Cuadro CheCHECK LIST ORACLEcklist

8/10/2019 Cuadro CheCHECK LIST ORACLEcklist

1/90

VICERRECTORADO DE INVESTIGACIN Y VINCULACINCON LA COLECTIVIDAD

MAESTRIA EN EVALUACIN Y AUDITORA DE SISTEMASTECNOLGICOS

II PROMOCIN

TESIS DE GRADO DE MAESTRIA EN EVALUACIN Y AUDITORA DESISTEMAS TECNOLGICOS

TEMA: ANLISIS DE SEGURIDAD EN BASE DE DATOS: APLICACINORACLE VERSIN 11G

AUTOR: GUILLERMO CIFUENTES GARZN

DIRECTOR: ING. NANCY VELSQUEZ

SANGOLQU, ENERO DEL 2014


2/90

ii

CERTIFICADO DE AUTENTICIDAD

Certifico que la presente tesis de grado fue realizado en su totalidad por el Sr.Guillermo Cifuentes Garzn, previa la obtencin del ttulo Magister en Evaluacin yauditoria de sistemas Informticos, dando cumplimientos a las disposiciones legalesy reglamentarias del Departamento de Postgrados de la Universidad de las FuerzasArmadas.

Sangolqu Enero 2014

________________________

Ing. Nancy Velsquez


3/90

iii

DECLARACIN DE RESPONSABILIDAD

Yo, Guillermo

Cifuentes Garzn

DECLARO QUE:

El proyecto de grado denominado: Anlisis de seguridad en base de

datos: Aplicacin Oracle versin 11g, ha sido desarrollado en base a una

investigacin exhaustiva, respetando derechos intelectuales de terceros y cuyas

fuentes se incorporan en la bibliografa; consecuentemente este trabajo es de mi

autora. En virtud de esta declaracin, me responsabilizo del contenido,

veracidad y alcance cientfico del proyecto de grado en mencin.

Sangolqu, Enero 2014

Ing. Guillermo Cifuentes


4/90

iv

AUTORIZACIN DE PUBLICACIN

Yo, Guillermo Cifuentes Garzn

Autorizo a la Universidad de las Fuerzas Armadas la publicacin, en

la biblioteca

virtual de la Institucin del trabajo Anlisis de seguridad en

base de datos: Aplicacin Oracle versin 11g, cuyo contenido, ideas y

criterios son de mi exclusiva responsabilidad y autora.

Sangolqu, Enero del 2014

Ing. Guillermo Cifuentes


5/90

v

AGRADECIMIENTO

Principalmente a Dios por otorgarme la

sabidura y la salud para la culminacin de este

trabajo y sobre todo por haber tenido la

oportunidad de intercambiar ideas con mi tutora

y compaeros de la maestra.

Gracias a mi familia que me apoyaron de

muchas formas y en especial a mi novia y su

especial colaboracin durante el desarrollo de

este trabajo.


6/90

vi

DEDICATORIA

Dedico esta Tesis a mis Padres y mi

familia, porque sin ellos no hubiera llegado tan

lejos en la vida. Tambin dedico esta Tesis a una

persona muy especial que estuvo conmigoincondicionalmente y me ayud bastante para

lograr el objetivo; a la Dra. Sandy Guano.


7/90

vii

NDICE GENERAL

CERTIFICADO DE AUTENTICIDAD ..............................................................................................ii

DECLARACIN DE RESPONSABILIDAD ...................................................................................... iii

AUTORIZACIN DE PUBLICACIN ............................................................................................ iv

AGRADECIMIENTO ....................................................................................................................v

DEDICATORIA ........................................................................................................................... vi

NDICE GENERAL............................................................................................................... vii

NDICE DE TABLAS .................................................................................................................... ix

NDICE DE FIGURAS ................................................................................................................... x

RESUMEN ................................................................................................................................. xi

ABSTRACT ................................................................................................................................ xii

CAPTULO I ............................................................................................................................... 1

Anlisis de seguridad en base de datos: Aplicacin Oracle versin 11g............................. 1

1.1. Justificacin e Importancia:..................................................................................... 3

1.2. Planteamiento del problema: .................................................................................. 4

1.3. Formulacin del problema: ...................................................................................... 4

1.4. Hiptesis: ................................................................................................................. 5

