Seguridad de la

Base de Datos
 Seguridad en las bases de datos
 Amenazas
 Autorización
 Autenticación
 Control de acceso
 Resguardo y recuperación

Módulo 7
 Módulo 7
Seguridad de la Base de Datos

1 Competencias del módulo

El estudiante explorará y desarrollará las estrategias de la seguridad y administración en las

bases de datos.

2 Objetivo

El módulo permitirá al estudiante entender y comprender los conceptos de seguridad y

resguardo en las bases de datos.

3 Contexto

¿Por qué es importante la seguridad y manejo en las bases de datos? El sistema de

resguardo, seguridad y políticas en las bases de datos, permite mantener la integridad de los
datos.

4 Propósito

El propósito del módulo es desarrollar las habilidades como administrador de las bases de
datos. Además, se espera que comprenda los niveles de autorización, los roles y procesos de
recuperación de las bases de datos.

5 Expectativa

Se espera que el estudiante pueda administrar y trabaje en la seguridad de las bases de

datos. De igual forma, que maneje y asigne permiso y elimine privilegios en las tablas.

6 Desarrollo de contenidos del módulo:

¿Qué es la seguridad en las bases de datos?

Los autores Connolly y Begg (2015) definen el Database Security como, unos mecanismos
que protegen la base de datos contra amenazas intencionales o accidentales. La seguridad
de la base de datos se refiere al uso de las funciones de (Database Management System o
por sus siglas en inglés: DBMS) y otras medidas relacionadas para cumplir con los requisitos
de seguridad de la organización (Elmasri y Navathe, 2016, Coronel, Morris y Rob, 2016). De

2
 Módulo 7
Seguridad de la Base de Datos

igual forma, desde el punto de vista del (Database Administration DBA), se deben
implementar medidas de seguridad para proteger el DBMS contra la degradación del
servicio, contra la pérdida de datos y la corrupción o el mal manejo (Connolly y Begg, 2015).
Además, la seguridad de las bases de datos es un término amplio que incluye unos procesos,
herramientas y métodos que garantizan la seguridad dentro de un entorno de base de datos
(Connolly y Begg, 2015).

Para proteger el DBMS contra la degradación del servicio, existen ciertas medidas de
seguridad mínimas recomendadas. Por ejemplo:

 Cambiar las contraseñas predeterminadas del sistema.

 Cambiar las rutas (paths) de instalación por defecto (defautl).
 Aplicar los últimos parches.
 Carpetas de instalación segura con derechos de acceso adecuados.
 Asegúrese de que solo se ejecutan los servicios requeridos.
 Configurar registros de auditoría.
 Configurar sesión de registro.
 Requerir cifrado de sesión.

Además, el DBA debe trabajar en estrecha colaboración con el administrador de la red para
implementar la seguridad de la red para proteger el DBMS y todos los servicios que se
ejecutan en la red. De igual forma, en las organizaciones actuales, uno de los componentes
más críticos en la arquitectura de la información es la red (network).

Amenazas

La amenaza en las bases de datos es cualquier situación o evento, ya sea intencional o

accidental, que pueda afectar negativamente a un sistema y, en consecuencia, a la
organización (Coronel, Morris y Rob, 2016).

3
 Módulo 7
Seguridad de la Base de Datos

¿Qué puede causar una amenaza? Una amenaza puede ser causada por una situación o
evento que involucre a una persona, acción o circunstancia que pueda causar daño a una
organización. Asimismo, el daño puede ser tangible, por ejemplo:

 La pérdida de hardware.
 Software o datos o intangible.
 La pérdida de credibilidad con los clientes.
 La confianza del cliente para la compañía.

Una de las barreras que enfrenta las organizaciones es poder identificar las posibles
amenazas en los sistemas. Por lo tanto, como mínimo, una organización debe invertir
tiempo y esfuerzo en identificar las amenazas más graves. Además, algunos tipos de
amenazas pueden ser intencionales o no intencionales, el impacto sigue siendo el mismo.
Las amenazas intencionales involucran a personas y pueden ser perpetradas tanto por
usuarios autorizados como por usuarios no autorizados, algunos de los cuales pueden ser
externos a la organización. Cualquier amenaza debe considerarse como una posible
violación de la seguridad que, si tiene éxito, tendrá cierto impacto.

A continuación, ejemplos de varios tipos de amenaza:

4
 Módulo 7
Seguridad de la Base de Datos

Figura 1. Ejemplos de amenazas. Recuperada de (Connolly y Begg, 2015).

