos de cada localidad y acceder así a distintas universidades, sucursales de tiendas, etcétera Sistemas Manejadores de Bases de Datos De acuerdo a la definición del Ing. Francisco Rodríguez Novoa 4 los Sistemas Manejadores de Bases de Datos son: Un conjunto de programas que permiten la implantación, acceso y mantenimiento de la Base de Datos. Así, los sistemas manejadores de base de datos (DBMS, por sus siglas en inglés) son un tipo de 4 Profesor de la UNIVERSIDAD NACIONAL DE TRUJILLO, ESCUELA DE INGENIERIA INDUSTRIAL 10

18 software muy específico, dedicado a servir de interfaz entre la base de datos, el usuario y las aplicaciones que la utilizan de manera clara, sencilla y ordenada un conjunto de datos que posteriormente se convertirán en información relevante para una organización. Las funciones principales de un SMBD son: Crear y organizar la Base de datos. Establecer y mantener las trayectorias de acceso a la base de datos de tal forma que los datos puedan ser introducidos y consultados rápidamente. Manejar los datos de acuerdo a las peticiones de los usuarios. Registrar el uso de las bases de datos. Interacción con el manejador de archivos, a través de las sentencias en DML al comando del sistema de archivos. Así el Manejador de base de datos es el responsable del verdadero almacenamiento de los datos. Respaldo y recuperación, consiste en contar con mecanismos implantados que permitan la recuperación fácilmente de los datos en caso de ocurrir fallas en el sistema de base de datos. Control de concurrencia consiste en controlar la interacción entre los usuarios concurrentes para no afectar la inconsistencia de los datos. Seguridad e integridad consiste en contar con mecanismos que permitan el control de la consistencia de los datos evitando que estos se vean perjudicados por cambios no autorizados o previstos Características Generales de Sistemas Manejadores de Bases de Datos Existen distintos objetivos que deben cumplir los SMBD: Abstracción de la información. Los SMBD ahorran a los usuarios detalles acerca del almacenamiento físico de los datos. Da lo mismo si una base de datos ocupa uno o cientos de archivos, este hecho se hace transparente al usuario. Así, se definen varios niveles de abstracción. Independencia. La independencia de los datos consiste en la capacidad de modificar el esquema (físico o lógico) de una base de datos sin tener que realizar cambios en las aplicaciones que se sirven de ella. Consistencia. En aquellos casos en los que no logra eliminar la redundancia, es necesario vigilar que aquella información repetida se actualice de forma coherente, es decir, que todos los datos repetidos se actualicen de forma simultánea. Por otra parte, la base de 11

19 datos representa una realidad determinada que tiene determinadas condiciones, por ejemplo que los menores de edad no pueden tener licencia de conducir, el sistema no debe aceptar datos de un conductor menor de edad. En los SMBD existen herramientas que facilitan la programación de este tipo de condiciones. Seguridad. La información almacenada en una base de datos puede llegar a tener un gran valor. Los SMBD deben garantizar que esta información se encuentra segura de permisos a usuarios y grupos de usuarios, que permiten otorgar diversas categorías de permisos. Manejo de transacciones. Una transacción es un programa que se ejecuta como una sola operación. Esto quiere decir que luego de una ejecución en la que se produce una falla es el mismo que se obtendría si el programa no se hubiera ejecutado. Los SMBD proveen mecanismos para programar las modificaciones de los datos de una forma mucho más simple que si no se dispusiera de ellos. Tiempo de respuesta. Lógicamente, es deseable minimizar el tiempo que el SMBD tarda en darnos la información solicitada y en almacenar los cambios realizados Tipos de Sistemas Manejadores de Bases de Datos en el Mercado Los Sistemas Manejadores de Bases de Datos que existen en el mercado se dividen en tres partes que son: libres, no libres y no libres y gratuitos. Los libres se consiguen de manera gratuita, los no libres son aquellos que se adquieren por una cuota y los no libres y gratuitos son de forma gratuita pero solo la versión que se provee, generalmente un trial del producto. Sistemas Manejadores de Bases de Datos (SMBD) libres - MySQL Licencia Dual, depende el uso. (No se sabe hasta cuándo, ya que la compro Oracle). - PostgreSQL, Licencia BSD - Firebird, basada en la versión 6 de InterBase - SQLite, Licencia Dominio Público - DB2 Express-C - Apache Derby Sistemas Manejadores de Bases de Datos (SMBD) no libres - Advantage Database Server - dbase - FileMaker 12

20 - Fox Pro - IBM DB2 Universal Database (DB2 UDB) - IBM Informix - CA-IDMS - Paradox - Interbase de CodeGear - MAGIC - Microsoft Access - Microsoft SQL Server - NexusDB - Open Access - Oracle - PervasiveSQL - Progress (SMBD) - Sybase ASE - Sybase ASA - Sybase IQ - WindowBase - IBM IMS Base de Datos Jerárquica Sistemas Manejadores de Bases de Datos (SMBD) no libres y gratuitos - Microsoft SQL Server Compact Edition Basic - Sybase ASE Express Edition para Linux (edición gratuita para Linux) - Oracle Express Edition 10 Para Windows 13

21 2.1.6 Demanda de Bases de Datos en el Mercado Actualmente 3 grandes corporaciones han logrado abarcar el 87% total del mercado mundial de bases de datos según una investigación elaborada por Gartner 5 en el Tal investigación identificó que las mayores ventas a nivel mundial de programas para bases de datos están distribuidas en IBM (Informix), Microsoft Corp (MS SQL Server) y Oracle Corp (Oracle). Según cifras de Gartner entregadas en dicha investigación en cuanto a la participación de mercado: - Microsoft subió de un 17,6% a un 18,1%. - Las ventas de International Business Corp (IBM), se redujo a un 20,7% desde un 21,3 del año La participación de las ventas de Oracle, avanzó a un 48,6% de un 47,9%. De acuerdo a estas cifras se demuestra que actualmente Oracle es el líder con mayor posicionamiento de ventas en el mercado, porque es considerada como la más completa ya que se destaca por sus características como: - Soporte de transacciones - Estabilidad - Escalabilidad - Soporte multiplataforma 2.2 Seguridad en Bases de Datos La seguridad es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. Una Base de Datos puede ser protegida desde un punto de vista lógico o físico. La seguridad en las bases de datos abarca varios temas: Cuestiones éticas y legales relativas al derecho a tener acceso a cierta información. Cuestiones de política en el nivel gubernamental, institucional o corporativo relacionadas con la información que no debe estar disponible para el público. Cuestiones relacionadas con el sistema. Necesidad en algunas organizaciones de identificar múltiples niveles de seguridad y de clasificar los datos y los usuarios según estos niveles. 5 Investigación publicada en 14

22 2.2.1 Seguridad Física Cuando se habla de seguridad física se refiere a todos aquellos mecanismos, generalmente de prevención y detección, destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Las principales amenazas que se prevén en la seguridad física se clasifican principalmente en tres rubros que son: 1. Desastres naturales, incendios accidentales tormentas e inundaciones. 2. Amenazas ocasionadas por el hombre. 3. Disturbios, sabotajes internos y externos deliberados. Dentro de estas amenazas, a continuación se enumeran algunos de los problemas a los que se enfrentan las organizaciones y las posibles medidas de acción para minimizar su impacto. Inundaciones Se definen como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Señales de Radar La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiado desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Instalaciones Eléctricas Los cambios bruscos de energía en los equipos producen pérdidas y/o daños de la información que deben ser prevenidos con equipos reguladores para evitar posibles descargas o en su defecto con sistemas de alimentación ininterrumpida para evitar daños causados por apagones. 15

23 Acciones Hostiles Robo Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente copiada, las cintas y discos son fácilmente copiados sin dejar ningún rastro Fraude Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones. Sabotaje El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc. Control de Accesos El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. Uso de Guardias 16

24 El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal. Uso de Detectores de Metales El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. El uso de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo. Uso de Sistemas Biométricos La Biometría es una tecnología que realiza mediciones en forma electrónica, guarda y compara características únicas para la identificación de personas, incluyendo lectores de huellas digitales, retinas, forma de las manos, etcétera. Verificación Automática de Firmas (VAF) Mientras es posible para un falsificador producir una copia visual o duplicado, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir. La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada. El equipamiento de colección de firmas es inherentemente de bajo costo y robusto. Protección Electrónica Se llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de sensores conectados a centrales de alarmas Seguridad Lógica Luego de ver como el sistema puede verse afectado por la falta de Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra la información por él almacenada y procesada. Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que 17

25 resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Los objetivos que se plantean serán: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisión de información. Controles de Acceso Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados. Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema: a) Control de Acceso Interno Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica. 18

26 1. Sincronización de contraseñas: consiste en permitir que un usuario acceda con la misma contraseña a diferentes sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser modificada. 2. Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus contraseñas los usuarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus contraseñas, y un período máximo que puede transcurrir para que éstas caduquen. 3. Encriptación: La información encapsulada solamente puede ser desencriptada por quienes posean la clave apropiada. La encriptación puede proveer de una potente medida de control de acceso. b) Control de Acceso Externo 1. Dispositivos de Control de Puertos: Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem. 2. Firewalls o Puertas de Seguridad: Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet). 3. Acceso de Personal Contratado o Consultores: Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideración en la política y administración de sus perfiles de acceso. 4. Accesos Públicos: Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración. c) Identificación y Autentificación Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación. Existen cuatro tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas: 1. Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o contraseñas, una clave criptográfica, un número de identificación personal o PIN, etc. 2. Algo que la persona posee: por ejemplo una tarjeta magnética. 19

27 3. Algo que el individuo es y que lo identifica unívocamente: las huellas digitales o la voz. 4. Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura. d) Roles y responsabilidades El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles son los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. e) Transacciones También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada. f) Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario. g) Modalidad de Acceso Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser: 1. Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa. 2. Escritura: este tipo de acceso permite agregar datos, modificar o borrar información. 3. Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas. 4. Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificación. h) Ubicación y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. 20

28 De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados. i) Administración Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas Riesgos y Vulnerabilidades a) Riesgo: Es la posibilidad o peligro de un ataque o daño en la información que ocasiona un incidente con consecuencias factibles de ser estimadas. Cuanto mayor es la vulnerabilidad mayor es el riesgo (e inversamente), pero cuanto más factible es el perjuicio o daño mayor es el peligro (e inversamente). Por tanto, el riesgo se refiere sólo a la teórica "posibilidad de daño" bajo determinadas circunstancias, mientras que el peligro se refiere sólo a la teórica "probabilidad de accidente o patología" bajo determinadas circunstancias, sucesos que son causas directas de daño. Por ejemplo, cuanto mayor es la velocidad de circulación de un vehículo en carretera mayor es el "riesgo de daño", mientras que cuanto mayor es la imprudencia al conducir mayor es el "peligro de accidente". Por consiguiente, el peligro es causa de riesgo o, lo que es equivalente, el riesgo es el efecto último de todas las causas. b) Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo o Deficiencias que pueden ser explotadas por amenazas La vulnerabilidad se refiere al hecho de que podemos ser sujetos de los efectos negativos del cambio climático, ya sea como individuos, como miembros de una comunidad, como ciudadanos de un país o como parte de la humanidad en general. c) Amenazas: La amenaza representa un tipo de acción que tiende a ser dañina, puede ser intencionada o no, externas o internas. La diferencia con la vulnerabilidad es que ésta es la probabilidad de que la amenaza cumpla con su objetivo dañino, ejemplo de amenaza puede ser: La ignorancia y descuido de los usuarios, ataques de hackers, falta de políticas y cultura de seguridad. 21

29 2.2.4 Controles El control se define como la verificación a posterior de los resultados conseguidos en el seguimiento de los objetivos planteados es una actividad de todos los niveles empresariales orientando hacia el cumplimiento de los objetivos propuestos bajo mecanismos de medición cualitativos y cuantitativos. Esto lleva a pensar que el control es un mecanismo que permite corregir desviaciones a través de indicadores cualitativos y cuantitativos dentro de un contexto, a fin de lograr el cumplimiento de los objetivos claves para el éxito organizacional, es decir, el control se entiende no como un proceso netamente técnico de seguimiento, sino también como un proceso informal donde se evalúan factores culturales, organizativos, humanos y grupales. Los controles de seguridad se diseñan para cumplir varias funciones y se clasifican en: a) Controles Directivos Son acciones positivas tomadas para administrar el desarrollo, mantenimiento y uso del sistema, incluyendo políticas específicas a un sistema, procedimientos y reglas de comportamiento, roles y responsabilidades individuales, que favorecen al control interno. b) Controles Preventivos Son acciones tomadas para prevenir la ocurrencia de eventos no deseados contra la seguridad de la información. Son más rentables Deben quedar incorporados en los sistemas Evitan costos de corrección o reproceso c) Controles Detectivos Detectan eventos no deseados y que ya han ocurrido contra la seguridad de la información, son más costosos que los preventivos y miden la efectividad de estos. Algunos errores no pueden ser evitados en la etapa preventiva, incluyen revisiones y comparaciones (registro de desempeño). d) Controles Correctivos Son acciones y procedimientos de corrección (la recurrencia), como la documentación y reportes que informan a la Gerencia, supervisando los asuntos hasta que son corregidos o solucionados e) Controles de Recuperación (Solo algunos autores lo manejan) Son aquellos controles que sirven como procedimientos de respaldo documentados, incluyendo la frecuencia (diario, semanal, mensual) y el alcance (full backup, incremental, diferencial) 22

30 2.3 Evaluación de la seguridad de Bases de Datos La seguridad de una base de datos no sólo implica asegurar el entorno informático, también se ve afectada por pequeños errores u omisiones de desarrolladores, administradores y operadores, por lo que la cultura del personal y debilidades del sector humano, pueden incrementar las vulnerabilidades de los sistemas de defensa de dichas bases de datos. De esta forma, se hace necesaria la evaluación periódica de los controles implementados para mitigar o minimizar las amenazas de la información. La evaluación de la seguridad de la base de datos se elabora en 2 niveles: 1. Respecto la propia seguridad de la bases de datos con el objetivo de asegurar la configuración de accesos, encriptación de los datos, monitoreo, queries de extracción, credenciales, etcétera. 2. Respecto al entorno con que opera la base de datos, es decir los accesos al sistema, roles de usuarios, la generación de reportes, concientización del factor humano y los adecuados controles para asegurar que las operaciones en el sistema sean legales y seguras. Entonces, es importante asegurarse de la existencia de controles como: listas de verificación de seguridad específicas al momento de instalar los sistemas que contendrán las bases de datos, implementaciones de metodologías de hardening específicas para el servidor de bases de datos, normas y políticas de accesos y privilegios a nivel de sistema operativo y la propia base de datos. 2.4 Definición y Herramientas del Modelo Definición Se define un modelo como un ente que representa de forma precisa algo que será realizado o que ya existe. Para los efectos de simulación de sistemas, se considera un modelo a una descripción matemática de un sistema físico que puede obtenerse a partir de la evaluación de su conducta basada en mediciones estimadas, observadas o realizadas directamente sobre el sistema que se pretende modelar. Un modelo de datos es básicamente una descripción de un contenedor de datos y de los métodos y procedimientos para almacenar y extraer información de dichos contenedores. Los modelos de datos son abstracciones que permiten la implementación de un sistema eficiente de base de datos, generalmente se refieren a algoritmos. Entonces, un modelo de seguridad de bases de datos se define como la abstracción de las políticas, procesos y procedimientos de administración y configuración de una base de datos que cumpla con los requerimientos de seguridad de la información para la empresa involucrada. 23

31 2.4.2 Herramientas del Modelo Las herramientas de modelado, son herramientas que se emplean para la creación de modelos de sistemas que ya existen o que se desarrollarán. Las herramientas de modelado, permiten crear un "simulacro" del sistema, a bajo costo y riesgo mínimo. A bajo costo porque, al fin y al cabo, es un conjunto de gráficos y textos que representan el sistema, pero no son el sistema físico real (el cual es más costoso). Además minimizan los riesgos, porque los cambios que se deban realizar (por errores o cambios en los requerimientos), se pueden realizar más fácil y rápidamente sobre el modelo que sobre el sistema ya implementado. Las herramientas de modelado, permiten concentrarse en ciertas características importantes del sistema, prestando menos atención a otras. Los modelos resultados, son una buena forma de determinar si están representados todos los requerimientos del sistema, como también saber si el analista comprendió qué hará el sistema. Un sistema informático puede requerir diferentes herramientas de modelado, que resultarán en diferentes tipos de modelos. Las herramientas de modelado utilizadas dependen del analista, del tipo de sistema, de los requerimientos, etc. Algunas herramientas de modelado a) Diagrama de flujo de datos: Permiten modelar todo tipo de sistemas, concentrándose en las funciones que realiza, y los datos de entrada y salida de esas funciones. La Figura 2.1 muestra la estructura básica de un diagrama de flujo de datos. FIGURA 2.1. Estructura de Diagrama de Flujo de Datos b) Diagrama de entidad relación. Es una herramienta de modelado de sistemas, que se concentra en los datos almacenados en el sistema y las relaciones entre éstos. Como se observa en la Figura 2.2, muestran a los objetos 24