1.5. Objetivo general:...................................................................................................... 5

1.6. Objetivos especficos: .............................................................................................. 5

CAPTULO II .............................................................................................................................. 6

2.1. Marco terico ........................................................................................................... 6

2.1.1. Antecedentes del estado del arte .................................................................... 6

2.1.2. Seguridad ....................................................................................................... 10

2.1.3. Herramientas para comprobar seguridad en Base de Datos Oracle ............. 43

2.1.4. Seguridad en Oracle ....................................................................................... 44

CAPTULO III ........................................................................................................................... 53


8/90

viii

3.1. Introduccin: .......................................................................................................... 53

3.2. Evaluacin de Resultados y discusin .................................................................... 54

3.2.1. Definir la configuracin de seguridad de la base de datos ............................ 543.2.2. Secciones o clasificaciones de Seguridad ....................................................... 56

3.2.3. Estructura del Checklist (lista de verficacin) ............................................... 58

3.2.4. Niveles de seguridad y su aplicacin en el mercado ...................................... 60

3.2.5. Evaluacin de resultados del checklist y discusin ........................................ 67

3.2.6 Evaluacin de resultados en el laboratorio .......................................................... 71

CAPTULO IV ........................................................................................................................... 75

4.1 Conclusiones y Recomendaciones ......................................................................... 75

4.1.1 Conclusiones ......................................................................................................... 75

4.1.2 Recomendaciones ................................................................................................. 76

REFERENCIAS BIBLIOGRAFICAS .............................................................................................. 77

Bibliografa ............................................................................................................................. 77


9/90

ix

NDICE DE TABLAS

Tab. 1 - Lista de normas aprobadas y vigentes en el Ecuador.................................... 21

Tab. 2 Tabla de Gartner manejadores de Base de Datos......................................... 37

Tab. 3 - Oracle Database Vault (DBV) y Regulaciones................................................ 47Tab. 4 Tabla caractersticas del nivel bajo................................................................... 61

Tab. 5 Tabla de caractersticas del nivel medio .......................................................... 63Tab. 6 Tabla de caracteristicas del nivel alto .............................................................. 65Tab. 7 Check list seguridades en Oracle......................................................................... 67


10/90

x

NDICE DE FIGURAS

Fig. 1 Pirmide Seguridad de la Informacin................................................................ 9

Fig. 2 Familias ISO evolucin......................................................................................... 13Fig. 3 Familia ISO 27000................................................................................................ 14

Fig. 4 Pirmide de dominios........................................................................................... 23

Fig. 5 Modelo PDCA para un SGSI............................................................................... 24Fig. 6 - Resumen Tenable Nessus................................................................................... 31

Fig. 7 Nexpose Enterprise.............................................................................................. 31

Fig. 8 Web Saint............................................................................................................... 32Fig. 9 Evolucin de la seguridad en BDD Oracle........................................................... 34

Fig. 10 Database Magnament System Magic Cuadrant............................................ 36

Fig. 11 Seguridad Oracle................................................................................................ 44Fig. 12 Database/Firewall............................................................................................... 46

Fig. 13 Database Vault lgica interna.............................................................................. 48Fig. 14 Esquema de Seguridad Firewall & Audit Vault .............................................. 49

Fig. 15 Advance Security................................................................................................ 49

Fig. 16 Oracle Label Security......................................................................................... 50

Fig. 17 Oracle Data Masking.......................................................................................... 51

Fig. 18 Ciclo de seguridad y proteccin de Database Security................................ 52


11/90

xi

RESUMEN

El presente proyecto, comprende el anlisis de seguridades y estndares vigentes en

base de datos, para luego centralizar el estudio en las seguridades de la base de datos

Oracle 11g. El documento est dividido en cuatro captulos. En el Captulo 1, se

describe una pequea introduccin, en este captulo se definen el alcance a travs de

los objetivos y la hiptesis, tambin se plantea la problemtica y la importancia del

proyecto. En el Captulo 2, se describe el marco terico con toda la informacin

referente al proyecto y la teora analizada. El Captulo 3, se realiza el anlisis de

seguridad y el resultado del mismo que puede ser aplicado en las bases de datos

Oracle 11g.El Captulo 4, consta de las conclusiones y recomendaciones, resultado

de las lecciones aprendidas en el proceso de desarrollo del proyecto.

