Sistemas de Datos Curso: Ernesto Chinkes. Sistemas de Datos. Niveles de Control de acceso. Criptografía. Aspectos legales y éticos.

Transcripción

1 Sistemas de Datos PROTECCIÓN DE DATOS Niveles de Control de acceso. Criptografía. Aspectos legales y éticos.

2 Esquema de la Clase Importancia de la Información/Datos Req. Seguridad Amenazas Niveles y Medidas de Seguridad Intencionales Accidentales Autorizaciones Vistas / SP Cifrado Restricciones Rec. ante Fallos Control de Concurren. Aspectos Legales y Eticos

3 Importancia de la Información/Datos DATO Representación simbólica, atributo o característica de una entidad. No tiene valor semántico (sentido) en sí mismo. Procesamiento INFORMACION Dato tratado, útil para realizar una tarea (cálculos, informes, toma de decisiones, etc). Soporta el negocio y/o actividad de la organización. Cumplir con requerimientos (seguridad) para satisfacer las necesidades del negocio: C.I.D.

4 Requerimientos de Seguridad CONFIDENCIALIDAD: se refiere a la protección de información sensitiva contra revelación no autorizada. Acceso de Usuarios Autorizados C.I.D INTEGRIDAD: está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. Creación y Modificación por Usuarios Autorizados DISPONIBILIDAD: se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. Fuente: COBIT Disponibles en tiempo y forma

5 Amenazas contra los datos Riesgo Amenaza Impacto Probabillidad de: Incendio, Inundación Deterioro del HW Desastre natural Errores de HW/SW Probabilidad mal tratamiento a los datos, SW y/o HW. Probabilidad de: Acceso no autorizado Modificación no autorizada Fraude, Sabotaje, Chantaje Malware, Phishing Fuego Agua Tierra Zona geográfica Tecnología Ser humano (accidental o no capacitado) Ser Humano (intencional) Tecnología Destrucción/Perdida de datos Modificación de datos Indisponibilidad de los datos Destrucción/Perdida de datos Robo de datos Modificación de datos Indisponibilidad de los datos

6 Niveles de Seguridad Humano APP S.O. DBMS Físico Red Aplicación Sistema Operativo Base de Datos RED

7 Niveles de Seguridad Humano Físico Red Aplicación Sistema Operativo DBMS Base de Datos

8 Restricciones Dominio Tipo de Dato Int. Referen. Trigger Recuperación ante Fallos / Backups Cluster Control de Concurrencia

9 Autorizaciones Vistas / SP Cifrado

10 Autorizaciones Acceso a Datos Esquema: Consulta (select) Inserción (insert) Borrado (delete) Actualización (update) Crear tablas/atributos (create) Eliminar tablas (drop) Alterar tablas/atributos (alter) Crear y eliminar índices (index) DATOS ESQUEMA Usuarios y Roles: Se asignan y administran los accesos de los usuarios mediante roles o grupos de privilegios. Un rol puede tener 1 o más permisos de accesos.

11 Vistas La vista proporciona un modelo personalizado de la BD, ocultando datos que un usuario no necesita o debe ver. Store Procedure El SP es una programación de una o varias tareas en la base de datos, que se otorga al usuario.

12 DATOS select insert delete Tablas Vistas update DBA Modific. Gerente Jefe execute SP Consulta Operador ESQUEMA create drop alter Tablas Columnas La asignación de roles/privilegios se puede realizar mediante lenguaje SQL (Grant) o a través de la Interface/Wizard del DBMS.