32 (entidades) relevantes para un sistema, las dependencias de estos (relación) y sus características (atributos) que describen a los objetos. FIGURA 2.2. Estructura de Diagrama Entidad-Relación c) Diagrama de transición de estados (DTE). Son herramientas de modelado de sistemas en tiempo real. Los componentes de un DTE son los estados y cambios de estados. Los estados con el comportamiento del sistema que se observa en el tiempo. Los sistemas tienen un estado inicial, pero pueden tener múltiples estados finales (mutuamente excluyentes). Y los cambios de estados son provocados por las condiciones externas al sistema. Un diagrama de transición de estados puede utilizarse como una especificación de proceso de un proceso de control de un diagrama de flujo de datos. FIGURA 2.3. Estructura de Diagrama Transición de Estados d) Diccionario de datos. El diccionario de datos es un listado organizado de todos los datos que pertenecen a un sistema. El objetivo de un diccionario de datos es dar precisión sobre los datos que se manejan en un sistema, evitando así malas interpretaciones o ambigüedades. 25

33 e) Especificación de procesos. La especificación de procesos, es una herramienta de modelado de sistemas, que permite definir qué sucede en los procesos o funciones de un sistema. El objetivo es definir qué debe hacerse para transformar ciertas entradas en ciertas salidas. f) Diagrama de clases. Un diagrama de clases es un tipo de diagrama estático que describe la estructura de un sistema mostrando sus clases, atributos y las relaciones entre ellos. Los diagramas de clases son utilizados durante el proceso de análisis y diseño de los sistemas, donde se crea el diseño conceptual de la información que se manejará en el sistema, y los componentes que se encargaran del funcionamiento y la relación entre uno y otro. Características esperables de una herramienta de modelado Las buenas herramientas de modelado cumplen con determinadas características: Permiten una visión descendente del sistema. Permiten particionar el sistema. Poseen componentes gráficos con algo de apoyo textual. El modelo resultado debe ser transparente (fácil de comprender). Poseen mínima redundancia (el aumento de redundancia, disminuye la transparencia del modelo y aumenta las tareas de mantenimiento) Balanceo Un sistema puede modelarse empleando múltiples herramientas de modelado. Cada herramienta resulta en uno o más diagramas (o esquemas) que representan el sistema completo o parte del sistema. Cada diagrama "ayuda" al otro, permitiendo una mejor comprensión de la parte del sistema que modela. El balanceo entre diagramas es la tarea de comprobar la consistencia entre los distintos diagramas del sistema. Esta tarea puede ser manual o automática. Cuando está comprobada, se dice que los diagramas están balanceados. El balanceo de diagramas permite descubrir y corregir errores, inconsistencias o faltantes. Errores más comunes 1. Definición Faltante: Algo que se define en un modelo y no se define apropiadamente en otro. 2. Error de inconsistencia: 26

34 La misma realidad se describe de dos maneras diferentes y contradictorias en dos modelos diferentes. CAPÍTULO 3 PROBLEMÁTICA Y RIESGOS EN LA SEGURIDAD DE LAS BASES DE DATOS En este capítulo se muestran los diferentes estudios que distintas organizaciones han realizado para mostrar la fragilidad y vulnerabilidad que presentan las bases de datos en cuanto a seguridad se refiere. En cada estudio se analizan las principales causas que originan la vulnerabilidad en las bases de datos, mostrando estadísticas que ayudan a aterrizar lo grave de la situación y mostrando los factores de riesgo que hacen que las estadísticas de pérdida de información vayan aumentando. 3.1 Descripción de la problemática Actualmente no existe una base de datos que cumpla con los requerimientos de seguridad que una organización necesita, ya sea por falta de cultura en los empleados, la negligencia en el uso de los recursos o la mala administración de los DBAs (Administradores de bases de datos), además de no implementar procedimientos de prevención y/o mitigación de riesgos y vulnerabilidades. Muchos trabajadores dejan a personas ajenas a la organización entrar en las instalaciones del corporativo, permitiendo moverse alrededor de éstas sin la supervisión adecuada. Estas acciones traen consigo la posibilidad de robar físicamente recursos corporativos o tener acceso a la información sensible. Un estudio elaborado por Cisco Systems, revela que esto se debe en su mayoría a las políticas internas de la organización, falta de cultura del profesional informático y desconocimiento de la legislación informática existente en el país. El 9% de los profesionales de TI, dijo que ha permitido el acceso no autorizado o justificado a las instalaciones de la empresa a personal externo, con al menos la mitad de los profesionales de IT en Brasil (49%) y los Estados Unidos (46%), y el 63% en China. Aunque en Japón (28%) y Alemania (26%) presentaba menos incidentes, cada país muestra que al menos una cuarta parte de sus profesionales de TI enfrentan este tipo de incidentes. El acceso a las instalaciones físicas y a la red de datos es más frecuente entre las medianas y grandes empresas (46%), pero las pequeñas y microempresas también tienen este tipo de incidentes frecuentemente (32%). 22% de los empleados alemanes permiten a los externos merodear por las oficinas sin supervisión alguna. 27

35 La Figura 3.1 muestra el porcentaje de veces que se ha tenido que batallar con este tipo de situaciones en los accesos no autorizados a las instalaciones corporativas y a la red de datos en diferentes países 6 : FIGURA 3.1. Acceso no autorizado a las instalaciones corporativas y a la red de datos encontrado por administradores 3.2 Análisis de incidencias Robo de información personal de ciudadanos chilenos (2008) 7 La policía chilena investiga la identidad de un hacker que, identificado como cobarde anónimo, publicó en una página web datos de más de seis millones de chilenos con sus nombres, números de identidad, teléfonos, correos electrónicos y domicilios. Un empleado de fayerwayer.com advirtió sobre la situación el pasado sábado 10 de mayo, cuando en uno de los foros encontró tres enlaces con las bases de datos del Servicio Electoral, de la Dirección General de Movilización Nacional, del Ministerio de Educación, incluso de la prueba para ingresar en la universidad. En el caso del Servicio Electoral se incluyen dos archivos con datos de casi cuatro millones de personas; otros dos disponen de información de más de un millón de jóvenes. Un quinto archivo contiene dos millones de nombres, teléfonos y direcciones de personas e instituciones. Algunos de los datos aparecen repetidos en más de un archivo. Los datos fueron borrados, pero hasta el domingo permanecían en otros servidores. El Gobierno ha pedido una investigación, mientras las instituciones y empresas afectadas han negado que sus bases de datos hayan sido vulneradas. El hacker empleó una dirección IP que lo sitúa en EE UU. 6 Artículo Cisco Systems: 7 El país, Periódico Chileno, Artículo tomado de la publicación electrónica en: 28

36 El equipo policial encargado de los delitos en Internet determinará si las bases de datos son de uso público o fueron robadas, y si se violó la ley que protege la privacidad. El hacker se arriesga a una pena de tres años; y si fue ayudado por un funcionario, de cinco. El director del Servicio Electoral, Juan Ignacio García, sostiene que es probable que los datos provengan de uno de los padrones electorales que esta entidad proporciona para garantizar su transparencia. Por su parte, Renato Jijena, abogado especializado en derecho informático, sostiene que la mayor parte de esos datos son públicos. Al hilo de este escándalo, numerosos cibernautas han pedido al Gobierno que se tome más en serio el uso de la información privada de los chilenos Una base de datos segura? (2006) 8 En México hace falta fortalecer la disciplina con la que se levantan bases de datos con fines comerciales, así como actualizarlas y limpiarlas. Es un área de oportunidad en México, es un mercado en crecimiento, asegura Gerardo Guerrero, director general de la Asociación Mexicana de Mercadotecnia Directa e Interactiva (Directa). Explica que al elaborar las bases de datos, las empresas se enfrentan con el problema de que la gente no quiere proporcionar sus datos personales (nombre, dirección, teléfono, conducta o gustos de compra), aunque no se trata de aspectos sensibles (como antecedentes médicos o preferencias sexuales). Todavía no se establece una ley federal de datos personales, se va a discutir en el Congreso, suponemos que en el siguiente periodo de sesiones. De crearse, la ley contemplaría la protección, manejo, cuidados y legalidad de las bases de datos. Además aún hace falta crear avisos de privacidad (donde la empresa informe al consumidor que usará sus datos y para qué). En su opinión, aún falta crear toda una cultura sobre este tipo de mercadeo. Adelanta que en este año Directa tiene la intención de realizar un estudio de bases de datos en el país. Aunado al reto de profesionalizar más la disciplina de la data base marketing (mercadotecnia de bases de datos), es necesario establecer mecanismos para solicitar el permiso del consumidor, que lo alienten a dar sus datos, confiando en que no serán usados con otros fines y a la vez, ofreciéndoles algún beneficio (como un descuento o promoción). Esto va alineado con la tendencia actual de sintonizar las ofertas comerciales con las necesidades de los clientes. Actualmente muchas empresas están construyendo sus propias bases de datos se tiene bien claro que hay que buscar hacer un marketing relacional, de largo plazo mediante la construcción de bases de datos, manifiesta Guerrero. María Eugenia García, presidenta del Instituto Mexicano de Teleservicios (IMT) dice que la 8 El Universal, Artículo tomado de la publicación electrónica en: 29

37 principal molestia de las personas, más allá de que les llamen en domingo a las 10 de la noche es que no sepan de dónde tomaron sus datos. Al respecto, el IMT en conjunto con DIRECTA crearon el Código de Ética de Telemarketing y el Proceso de Autorregulación, el cual recoge los lineamientos y mejores prácticas de la industria a nivel mundial, para promover una actividad comercial sana. García indica que el siguiente paso será la certificación como Empresas Éticas en el uso de bases de datos. Los países industrializados están más avanzados en este tipo de regulaciones, nosotros estamos empezando, pero es algo que tenemos que hacer, no es opcional. Destaca que el crecimiento y la competitividad de esta industria implican la necesidad de regularse, pues un país en donde no existe, a las compañías no les interesa instalar call centers o contact centers. Ya empezamos pero tenemos que actuar muy rápido porque los demás países también lo están haciendo. Desde otro ángulo del tema, Mauricio Jalife, director de Jalife, Caballero Vázquez y Asociados, señala que el mayor problema de las empresas mexicanas es el mal manejo de activos intangibles como lo son las bases de datos, por lo que se requiere la creación de políticas internas que protejan legalmente la información. Las empresas se enfrentan constantemente a situaciones como el hecho de que un ex empleado faltando a la lealtad o ética se lleve las bases de datos y las empiece a operar desde otro centro de trabajo o de forma directa. Por tanto, es importante adoptar medidas que demuestren ante las autoridades que la empresa protegió la información. Si las medidas no se adoptan, no se puede seguir un caso en contra de una persona que roba, que usa o divulga información que se considera sensible. Jalife informa de algunos pasos a seguir para protegerse: - Que la información tenga valor económico (demostrar que se explota para el envío de promociones). - Que no sea del dominio público. - Adoptar todas las medidas necesarias para conservar la confidencialidad. Por ejemplo, tener claves de acceso en las computadoras, llevar un registro de entradas y salidas, usar medidas materiales como son llaves y candados, ubicar la información en lugares que no sean de libre acceso, contar con un reglamento o políticas que prevenga a los empleados de que se trata de información que no pueden copiar o transmitir. Utilizar gafetes y mecanismos electrónicos para permitir o no el acceso a determinadas áreas donde está la información. Crear el clima en el que todos estén conscientes de que la información tiene un valor económico importante y debe cuidarse su confidencialidad. - Que conste en un registro material. Se puede ir con un notario público, hacer un depósito 30

38 en un sobre cerrado de la base de datos cada determinado tiempo y mantener un soporte material en CD. - Tener la capacidad de demostrar que se previno al empleado de que se trata de información confidencial. Este es uno de los requisitos donde normalmente las empresas mexicanas fallan. Hay que establecer en el contrato de trabajo cláusulas donde se establezca qué información tendrá a su alcance el empleado que se define como secreto de negocios, industrial o confidencial. La cláusula debe ser específica: bases de datos, fórmulas, procesos, metodología. Si no estamos en condiciones de demostrar que se les advirtió que era información confidencial podrán utilizar libremente la información, por tanto, será difícil llevar a buen término un juicio en su contra. Una táctica que describe abiertamente a Jalife para saber si se está haciendo mal uso de una base de datos es la prueba del error Estudio Cisco Systems Inc. El estudio de seguridad a nivel mundial sobre la fuga de información reveló que la pérdida de datos debido a la conducta de los empleados es una amenaza más grande de lo que creen muchos profesionales de TI. Encargado por Cisco y realizado por InsightExpress, una compañía de investigación de mercado con sede en Estados Unidos, el estudio encuestó a más de 2000 empleados y profesionales de tecnología de la información en 10 países. Cisco seleccionó los países por sus culturas sociales y comerciales distintivas, a fin de comprender mejor si estos factores influyen en la fuga de información. En manos de empleados desinformados, descuidados o descontentos, cada dispositivo que accede a la red o almacena datos se transforma en un riesgo potencial para la propiedad intelectual o la información confidencial de los clientes. Para acrecentar aun más el problema, en muchas empresas existe una dicotomía entre lo que creen los profesionales de TI y la realidad actual del entorno de seguridad. Los nuevos hallazgos muestran que las amenazas internas pueden causar mayores pérdidas financieras que los ataques provenientes del exterior. La preocupación principal del 33% de los profesionales de TI era la pérdida o robo de datos a través de dispositivos USB. El 39% de los profesionales de TI a nivel mundial estaba más preocupado por las amenazas provenientes de sus propios empleados que por la de los piratas informáticos externos. El 27% de los profesionales de TI admitió que no conocía las tendencias de la pérdida de información de los últimos años. 31

39 Mitigar la fuga de información desde fuentes internas es un desafío complicado. Las empresas deben aprovechar cada oportunidad que tengan para comprender mejor cómo la conducta y las intenciones de los empleados se relacionan con la seguridad, y para hacer de la seguridad una prioridad en cada aspecto de las operaciones comerciales. Aunque puede que aún haya piratas informáticos que planten virus y gusanos para interrumpir las operaciones comerciales, la mayoría se dedica a obtener ganancias. El robo de identidad, la venta de información tecnológica o financiera reservada a la competencia, el abuso de datos confidenciales de clientes y el uso indebido del nombre de una empresa o de marcas de productos son sólo algunas de las formas en que los piratas informáticos pueden lucrar al vulnerar la seguridad y obtener contenido confidencial. La amenaza de ataques externos a la empresa es verdadera, y amerita que los profesionales de TI la tomen en serio y adopten medidas al respecto. Pero también se pierde gran cantidad de información producto de actividades internas. Al hablar de amenaza interna, generalmente se piensa en conductas maliciosas por parte de empleados tales como sabotaje, robo de datos o de dispositivos físicos, o filtración deliberada de información. Sin embargo, las organizaciones deben comprender que la amenaza interna no proviene sólo de empleados deshonestos, sino más bien de cada empleado y de cada dispositivo que almacena información. Los empleados constituyen una amenaza interna si hablan por teléfono en voz alta sobre proyectos confidenciales en el aeropuerto. Un equipo portátil con información empresarial puede convertirse en una amenaza interna si se pierde y lo encuentra una persona ajena a la empresa que tenga intenciones maliciosas. Los primeros dos informes en esta serie se centraron en las conductas de los empleados que pueden mermar la seguridad de la información empresarial. En el presente informe se analizan con mayor profundidad algunas amenazas internas que afectan a la información, ya sea mediante conductas negligentes o maliciosas por parte de los empleados. Mitigar la gama completa de amenazas provenientes de los empleados es un desafío enorme que conlleva un costo sumamente elevado si no da resultado. Los profesionales de TI deben ser innovadores y persistentes al enfrentar las amenazas contra la seguridad que surgen con el avance de la era digital. Comprender la amenaza interna es un aspecto fundamental de este proceso. La amenaza interna: empleados negligentes Los primeros dos informes de esta serie, disponibles en se centraron en cómo las conductas involuntarias e imprudentes de los empleados y los profesionales de TI pueden comprometer la seguridad de la información. En el primer informe se analizó la pérdida de información desde la perspectiva de los empleados. El informe técnico Fuga de datos a nivel mundial: Riesgos y errores comunes de los empleados examinó la relación entre la conducta de 32