PALABRAS CLAVE

Seguridad

Base de datosConfidencialidad

Integridad

Oracle


12/90

xii

ABSTRACT

Information is an asset of organizations , it allows timely decision making at the

management level and therefore a high level of competitiveness in the

Business.Information tecnologies are determinant factor on information management

in Organizations whose has tecnology automatization dependency, therefore the

information is stored in databses and their security is important. Data security has

taken a leading place in the management information Technology ( IT ) , and has

become an essential element of any business strategy to achieve important goals in

the short, medium and long term in order to protect and secure the information ,

considering the properties that are the availability , integrity and confidentiality.

KEYWORDS

Scurity

Database

Confidenciality

Integrity

Oracle


13/90

1

CAPTULO I

1.

Anlisis de seguridad en base de datos: Aplicacin Oracle versin 11g

La informacin es un activo de las organizaciones, permite la toma de

decisiones oportunas a nivel gerencial y por consiguiente un alto nivel de

competitividad dentro del mercado.

Las tecnologas de la informacin constituyen otro factor determinante para el

manejo de la informacin en las empresas, cuyo mayor o menor grado de

automatizacin genera el nivel de dependencia de la organizacin con la tecnologa,siendo las bases de datos el medio en el cual se almacena y gestiona la informacin.

La Seguridad de la Informacin ha tomado un lugar determinante en la

gestin de la Tecnologa de la Informacin (TI), y se ha convertido en un elemento

fundamental para toda estrategia empresarial con miras a lograr metas importantes a

corto, mediano y largo plazo con el objetivo de proteger la informacin, manteniendo

su disponibilidad, integridad y confidencialidad.

En este entorno, la base de datos Oracle es una de las herramientas

tecnolgicas utilizada principalmente por empresas grandes para el manejo de la


14/90

2

informacin, desde la versin 9i ya incluye aspectos de seguridad como: Label

security (Oracle, 2007)y Fine grained Auditing.

La versin 10 incluy mejoras en varios aspectos de seguridad e incluy

nuevos conceptos como: Client identity Propagation, Secure configuration scanning,

entre otros. Con el paso del tiempo la importancia de la seguridad fue creciendo, por

lo que la versin 11g de Oracle comprende: Data Base Vault, Audit Vault, tambin

se protege el flujo de informacin con Data Masking as como tambin con Data

Encryption. Esta versin tambin tiene un complemento de seguridad que

implementa una barrera de firewall propio de Oracle. A pesar de contar con todos

estos complementos de seguridad, no define niveles de seguridad para la informacin

almacenada en la base de datos.

El presente proyecto busca definir configuraciones por niveles de seguridad

de acuerdo a los estndares y mejores prcticas, con la cual se podr evidenciar que

al aplicarlos se reducen los riesgos de seguridad de la informacin almacenada en la

base de datos. La Tesis es una gua para los administradores de Base de Datos que

requieran implementar niveles de seguridad en Oracle11g.


15/90

3

1.1.Justificacin e Importancia:

La implementacin de seguridad de la informacin a nivel mundial ha crecido

exponencialmente; en nuestro pas en los ltimos aos se ha reconocido la

importancia de incorporarla a empresas tanto pblicas como privadas. Cada vez ms,

los procesos empresariales se ven estrechamente ligados a procesos informticos

automatizados. La dependencia que existe de las organizaciones y la tecnologa de la

informacin hace crtica la inversin en seguridad.

Las empresas han encaminado sus esfuerzos en materia de seguridad

contratando asesora y/o consultora especializada, o de manera puntual como

respuesta a incidentes de seguridad y tambin incorporando creando reas de

seguridad de la informacin e incorporando personal; a pesar de esto, an no se

implementa formalmente la seguridad de las bases de datos en la mayora de las

empresas. En los planes estratgicos de TI se determina como prioritario la

seguridad de la informacin contenida en las bases de datos. Considerando que la

base de datos contiene informacin de vital importancia, es primordial planificar e

implementar seguridades en los datos de la empresa.