13 SQL (DCL): Con el nombre de lenguaje de control de datos se hace referencia a la parte del lenguaje SQL que se ocupa de los apartados de seguridad y de la integridad en el procesamiento concurrente. Conceder privilegios: GRANT GRANT ALL listaprivilegios ON listatablas TO listausuarios Denegar privilegios: DENY DENY ALL listaprivilegios ON listatablas TO listausuarios Quitar privilegios: REVOKE REVOKE ALL listaprivilegios ON listatablas FROM listausuarios

14 Algunos ejemplos de Autorizaciones por SQL (DCL): Roles y Privilegios GRANT Select ON Tabla_Escuela TO Rol_Invitado DENY Create Database, Create Table TO Usuario_Juan REVOKE Alter Table FROM Rol_Gerente GRANT Create Table TO AdmLucas, AdmErnesto Vista GRANT Select ON Vista_Guía_Nombre TO Rol_Invitado Store Procedure GRANT EXECUTE ON SP_Consulta TO Usuario_Juan

15 Cifrado Técnica que protege o autentica a un dato, mensaje o usuario al aplicar un algoritmo criptográfico. Es mejor práctica conocer una clave específica para cifrar/decifrar el dato. Sueldo: $10000 Algoritmo Anti- Algoritmo Sueldo: $10000

16 CIFRADO Sin Clave Con Clave Simétrico Asimétrico

17 Cifrado (con clave) Clave Simétrica (DES, 3DES, Blowfish, AES (128,192,256) Encripta y desencripta con la misma clave. Rdo=Integridad. Sueldo: $10000 Clave Cifrado (Disco, , etc) Medio Dato Cifrado Clave Descifrado Sueldo: $10000 UNA CLAVE

18 Cifrado (con clave) Clave Asimétrica (MD5, SHA, SHA-1, RIPEMD160, Whirlpool) Encripta con una clave (clave pública) y desencripta con otra (clave privada). Rdo=Integridad y Autenticidad. clave pública de B clave privada de B Sueldo: $10000 Usuario A Cifrado (Disco, , etc) Medio Dato Cifrado Descifrado Sueldo: $10000 Usuario B DOS CLAVES

19 Cómo funciona el cifrado en el DBMS 1. Crear clave 1. Usar clave DBMS 2. Usar clave 2. Descifrar valor, columna, (datos 3. Cifrar valor, columna, tabla y convertir al tipo de cifrados) tabla dato correspondiente.

20 Cómo funciona el cifrado en el DBMS 1. Crear clave CREATE SYMMETRIC KEY Clave1 WITH ALGORITHM=AES_256 ENCRYPTION BY PASSWORD='pass1234' 2. Usar clave OPEN SYMMETRIC KEY Clave1 DECRYPTION BY PASSWORD 'pass1234 ' 1. Usar clave OPEN SYMMETRIC KEY Clave1 DECRYPTION BY PASSWORD 'pass1234' 2. Descifrar dato SELECT Id, nombre, sector, CONVERT(rmoney, DECRYPTBYKEY(Sueldo)) AS Sueldo FROM Nomina 3. Cifrar dato INSERT INTO Nomina VALUES (1, 'Susana','HR', ENCRYPTBYKEY(Key_GUID('Clave1'),'10000')) Ejemplo de MS SQL Server

21 Aspectos Legales y Eticos Ley Protección de Datos Personales Vigencia desde Protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, destinados a dar informes. Garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.

22 Aspectos Legales y Eticos Existen cuestiones importantes a tener en cuenta: Conceptos Básicos: Datos personales y datos sensibles. Archivo, registro, base o banco de datos y el tratamiento de los datos. Principios Generales: Derechos de los Ciudadanos: Calidad de los datos Consentimiento del titular de los datos. Información Acceso Rectificación, actualización o supresión Oposición

23 Aspectos Legales y Eticos Existen cuestiones importantes a tener en cuenta: Información Deberes y Obligaciones en el tratamiento: Garantizar el ejercicio de derechos Confidencialidad Seguridad Registro Responsabilidad por el tratamiento: Sanciones Administrativas Sanciones Civiles Sanciones Penales

24 Aspectos Legales y Eticos En qué medida afecta en el diseño y administración de la BD? Legal Medidas de Seguridad a Adoptar Integridad de los datos Etico Acceso autorizado y responsable (Que se pueda acceder no quiere decir que sea dueño y tenga derecho a todo.) Administración Responsable

25 Preguntas?