GESTIÓN DE RIESGOS EN SISTEMA DE BASE DE DATOS

Facilitador: Ricardo Soriano AlmonteFacilitador: Ricardo Soriano Almonte

SEGURIDAD DE LA INFORMACIÓN

Es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad , la disponibilidad e integridad de la misma.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. 

SEGURIDAD DE LA INFORMACIÓNCARACTERÍSTICAS A CUMPLIR:

Confidencialidad: Se garantiza que la información se accesible solo a aquellas personas autorizadas a tener acceso a ella.

Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados.

SEGURIDAD DE LA INFORMACIÓN

 Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo.

REQUERIMIENTOS DE SEGURIDAD La gerencia de TIC, debe identificar sus requerimientos de seguridad, para ello cuenta con tres insumos.

Evaluación de riesgos. Requisitos legales. Requisitos para el procesamiento de la información

Evaluación de

Riesgos

Proceso, en que se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y además se estima el impacto potencial de una falla de seguridad.

Permite establecer las prioridades para la administración de riesgos logrando de esta forma la identificación, evaluación, selección y ejecución de medidas para tratar los riesgos.

RIESGOS Y FACTORES DE RIESGOProcesamiento: Procesamiento: los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles detectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocios.

8-12

RIESGOS Y FACTORES DE RIESGOProcesamiento de errores: Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y procesados con exactitud completamente.

Interface> Interface> Los riegos se relacionan con controles preventivos y detectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones. (Retroalimentacion)

8-12

RIESGOS Y FACTORES DE RIESGO

Administración de cambios> Administración de cambios> Pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Esto riesgos están asociados con la administración inadecuada de procesos de cambios organizaciones que incluyen: compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlo.

8-12

RIESGOS Y FACTORES DE RIESGO

Información> Información> Considerado como parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructura de datos. La integridad puede perderse: Cuando los contenidos se modifican con sentencias INSERT, DELETE o UPDATE.(Logitud especifica)

8-12

RIESGOS Y FACTORES DE RIESGO

Pueden añadirse datos no válidos a la base de datos, tales como un pedido que especifica un producto no existente.

Pueden modificarse datos existentes tomando un valor incorrecto, como por ejemplo si se reasigna un vendedor a una oficina no existente.

Los cambios en la base de datos pueden perderse debido a un error del sistema o a un fallo en el suministro de energía.

8-12

TIPOS DE RESTRICCIONES DE INTEGRIDAD

Datos Requeridos: Establece que una columna tenga un valor no NULL.Chequeo de Validez: Cuando se crea una tabla cada columna tiene un tipo de datos.Integridad de entidad:  Establece que la clave primaria de una tabla debe tener un valor único para cada Fila de la tabla.Integridad referencial: Asegura la integridad entre las llaves foráneas y primarias. 

SELECCIÓN E IMPLEMENTACIÓN DE CONTROLES

Una vez identificados los requerimientos de seguridad y los factores de riesgos se deben seleccionar e implementarse controles para garantizar que los riesgos sean reducidos a un nivel aceptable.

Los controles deben seleccionarse teniendo en cuenta el costo de

implementación en relación con los riesgos a reducir.

LA METODOLOGÍA DE GESTIÓN DE RIESGOS DE LA BD CONSISTE EN:

IdentificarAnalizarEvaluarAdministrarLa estructura de riesgos del SGBD

LA METODOLOGÍALa aplicacion de la metodología, requiere:

1- La documentacion de los procesos que se ejecutan sobre el sistema gestor de base de datos.

2- Identificar factores de riesgos en estos procesos.

3- Determinar los controles o ausencia de controles actuales.

4-Establecer la relaciones de impacto.

LA METODOLOGÍARelacion de impacto, Es un valor porcentual estimado, que indica

el peso o impacto entre dos entidades.

Puede considerarse una medida de la materialización del riesgo como consecuencia de una omisión, falla parcial o completa de un proceso.

LA METODOLOGÍALas relaciones de impacto se identifican entre

Objetivo Riesgo

LA METODOLOGÍALas relaciones de impacto se identifican entre

Objetivo

IntegridadConfidencialida

dDisponibilidad

SGBD

LA METODOLOGÍARevision / Informe / Divulgacion Debe realizarse evaluaciones periodicas de

la efectividad de los controles implementados, la revision consiste en verificar la aplicacion, documentacion y evidencia.

ESTRUCTURA DE RIESGOS

PROCESOS COMUNES EN SGBD

CONTROLES DE PROCESOS

VARIABLES

MONITOREO DE VULNERABILIDADES DE BD

CONCLUSIÓNES Autoevaluación interna del área de tecnologías de información Mejoramiento del control interno en tecnologías de información Mejoramiento de los procesos y controles Documentación de procesos Identificación de factores de riesgo Administración de riesgos Aplicación de la metodología en otras áreas de tecnologías de

información Cumplimiento de regulaciones Facilidad para la revisión y gestión

REFERENCIAS https://www.google.com.do/webhp?sourceid=chrome-instant&ion=1&es

pv=2&ie=UTF-8#q=seleccion+controles+base+de+datos&start=10 http://es.slideshare.net/UNEG-AS/tema-4-13412357 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n