Con este antecedente se evidencia la importancia de disponer de una

configuracin para la seguridad de la base datos, que establezca los parmetros a

configurar para lograr un nivel de seguridad ptimo, fundamentado por medio de la

implementacin de controles adecuados de seguridad en la base de datos que no


16/90

4

interfieran con la funcionalidad. Cabe resaltar que un factor de xito para

implementar seguridad es el balance con la funcionalidad.

1.2.Planteamiento del problema:

La seguridad de la informacin debe ser proactiva, se debe determinar el

nivel de riesgos e implementar controles para minimizar el impacto, previniendo y

anticipndose.

Actualmente los administradores de la base de datos configuran sus bases de

datos pensando en la funcionalidad pero no en la seguridad, incorporan sus

conocimientos, experiencia y las recomendaciones de los organismos de control,

pero no disponen de una gua adecuada para configurar las bases de datos con un

enfoque de seguridad, sobre todo que no afecte a la funcionalidad.

1.3.Formulacin del problema:

La falta de una configuracin de seguridad de la base de datos, representa un

riesgo de alto impacto para las organizaciones, considerando que en la base de datos

se concentra y almacena lo ms valioso y muchas veces invaluable, la informacin

de la organizacin y de los procesos denominados core del negocio. No disponer

de controles de seguridad de la informacin significa un alto riesgo de perder la

confidencialidad, integridad y disponibilidad de la informacin.


17/90

5

1.4.Hiptesis:

Al configurar ciertos parmetros de la base de datos Oracle 11g de manera

segura sin afectar de manera significativa la funcionalidad se puede mejorar la

confidencialidad, disponibilidad e integridad de la informacin almacenada en la

base de datos.

1.5.Objetivo general:

Establecer la configuracin de seguridad para la base de datos Oracle 11g,

para mejorar la seguridad de la base de datos.

1.6.Objetivos especficos:

- Analizar y aplicar los estndares, buenas prcticas y normas en el mbito de

la seguridad de base de datos.

- Determinar las caractersticas de seguridad de la base de datos Oracle 11g.

- Determinar la configuracin de seguridad de la base de datos Oracle 11g sin

afectar la funcionalidad


18/90

6

CAPTULO II

2.

2.1.Marco terico

2.1.1. Antecedentes del estado del arte

Cada entorno informatizado es diferente, la funcionalidad y caractersticas

tcnicas de los componentes cambian segn el fabricante, manejan distintos tipos de

informacin y por ende, es distinta la forma en que se tratan los datos, por lo que las

especificaciones de seguridad asociadas a cada uno vara notablemente, dependiendo

de la tecnologa utilizada a nivel de plataforma, software base y dispositivos fsicos.

La informacin es un activo vital para el xito y la continuidad en el mercado

de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas

que la procesan es, por tanto, un objetivo de primer nivel para la organizacin.

Es necesario implantar un sistema que aborde esta tarea de una forma

metdica, documentada y basada en objetivos claros de seguridad y una evaluacin

de los riesgos a los que est sometida la informacin de la organizacin.

Hoy en da la amenaza ms comn en los ambientes informatizados se centra

en la eliminacin o disminucin de la disponibilidad de los recursos y servicios que


19/90

7

utiliza el usuario, que se materializan por medio de los incidentes de seguridad. Los

incidentes de seguridad son sucesos que no deberan ocurrir, la mayora son

inesperados, aunque en muchos casos se pueden prevenir.

Dentro de los incidentes ms comunes segn el estudio anual de CERT1

tenemos:

- Acceso no autorizado a la informacin;

- Descubrimiento de informacin;

- Modificacin no autorizada de datos;

- Invasin a la privacidad

- Denegacin de servicios

Las bases de datos (BD) son entidades en las cuales se pueden almacenar

datos de manera estructurada, con la menor redundancia posible.