40 los empleados y la pérdida de información, así como la percepción que tienen de ella los profesionales de TI. La encuesta reveló que empleados de todo el mundo exhiben conductas que ponen en riesgo la información personal y empresarial, que los profesionales de TI a menudo no están al tanto de dichas conductas y que prevenir la fuga de información es un desafío que abarca toda la empresa. En el segundo informe se analizó la pérdida de información desde la perspectiva de los profesionales de TI. El informe técnico Fuga de datos a nivel mundial: La eficacia de las políticas de seguridad examinó cómo la creación, difusión y cumplimiento de las políticas de seguridad influyen en la fuga de información. El análisis reveló que la falta de políticas de seguridad y el incumplimiento de los empleados de dichas políticas son factores significativos en la pérdida de información. Al igual que en el primer conjunto de hallazgos, la encuesta reveló que los profesionales de TI carecían de información importante, en este caso sobre cuántos empleados realmente comprendían y acataban las políticas de seguridad. El informe concluyó que las empresas deben abordar el desafío doble de crear políticas de seguridad y hacer que los empleados las acaten. Junto con los resultados del presente informe, estos hallazgos revelan que la ignorancia, la falta de diligencia y el desacato en el interior de la empresa constituyen una amenaza interna significativa para la información. Ignorancia A menudo los empleados exhiben sin darse cuenta conductas irresponsables que generan filtraciones de datos. En parte, este problema puede atribuirse a la falta de políticas empresariales o a la difusión inadecuada de las mismas a los empleados. En otros casos, los profesionales de TI suponen equivocadamente que los empleados exhibirán cierto grado de profesionalismo, conciencia de la seguridad y precauciones de sentido común. El 43% de los profesionales de TI afirmó que no educa a los empleados como es debido. El 19% de los profesionales de TI afirmó que no ha difundido las políticas de seguridad a los empleados como es debido. Falta de precaución Entre los ejemplos comunes de conductas poco diligentes de los empleados con respecto a la seguridad de la información se incluye hablar en voz alta sobre información confidencial en lugares públicos, no cerrar sesiones en equipos portátiles, dejar contraseñas a la vista o desprotegidas y acceder a sitios web no autorizados. Una amenaza especialmente significativa proviene de empleados que pierden dispositivos empresariales tales como equipos portátiles, teléfonos móviles 33

41 y discos duros portátiles, o cuando estos dispositivos son robados por no haberlos protegido correctamente. De estos dispositivos, la pérdida de discos duros portátiles era la principal preocupación entre los profesionales de TI. Ahora con los nuevos dispositivos extraíbles de 64 GB que permiten copiar todo un disco duro en un aparato del tamaño de un paquete de chicle, es mucho más fácil acceder, mover o perder propiedad intelectual o datos de los clientes. El 9% de los empleados informó que ha perdido o le han robado dispositivos empresariales. De los empleados que informaron sobre la pérdida o el robo de dispositivos empresariales, al 26% le sucedió más de un incidente el año anterior. La principal preocupación a nivel mundial entre los profesionales de TI con respecto a la fuga de datos era el uso de dispositivos USB, con un 33%. La segunda preocupación en importancia era el correo electrónico; con el 25% de todos los profesionales de TI. Cuando se les preguntó por qué sus empleados eran menos diligentes al momento de salvaguardar la propiedad intelectual, el 48% de los profesionales de TI respondió que los empleados manejaban más información que nunca, y el 43% señaló que existe una creciente apatía hacia la seguridad debido al acelerado paso del trabajo. La amenaza interna: empleados descontentos Un empleado descontento o que procura beneficios financieros mediante el uso ilícito de recursos empresariales se convierte en una amenaza interna que agrega una nueva y peligrosa dimensión al desafío de prevenir la pérdida de información. Un empleado descontento que se ha transformado en una amenaza interna contradice la percepción común de que las principales amenazas contra la seguridad provienen desde el exterior de la empresa. Un empleado deshonesto y motivado por la codicia puede aprovechar su condición y llevar a cabo actividades que causen una mayor pérdida financiera que las amenazas externas. El acceso legítimo a la red del que gozan y tener en custodia dispositivos como equipos portátiles y agendas PDA facilita que empleados desleales filtren información empresarial. Algunos empleados simplemente se quedan con los dispositivos empresariales cuando dejan el empleo. Esta conducta, además de costosa, representa un peligro para la empresa ya que añade una nueva vía por la que puede perderse información. Incluso si sólo el 5% de los empleados se queda con dispositivos, esto equivaldría a 50 empleados en una empresa con 1000 trabajadores, o 500 en una con Las organizaciones de mayor tamaño presentan un mayor riesgo financiero y de pérdida de información. Un alarmante 11% de los empleados respondió que ellos u otros colegas accedieron a 34

42 información no autorizada y lucraron con ella, o robaron computadoras (Tabla 3.1). Entre las razones de los empleados para quedarse con dispositivos empresariales al dejar el empleo se incluyeron que los necesitaban para fines personales (60%), para vengarse de la empresa y porque pensaron que el empleador antiguo no se enteraría. El 20% de los profesionales de TI afirmó que los empleados descontentos constituían su principal preocupación en cuanto a las amenazas internas. TABLA 3.1. Robo o acceso ilegal a información de la empresa y otros recursos Caso FSA Vs HSBC Luego de que la institución financiera HSBC perdió un disco compacto con más de 180 mil registros de sus clientes y detectar fallas en sus sistemas de seguridad, esta fue multada por la Autoridad de Servicios Financieros (FSA, por sus siglas en inglés) por tres millones de libras esterlinas (65 millones de pesos) por desproteger información confidencial de usuarios. 35

43 En el documento publicado el 22 de Julio de 2009, la FSA estipuló que tres divisiones de HSBC serán sancionadas por haber extraviado información confidencial de sus clientes y no contar con las medidas adecuadas para proteger dichos datos. HSBC Like UK fue multada con un millón 610 mil libras. HSBC Actuaries and Consultants, con 875 mil libras y HSBC Insurance Brokers deberá pagar otras 700 mil libras. La FSA explicó que luego de un escrutinio en la seguridad y sistemas de control de HSBC, la autoridad encontró que grandes cantidades de datos encriptados con detalles de los clientes del banco habían sido enviados por correo a terceros. Información confidencial de los clientes también fue dejada sobre estantes o gabinetes abiertos y sin protección, y podrían ser fácilmente sustraída, cita el reporte. Junto con las fallas en las políticas de seguridad, la FSA confirmó que HSBC ya había cometido errores en dos ocasiones para no proteger la información confidencial de sus clientes. En abril de 2007, la división HSBC Actuaries perdió un disquete con archivos personales de más de mil 917 cuentas de pensionados, documentos que contenían datos como direcciones, fechas de nacimiento y números de seguridad nacional, explicó la FSA. Luego, en julio de 2008, la institución financiera extravió un CD encriptado con más de 180 mil pólizas de seguros de sus clientes. La Autoridad de Servicios Financieros inglesa comentó que en las dos ocasiones dicha información podría haber sido utilizada por organizaciones criminales que tienen como objetivo clonar identidades para cometer fraudes bancarios en ese país. Las fugas de información que sufrió la empresa son decepcionantes. Las tres divisiones les fallaron a sus clientes y fueron poco precavidas con sus datos, los cuales pudieron caer en manos de criminales. También es preocupante que a pesar del incremento de los fraudes bancarios y la urgente necesidad por proteger datos confidenciales, la compañía no tomó las mejores medidas para proteger a sus clientes, aseguró Margaret Cole, directora de regulaciones de la FSA. De igual forma, la autoridad aseguró que dado que las tres divisiones multadas de HSBC cooperaron en la investigación de la FSA fueron acreedoras a un descuento de 30 por ciento en la sanción. Sin esta reducción el monto total a pagar sumaría 4.5 millones de libras. El fraude de identidades es una preocupación primordial para todos y las empresas deben asegurar que sus datos, sistemas y controles de seguridad sean revisados y actualizados paulatinamente para prevenir y combatir esta amenaza creciente, informó Cole. Por su parte, Clive Bannister, director de la división de Seguros de HSBC, comentó a la BBC que la compañía trabajó con los mayores estándares de seguridad, pero está claro que en estas ocasiones nos hemos quedado cortos, por lo que estamos muy arrepentidos. 36

44 Bannister agregó que si bien la situación es seria, ninguno de los clientes cuya información fue extraviada ha reportado pérdidas. Estamos haciendo todo lo posible para prevenir que esto se repita. CAPÍTULO 4 LEGISLACIÓN Y MEJORES PRÁCTICAS RELACIONADAS A LA SEGURIDAD DE BASES DE DATOS Con la automatización de la información de las organizaciones y la centralización de la misma en bases de datos, se hace necesaria la existencia de legislaciones que rijan el control de acceso y empleo de la información. En este capítulo se describen las leyes y normas que regulan la actividad informática en la actualidad, haciendo énfasis únicamente en aquellas que involucran la seguridad de las bases de datos. Finalmente se estudian las mejores prácticas a utilizar en el modelo a elaborar, con sus características y procedimientos correspondientes. 4.1 Legislación Informática Internacional relativa a la seguridad de bases de datos Los progresos mundiales de las computadoras, el creciente aumento de las capacidades de almacenamiento y procesamiento, la miniaturización de los chips de las computadoras instalados en productos industriales, la fusión del proceso de la información con las nuevas tecnologías de comunicación, así como la investigación en el campo de la inteligencia artificial, ejemplifican el desarrollo actual definido a menudo como la "era de la información". Esta marcha de las aplicaciones de la informática no sólo tiene un lado ventajoso sino que plantea también problemas de significativa importancia para el funcionamiento y la seguridad de los sistemas informáticos en los negocios, la administración, la defensa y la sociedad. Debido a esta vinculación, el aumento del nivel de los delitos relacionados con los sistemas informáticos registrados en la última década en los Estados Unidos, Europa Occidental, Australia y Japón, representa una amenaza para la economía de un país y también para la sociedad en su conjunto Caso de normatividad en el mundo El segundo Inciso del mismo Cuerpo Legal, considera una figura agravada, imponiendo una pena de 1 a 3 años de prisión y multa de mil a mil quinientos dólares de los Estados Unidos de Norteamérica, si la información obtenida se refiere a la seguridad nacional o secretos comerciales o industriales. La informática, no es sólo un fenómeno científico de carácter subjetivo, por el contrario, los ordenadores, al permitir un manejo rápido y eficiente de grandes volúmenes de información, facilitan la concentración automática de los datos referidos a las personas, convirtiéndose en un 37

45 verdadero factor de poder. La persona que violenta claves, sistemas de seguridad para obtener información, lesiona la intimidad y por consiguiente la confidencialidad de la persona jurídica en muchos casos. Es por esta razón, que los Legisladores, deben estar conscientes que la delincuencia informática avanza con pasos agigantados y que las leyes ecuatorianas deben estar acorde con los avances tecnológicos Casos de Legislación en el Mundo Legislación: Alemania Este país sancionó en 1986 la Ley contra la Criminalidad Económica, que contempla los siguientes delitos: Espionaje de datos. Estafa informática. Alteración de datos Sabotaje informático. India La responsabilidad civil en caso de los datos, el robo de base de datos informática, violación de la privacidad, etc. La ley prevé un capítulo completo (capitulo IX) sobre las infracciones cibernética, es decir, la sección 43(a) (h), que cubren una amplia gama de infracciones relacionadas con la cibernética no autorizado el acceso a la computadora, sistema informático, red informática o de recursos. El artículo 43 de la ley contempla casos como: Por la transgresión informática, violación de la intimidad etc. La copia digital no autorizada, la descarga y la extracción de datos, el robo de datos o almacenados en cualquier medio de comunicación. Transmisión de datos o programas que residen en una computadora, sistema informático o de red informática Perdición y corrupción de datos Colombia En Colombia, la ley 1273 de enero de 2009, sancionada por el Presidente Álvaro Uribe Vélez, por medio de la cual se modifica el Código Penal y se crea un nuevo bien jurídico denominado De la protección de la información y de los datos, se establece que el ciudadano que, con objeto ilícito y 38

46 sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de 48 a 96 meses, y en multa de 100 a salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. *Violación de datos personales: quien obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes. Con esta reglamentación Colombia da un paso muy importante en este tema legal, pero no se debe olvidar que en el mundo de la tecnología hay tanta dinámica, que si con esta modificación del Código Penal no se consideran las posibles nuevas modalidades que van a surgir y se permita que queden sin castigo, este proyecto de ley quedará a medias. Es importante que sea lo suficientemente flexible para poder acoger lo que viene en el futuro del cibercriminalismo. Si no lo es, en poco tiempo quedará obsoleta. Argentina En la Argentina, aún no existe legislación específica sobre los llamados delitos informáticos. Sólo están protegidas las obras de bases de datos y de software, agregados a la lista de ítems contemplados por la Ley de propiedad intelectual gracias al Decreto Nº 165/94 del 8 de febrero de En dicho Decreto se definen: Obras de software: Las producciones que se ajusten a las siguientes definiciones: 1. Los diseños, tanto generales como detallados, del flujo lógico de los datos en un sistema de computación. 2. Los programas de computadoras, tanto en versión "fuente", principalmente destinada al lector humano, como en su versión "objeto", principalmente destinada a ser ejecutada por la computadora. 3. La documentación técnica, con fines tales como explicación, soporte o entrenamiento, para el desarrollo, uso o mantenimiento de software. Obras de base de datos: Se las incluye en la categoría de "obras literarias", y el término define a las producciones "constituidas por un conjunto organizado de datos interrelacionados, compilado con miras a su almacenamiento, procesamiento y recuperación mediante técnicas y sistemas informáticos". Legislación: Austria La Ley de reforma del Código Penal, sancionada el 22 de Diciembre de 1987, sanciona a aquellos 39

47 que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa, por la introducción, cancelación o alteración de datos o por actuar sobre el curso del procesamiento de datos. Además contempla sanciones para quienes comenten este hecho utilizando su profesión de especialistas en sistemas. Legislación básica sobre propiedad intelectual en bases de datos (Española y europea) Ley 5/1998, de 6 de marzo, de incorporación al derecho español de la Directiva 96/9/CE, del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos. Real Decreto legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la ley de propiedad intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia. Directiva 96/6/CE del Parlamento y del Consejo de 11 de marzo de 1996 sobre la protección jurídica de las bases de datos. Ley 30/1992, de 26 de noviembre de régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo común. Ley orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (Lortad). Orden de 11 de febrero de 1994, sobre creación del fichero automatizado de datos de carácter personal. Ley orgánica 1/1982, de 5 de mayo, sobre la protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Orden 17/1993, de 26 de febrero, por la que se modifica la orden 52/1987, de 24 de septiembre, de desarrollo del Real Decreto 1/1987, de 1 de enero, en materia de Informática. Orden de 9 de junio de 1988 por la que se aprueba la realización de un sistema de información de los recursos informáticos de la Administración del Estado y de la recogida de información inicial. Orden de 30 de julio de 1982 sobre limitaciones de acceso a la información contenida en las bases de datos fiscales. Resolución de 30 de junio de 1992, del Registro de la Propiedad Industrial, por la que se establecen las normas para la utilización de las bases de datos del Registro de la Propiedad Industrial (RPI). Orden de 3 abril de 1992 por la que se autorizan los precios de las consultas a las bases de datos del Instituto de la Pequeña y Mediana Empresa Industrial (Impi). 40

