manejo de una base de datos

manejo de una base de datos

viernes, 10 de septiembre de 2010

SEGURIDAD

La información es uno de los activos más importantes de las entidades, y de moso especial en algunos sectores de actividad.

Es indudable que cada dia las entidades dependen de mayor medida de la información y de la tecnologia, y que los sistemas de información están más soportadas por la tecnologia,frente a la realidad de hace pocas décadas.

Por otra parte, hace unos años la protección era más facil,con arquitecturas centralizadas y terminales no inteligentes , pero hoy en día los entornos son realmente complejos, con diverdidad de plataformas y proliferación de redes, no sólo internas sino también externas, incluso con enlaces internacionales.

Entre las plataformas físicas (hardware) pueden estar: ordenadores grandes y medios ordenadores departamentales y personales, solos o formando parte de red, e incluso ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace mucho más dificil proteger los datos, especialmente porque los equipos tienen filosofias y sistemas operativos diferentes, incluso a veces siendo del mismo fabricante.

Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informatica, de seguridad de los sistemas de información o de seguridad de las tecnologias de la información.

En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad.

La confidencialidad: se cumple cuando solo las personas autorizadas (en su sentido amplio podriamos referirnos también a sistemas)pueden conocer los datos o la información correspondiante.

Podemos preguntarnos ¿qué ocurriria si un soporte magnetico con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿Cuál podria ser su uso final?¿habra una cadena de cesiones o ventas incontroladas de esos datos, que podría incluir datos como domicilios o perfil economico, o incluso datos médicos?¡y si alguien se hiciera con un disquete con lo que perciben los directivos de nuestra entidad?.

La integridad: consiste en que sólo las personas autorizadas puuedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoria.

Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla tuvieramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes.

Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarian viciadas (corruptas decimos a veces), lo que haria deficil la reconstrucción.

La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la información.

El disponer de la información después del momento necesario puede equivaler a al no disponibilidad. Otro tema es disponer de la información a tiempo pero que esta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.

Otro caso grave es la no disponibilidad absoluta. Por haberse producido algún desastre. En este caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco.

En relación con ello deben existir soluciones alternativas, basadas en medios propios o contratados, copias actualizadas de la información crítica y de programas en un lugar diferente, y un verdadero plan de continuidad que permitía restablecer las operaciones en un tiempo inferior o igual al prefijo.

Para ello los usuarios habrán determinado previamente la criticidad de las aplicaciones y el impacto en sus áreas por parte de un comité, se habrán determinado las prioridades.

En la preparación y actualización del plan debemos pensar en situaciones posibles y en el impacto que tendrían en nuestra entidad (en su caso en las de nuestros clientes), especialmente si no disponemos de la información necesaria almacenada en lugares alternativos.

La seguridad tiene varios estratos:

El marco jurídico adecuado.

Medidas técnico-administrativas, como la existencia de políticas y procedimientos, o la creación de funciones, como administración de la seguridad o auditoria de sistemas de información interna.

Ambas funciones han de ser independientes y nunca una misma persona podrá realizar las dos ni existir dependencia jerárquica de una función respecto a otra.

En cuanto a la administración de seguridad pueden existir, además, coordinadores en las diferentes áreas funcionales y geográficas de cada entidad, especialmente si la dispersión a la complejidad organizativa o el volumen de la entidad así lo demandan

En el caso de multinacionales o grupos de empresas nacionales no esta de más que exista coordinación a niveles superiores.

En todo caso, debe existir una definición de funciones y separación de tareas; no tiene sentido que una misma persona autorice una transacción, la introduzca, y revise después los resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir cualquier anomalía, por ello deben intervenir funciones personales diferentes y existir controles suficientes.

La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, el control físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras similares.

La llamada seguridad lógica, como el control de accesos a la información exigiendo la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados transmitidos por línea. (Puede haber cifrado de la información por dispositivos físicos o a trabes de programas, y en casos más críticos como la red SWFT existen los dos niveles).

La autenticación suele ser mediante contraseña, si bien seria más lógico, aunque los castores resultan aun altos para la mayoría de sistemas, que pudieran con características biométricas del usuario, para impedir la suplantación. Entre estas pueden estar la realización de la firma con reconocimiento automático por ordenador, el análisisdel fondo de ojo, la huella u otras.

BIBLIOGRAFIA: http://www.monografias.com/trabajos26/seguridad-base-datos/seguridad-base-datos2.shtml#segur

No hay comentarios:

Publicar un comentario