2.1.1.1. Seguridad informtica y seguridad de la informacin

La seguridad informtica, es el rea de la informtica que se enfoca en la

proteccin de la infraestructura computacional y todo lo relacionado con sta;

incluyendo la informacin contenida. Para ello, existen una serie de estndares,

protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los

1

(Cert, 2013)


20/90

8

posibles riesgos a la infraestructura o a la informacin. (Jos Manuel Acosta, 2010,

Universidad Tecnolgica del sur de Sonora)

La seguridad informtica comprende controles para aplicaciones, software,

bases de datos, metadatos, archivos, que conforman la infraestructura informtica.

Toda organizacin tiene su propia infraestructura, y todo lo que la organizacin

valore se denomina activo y significa un riesgo si llegara a manos de otras personas,

debe estar resguardada y se deben tomar medidas de proteccin. La prdida de

informacin puede ocasionar un perjuicio no solo econmico sino tambin afectar a

la organizacin en el desarrollo, en el crecimiento y en la imagen.

La Seguridad de la Informacin tiene como fin la proteccin de la

informacin y de los sistemas de la informacin del acceso, uso, divulgacin,

interrupcin o destruccin no autorizada. (Asociacin Espaola Para la Calidad,

2013). La seguridad de la informacin es la preservacin de:

1. Confidencialidad: asegurar que la informacin es accesible solo para

aquellos autorizados de tener acceso.

2. Integridad:garanta de la exactitud y completitud de la informacin y de

sus mtodos de procesamiento.

3. Disponibilidad: asegurar que los usuarios autorizados tienen acceso

cuando lo requieran a la informacin y a sus activos asociados.


21/90

9

Fig. 1 Pirmide Seguridad de la Informacin

El concepto deseguridad de la informacinno debe ser confundido con el de

seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio

informtico, pero la informacin puede encontrarse en diferentes medios o formas, y

no solo en medios informticos. La seguridad informtica es la disciplina que se

ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a

conseguir un sistema de informacin seguro y confiable. (Slideshare, Normas de

seguridad Informtica, Septiembre 2012)

Para el hombre como individuo, la seguridad de la informacin tiene un

efecto significativo respecto a su privacidad, la que puede cobrar distintas

dimensiones dependiendo de su cultura.


22/90

10

El campo de la seguridad de la informacin ha crecido y evolucionado

considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una

carrera acreditada a nivel mundial. Este campo ofrece muchas reas de

especializacin, como son el desarrollo de Sistemas de Gestin de Seguridad de la

Informacin (SGSI), auditora de SGSI, planificacin de la continuidad del negocio,

e incluye:

- Seguridad en sistemas operativos

- Seguridad en redes

- Seguridad en base de datos

- Seguridad en internet

- Seguridad en desarrollo de aplicaciones

2.1.2. Seguridad

El objetivo principal de la seguridad en la base de datos es proteger la

informacin almacenada para mantener la integridad, confidencialidad y

disponibilidad sin afectar la funcionalidad, mediante la implementacin de controles.

Hoy en da cuando los ataques evolucionan y las empresas tienen que

salvaguardar los datos que son la clave de sus actividades, es cuando se est dando la

debida importancia a la seguridad de la base de datos, como tal, muy aparte de las


23/90

11

otras capas de seguridad que se hayan implementado en las organizaciones. Siendo

as, la seguridad de la base de datos es la ltima barrera de defensa ante intrusiones.

En la seguridad de base de datos existen varios aspectos a considerarlos

cuales se describen a continuacin.

- Fsicas:controlar el acceso al equipo.

- Control de acceso:acceso slo del personal autorizado, perfiles de usuario y

restricciones de uso de vistas.

- Auditoria:configuracin de archivos histricos, pistas de auditora, control

de las operaciones crticas efectuadas en cada sesin de trabajo por cada

usuario, etc.

- Personal:proteccin frente a manipulacin por parte del administrador.

- Identificar y autorizar a los usuarios:uso de cdigos de acceso y palabras

claves, exmenes, impresiones digitales, reconocimiento de voz, barrido de la

retina, etc.

- Calendarizacin: usar derechos de acceso dados de acuerdo con un plan

establecido por la operacin que puede realizar o por la hora del da.

- Tcnicas de cifrado:para proteger claves, datos en base de datos distribuidas

o con acceso por red o internet.