48 Orden de 2 de junio de 1986 por la que se regula la producción y distribución de las bases de datos del programa Puntos de Información Cultural (PIC) y se autorizan los precios de determinadas actividades desarrolladas en el marco del citado programa. Directiva 93/98/CEE, de 29 de octubre, sobre armonización del plazo de protección del derecho de autor. Libro Verde sobre los derechos de autor y los derechos afines en la sociedad de la información (Doce 382/1995 y 97/1996). Recomendación de la Comisión, de 6 de mayo de 1991, relativa a la armonización dentro de la Comunidad de las bases de datos sobre investigación y desarrollo tecnológico. Resolución de 15 de noviembre de 1987, del Registro de la Propiedad Industrial, por la que se establecen las condiciones a las que han de someterse las consultas de sus bases de datos. Convenio de Berna de 9 de septiembre de 1886 para la protección de las obras literarias y artísticas, revisado en París el 24 de julio de Legislación: Chile Art. 3º: tipifica la conducta maliciosa que altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información Sarbanes Oxley La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No , 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada SOX, SarbOx o SOA. La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en la bolsa de Nueva York y a sus filiales, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor. La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha generado mucha controversia, ya que esta Ley va en respuesta a los escándalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y Peregrine Systems. Estos escándalos hicieron caer la confianza de la opinión pública en los sistemas de contabilidad y auditoría. La Ley toma el nombre del senador Paul Sarbanes (Demócrata) y el congresista Michael G. Oxley (Republicano). La Ley fue aprobada por amplia mayoría, tanto en el congreso como el senado. La legislación abarca y establece nuevos estándares para los consejos de administración y dirección y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales 41

49 para el consejo de administración y establece unos requerimientos por parte de la SEC (Securities and Exchanges Commission), es decir, la comisión reguladora del mercado de valores de Estados Unidos. Los partidarios de esta Ley afirman que la legislación era necesaria y útil, mientras los críticos creen que causara más daño económico del que previene. Esta ley afecta directamente al área de TI en su Sección 404 (Management assessment of internal controls), donde establece que deben existir los procedimientos y políticas que aseguren la integridad y disponibilidad de la información. La Sección 409 (Real time issuer disclosures) establece que la organización deberá reportar cualquier proceso que afecte de forma severa la situación financiera de la organización en menos de 48 hrs. En México, SOX se aplica a todas las empresas que tienen ingresos mayores a los 75 millones de dólares al año a partir del 2004, esto obliga a las empresas mexicanas a mejorar sus procesos de control interno y la organización de la información, debiendo asegurar la disponibilidad de la misma en bases de datos y sistemas de información en producción. 4.2 Legislación Informática en México relativa a seguridad de bases de datos Constitución Política La Constitución Política, en sus artículos 107 al 110, protege como compilaciones a las bases de datos legibles por medio de máquinas que por razones de disposición de su contenido constituyan obras intelectuales, otorgándole a su organizador el uso exclusivo por cinco años; asimismo, exceptuando las investigaciones de autoridades, la información privada de las personas contenida en bases de datos no podrá ser divulgada, transmitida ni reproducida salvo con el consentimiento de la persona de que se trate. A continuación se explica a detalle en qué consisten los artículos con respeto a la seguridad de las bases de datos: Artículo 107. Las bases de datos o de otros materiales legibles por medio de máquinas o en otra forma, que por razones de selección y disposición de su contenido constituyan creaciones intelectuales, quedarán protegidas como compilaciones. Dicha protección no se extenderá a los datos y materiales en sí mismos. Artículo 108. Las bases de datos que no sean originales quedan, sin embargo, protegidas en su uso exclusivo por quien las haya elaborado, durante un lapso de 5 años. Artículo 109. El acceso a información de carácter privado relativa a las personas contenidas en las bases de datos a que se refiere el artículo anterior, así como la publicación, reproducción, divulgación, comunicación pública y transmisión de dicha información, requerirá la autorización previa de las personas de que se trate. Quedan exceptuados de lo anterior, las investigaciones de las autoridades encargadas de la 42

50 procuración e impartición de justicia, de acuerdo con la legislación respectiva, así como el acceso a archivos públicos por las personas autorizadas por la ley, siempre que la consulta sea realizada conforme a los procedimientos respectivos. Artículo 110. El titular del derecho patrimonial sobre una base de datos tendrá el derecho exclusivo, respecto de la forma de expresión de la estructura de dicha base, de autorizar o prohibir: I. Su reproducción permanente o temporal, total o parcial, por cualquier medio y de cualquier forma; II. Su traducción, adaptación, reordenación y cualquier otra modificación; III. La distribución del original o copias de la base de datos; IV. La comunicación al público, y V. La reproducción, distribución o comunicación pública de los resultados de las operaciones mencionadas en la fracción II del presente artículo Ley Federal del Derecho de Autor Los avances tecnológicos que se han dado en la actualidad, como es el caso de los instrumentos digitales, que nos permiten accesar a la información de una manera rápida y sencilla, se nos abren puertas para mezclar estos dos instrumentos y expandir de modo más simple esa información. El problema surge en el momento que los derechos de los creadores de las obras se ven violentados, debido a que con las nuevas tecnologías facilitan la transmisión de dichas obras sin el consentimiento del autor, y en muchas ocasiones con un afán de lucro, lo cual afecta el derecho patrimonial del autor, de los herederos y de los adquirentes por cualquier título. Es por eso que es importante crear normas en las cuales se contemple la forma en que se registrarán las publicaciones; los permisos o autorizaciones que se deberán solicitar; los medios para hacerlo, y ante qué autoridad deberán realizarse, los delitos en que se puede incurrir y las sanciones aplicables. El derecho de autor, es el reconocimiento que hace el Estado a favor de todo creador de obras literarias y artísticas previstas en el artículo 13 de la Ley Federal del Derecho de Autor, en virtud del cual otorga sus privilegios exclusivos de carácter personal y patrimonial. Derecho Informático de Autor Es el conjunto de normas jurídicas que van a regular los derechos de autor en el ámbito de la informática, al regular la forma en que se publicarán dichas obras Artículo 13. Los derechos de autor a que se refiere esta Ley se reconocen respecto de las obras de las siguientes ramas: XI. Programas de cómputo 43

51 XIV. De compilación, integrada por las colecciones de obras, tales como las enciclopedias, las antologías, y de obras u otros elementos como las bases de datos, siempre que dichas colecciones, por su selección o la disposición de su contenido o materias, constituyan una creación intelectual. Las demás obras que por analogía puedan considerarse obras literarias o artísticas se incluirán en la rama que les sea más afín a su naturaleza Código Penal Federal El Acceso no autorizado a sistemas o servicios y destrucción de programas o datos se encuentra regulada en el Código Penal Federal, artículos 211 bis 1 a 211 bis 7, que determinan lo siguiente: Título noveno. Revelación de secretos y acceso ilícito a sistemas y equipos de informática Capítulo II. Acceso ilícito a sistemas y equipos de informática Artículo 211 bis 1. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa. Artículo 211 bis 2. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. A quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública. Artículo 211 bis 3. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa. 44

52 Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa. A quien estando autorizado para acceder a sistemas, equipos o medios de almacenamiento informáticos en materia de seguridad pública, indebidamente obtenga, copie o utilice información que contengan, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, hasta una mitad más de la pena impuesta, destitución e inhabilitación por un plazo igual al de la pena resultante para desempeñarse en otro empleo, puesto, cargo o comisión pública. Artículo 211 bis 4. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Artículo 211 bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero. Artículo 211 bis 6. Para los efectos de los artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código. Artículo 211 bis 7. Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno. Las penas se incrementarán en una mitad cuando las conductas se realicen por empleados del sistema financiero y se incrementarán hasta en una mitad cuando la información obtenida se 45

53 realice en provecho. CONDUCTA Modificar, destruir o provocar pérdida de información contenida en sistemas o equipos informáticos protegidos sin autorización PENA 6 meses a dos años prisión y de 100 a 300 días multa Si se trata de sistemas o equipos del Estado 1 a 4 años y 200 a 600 días de multa Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero Conocer o copiar información contenida en sistemas o equipos informáticos protegidos sin autorización 6 meses a 4 años prisión y 100 a 600 días multa 3 meses a 1 año prisión y 50 a 150 días multa Si se trata de sistemas o equipos del Estado 6 meses a 2 años prisión y 100 a 300 días multa Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero 3 meses a 2 años prisión y 50 a 300 días multa Modificar, destruir o provocar pérdida de información contenida en sistemas o equipos informáticos cuando se tenga autorización para el acceso Si se trata de sistemas o equipos del Estado 2 a 8 años prisión y 300 a 900 días multa Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero 6 meses a 4 años prisión y 100 a 600 días multa Conocer o copiar información contenida en sistemas o equipos informáticos cuando se tenga autorización para el acceso Si se trata de sistemas o equipos del Estado 1 a 4 años prisión y 150 a 450 días multa Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero 3 meses a 2 años prisión y 50 a 300 días multa Tabla 4.1. Resumen Código Penal Federal e Informática Código Civil Federal Antecedentes La legislación no reconocía el uso de los medios electrónicos de manera universal, al respecto se 46

54 propone sentar las bases legales y es por ello que en materia de código civil, resulta necesario reconocer la posibilidad de que las partes puedan externar su voluntad mediante el uso de medios electrónicos, e incluso dar validez jurídica al uso de medios de comunicación electrónica. Dichos lineamientos señalan que el proveedor debe hacer sus ofrecimientos de manera transparente y equitativa, evitando engaños, fraudes, prácticas desleales o que pudieran dañar al consumidor. Analizando el Art del Código Civil Federal, el reconocimiento del consentimiento otorgado a través de medios electrónicos adquiere validez jurídica al ser incorporado dentro del concepto de consentimiento expreso. Dicha situación, compromete la voluntad de la parte que otorga su consentimiento al ser involucrado en un acto que genere consecuencias jurídicas, donde dicha voluntad se manifiesta a través de un medio electrónico, de esta forma ante un consentimiento expreso de esta característica se adquieren derechos y obligaciones. Art El consentimiento puede ser expreso o tácito, para ello se estará a lo siguiente: - Será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o cualquier otra tecnología. - Ofertas a distancia En la situación de las ofertas a distancia se les reconoce legalmente en primera instancia a las realizadas vía telefónica extendiendo dicho reconocimiento a aquellas ofertas realizadas a través de medios electrónicos, tal como lo indica el Art del Código Civil Federal. Art Cuando la oferta se haga a una persona, sin fijación del plazo para aceptarla, el autor de la oferta queda desligado si la aceptación no se hace inmediatamente. La misma regla se aplicará a la oferta hecha por teléfono a través de cualquier otro medio electrónico, óptico o de cualquier tecnología que permita la expresión de la oferta y la aceptación de esta en forma inmediata. - Reconocimiento y validez de los contratos celebrados por medios electrónicos Considerando que la legislación civil solo requiere de la existencia del consentimiento y de un objeto lícito para darle validez a un contrato y en función de la validez jurídica del consentimiento otorgado a través de medios electrónicos, dichos conceptos se pueden trasladar a términos de la contratación electrónica donde los requisitos son llevar a cabo la oferta a través de un medio electrónico y en consecuencia dar el conocimiento a través del mismo medio. Dicho principio legal lo encontramos en el Art del Código Civil Federal. Art Tratándose de la propuesta y aceptación hechas a través de medios electrónicos o de 47

55 cualquier otra tecnología no se requiere de estipulación previa entre los contratantes para que produzca efecto. - Forma Existen actos jurídicos que para tener validez jurídica requieren de la formalidad. Actualmente la amplitud de la validez de la forma alcanza a los actos jurídicos celebrados a través de medios electrónicos, tal como lo establece el Art del Código Civil Federal. Art Los supuestos previstos por el artículo anterior se tendrán por cumplidos mediante la utilización de medios electrónicos, ópticos o de cualquier otra tecnología, siempre que la información generada o comunicada en forma íntegra, a través de dichos medios atribuibles a la persona obligada y accesible para su consulta. En los casos en que la ley establezca como requisito que un acto jurídico deba otorgarse en instrumento ante fedatario público, este y las partes obligadas podrán generar, enviar, recibir, archivar o comunicar la información que contenga los términos exactos en que las partes han decidido obligarse, mediante la utilización de medios electrónicos o cualquier otra tecnología, en cuyo caso, el fedatario público deberá hacer constar en el propio instrumento los elementos a través de los cuales se atribuye dicha información a las partes y conservar bajo su resguardo una versión íntegra de la misma para su posterior consulta, otorgando dicho instrumento de conformidad con la legislación aplicable que lo rige Ley Federal de Transparencia Y Acceso A La Información Pública Gubernamental En México, desde 1977 el artículo sexto de la Constitución garantiza el derecho a la información, sin embargo, se carecía de reglamentos complementarios que permitieran el ejercicio pleno de este derecho. Se consideraba más bien una concesión, sujeta a la buena voluntad de la autoridad, y a disponibilidad física de la información. La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG), de junio de 2002, ha venido a modificar esta situación. Parte del principio de que toda la información gubernamental es pública, y que todos los servidores públicos deben rendir cuentas a los ciudadanos. Aquella que se clasifique como de acceso restringido debe justificar plenamente dicha condición, y las personas que solicitan documentos a través de esta disposición legal no necesitan dar ninguna razón o explicación acerca del uso que le darán. La LFTAIPG es una herramienta de transparencia, e incluso se ha convertido en un referente internacional. Dispone de un listado de obligaciones de transparencia que cada una de las dependencias y entidades gubernamentales deben observar y acatar. La LFTAIP define a toda la información del gobierno como pública, obliga a todas las entidades y 48

56 dependencias gubernamentales a favorecer el principio de la publicidad sobre la reserva. Todas las entidades deben publicar de manera rutinaria, periódica y comprensible toda la información sobre sus funciones, presupuestos, operaciones, personal, salarios, reportes e informes internos, y contratos y concesiones que lleven a cabo. Otorga a los ciudadanos el derecho de solicitar información que aún no se ha hecho pública, y a proceder en tribunales en contra de cualquier entidad que niegue la información. En términos generales, los objetivos de la LFTAIP son transparentar la gestión pública, favorecer la rendición de cuentas del gobierno a los ciudadanos, y contribuir a la democratización de la sociedad mexicana. Contiene innovaciones interesantes, como la que establece que no puede considerarse reservada la información que tenga que ver con la investigación de violaciones graves de derechos fundamentales o delitos de lesa humanidad. Por otro lado, en la era de la comunicación global y las redes de informática, el gobierno debe convertirse en un impulsor del flujo y diseminación de información. La legislación mexicana obliga a los organismos gubernamentales a tener un sitio en Internet, en el cual hacen disponible toda la información requerida. Para sustentar y garantizar el cumplimiento de la LFTAIP, se ha creado el Instituto Federal de Acceso a la Información, IFAI. Esto responde a la necesidad de reforzar los mecanismos y vías de acceso a la información, para apoyar al ciudadano cuando se presenten resistencias a la apertura y difusión de la información gubernamental Ley del Mercado de Valores La importancia de la nueva Ley del Mercado de Valores radica en la posibilidad de que un gran número de empresas medianas pueda tener acceso a inversiones, lo cual, evidentemente, implica una alternativa importante para el desarrollo económico del país. Actualmente, el mercado bursátil mexicano es pequeño y con alto potencial de desarrollo, ya que en el mercado de valores participan alrededor de 140 compañías, un número muy limitado si lo comparamos con economías similares a la nuestra. La transparencia hacia los inversionistas es crítica para el funcionamiento y crecimiento del mercado de valores. Éstos requieren tener acceso a la información de la organización, que les permita identificar con claridad las ventajas y desventajas de cada opción, así como conocer las acciones que pueden realizarse en contra de los administradores. Es claro que hoy con la introducción y reforzamiento de mejores prácticas de gobierno corporativo, así como el establecimiento de supervisión de las autoridades y las sanciones establecidas, se genera un entorno totalmente distinto. Éste se traduce en seguridad para los inversionistas sobre la transparencia en el manejo de las operaciones, así como sobre la búsqueda constante de eficiencias y eliminación de riesgos, principalmente ante la interacción constante del consejo y la 49

