Amenazas a las Bases de Datos

Enviado por cesarhmarinp • 3 de Julio de 2017 • Informes • 1.896 Palabras (8 Páginas) • 202 Visitas

Página 1 de 8

1. Planteando el caso a estudio

Las bases de datos son el activo más importante de una empresa o negocio, almacenan registros de los clientes de la empresa y datos financieros confidenciales. Por lo tanto, constituyen uno de los objetivos más codiciados para los intrusos informáticos.

¿Por qué son tan vulnerables las bases de datos? Las empresas no invierten en la protección de éstas. Los piratas informáticos acceden a datos sensibles y pueden extraer valores, causar daños o afectar las operaciones comerciales causando pérdidas financieras.

En el año 2015, la OTA (Online Trust Alliance) menciona que más del 97% de estos ataques podrían haberse evitado si se aplicaban medidas simples, siguiendo “mejores prácticas” y controles internos.

La OTA menciona un top 10 de principales amenazas a las bases de datos:

Ranking Amenaza

• 1 Privilegios excesivos y privilegios no utilizados

• 2 Abuso de privilegios legítimos

• 3 Inyección SQL

• 4 Malware

• 5 Proceso de auditoría débil

• 6 Exposición de los medios de almacenamiento

• 7 Explotación de vulnerabilidades y bases de datos mal

• configuradas

• 8 Datos sensibles no administrados

• 9 Negación o denegación de servicios

• 10 Educación y experiencia limitada en seguridad

Propuesta de la actividad: Usted como representante de la organización, debe dar a conocer al menos dos de las amenazas que se muestran en la anterior tabla y sus posibles controles o la disminución de estos riesgos.

2. Solución

Para el caso se seleccionaron las amenazas Malware y Explotación de vulnerabilidades y bases de datos mal configuradas.

2.1. Malware

Malware es un término que se utiliza para describir software malintencionado que se ha diseñado para ocasionar daños o realizar acciones no deseadas en un sistema informático. Algunos ejemplos de malware incluyen lo siguiente:

• Virus

• Gusanos

• Caballos de Troya

• Spyware

• Software de seguridad Rogue

En la actualidad y dado que los antiguos llamados Virus informáticos ahora comparten funciones con sus otras familias, se denomina directamente a cualquier código malicioso (parásito/infección), directamente como un “Malware”.

Como ejemplo vivencial de malware se encuentra un caso práctico, refiriendo al malware Stuxnet, en el que las instalaciones para investigación y desarrollo de la energía nuclear de Irán, fueron infectadas con este código malicioso, desarrollado con capacidad de controlar las señales eléctricas de un sistema de centrifugadoras utilizadas en el proceso, haciendo que estas trabajaran en condiciones límite y le mostraran al operador humano señales de operación normal, consiguiendo de esta manera sabotear las instalaciones nucleares.

El uso de este tipo de herramientas se enmarca dentro de ataques más elaborados, ataques que pretenden tomar el control de los equipos de manera silenciosa ante los administradores. Su estrategia de propagación hace uso de métodos como mensajes al correo electrónico, enlaces a sitios web, software pirata, ingeniería social y memorias USB; medio utilizado para propagar a Stuxnet, infectando tanto los dispositivos móviles como los dispositivos de almacenamiento portable (por ejemplo memorias USB) del personal con acceso autorizado, por ejemplo los contratistas de dicha empresa de energía.

2.1.1. Para dar solución a éste tipo amenazas por Malware

Se deben mantener los equipos actualizados.

Implementar y mantener al día el uso de herramientas de eliminación de software malintencionado. Y realizar periódicamente un análisis completo del equipo en busca códigos maliciosos.

Evitar el uso de software pirata tanto en los equipos de los usuarios como en servidores.

Ser cuidados con el tipo de páginas visitadas y las descargas realizadas.

Mantener actualizados el motor de base de datos como el servidor donde ha sido instalada.

Hacer uso de herramientas firewall, tanto físicas como lógicas.

Restringir el acceso de la base de datos a la red externa, Internet, permitiendo solo acceso desde y hacia la red interna de la compañía, evitando conexiones indeseadas.

Evitar otorgar permisos de súper usuario o administrador de base de datos a los usuarios básicos.

2.1.2. Controles implementados para disminuir los riesgos ocasionados por un Malware:

Se debe adoptar un comportamiento seguro y precavido evitando descargar e instalar programas desconocidos.

No seguir enlaces provenientes de correos y mensajes para acceder a servicios bancarios, dude de cualquier email sospechoso que le pida restaurar sus datos de acceso sin que se lo haya solicitado.

Es importante, también, que mantenga protegido el sistema con soluciones de seguridad como: cortafuegos, filtros anti spam, VPN etc.

Debe ser prioritario y mandatorio mantener actualizado el sistema operativo garantizando que se apliquen los parches a las vulnerabilidades del sistema y el software de gestión de base de datos.

2.2. Explotación

...

Descargar como (para miembros actualizados) txt (10.8 Kb) pdf (132.1 Kb) docx (15.9 Kb)

Leer 7 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Base Datos
Una base de datos o banco de datos es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso

2 Páginas • 2885 Visualizaciones
Herrmaientas De Una Base Datos
HERRAMIENTAS PARA LA ADMINISTRACIÓN DE UNA BASE DE DATOS Herramienta de recuperación de una base de datos La herramienta de administración de recuperación de la

8 Páginas • 1805 Visualizaciones
TC1 Base Datos
Actividad Teórica 1. Conteste las siguientes preguntas: a. ¿Cuáles son las cuatro principales diferencias entre un sistema de procesamiento de archivos y un SGDB? DIFERENCIA

10 Páginas • 1512 Visualizaciones
BASE DATOS
JAIR**PRODUCTOS > REGISTRAR > EN DESCRIPCION DEBE PERMITIR INGRESAR CARACTERES NUMERICOS JAIR**PRODUCTOS > REGISTRAR > AL GUARDAR Y EDITAR LOS DATOS ERROR EN BD: La

19 Páginas • 1573 Visualizaciones
Base De Base Datos
Diseño Conceptual de una Base de Datos Es un conjunto de actividades que resultan en un esquema conceptual de alto nivel de una base de

43 Páginas • 1530 Visualizaciones
BASE DATOS
CONTENIDO Un sistema numérico es un modo sistemático de representación de números con caracteres simbólicos que utiliza un valor base para agrupar de una manera

3 Páginas • 1274 Visualizaciones
Base Datos
Estadística y estadísticas Todos hemos oído aplicar la palabra estadísticas para designar cuadros numéricos que contienen datos cuantitativos en las secciones financieras de los periódicos,

5 Páginas • 1249 Visualizaciones
Bases Datos 4
Integridad referencial en MySQL * Claves foráneas e integridad referencial Claves foráneas e integridad referencial Podemos decir de manera simple que integridad referencial significa que

15 Páginas • 1302 Visualizaciones
Base Datos
mantener dichas operaciones dentro de su infraestructura corporativa. A fines de 2005, FonelCorp se vio obligada a reexaminar las condiciones de trabajo de la infraestructura

3 Páginas • 1003 Visualizaciones
Base Datos
DISEÑO DE BASES DE DATOS RELACIONALES Esto estudia los problemas del diseño de las bases de datos relacionales. Este diseño genera un conjunto de esquemas

1 Páginas • 898 Visualizaciones