5
 Módulo 7
Seguridad de la Base de Datos

Figura 2. Amenazas potenciales a los sistemas computacionales. Recuperada de (Connolly y Begg, 2015).

En conclusión, las bases de datos son un objetivo favorito de los atacantes, debido a su
contenido. Además, existen diferentes maneras en que una base de datos puede ser
comprometida. De igual forma, existen varios tipos de ataques y amenazas a partir de los
cuales se debe proteger una base de datos.

Autorización

La autorización es la concesión de un derecho o privilegio que permite a un sujeto tener

acceso legítimo a un sistema o a un objeto del sistema. Además, los controles de
autorización pueden integrarse en el software y controlar a donde los usuarios pueden

6
 Módulo 7
Seguridad de la Base de Datos

acceder en específico, el privilegio que tendrán dentro de los sistemas y manejo de tareas a
realizar. El proceso de autorización implica la autenticación de los usuarios que solicitan
acceso a objetos, esto privilegios representa vista a una o varias tablas de base de datos,
realizar procedimiento, activar o desactivar funciones, y cualquier otro objeto que pueda
crearse dentro del sistema.

Los componentes de autorización brindan privilegios a los usuarios, estos son: grantor,
grantee, object, action. Estos privilegios gestionados mediante operaciones GRANT y
REVOKE.

Cuando se asigna el grantor a un usuario significa que está autorizado para realizar la acción
en un objeto y otorgar la autorización para realizar la acción en un objeto a otros usuarios.
El grantee es el usuario que recibe la autorización para realizar una acción en el objeto del
grantor. En el momento de la creación del object, se designa a un usuario como el
propietario del objeto. Un propietario está autorizado para realizar todas las acciones en el
objeto y otorgar privilegios a otros usuarios. Ningún usuario, aparte del propietario (owner),
puede realizar ninguna acción sobre el objeto.

El ejemplo a continuación muestra cómo se utiliza el comando GRANT al asignar los

permisos de ver, actualizar en insertar datos en la tabla a los usuarios:

GRANT SELECT, UPDATE, INSERT

ON NOMBRE DE LA TABLA

TO USER, USUARIO

El ejemplo del comando REVOKE para quitar el permiso de actualizar datos en la tabla a los
usuarios. Además, tienen que estar pendiente de que, a pesar de no poder modificar los
datos de los usuarios en la tabla, estos usuarios aún pueden ver e insertar récords nuevos.

7
 Módulo 7
Seguridad de la Base de Datos

REVOKE UPDATE

ON NOMBRE DE LA TABLA

FROM USER, USUARIO

Autenticación

Una autenticación es un mecanismo que determina si un usuario es quien dice ser. Un

administrador de sistema generalmente es responsable de permitir que los usuarios tengan
acceso a un sistema informático mediante la creación de cuentas de usuario individuales.
Cada usuario recibe un identificador único, que el sistema operativo utiliza para determinar
quiénes son. De igual forma, la autorización está asociada con cada identificador, que a su
vez es una contraseña, elegida por el usuario y conocida por el sistema operativo. Asimismo,
esta identificación y contraseña debe suministrarse para permitir que el sistema operativo
verifique o autentique quién dice ser el usuario.

Controles de acceso

El control de acceso consiste en identificar a una persona que realiza un trabajo específico,
autenticarla observando su identificación, y luego darle a esa persona sólo la llave de la
puerta o computadora a la que necesita acceso y nada más. También, el control de acceso
se podría considerar como la otorgación de permiso individual para ingresar a una red a
través de un nombre de usuario y contraseña. Por ende, los privilegios les permiten acceder
a archivos, computadoras, hardware o software que la persona requiera, y garantizar que
tiene el nivel correcto de permiso para hacer su trabajo. Entonces, ¿cómo se puede otorgar
el nivel correcto de permiso a una persona para que pueda realizar sus tareas? Aquí es
donde los modelos de control de acceso entran en escena.

Los modelos de control de acceso tienen cuatro tipos:

 Control de acceso obligatorio (MAC).

 Control de acceso basado en roles (RBAC).

8
 Módulo 7
Seguridad de la Base de Datos

 Control de acceso discrecional (DAC).

 Control de acceso basado en reglas (RBAC o RB-RBAC).

Control de acceso discrecional (DAC)

La mayoría de los DBMS comerciales brindan un enfoque para administrar privilegios que
utiliza SQL denominado Control de acceso discrecional (DAC). El estándar SQL admite DAC a
través de los comandos GRANT y REVOKE. El comando GRANT otorga privilegios a los
usuarios, y el comando REVOKE elimina los privilegios.