57 dirección general. Capitulo X de la Automatización Articulo 112 Las casas de bolsa, especialistas bursátiles, bolsas de valores, instituciones para el depósito de valores e instituciones calificadoras de valores, sin perjuicio de lo señalado en el código de comercio, en la presente ley y en las demás disposiciones conducentes, deberán llevar su contabilidad y el registro de las operaciones en que intervengan, mediante sistemas automatizados, o por cualquier otro medio, a lo que señale la comisión nacional de valores. Articulo 113 Los sistemas automatizados a que se refiere el artículo anterior, deberán reunir las características que, mediante disposiciones de carácter general, determine la comisión nacional de valores, considerando criterios de seguridad en su funcionamiento y verificación accesible de la información, observándose en todo caso lo siguiente: i. la compatibilidad técnica con los equipos y programas de la comisión nacional de valores; ii. iii. los asientos contables y registros de operación que emanen de dichos sistemas, expresados en lenguaje natural o informático, se emitirán de conformidad a las disposiciones legales en materia probatoria, a fin de garantizar la autenticidad e inalterabilidad de la información respecto a la seguridad del sistema empleado, y el uso de claves de identificación en los términos y con los efectos señalados en el artículo 91, fracción v de esta ley. Artículo 114 La información que en los términos de esta ley y de las disposiciones de carácter general que de ella deriven, deben proporcionar a la comisión nacional de valores las entidades a que se refiere el artículo 112, proveniente de sistemas automatizados, se pondrá a disposición de dicha autoridad por cualquiera de estas formas: i. envío a través de medios telemáticos, es decir, originada en equipos informáticos y de telecomunicación. ii. entrega en soportes materiales de información, acordes a la compatibilidad técnica expresada en la fracción i del artículo 113. La información, una vez recibida por la comisión nacional de valores a través de cualquiera de estas formas, ya no podrá ser modificada o sustituida por la entidad emisora o la autoridad receptora, salvo por determinación expresa de la comisión o, en su caso, de otras autoridades competentes, con motivo de las correcciones que sean estrictamente necesarias, o bien del esclarecimiento de hechos y eventual deslinde de responsabilidades. Las emisoras de valores inscritos en el registro nacional de valores e intermediarios, para el envío o entrega a la comisión nacional de valores, a la bolsa de valores correspondiente y al público inversionista, de la información a que se refiere esta ley y las disposiciones de carácter general que 50

58 de ella deriven, deberán utilizar los medios a que se refiere este articulo, con arreglo a las disposiciones de carácter general que al efecto expida la misma comisión. Lo anterior, sin perjuicio de que la comisión nacional de valores requiera en cualquier tiempo la información de que se trate, la cual deberá serle proporcionada por escrito y con la firma autógrafa de quienes deban suscribirla. Artículo 115 La comisión nacional de valores deberá estar provista de los sistemas automatizados para la recepción, resguardo y clasificación de la información que le sea proporcionada de acuerdo con el artículo anterior, así como la que recabe de equipos telemáticos o en soportes materiales de información en ejercicio de las facultades de inspección y vigilancia que tiene atribuidas. A la citada comisión le será aplicable, en lo conducente, lo dispuesto en el artículo 113 del presente ordenamiento. Articulo 116 La información contenida en soportes materiales, o bien proveniente de procesos telemáticos, siempre que este validada por la autoridad receptora y la entidad emisora, de acuerdo con las características y dentro de los plazos que determine mediante disposiciones de carácter general la comisión nacional de valores, así como la información que cumpliendo con dicho procedimiento se integre a las bases de datos de la propia comisión, producirán los mismos efectos que las leyes otorgan a los documentos originales y, en consecuencia, tendrán igual valor probatorio. Articulo 117 Las disposiciones de este capítulo serán aplicables a las sociedades de inversión y a las sociedades operadoras de sociedades de inversión, en las materias correspondientes. 4.3 Mejores Prácticas relativas a la seguridad de las bases de datos Mejores Prácticas es un concepto creado por Naciones Unidas y por la Comunidad Internacional que define un conjunto de iniciativas exitosas que buscan mejorar la calidad de vida y la sostenibilidad de las ciudades y las comunidades. Para que una iniciativa sea considerada una mejor práctica debe: Tener un impacto tangible en la mejora de la calidad de vida de las personas. Ser el resultado de una asociación entre actores del sector público, privado y de la sociedad civil. Ser sostenible del punto de vista cultural, social, económico y ambiental. Las mejores prácticas sirven: Como instrumento para mejorar la política en materia pública, basándose en lo que efectivamente funciona. Para aumentar el grado de conciencia de los responsables por la formulación de políticas y 51

59 de la comunidad sobre las posibles soluciones a problemas de tipo social, económico y ambiental. Para compartir y transferir el conocimiento y la experiencia a través del aprendizaje y a través de un sistema de red. Como memoria institucional, o sea, como una manera de aprender de las experiencias de otros. Como herramienta para ayudar a los políticos a desarrollar sus programas de trabajo. Como facilitador de la cooperación técnica entre comunidades. Entretanto, Mejores Prácticas no son guías indiscutibles para implementar proyectos exitosos. Son un método para analizar la dirección de un proyecto de desarrollo, un sistema para analizar futuras necesidades internacionales y no están restringidas exclusivamente al sector del desarrollo, pues también se pueden dar en el sector privado, ya sea en empresas de tecnología o manufactura, o en firmas de consultoría, entre otras COBIT 4.1 Cobit significa Control Objetives for Information and related Technology que es un conjunto de mejores prácticas para la gestión de los Sistemas de Información de las Organizaciones. Este modelo fue desarrollado por ISACA 9 y el ITGI 10 en 1992 cuyo objetivo principal es proporcionar una guía de alto nivel de controles internos tal que: Proteja los intereses de los clientes, accionistas, empleados, etc. Garantice el cumplimiento normativo del sector al que pertenezca la organización Mejore la eficacia y eficiencia de los procesos y actividades de la organización Garantice la confidencialidad, integridad y disponibilidad de la información El modelo COBIT define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro dominios principales, que contienen 34 procesos genéricos y 318 objetivos de control detallados, los cuales los dominios son: 1. Planificación y organización: Conduce la estrategia y las tácticas y corresponde a la identificación de la forma en que la información tecnológica puede contribuir mejor a alcanzar los objetivos de gestión. 2. Adquisición e implantación: Identifica, desarrolla y adquiere soluciones de TI apropiadas, así como implementa e integra en los procesos de gestión. 9 Information Systems Audit and Control Association 10 IT Governance Institute 52

60 3. Soporte y Servicios: Corresponde con la distribución normal de los servicios requeridos, que van desde las tradicionales operaciones sobre seguridad y continuidad hasta la formación. 4. Monitoreo: Evalúa regularmente en el tiempo para comprobar su calidad. En la figura 4.1 se presenta de una forma detallada el ciclo de los dominios con sus correspondientes procesos. FIGURA 4.1. Marco de trabajo general de COBIT 53

61 4.3.2 Information Technology Infrastructure Library ITIL ITIL es un marco de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) que consta de una serie de módulos ideados para ayudar a las entidades a sacar mayor provecho de sus recursos informáticos, logrando la calidad y eficiencia de TI. ITIL fue creado en 1989 cuando la CCTA (Agencia Central de Informática y Telecomunicaciones del Reino Unido) 11, publicó los primeros elementos de lo que luego acabaría por conocerse como ITIL. ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores prácticas, que permiten tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer. Las publicaciones principales de ITIL forman un conjunto de cinco manuales que ilustran un modelo de ciclo de vida de la estrategia de servicio, el diseño de servicio hasta la mejora del servicio continuo. Los manuales contienen estos títulos y temas: Estrategia de Servicios Servicio de Diseño (modelos para la operación productiva) Servicio de Transición (la implementación del servicio / de lanzamiento) Servicio de Operaciones (operación productiva de los servicios) Servicio de Mejora Continua Las ventajas de ITIL para los clientes y usuarios Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados. Los servicios se detallan en lenguaje del cliente y con más detalles. Se maneja mejor la calidad y los costos de los servicios. La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT. Una mayor flexibilidad y adaptabilidad de los servicios. 11 Actualmente la OGC (Oficina de Comercio Gubernamental) 54

62 Ventajas de ITIL para TI La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos de la organización. La administración tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan más fáciles de manejar. La estructura de procesos en IT proporciona un marco para concretar de manera más adecuada los servicios de outsourcing. A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su orientación hacia el servicio, y se facilita la introducción de un sistema de administración de calidad. ITIL proporciona un marco de referencia uniforme para la comunicación interna y con proveedores. Desventajas Tiempo y esfuerzo necesario para su implementación. Que no se dé el cambio en la cultura de las áreas involucradas. Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados. Que el personal no se involucre y se comprometa. La mejora del servicio y la reducción de costos puede no ser visible. Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios. FIGURA 4.2. Ciclo de ITIL 55

63 4.3.3 ISO/IEC La serie de normas ISO/IEC son estándares internacionales aprobados por la ISO (International Organization for Standardization), son un conjunto de guías de mejores prácticas que se describen a continuación: La norma ISO/IEC 27001:2005 establece una metodología y una serie de medidas orientadas a la mejora continúa y pretende incrementar la competitividad de la organización, reflejada de la siguiente forma: Mayor competitividad Reducción de riesgos Cumplimiento de legislación en el lugar de residencia de la empresa Definición de métodos de trabajo Sin embargo, debido a que son estándares de mejora continua requiere de un esfuerzo continuo, ya que una vez implementado el SGSI, demanda mantenimiento e inversión, además de en caso de haber alcanzado la certificación, para que ésta se mantenga vigente, deberá ser auditada por la misma empresa certificadora año con año. La norma ISO/IEC 27002:2005, cubre las fases de implantación de un SGSI en cualquier tipo de organización sin importar su tamaño o giro De esta forma, la norma ISO/IEC ofrece las siguientes ventajas: Ayuda a la implantación y mantenimiento de un SGSI optimizando recursos. Mejora la integración y administración de los SGSI Reduce los tiempos de implementación de sistemas de gestión y los costos que implican En la parte de consultoría, los presupuestos serán más competitivos, ya que habrá más claridad en la secuencia de los procesos. La norma ISO/IEC 27003, en su versión 2009 se enfoca en los aspectos críticos requeridos para el diseño e implementación de un SGSI de acuerdo a la norma ISO 27001:2005. También es conocida como Proyecto SGSI 12 La norma ISO/IEC 27004, son las métricas para la gestión de Seguridad de la Información, esto es, la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. La norma ISO/IEC 27005, establece las directrices para la gestión del riesgo en la seguridad de la 12 Fuente: 56

64 información, con las que guía la aplicación satisfactoria de la seguridad de la información basada en un enfoque de administración de riesgos. Por último, la norma ISO/IEC 27006:2007 reseña directamente a cláusulas del ISO 17021, que se refiere a los requisitos de entidades de auditoría y certificación de sistemas de gestión. 4.4 Tecnologías de Seguridad de las bases de datos La incorporación acelerada de Tecnologías de información en las empresas ha dado paso a nuevos retos, entre los más importantes encontramos la seguridad de estos sistemas, la constante intromisión de personas ajenas a la información de las empresas ha motivado a las compañías a adoptar todas las medidas de seguridad pertinentes como el uso de Tecnología para la protección de las bases de datos. La tecnología de seguridad busca: Proteger la información de daño intencionado o accidental Proteger la continuidad del servicio, es decir cualquier desviación del comportamiento esperado en un sistema Mantener los parámetros de seguridad: - Confidencialidad: Mantener secreta la información sensible - Identificación y autenticación: Verificar la identidad de los agentes implicados - Autorización: Privilegios de cada agente (personas, empresas o equipos) - Auditoria: Registro de acciones de los agentes - Integridad: Seguridad de que la información es veraz En la Tabla 4.2 se describen algunos ejemplos de tecnologías utilizadas para incrementar la seguridad de las bases de datos. TECNOLOGIA FABRICANTE FUNCIONAMIENTO Detección de Intrusiones y Auditoria de Seguridad ETEK International Protegen directamente las aplicaciones de bases de datos inspeccionando todo el tráfico de información entrante o saliente de la empresa- aplicando sobre este la más completos y actualizados conocimientos de vulnerabilidades, amenazas y técnicas de ataques en la industria, incluso, si el ataque está localizado en un comando interno (SQL) y es ejecutado por un usuario privilegiado de la base de datos. 57

65 GUARDIUM IBM Tecnología para la monitorización en tiempo real de la actividad de las bases de datos, permitiendo a las empresas que la utilizan detectar fraudes, ataques externos y otras actividades ilícitas. InTrust for Databases Alta Tecnología S.A. Mide la efectividad de los controles existentes contra intrusión en la base de datos, robo, fraude y corrupción y además identifica nuevas amenazas que requieren soluciones de control adicionales. Backup Exec Symantec Se encarga de la protección de datos de Windows para sistemas físicos y virtuales. Ofrece copias de seguridad completas en disco y en cinta y recuperación para entornos basados en Windows. La protección de datos continua y la tecnología de recuperación granular pendiente de patente para las aplicaciones esenciales de Microsoft ayudan a garantizar que los datos claves de la empresa estén siempre protegidos y se almacenen de forma efectiva en cuestión de segundos Oracle Secure Backup Oracle Permite la administración de backup de cintas de Oracle, brinda backup seguro de cintas de red de alto desempeño para bases de datos Oracle y sistemas de archivos. Ofrece una solución de backup integrada y fácil de usar que codifica los datos en las cintas para protegerlos ante la mala utilización de datos sensibles en caso de que las cintas de backup se pierdan o sean robadas. Oracle Total Recall Oracle Ayuda a las empresas a almacenar sus datos en una base de datos segura, a prueba de intrusiones, y la mantiene accesible para las aplicaciones existentes. Total Recall no requiere cambios de aplicaciones ni interfaces especiales y ofrece las referencias óptimas de almacenamiento. Administrar los datos históricos ya no debería ser una tarea tediosa. Oracle Total Recall brinda una solución transparente para aplicaciones, segura, eficiente y fácil de usar para el almacenamiento a largo plazo y la auditoría de los datos históricos. 58

66 Oracle Database Vault Oracle Permite controlar quién, cuándo, y dónde acceder a los datos y aplicaciones protegiendo sus empresas frente a las preocupaciones más comunes de seguridad: amenazas que provienen de malas intenciones, negligencia, o simples descuidos. Al imponer la separación de tareas, incluso entre los administradores, Oracle Database Vault sirve además como control avanzado de prevención para ayudar a satisfacer los exigentes y actuales requerimientos de privacidad y cumplimiento. Oracle Label Security Oracle Agrega más protección a su información sensible. Brinda capacidades de seguridad en múltiples niveles a fin de proteger el acceso a los datos hasta las filas individuales de tablas y aborda los problemas de privacidad y seguridad de datos del mundo real a los que se enfrentan el Gobierno y las entidades comerciales de todo el mundo. Veritas NetBackup Symantec Herramienta de respaldos multiplataforma que por medio de agentes especializados en cualquier tipo de base de datos. Permite copias de seguridad más eficaces evitando la redundancia de los datos. Permite elaboración de informes y supervisión para agilizar la recuperación del sistema en caso de contingencia. CA Access Control CA, Inc. Es una herramienta que permite crear, implementar y Cifrado monitorizar acceso a los recursos, ya sea por usuarios o por grupos, además es útil para recabar información de los registros de auditoría para generar informes de la actividad en las bases de datos y aplicaciones. TABLA 4.2 Herramientas de Seguridad de Bases de Datos. El cifrado es el proceso para volver ilegible información considera importante. La información una vez cifrada sólo puede leerse aplicándole una clave o el algoritmo de desencriptación. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a personas no autorizadas, sus vulnerabilidades son la mala gestión de las claves, el uso de algoritmos de encriptación poco robustos y programas mal desarrollados lo que puede ocasionar accesos no autorizados para acciones dañinas 59

67 4.4.2 Identificación y Autenticación La autenticación es el proceso de descubrir y comprobar la identidad de un usuario mediante el examen de las credenciales, información y características del usuario y la validación de las mismas consultando a una autoridad determinada, las tecnologías para la identificación y autenticación son: Usuarios y contraseñas Certificados digitales o claves privadas Biometría Integridad La integridad de una base de datos significa que, la base de datos o los programas que generaron el contenido, incorporen métodos que aseguren que los datos del sistema no se corrompan así tampoco las reglas del negocio. La firma digital es la tecnología más común usada para salvaguardar la integridad de una base de datos asegurando así que la información almacenada es la correcta y completa. Las bitácoras de transacciones son otra tecnología que resguarda la Integridad de las bases de datos ya que mediante éstas se almacenan todas las operaciones hechas en una base de datos y que usuarios realizaron dichas transacciones Disponibilidad Los administradores de base de datos tienen la responsabilidad de poner a disposición de los usuarios de las bases de datos las aplicaciones y los servicios a los niveles esperados, por lo tanto la disponibilidad significa que los usuarios autorizados tengan acceso a los datos cuando lo necesiten para atender a las necesidades del negocio, las tecnologías usadas son: Backup Procedimientos de restauración Bitácoras de transacciones Programaciones de operaciones (Schedules) CAPÍTULO 5 MODELO DE SEGURIDAD LÓGICA DE BASES DE DATOS En este capítulo se describe el modelo de seguridad de bases de datos que busca facilitar y guiar en la tarea de mitigar los riesgos presentes en el entorno de una base de datos, dicho modelo se realizará en varias etapas: en la primera parte se describe el modelo y lo que se pretende alcanzar, una vez establecida la descripción se elabora la base del modelo en la que se definen los 60

68 mecanismos y mejores prácticas a emplear, ya que se tiene definida la base se lleva a cabo la elaboración del modelo, descrita dentro de la estructura. 5.1 Descripción del modelo Como ya se ha planteado anteriormente, los sistemas informáticos, incluyendo las bases de datos, tienen un nivel nulo o muy bajo de seguridad, sin embargo después de un análisis del entorno de las mismas, se pueden identificar las vulnerabilidades a las que se exponen y mitigarlas o minimizarlas. Un modelo de seguridad de bases de datos es un diseño que además de ayudar a la identificación de los niveles de riesgos presentes, tiene por objetivo emplear mecanismos para diseñar e implementar controles que los reduzcan o mitiguen. De esta forma, con el modelo aquí propuesto, se fortalece la actividad productiva, permitiendo flexibilidad y confiabilidad al negocio. En la presente, se desarrolla un modelo de seguridad en las bases de datos que basado en mejores prácticas y estándares internacionales minimice los riesgos de robos, accesos no autorizados, pérdidas de información o corrupción de la misma implementando normas, políticas y procedimientos, así como delimitando roles y responsabilidades del personal administrador y operador. 5.2 Bases del modelo Las bases del modelo se definen como los elementos que debemos estudiar para conocer la situación actual de la base de datos a modelar, por lo tanto serán la entrada el primer paso para ubicarnos en la realidad de la empresa, de la base de datos, del objetivo de la misma y de su nivel de seguridad, de esta manera podemos definir un punto de partida para la implementación del modelo o de un porcentaje del mismo. 5.3 Estructura del modelo El modelo se estructura en un ciclo de 3 partes principales los cuales prevén, mejoran y monitorean los riesgos de la base de datos, estas son: 1. Estudio del Entorno 2. Riesgos 3. Controles. A su vez los Controles se dividen en: Middleware: Tecnologías Personal: Normatividad, capacitación, cultura, roles y responsabilidades Procedimientos: Cifrado, autenticación, administración, operación y monitoreo. 61

69 Auditabilidad: Evaluación y mejora continua A continuación se muestra gráficamente el ciclo del modelo. FIGURA 5.1. Modelo de Seguridad en Bases de Datos Estudio del entorno En la primera etapa del modelo se realiza un análisis de los aspectos internos y externos de la organización que afectan el funcionamiento de TI, esto es, se realiza la recopilación de información de la situación actual de la organización, realizando los siguientes estudios: Estudio de la estructura de la función de Seguridad de la Información: o o o Análisis de la estructura interna: roles y responsabilidades documentados y publicados al personal. Análisis de la situación externa: acuerdos con proveedores de servicios y con clientes. Administración de activos: existencia de inventarios, bitácoras de acceso físico y mantenimiento así como accesos lógicos y transacciones realizadas. Estudio de la normatividad o Políticas: existencia de políticas del uso de la información, accesos físicos a las áreas de trabajo, accesos lógicos y remotos a la base de datos. 62

70 o o Cultura: el personal debe ser capacitado continuamente para concientizarlo acerca de los buenos hábitos del uso de la información y las consecuencias de su mal uso. Procedimientos: deben establecerse por escrito y publicar continuamente sus actualizaciones y modificaciones. Como bien se menciona, el estudio del entorno es analizar todo lo que rodea a la organización en diversos aspectos: legal, económico, tecnológico y aquellos factores que lleguen a afectar a la base de datos de la organización con el fin de conocer en qué aspectos es vulnerable Análisis de Riesgos En esta etapa del modelo, el Riesgo es el análisis de la probabilidad de que las vulnerabilidades sean explotadas y cuáles son las consecuencias que traería consigo que pueden afectar a la integridad de la organización. Mediante el uso de la investigación, observación e identificación se analizan todos aquellos riesgos y vulnerabilidades externas e internas a la compañía que afectan a la integridad de la base de datos. Para ello el análisis de riesgos consiste en describir: La vulnerabilidad Impacto.- Afectación a la organización Causa.- la razón por la que existe el riesgo o vulnerabilidad El riesgo Nivel de Riesgo.- Potencial, Inminente o controlable Sugerencia para evitar el riesgo Y bajo el siguiente formato se establecen las descripciones: ANALISIS DE RIESGOS Nombre Empresa: Área: Fecha: Jefe de Área: Vulnerabilidad Impacto Causa Riesgo Nivel de Riesgo Sugerencia 63

71 Aplicado Por: Firma: Tabla 5.2. Formato de Análisis de Riesgos Para llegar conocer estas descripciones es necesario realizar previamente encuestas, cuestionarios y revisiones al sistema para identificar las vulnerabilidades que pueden ser explotadas por las amenazas. Un ejemplo de preguntas básicas que deben realizarse para el análisis de vulnerabilidades y que deben aplicarse son: Pregunta Si No 1. Existen Políticas, normas y procedimientos para la implementación y administración de Bases de datos? 2. Existe una persona responsable en la administración de Bases de datos? 3. Existen log de registros de acceso? 4. Se realizan respaldos periódicos de la información? 5. Cada cuando? 6. Existe control de acceso en los puertos? 7. La solicitud y autorización de accesos a la base de datos se hace por escrito? 8. Las características de longitud, composición (que permita letras mayúsculas y minúsculas, números y caracteres especiales), encriptado, etc. son adecuadas para que estos no sean fácilmente deducidos? 9. Prevén que los passwords no sean difundidos en forma inadvertida, ni desplegados durante el proceso de acceso a la red o impresos en alguna salida.? 10. Prevén que los passwords sean almacenados en archivos encriptados? 11. Contemplan políticas de cambio frecuente de éstos. Por ej. Usar una fecha de expiración asociada a los passwords o limitar su uso a un número determinado de accesos para obligar su cambio? 64

72 12. Prevén la eliminación de las claves de acceso de aquellos individuos que cesan su relación de trabajo con la empresa? 13. Prevén la desconexión automática cuando transcurren algunos minutos de haber realizado el último acceso al sistema (última instrucción tecleada)? 14. Prevén la suspensión del código de acceso, o la deshabilitación del sistema en caso que haya varios intentos de acceso fallidos durante el mismo día? 15. Especifican la aplicación de sanciones por el mal uso de los passwords y divulgación de estos a otras personas? Cuestionario 5.1. Cuestionario para un Administrador de Base de Datos Pregunta Si No 1. Conoces Políticas, normas y procedimientos para las Bases de datos? 2. Existe una persona responsable en la administración de Bases de datos? Las solicitudes y autorización de accesos a la base de datos se hacen por escrito? Existe una regla para el password como longitud, composición (que permita letras mayúsculas y minúsculas, números y caracteres especiales)? 5. Tus privilegios a las bases de datos son los adecuados? 6. Existe una regla para la difusión de los passwords? 7. Sus passwords son almacenados en archivos encriptados? 8. Cambian frecuentemente tus passwords? 9. El sistema desconecta tu sesión en un periodo determinado de inactividad? Se deshabilita el sistema en caso que haya varios intentos de acceso fallidos durante el mismo día? Especifican la aplicación de sanciones por el mal uso de los passwords y divulgación de estos a otras personas? Cuestionario 5.2. Cuestionario para usuarios Controles En base al análisis de riesgos y vulnerabilidades, se realiza el establecimiento de las acciones que tienen el objetivo de mitigar o eliminar las probabilidades de ocurrencia de las amenazas, es decir, en este se establecen los controles a implementar en la base de datos, deberán ser clasificados 65

73 de acuerdo a su acción: Disuasorios: Controles destinados a reducir la probabilidad de un ataque deliberado. Preventivos: Controles que nos protegen de una vulnerabilidad intentando que los ataques sean fallidos o que produzcan el menor impacto posible. Correctivos: Controles destinados a reducir el efecto de un ataque. Detectivos: Controles programados para descubrir y desencadenar ataques preventivos o correctivos. Para la generación de dichos controles, se debe tomar en cuenta el área de acción de los mismos, en el presente modelo se establecen cuatro áreas principales que se deben considerar para cubrir la seguridad de la base de datos: middleware, personal, procedimientos y auditabilidad Middleware Es la implementación de herramientas tecnológicas que fortalezcan la seguridad de las bases de datos, entre éstas, se deben considerar: Herramientas de Respaldos: uso de aplicaciones que permitan automatizar los procesos de respaldos de información mediante una copia de los datos, con el fin de tener la información disponible en caso de contingencia y/o recuperación de datos. Existe software multiplataforma capaz de respaldar distintos tipos de bases de datos como los desarrollados por Symantec, Bakbone, HP; o en su defecto, las propias bases de datos contienen módulos que permiten desempeñar estas actividades. Herramientas de Monitoreo: con la ayuda de este software se tiene un control sobre las transacciones hechas sobre la base de datos para detectar anomalías, evitar desastres, ataques y ayude a la recuperación de datos mediante logs de transacciones, una herramienta recomendable es GUARDIUM de IBM ya que permite el monitoreo en línea y tiempo real de las operaciones de la base de datos Herramientas de Control de Acceso: como parte del modelo es imprescindible utilizar una herramienta que identifique los controles para el acceso a la base de datos son efectivos y evalúe las nuevas amenazas. Herramientas de Encripción: las herramientas de cifrado se dividen en dos apartados, cifrado de archivos y cifrado de contraseñas: o Cifrado de archivos: se usan para proteger y evitar la fuga de información para el traslado y resguardo de la información. Una propuesta de herramienta recomendable es PGP ya que es una herramienta integral y de prestigio. 66

74 o Cifrado de contraseñas: para proteger contraseñas el modelo abarca dos rubros, herramientas desarrolladas por un proveedor o por el área de TI y herramientas existentes en el mercado. De esta forma, las aplicaciones configuradas deberán ser probadas y evaluadas constantemente, ya que se pueden implementar herramientas in-house que cumplan con los objetivos de las citadas anteriormente Personal La cultura del personal y condiciones en que sean capacitados fortalece el tratamiento de la información contenida en las bases de datos. La divulgación de normas, políticas e información de las ventajas de la seguridad de la información, así como la definición y delimitación de roles y responsabilidades incrementa la confiabilidad de los usuarios y clientes en beneficio de la reputación de la organización. a) Normatividad Las normas y políticas son aquellas que impulsarán al empleado a elevar la seguridad de la información contenida en las bases de datos, considerando: En cuanto a Recursos Humanos y contratación del personal de TI y aquellos que hacen uso de la base de datos: o o o Establecer condiciones de empleo, votos de confidencialidad y roles de acuerdo al perfil del personal contratado. Llevar a cabo training para instruir a los empleados en la seguridad de los datos, manejo de responsabilidades y seguimiento de procesos y procedimientos. Establecer términos de confidencialidad de la información cuando el empleado abandone la organización. En cuanto a la seguridad física: o Definir control de acceso, políticas y normas de protección del equipo contenedor de la base de datos y mantenimiento al mismo. En cuanto a la seguridad lógica o o Políticas de cifrado de datos y contraseñas. Establecer modos de extracción de datos para evitar robo de la información. b) Capacitación y Cultura Impartir cursos de educación informática continuamente a los usuarios de los sistemas que intervengan directamente en la base de datos: 67

75 DBA: administración de contraseñas, cifrado de la información, implementación de herramientas de seguridad, respaldos, planes de contingencia, control de acceso, etcétera. Operadores y usuarios: resguardo de credenciales, bloqueo de sesiones, uso correcto de recursos informáticos, entre otros. c) Roles y responsabilidades La definición y descripción de roles y responsabilidades es una tarea del Administrador de base de datos el cual deberá estar altamente calificado. Primero que nada debe conocer las cualidades y función otorgada al equipo de tecnología dentro de la organización. Realizado esto define los usuarios, roles, permisos, el perfil y los recursos existentes. Un usuario es la persona que tiene acceso autorizado a la base de datos, ya sea para consultas, monitoreo o modificación de los datos de ésta. Los roles son las actividades definidos en base a las funciones de trabajo del empleado. Describe la autoridad y responsabilidad que tiene el usuario ante la información. Los permisos o responsabilidades son las actividades puntuales definidas en función de la responsabilidad que asume un trabajador en su puesto. De acuerdo a estos permisos, el usuario podrá ejecutar ciertas operaciones invocándolas una vez firmado en la base de datos o aplicación que hace uso de ésta. El perfil es un conjunto de restricciones relativas al uso de recursos, y asignable a usuarios. Un usuario sólo puede tener un perfil Y un recurso es la base de datos para el uso susceptible asignable a un perfil. Gráficamente la asignación de los recursos se describe como: FIGURA 5.3. Delimitación de roles y responsabilidades 68

76 Tipos de roles Los principales roles existentes dentro de la base de datos son: Administrador de la base de datos (DBA). Es la persona experta en la administración y operación de la base de datos. Sus tareas principales son: o o o o o o o Optimizar los recursos de la base de datos por medio del mantenimiento, haciendo limpieza a los archivos que la confirman y que enriquecen su uso, de tal forma que garantice la disponibilidad de los datos en pro de la organización y la operación de la información. Administración de usuarios (Control de acceso): altas, bajas y cambios de usuarios así como asignación de roles y permisos de acuerdo al perfil del puesto de éste. Prevención de riesgos, monitoreando la operación de la base de datos y minimizando los problemas y situaciones potencialmente peligrosas que hacen vulnerable a la base de datos como: usuarios expirados, usuarios sin contraseña establecida, extracción de datos. Mantenimiento e instalación de actualizaciones de la base de datos que corrijan posibles errores encontrados, haciendo un análisis del impacto de la instalación de los parches y de ser posible llevándolo a un ambiente de pruebas antes de instalarlas. Documentación de las actualizaciones y cambios en las aplicaciones que afecten a las bases de datos. Integración con los usuarios de la base de datos para apoyar en el diseño y optimización de las aplicaciones que explotarán el contenido de la DB, hacer recomendaciones en cuanto al uso de los recursos al administrador del sistema. Documentación de actividad de base de datos, análisis de promedios de uso de recursos y distribución de usuarios, roles y permisos. Administrador de Respaldos. En caso de las pequeñas y medianas empresas, esta labor también podrá ser cubierta por el DBA, sin embargo en las organizaciones de mayor tamaño, debido a la cantidad de información que manejan, es recomendable que la realice personal especializado en el software y procedimientos de respaldos. Las actividades del administrador de respaldos concernientes a las bases de datos son: o Realizar pruebas periódicas de efectividad de la información respaldada, haciendo pruebas de recuperación de información. La periodicidad de los respaldos debe ser definida en base a la cantidad de procesos que alteran la base de datos en el tiempo. 69

77 o Documentación de las bitácoras de respaldos y registro de pruebas de recuperación Usuarios finales. o Consulta de datos Desarrolladores. o o o o o o Se encarga del diseño lógico de una base de datos; Diseña los objetos de almacenamiento de datos, como tablas y vistas; y escribe las especificaciones de los objetos lógicos, como procedimientos almacenados, desencadenadores, funciones definidas por el usuario y tipos definidos por el usuario. Se encarga de escribir y probar el código de los objetos lógicos de la base de datos, como procedimientos almacenados, desencadenadores, funciones definidas por el usuario y tipos definidos por el usuario. Se encarga de escribir y probar el código de aplicaciones cliente-servidor o aplicaciones de varios niveles que utilizan distintas API, como el espacio de nombres administrado SQLClient u OLE DB, para obtener acceso a los datos relacionales. Se encarga de escribir y probar el código de sitios Web y aplicaciones controladas por datos que utilizan el Database Engine (Motor de base de datos) como un almacén de datos XML, utilizando características como extremos HTTP y el lenguaje XQuery para obtener acceso a sus datos. Se encarga de escribir y probar el código de aplicaciones que implementan la funcionalidad de administración de bases de datos mediante distintas API, como SMO o el proveedor WMI, o mediante instrucciones Transact-SQL Procedimientos Los procedimientos deberán estar debidamente documentados y sólo deben ser publicados al personal que hará uso de los mismos: Altas, bajas y cambios de usuarios de la base de datos con delimitación de operaciones por medio de perfiles. Cláusulas de contratos y administración de entrega y recibo de servicios con terceros (como modificación al diseño de la base de datos, ampliaciones y reducciones de módulos, etcétera). Planeación de estrategias de producción e implementación de la base de datos. 70