El modelo de Control de Acceso Obligatorio, o MAC, proporciona sólo la administración del

propietario y el custodio de los controles de acceso. Esto significa que el usuario final no
tiene control sobre ninguna configuración que otorgue privilegios a nadie. Ahora, hay dos
modelos de seguridad asociados con MAC: Biba y Bell-LaPadula. El modelo de Biba se centra
en la integridad de la información, mientras que el modelo de Bell-LaPadula se centra en la
confidencialidad de la información. Biba es una configuración en la que un usuario con un
nivel bajo de autorización puede leer información de nivel superior (llamada "lectura") y un
usuario con nivel alto de autorización puede escribir para niveles más bajos de autorización
(llamado "escribir"). El modelo de Biba se utiliza normalmente en empresas donde los
empleados de niveles inferiores pueden leer información de nivel superior y los ejecutivos
pueden escribir para informar a los empleados de nivel inferior.

Con RBAC, las relaciones de permiso de rol pueden predefinirse, lo que simplifica la
asignación de usuarios a los roles predefinidos. La combinación de usuarios y permisos
tiende a cambiar con el tiempo, los permisos asociados con un rol son más estables. El
concepto RBAC admite tres principios de seguridad conocidos:

 Privilegios mínimos.
 Separación de tareas.
 Abstracción de datos.

Resguardo y recuperación

9
 Módulo 7
Seguridad de la Base de Datos

El proceso de copiar periódicamente la base de datos y el archivo de registro (y

posiblemente los programas) a los medios de almacenamiento fuera de línea. Un DBMS
debe proporcionar facilidades de respaldo para ayudar con la recuperación de una base de
datos luego de una falla. Siempre es recomendable hacer copias de respaldo de la base de
datos y el archivo de registro a intervalos regulares y asegurarse de que las copias estén en
un lugar seguro. En el caso de una falla que haga que la base de datos quede inutilizable, la
copia de respaldo y los detalles capturados en el archivo de registro se utilizan para
restaurar la base de datos al estado más reciente posible.

Conclusión:

En conclusión, la seguridad de la base de datos es el mecanismo que protege contra

amenazas intencionales o accidentales. De igual forma, la seguridad de la base de datos se
ocupa de evitar las siguientes situaciones: robo, fraude, pérdida de confidencialidad,
pérdida de privacidad, pérdida de integridad y pérdida de disponibilidad. Asimismo, se
puede definir una como cualquier situación o evento que afectaría negativamente a un
sistema. Además, es importante mantener los controles de seguridad de multiusuario que
incluyen: autorización, controles de acceso, vistas, copia de seguridad y recuperación,
integridad, cifrado y tecnología RAID por sus siglas en inglés (matriz redundante de discos
independientes).

Los administradores deben aplicar las autorizaciones según los roles de los usuarios.
Además, la autorización se define como la concesión de derecho o privilegio que permite a
un usuario tener acceso legítimo a un sistema o al objeto de un sistema. La autenticación es
un mecanismo que determina si un usuario es quien dice ser.

De igual forma, la copia de seguridad es el proceso de llevar periódicamente un resguardo

de la base de datos y el archivo de registro. Además, es importante mantener el diario de los
registros o el proceso conservar un archivo de todos los cambios realizado en la base de
datos para permitir que la recuperación se realice de manera efectiva en caso de falla. Las
restricciones de integridad también contribuyen a mantener un sistema de base de datos

10
 Módulo 7
Seguridad de la Base de Datos

seguro al evitar que los datos se conviertan en inválido, y por lo tanto dar resultados
incorrectos.

7 Referencias

- Capacho, P. J. R., & Nieto, B. W. (2017). Diseño de base de datos. Recuperado de:
https://ebookcentral.proquest.com
- Connolly, T. M., & Begg, C. E. (2015). Database Systems: A practical approach to
design, implementation and management. Global Ed. Pearson. ISBN: 978-
1292061184.
- Connolly, T. M., & Begg, C. E. (2015). Database Systems: A practical approach to
design, implementation and management. Global Ed. Pearson. ISBN: 978-
1292061184.
- Coronel, C, Morris, S. & Rob, P. (2016). Database Systems: Design, Implementation
and Management (12th ed.). Boston, MA: Course Technology.
- Elmasri, R., & Navathe, S. (2016). Fundamentals of database systems (7ma ed.).
Addison-Wesley Publishing Company.

11