78 Procedimientos de respaldos y restauraciones, implementaciones en ambientes de pruebas para validar su funcionamiento. Manipulación de dispositivos de almacenamiento de respaldos de la base de datos} Procedimientos de intercambio de información entre empresas, definiendo acuerdos de confidencialidad. Deben ser de acuerdo a la ley. Monitoreo de transacciones, eventos de control y registro de errores. Los procedimientos que maneja este modelo son: Cifrado: Este procedimiento consiste en la protección de la información mediante el uso de herramientas que permitan volver ilegible la información considerada importante, en caso de que esta quiera ser utilizada para fines ajenos a la empresa. Autenticación: Consiste en asegurarse de que la persona que este accediendo a la información, este autorizada para dicha operación y así prevenir la manipulación de la información por usuarios no autorizadas. Administración: Verifica que los controles se estén aplicando correctamente, de acuerdo a los perfiles y responsabilidades establecidas, para cada usuario de la base de datos. Operación: Aplica los controles necesarios, para asegurar el correcto uso de la información contenida en la base de datos. Monitoreo: Revisión constante de las operaciones que se realizan en el momento de trabajar con la base de datos, llevando un registro de movimientos y cambios efectuados en la información Auditabilidad Es el Control Final del modelo que permite la revisión del funcionamiento de la normatividad, procedimientos, políticas y tecnologías implementados en la base de datos y de acuerdo a su evaluación se lleve a cabo un proceso de retroalimentación y mejora continua en la seguridad. a) Evaluación Finalmente, para la evaluación y mejora continua de la estructura de las bases de datos, la seguridad es una práctica a la cual se le debe dar seguimiento, una vez rotos los paradigmas, la resistencia al cambio y el proceso de implementación se debe continuar reforzando las prácticas de seguridad del modelo en caso contrario lo que puede pasar es que se caiga en la monotonía de la operación del día a día y disminuya la seguridad de la base de datos haciendo que los riesgos se incrementen. De acuerdo a nuestro modelo y en base a la criticidad de la base de datos se recomienda que cada 6 meses o 1 año se haga una evaluación del cumplimiento del modelo de seguridad. 71

79 Para la evaluación se deben considerar niveles de criticidad de los módulos y niveles de cumplimiento: EVALUACION DEL MODELO DE SEGURIDAD (Nombre Empresa) (Fecha) Módulo Nivel de Criticidad Nivel de Cumplimiento Valores de Niveles de criticidad: - Alto - Medio - Bajo Valores de Niveles de cumplimiento 1 - Nivel de Cumplimiento Alto 2 - Nivel de Cumplimiento Óptimo 3 - Nivel de Cumplimiento Bajo 4 - Nulo cumplimiento b) Mejora Continua Si después de la evaluación se detectan módulos que se encuentran en niveles de cumplimiento Bajo y Nulo se debe generar nuevamente un estudio del entorno, análisis de riesgos y vulnerabilidades e implementación del modelo de aquellas vulnerabilidades que se presenten del no cumplimiento de lo establecido en el modelo CAPÍTULO 6 CASO PRÁCTICO En el capítulo final se pone en práctica el funcionamiento del modelo, para validar si el modelo es en realidad efectivo, se realiza un caso práctico en una empresa y se dan a conocer los datos relevantes de la empresa a la que se le aplica el modelo y se evalúan los resultados concluyendo con las ventajas y desventajas de la aplicación del modelo y los beneficios que implica. 6.1 Estudio del Entorno Nombre o Razón Social de la Empresa: Domicilio: Quaxar México SA de CV. WTC Montecito No. 38 Piso 11 Oficina 12 y 13 Col. Nápoles, Del. Benito Juárez. C.P

80 Teléfono: ext. 105 Correo Electrónico: Nombre Responsable: Luis Oviedo Historia Quaxar fue fundada en Junio del 2000 por un grupo de emprendedores entusiastas que se encontraban graduándose de La Universidad de Harvard Business y con historias personales de éxitos en el sector privado y gubernamental, incluyendo corporaciones multinacionales. Quaxar empezó con una oficina en Miami, después se expandió a México D.F. en el La Oficina de Coatzacoalcos abrió en el estado de Veracruz, México en el En el 2007, Quaxar abrió una oficina en Buenos Aires, Argentina, aprovechando el conocimiento avanzado de marketing interactivo que se ha desarrollado en esa ciudad. Desde el principio de su existencia, QUAXAR ha estado enfocado en marketing interactivo y lealtad basada en el internet y programas de CRM. Durante estos años, nuestros múltiples proyectos y variada experiencia nos ha permitido crear nuestras robustas herramientas, tales como QUAXAR E-Loyalty, y Herramientas de Generación de Ingresos y metodología de operaciones de CRM. Estas plataformas han sido implementadas tanto en EEUU como por toda Latino América, con más de 100 implementaciones nuevas esperadas a finales del La compañía continúa creciendo y está comprometida a seguir a la vanguardia de la innovación en el uso de la experiencia en línea para adquirir y dar servicio a diversos clientes Visión Ser la compañía principal en generación de ventas a través del crecimiento y explotación de bases de datos del cliente Misión Ofrecer soluciones de lealtad de alta calidad basados en el internet y servicios que ayuden a desarrollar ventajas competitivas para nuestros clientes en marketing, ventas y servicio. Para ser eficaz en nuestro mercado y para nuestros clientes, tendremos un equipo talentoso y motivado con experiencia en una variedad de industrias así como en las áreas de especialización asociadas con nuestro nicho de negocio, que incluye lealtad, bases de datos, y marketing digital Objetivo General El objetivo es evaluar los controles y procedimientos aplicados a la base de datos para determinar si se están aplicando los procesos adecuados para asegurar un nivel óptimo de seguridad en la 73

81 base de datos donde se almacena la información confidencial de los clientes de la organización. Con la finalidad de identificar las áreas más vulnerables de cada equipo y poder proponer una solución a dicha vulnerabilidad y poder mitigar el riesgo existente Soluciones Quaxar ayuda a que las organizaciones generen una base de entradas rentables continua, usando diferentes herramientas de ingresos. Se especializa en Loyalty On Demand, Servicios de Lealtad y Smart s. 1. Loyalty On Demand: Herramienta de consolidación de clientes al establecer una serie de iniciativas de post venta de bajo costo a través de la fidelidad de sus clientes. 2. Servicios de Lealtad: Implementación de proyectos con tecnología CRM (Gestión de relaciones con el cliente) que utiliza información para proporcionar una mejor comprensión del mismo. Esto incluye políticas y procesos, marketing, gestión de sistemas y la administración de la información. Servicios de Lealtad está dividido en tres procesos independientes pero correlativos. a) Adquisición de Cliente: Describe todos los procesos y estrategias que llevará a las organizaciones a crear y crecer su base de datos accionable. b) Conocimiento del Cliente: El Conocimiento del Cliente se refiere a una profunda comprensión de la información contenida en la base de datos de una organización, incluyendo datos demográficos, de conducta e información transaccional. c) Relaciones del Cliente: La Relación con el cliente describe todos los principios y procedimientos que gobiernan la relación con los clientes de la organización, con sus Políticas de Privacidad y de mensajería, su proceso creativo y estrategias de marketing que derivarán en redituables relaciones a largo plazo con clientes potenciales y con los clientes actuales. 3. Smart s: Herramienta de envió y rastreo de campañas de correo electrónico, además provee target dinámico avanzado, disparo de mensajes basados en eventos. Smart s incluye una extensa gama de herramientas que le permitirán crear campañas segmentadas, secuenciadas, de tino preciso y pegajoso. 74

82 Los componentes ofrecidos dentro de este modelo de Software-Como-Un Servicio son una necesidad para cualquier estrategia de campaña en línea, e incluye: Guía de ayuda interactiva para la creación de una Campaña Plantillas prediseñadas de correo electrónico Flexibilidad de diseño y creación Segmentación Dinámica Campañas recurrentes (ej. cumpleaños) Secuencia inteligente de correos electrónicos basada en detonadores (ej. el clic en una liga, número de s abiertos, etc.) Reporte en tiempo real La combinación de tecnología, e-loyalty, y marketing digital permite dar Resultados altamente eficaces generando la lealtad del consumidor, aumentando el promedio de consumo, la frecuencia y consistencia, y evitando periodos largos de inactividad Estructura y organigrama FIGURA 6.1. Estructura Corporativa de Quaxar.COM, INC 75

83 FIGURA 6.2. Estructura Corporativa de Quaxar.COM, INC Responsabilidades y Filiales FIGURA 6.3. Estructura de Ejecución Quaxar-LOYALTY 76

84 El área responsable de la operación y administración de la base de datos en la que se aplicará el modelo es Technology & Support, a continuación se presenta la relación de equipo de cómputo y software con el que operan: 1. Servidores: 14 servidores en producción 3 servidores locales 1 servidor virtual 2. Equipo de escritorio: 7 computadoras de escritorio 3. Equipo personal: 10 computadoras laptop 4. Software implementado: Servidores: Windows Server 2003 Antivirus AVG IIS Filezilla Server Apache Tomcat Java Oracle MySQL SQL Server Equipo de trabajo: Windows XP, Vista Norton Antivirus Microsoft Office MyEclipse Adobe Master Collection CS4 77

85 Java Apache Tomcat 6.2 Análisis de Riesgos Para desarrollar el análisis de riesgos, previamente se efectuaron los cuestionarios y revisiones físicas que se encuentran en el apartado de Anexos. Y con esto se concluyeron los siguientes riesgos: ANALISIS DE RIESGOS Nombre Empresa: Quaxar México S.A. de C.V. Fecha: 1 de Febrero de 2010 Área: Technology & Support Jefe de Área: Luis Oviedo Nivel de Vulnerabilidad Impacto Causa Riesgo Sugerencia Riesgo No existen Políticas, normas y procedimientos para la implementación y administración de Bases de datos Pérdidas económicas, por perdida de información confidencial Falta de tiempo Manipulaci ón o ropo de datos por usuarios de la empresa Controlable Realizar las políticas, normas y procedimientos que regulen la adecuada administración de Bases de datos y divulgarlas No prevén que los passwords sean almacenados en archivos encriptados Pérdidas económicas, por robo de información confidencial Falta de interés Robo de passwords para acceder a los sistemas Potencial Crear la política de almacenar las contraseñas en archivos encriptados Crear la política de No hay un adecuado procedimiento para la creación y encriptación de passwords Pérdidas económicas y operativas, por daños a los equipos de computo, por personas ajenas. Falta de interés Suplantació n de usuario y accesos no autorizados a los sistemas Inminente crear las contraseñas con una longitud establecida que permita letras mayúsculas y minúsculas, números y caracteres especiales, encriptado, etc. 78

86 Robo o Uso indebido de los equipos, por diferente personal de la empresa modificación de información confidencial, provocaría pérdidas Falta de tiempo Accesos no autorizados Controlable Crear el procedimiento y ejecutarlo para el registro de accesos a las Bases de datos económicas Posible suplantación No contemplan políticas de cambio frecuente de las contraseñas de identidad y esto generaría pérdidas Falta de tiempo Accesos no autorizados a los sistemas Inminente Crear la política de cambio frecuente de passwords financieras a la empresa. No existen registros de los accesos a las Bases de datos Robo de información confidencial, no se podrá localizar al culpable, por accesos a las bases de datos Falta de tiempo No existe una forma de investigar quien manipulo, robo, la información en la base de datos. Potencial Crear el procedimiento y ejecutarlo para el registro de accesos a las Bases de datos No existe control de acceso en los puertos Robo de información confidencial, por diferentes accesos, mediante los puertos, que se traduciría Descon ocimient o en el procedi miento Intrusiones no deseadas a las bases de datos, modificació n o robo de información Potencial Cursar o tomar un tutorial para la configuración de los puertos 79

87 en pérdidas económicas de la empresa. No prevén la suspensión del código de acceso, o deshabilitar el equipo en caso que haya varios intentos de acceso fallidos durante el mismo día Daños a los equipos, perdida de información confidencial, que se traduciría en perdidas operaciones y económicas. Falta de tiempo Hay mayor posibilidad del acceso no autorizado a la base de datos la manipulaci ón y robo de información. Inminente Crear el procedimiento de suspensión de acceso al intentar un número determinado de accesos fallidos Aplicado Por: Abraham Olivares Valentín Firma: 6.3 Controles Middleware TECNOLOGIA FABRICANTE FUNCIONAMIENTO GUARDIUM IBM Tecnología para la monitorización en tiempo real de la actividad de las bases de datos, permitiendo a las empresas que la utilizan detectar fraudes, ataques externos y otras actividades ilícitas. PGP IBM Tecnología para cifrado de archivos y accesos Personal a) Normatividad Políticas de Control de accesos Para el acceso a la Base de Datos es necesario que cada usuario tenga un nombre de usuario, con roles específicos definidos. I. Cada usuario debe estar registrado en la tabla de usuarios donde tiene asignado un rol, 80

88 que es validado desde la base de datos donde se le habilitan los módulos o acciones correspondientes a ese rol. II. En cada sistema se tienen definidas opciones que, según la estructura funcional de la unidad, permiten el acceso por niveles a cada sistema. Políticas de Administración de contraseñas Este apartado se divide en 2 secciones, las reglas específicas y las reglas para el cambio periódico de contraseñas de acceso a la base de datos. Reglas Específicas I. La conformación de contraseñas serán integradas por números y letras. II. III. IV. Las contraseñas deben ser mayor a 5 caracteres No colocar como contraseña de acceso nombre, apellido o algún otro dato personal o familiar. No se deberán utilizar en la conformación de contraseña de acceso, palabras simples, que puedan ser encontradas en un diccionario. V. Será responsabilidad de la Techonology & Support, determinar los criterios para determinar la periodicidad de cambio de contraseña de acceso a la base de datos. VI. VII. VIII. IX. Las contraseñas de acceso, no deberán contener espacios en blanco. Es privilegio y responsabilidad de los administradores y Gerentes de Área, solicitar cambios a claves de acceso a sus módulos o sistemas, así como de claves de nueva creación para el uso de información. Se deberá especificar el de acceso a una base de datos, de acuerdo al perfil del usuario asignado. Por seguridad, las contraseñas a las bases de datos, no deberán de ser guardados en papel, ya que personal ajeno a la información podría hacer mal uso de esta. X. Es responsabilidad del usuario que posea una contraseña de acceso a la base de datos o a un sistema, evitar la propagación o distribución indebida de dichas contraseñas. XI. Todas las solicitudes de cambio de contraseñas que se realicen por personal externo a Technology & Support, deberían de hacerse, por medio de una Solicitud de cambio de contraseñas. Reglas para el cambio periódico de claves de acceso a la base de datos. El Área de Desarrollo, no maneja cambios en cuanto a las contraseñas de acceso del administrador del sistema operativo, sino que se apega a las reglas establecidas por parte de la 81

89 Technology & Support. Y es responsabilidad de Technology & Support, el administrar las contraseñas de acceso a la Base de Datos, lo cual habrá que hacerse de la forma siguiente: I. Las contraseñas de acceso del administrador de la base de datos deberán ser cambiadas al menos cada tres meses. a) En caso de que la contraseña de acceso, corriera el riesgo de ya no ser confidencial o de que esté en manos de una persona que ya no presta sus servicios a la compañía o al área de Techonology & Support, inmediatamente deberá ser cambiada, para evitar que la información que se encuentra dentro de las bases de datos quede en riesgo de acceso por extraños. b) En caso de ser necesario el cambio de las contraseñas de usuarios o administradores de la bases de datos, deberán ser programados con la finalidad de no intervenir en la productividad. II. III. IV. Previo al cambio de la contraseña de acceso a la base de datos, se deberá notificar vía de la compañía al Gerente o Jefe de Área de Technology & Support, esperando su autorización por este mismo medio, antes de efectuar el cambio, con la finalidad de evitar la posibilidad de intervenir o afectar, la operación de los Sistemas en Producción. En caso de no existir inconveniente para la realización del cambio en la contraseña del usuario o administrador de la base de datos, el Gerente o Jefe de Área de Technology & Support deberá enviar la notificación, vía de la compañía, al responsable de realizar dicho cambio. (Es importante mencionar que la información que se envía y/o reciba por este medio tenga las banderas de recibido y leído y las medidas de seguridad) Una vez terminado el proceso de cambio de contraseña de usuario o administrador de la base de datos, se deberá dar aviso al Gerente o Jefe de Área de Technology & Support vía de la compañía, informando que la contraseña fue cambiada sin ningún contratiempo, además se le deberá enviar en un de la compañía la nueva contraseña en un archivo encriptado. V. El Gerente o Jefe de Área de Technology & Support procederá a distribuirla la nueva contraseña de acceso, entre el personal de su área, que deba tener acceso de acuerdo a las funciones que desempeñe. b) Capacitación y Cultura Un Administrador de Base de Datos no es usuario del sistema, no administra valores de datos, sino la actividad de datos, protege los datos. Dado que la base de datos es un recurso compartido, el Administrador de Base de Datos debe proporcionar estándares, guías de acción, procedimientos 82

90 de control y la documentación necesaria para garantizar que los usuarios trabajen en forma cooperativa y complementaria al procesar datos en la bases de datos. I. El Administrador de la Base de Datos está obligado a crear un proceso de guardado y aseguramiento de registros de accesos y movimientos a la Base de Datos que debe contener: a) Fecha de la operación b) Hora de la operación c) Nombre del usuario d) Movimientos u operaciones realizadas II. III. IV. El Administrador de la Base de Datos está obligado a llevar un diccionario de Datos con las características lógicas y puntuales que se utiliza en la Base de Datos. La información debe estar disponible las 24 horas de los 365 días del año y el Administrador de la Base de Datos tiene la responsabilidad de llevarse a cabo. En caso de contingencia y/o desastre el Administrador de Base de Datos tiene que ser líder de tareas de recuperación, por lo que debe implementar un plan de contingencia el cual se divide en 2 partes, los cuales son: a) Los respaldos: El Administrador de la Base de Datos deberá programar o crear un proceso de respaldo de información diariamente a las 12:00 am b) Pruebas de recuperación: Consiste en hacer un simulacro de un desastre o contingencia en la base de datos, para poner los procedimientos de recuperación y verificar que son los adecuados para la recuperación de datos. c) Roles y Responsabilidades I. Es responsabilidad del Gerente o Jefe del Área Technology & Support asignar los roles y permisos entre el personal de su área de acuerdo a las funciones que desempeñe, así como la divulgación del rol y permisos correspondientes al personal individualmente. II. Los roles y permisos se definen por: a) admin - Control total b) consult - Solo permite la consulta de datos c) user Permite crear, editar y modificar d) support Permite el acceso a los respaldos de información e) technical Permite crear, editar, modificar, activar, desactivar, borrar Procedimientos 83

91 a) Cifrado Para esta parte utilizamos la herramienta PGP, la cual se aplicó de la siguiente manera: en primera instancia se comprime la información, lo cual nos permite reducir espacio en el disco duro, tiempo de transmisión y primordialmente fortalece la seguridad criptográfica, evitando así un craqueo del cifrado, aumentando la resistencia. b) Autenticación Se implemento un procedimiento de autenticación el cual consiste en utilizar una herramienta de biometría la cual se utilizó de la siguiente manera: En el proceso de autentificación los rasgos biométricos se comparan solamente con los de un patrón ya guardado, este proceso se conoce también como uno-para-uno ( 1:1 ). Este proceso implica conocer la identidad del individuo a autentificar, por lo tanto, dicho individuo ha presentado algún tipo de credencial, que después del proceso de autentificación biométrica será validada o no. En el proceso de identificación los rasgos biométricos se comparan con los de un conjunto de patrones ya guardados, este proceso se conoce también como uno-para-muchos ( 1:N ). Este proceso implica no conocer la identidad presunta del individuo, la nueva muestra de datos biométricos es tomada del usuario y comparada una a una con los patrones ya existentes en el banco de datos registrados. El resultado de este proceso es la identidad del individuo, mientras que en el proceso de autentificación es un valor verdadero o falso. También se utilizó una herramienta para la identificación de usuarios, la cual constó de los siguientes pasos: 1. El usuario solicita acceso a un sistema. 2. El sistema solicita al usuario que se autentique. 3. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificación. 4. El sistema valido según sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no. c) Administración Para este proceso se propuso un SLA (Service Level Agreement),que no es más que un Acuerdo de Nivel de Servicio(ANS), para esto se contrato a un proveedor de servicios, que es quien lleva a cabo la administración de los recursos y procesos, mediante un acuerdo establecido previamente. Se define un punto de entendimiento común sobre servicios, prioridades, responsabilidades y garantías. 84

92 Cada área de servicio debe tener un ANS definido, que comprenda los niveles de disponibilidad, servicio, rendimiento. El nivel del servicio puede ser especificado como objetivo y mínimo, de forma que los usuarios puedan saber que esperar (mínimo), mientras se ofrece un objetivo que muestra el nivel de rendimiento. d) Monitoreo La herramienta de monitoreo que se utilizo fue GUARDIUM DE IBM, esta herramienta permitió: Monitorear toda la actividad de la BD en tiempo real incluyendo acceso de usuarios privilegiados. Detectar y prevenir intrusiones, ataques y robo de información en Base de Datos. Acelerar el cumplimiento de regulaciones para satisfacer el requerimiento de auditores. Los beneficios que aportó: Alerta y prevención de ataques y robos de datos en tiempo real Protección de datos sensibles a nivel de objeto Parches Virtuales que responden a vulnerabilidades de las BD Manejo centralizado que permite aplicar configuraciones de una BD a miles de BD Sin degradación de la performance de la BD Solución pura de Software, fácil de descargar, instalar, configurar y actual Monitorear, rastrear y auditar quien está haciendo que en la Base de Datos. Cumplimentar regulaciones que exigen el control del acceso individual a datos sensibles. Implementar políticas de seguridad sobre usuarios finales antes que sobre aplicaciones para permitir el control Auditabilidad a) Evaluación La base de datos y los procedimientos, bitácoras de accesos y eventos relacionados deberán ser documentados para que posteriormente, por periodos semestrales se realicen evaluaciones a los mismos, en busca de errores, incumplimiento de la normatividad o modificaciones a lo ya establecido en los módulos anteriores. b) Mejora Continua De acuerdo a los resultados arrojados en la parte de evaluación, se deberán tomar medidas que apoyen al cumplimiento de los procedimientos, políticas, operaciones, etcétera, de la base de datos. Se recomienda que esto se realice durante la primera mitad del siguiente semestre a la 85

93 evaluación de cumplimiento, para que se puedan apreciar los cambios sugeridos en pro de la seguridad de la base de datos. 6.4 Resultados de la aplicación del modelo El modelo se ha implementado de manera exitosa en la empresa y ha sido bien recibido, definitivamente, como beneficio primario fue la mejora en la administración de la seguridad, definiendo roles y responsabilidades y políticas para el manejo de contraseñas, accesos y un solo responsable para la administración de la base de datos y de la seguridad de la misma. En la parte tecnológica se implementó PGP, software para encriptación de contraseñas, control de accesos y cifrado de archivos y GUARDIUM software de monitoreo, desafortunadamente por la actual situación financiera global la empresa no tiene los recursos necesarios para invertir en mas tecnología de seguridad. Sin embargo la empresa tiene gente capacitada que bajo la implementación del modelo puede hacer que la base de datos sea segura y así prevenir, perdidas, fugas y robo de información 86

94 CONCLUSIÓN Hemos sido testigos del desarrollo e implementación del Modelo de Seguridad en Base de Datos, el cual nos lleva a priorizar la seguridad de la información contenida en las bases de datos, sin embargo hemos saber que seguirán y evolucionarán las amenazas a las que nos enfrentaremos, es por ello que día con día debemos ser cuidadosos e implementar mejores medidas de seguridad para garantizar la integridad de la información. Es también bien conocido que el implementar un modelo de seguridad en base de datos tiene sus ventajas y desventajas y este se acentúa más cuando se realiza la primera vez. El cual el modelo presentado no es la excepción y se describen a continuación: Ventajas Control a nivel corporativo de la seguridad de la información Permite ver la gestión de la seguridad de la información como un componente de la gestión del negocio Mayor compenetración área en el tema de seguridad de la información, con aportes valiosos al respecto. Generación de una certificación (por ejemplo la ISO 27001) Rápidas soluciones y restauración de la base de datos en caso de desastres Mitigaciones de ataques. Proporciona confiabilidad a los clientes Evita robos, perdidas y manipulación de información Enfocada a las leyes nacionales e internacionales Apegada a estándares y mejores practicas Desventajas Requiere tiempo que depende del tamaño de la organización Requiere recursos monetarios y humanos Se necesita renovar constantemente Es difícil crear y fomentar una cultura de seguridad de la información en todos los niveles de la organización. Se requieren recursos tecnológicos 87

95 Cabe hacer hincapié que es imprescindible contar con un plan o modelo de seguridad, ya que se estaría totalmente vulnerable a los ataques a la información e implicaría hasta la quiebra de la organización y por ello se recomienda altamente la utilización del presente Modelo por las ventajas descritas anteriormente. El objetivo de la tesina se ha cumplido satisfactoriamente ya que el modelo de seguridad resulta satisfactorio en su implementación además por su diseño puede retroalimentarse y aplicarse en el momento que la empresa vea sus niveles de seguridad comprometidos. El modelo como tal se enfoca casi en su totalidad a la parte lógica de la base de datos, para complementar y como tema adicional para otra tesina se puede explorar la parte física de la base de datos, también como tema adicional se puede hacer crecer el modelo para que cubra ataques en bases de datos globales, dispersadas alrededor del mundo. 88

96 BIBLIOGRAFÍA Korth Henry F. y Silberschatz Abraham, Fundamentos de Bases de Datos, 4 a Editorial Mc.Graw Hill, España, 2002 edición, Nombela Juan José, Seguridad Informática, 2 a edición, Editorial Thomson Paraninfo, S.A., España, 1996 Areitio Javier, Seguridad de la Información. Redes, Informática y Sistemas de Información, 1 a Edición, 2008 PIATTINI, M. y otros, Auditoria de Tecnologías y Sistemas de Información, Editorial RA- MA, España, 2008 McNab Chris, Seguridad de Redes, Segunda Edición, Editorial Anaya Multimedia, España, 2008 Téllez Valdez Julio, Derecho Informático, 2 a Edición. Mc Graw Hill. México Silva Rodríguez Hernan Alberto, Bases de Datos, RECUPERADO, Octubre 2009 Sistema de gestión de bases de datos, RECUPERADO, Octubre 2009 Data Leakage Worldwide: Common Risks and Mistakes Employees Make, RECUPERADO, Octubre 2009 El Universal, HSBC recibe multa por pérdida de datos personales, RECUPERADO, Octubre 2009 José María Arce Guillén, Fugas de Información, RECUPERADO, Octubre 2009 Omar Alejandro Herrera Reyna, La función de Seguridad Informática en la empresa, RECUPERADO, Octubre 2009 Ataque a Network Solutions compromete los datos de medio millón de personas, RECUPERADO, Octubre 2009 Michael Kassner, Políticas de Seguridad Informática: porqué no siempre funcionan?, 89

97 porque-nosiempre-funcionan/, RECUPERADO, Octubre 2009 Cisco Systems, Fuga de datos a nivel mundial: El elevado costo de las amenazas internas, 4_11, RECUPERADO, Octubre 2009 Villareal Gabriela, Ataque a servidores de Network Solutions compromete los datos de más de medio millón de personas, RECUPERADO, Octubre 2009 Villareal Gabriela, Arrestan en EEUU a un delincuente que robó 130 millones de datos bancarios, RECUPERADO, Octubre 2009 Korben, Hack de Twitter La suite, RECUPERADO, Octubre 2009 Daniela San Giovanni, CRECE LA PREOCUPACIÓN DE LAS EMPRESAS POR LA FUGA DE DATOS CONFIDENCIALES, RECUPERADO, Octubre 2009 Guía de administración de riesgos de seguridad, RECUPERADO, Noviembre 2009 Pérez Martín, Sociedad de la información, RECUPERADO, Noviembre 2009 Seguridad de la información, RECUPERADO, Noviembre 2009 Políticas, normas, procedimientos de seguridad y otros documentos de un SGSI, RECUPERADO, Noviembre 2009 Los ladrones pueden estar dentro, RECUPERADO, Noviembre 2009 Constitución Política de los Estados Unidos Mexicanos, publicada en el Diario Oficial de la Federación el 5 de febrero de 1917, RECUPERADO, Noviembre 2009 Ley Federal del Derecho de Autor, 90

98 Ley publicada en el Diario Oficial de la Federación el 24 de diciembre de 1996, RECUPERADO, Noviembre 2009 Código Penal Federal, nuevo Código Publicado en el Diario Oficial de la Federación el 14 de agosto de 1931, RECUPERADO, Noviembre 2009 Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, nueva Ley publicada en el Diario Oficial de la Federación el 11 de junio de 2002, RECUPERADO, Noviembre 2009 Ley del Mercado de Valores, nueva Ley publicada en el Diario Oficial de la Federación el 30 de diciembre de 2005, RECUPERADO, Noviembre 2009 Microsoft y Oracle ganan participación en mercado de bases datos, RECUPERADO, Noviembre 2009 International Organization for Standardization, RECUPERADO, Noviembre 2009 An Introduction to ISO 27001, ISO ISO 27008, RECUPERADO, Noviembre Governance Institute, RECUPERADO, Noviembre 2009 ITIL, RECUPERADO, Noviembre 2009 Sarbanes Oxley, RECUPERADO, Noviembre 2009 The Sarbanes-Oxley Act, RECUPERADO, Noviembre 2009 Seguridad de la Información y continuidad de Negocio, RECUPERADO, Noviembre 2009 ISO 27000, RECUPERADO, Noviembre 2009 Oracle Audit Vault, RECUPERADO, Diciembre

99 ANEXOS 92

100 93

101 94

102 95

103 96

104 REVISIONES FÍSICAS Fecha: 05 de Enero de 2010 Nombre: Revisión Física 1 Puesto: Tecnology Analyst Área: Tecnology & Support Prueba: Controles de acceso Evidencia: Solo existen registros de los accesos de los usuarios por medio del sitio web, sin embargo faltan registros de acceso a la administración de la base de datos. 97

105 Fecha: 05 de Enero de 2010 Nombre: Revisión Física 2 Puesto: Tecnology Analyst Área: Tecnology & Support Prueba: Expiración de contraseña Evidencia: Fecha: 05 de Enero de 2010 Nombre: Revisión Física 3 Puesto: Tecnology Analyst Área: Tecnology & Support Prueba: Encriptación de contraseñas y datos Evidencia: 98

106 Fecha: 05 de Enero de 2010 Nombre: Revisión Física 4 Puesto: Tecnology Analyst Área: Tecnology & Support Prueba: Verificación de los roles Evidencia: Fecha: 05 de Enero de 2010 Nombre: Revisión Física 5 Puesto: Tecnology Analyst Área: Tecnology & Support Prueba: Verificación de los privilegios Evidencia: 99

107 Fecha: 05 de Enero de 2010 Nombre: Revisión Física 6 Puesto: Tecnology Analyst Área: Tecnology & Support Prueba: Verificación de reglas de responsabilidad Evidencia: La verificación de reglas de responsabilidad como acceso a la escritura, modificación y borrado de datos depende de los privilegios asignados en cada rol. 100

108 Fecha: 05 de Enero de 2010 Nombre: Revisión Física 7 Puesto: Tecnology Analyst Área: Tecnology & Support Prueba: Verificación de respaldos Evidencia: Los respaldos se realizan cada tercer día en Amazon y en los servidores de Sabio ellos se encargan de los respaldos y restauración del sistema. 101