24/90

12

- Cuentas privilegiadas:en especial del administrador de la base de datos con

permisos para: creacin de cuentas, concesin y revocacin de privilegios y

asignacin de los niveles de seguridad.

- Discrecional: se usa para otorgar y revocar privilegios a los usuarios a

nivel de archivos, registros o campos en un modo determinado (consulta o

modificacin).

- Obligatoria: sirve para imponer seguridad de varios niveles tanto para los

usuarios como para los datos. (Annimo, Monografas 2013)

2.1.2.1. Normas de seguridad de la informacin

La Organizacin Internacional para la Estandarizacin (ISO) y la Comisin

Electrotcnica Internacional (IEC) han desarrollado una serie de normas

internacionales de amplsima difusin a nivel mundial en el mbito de seguridad de

la informacin es la Norma ISO/IEC 27000. Desde el 2005 la ISO ha venido

mejorando y reuniendo ms estndares, los cuales son reconocidos a nivel mundial.

En el siguiente grafico se evidencia el historial y las publicaciones ms destacadas de

esta gran familia de la ISO 27000.


25/90

13

Fig. 2 Familias ISO evolucin

Como se puede apreciar en el grafico anterior, ISO ha tenido una evolucin

notoria de normas implantadas a nivel mundial, donde se destacan anualmente

diferentes versiones y sub familias que son utilizadas por una amplia gama de

usuarios.


26/90

14

Se puede notar que del ao 2012 en adelante la ISO ha aumentado su nmero

de ediciones, que de acuerdo a la demanda de nuevas normas en el mundo han ido

adaptndose a las necesidades de normalizacin.

La norma internacional ISO/IEC 27000 se denomina familia, la misma que

agrupa a las siguientes normas:

Fig. 3 Famil ia ISO 27000

- ISO 27000: sistema de gestin de seguridad de la informacin- descripcin

general y vocabulario

- ISO 27001: sistema de gestin de seguridad de la informacin - requisitos


27/90


28/90

16

- British Standards Institute -BS

- Sarbanes Oxley - SOX

- Acuerdo de Basilea -Basilea II

- Health Insurance Portability and Accountability Act -HIPAA

- Payment Card Industry Standard -PCI

ISO.- Organizacin internacional de normalizacin, esta organizacin

propone ciertos estndares en diferentes reas, para la parte de seguridad

existe la familia ISO/IEC27000.

COBIT.- Es un conjunto de normas y objetivos de control relacionados con la

tecnologa de informacin, entre los objetivos de control existe la parte de

seguridad de la informacin y dentro de estos el relacionado con la base de

datos.

BS.-Son estndares fijados para la parte europea Britnica, estas normas son

compatibles con la ISO/IEC.

Sarbanes Oxley (SOX).-Conjunto de regulaciones creadas para instituciones

que cotizan en la bolsa. Fue creada luego de algunos escndalos corporativos

y actualmente es aplicada por la mayora de empresas en Estados Unidos.
https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&ved=0CEcQFjAC&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FHealth_Insurance_Portability_and_Accountability_Act&ei=Se0zUoD3F4Su9AThxoGAAw&usg=AFQjCNF6zO26Ik209g1lN-cn-e80E2yZAQ&sig2=oNovdUi0XE5tWnyYbCJsmAhttps://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&ved=0CEcQFjAC&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FHealth_Insurance_Portability_and_Accountability_Act&ei=Se0zUoD3F4Su9AThxoGAAw&usg=AFQjCNF6zO26Ik209g1lN-cn-e80E2yZAQ&sig2=oNovdUi0XE5tWnyYbCJsmA


29/90

17

Basilea II.-Consiste en recomendaciones sobre la legislacin y regulacin

bancaria, para prevenir riesgos operativos financieros.

HIPAA.- Regla de Privacidad, de acuerdo con la Ley de Portabilidad y

Contabilidad de Seguros de Salud, es una ley que protege la informacin de

salud de los individuos.

PCI.-Es un estndar que recoge requisitos y normas de seguridad que deben

seguir todas las compaas que trabajen con tarjetas de crdito.

BDSG.-Es la directiva 2002/58/EC del parlamento Europeo y concierne al

procesamiento de informacin personal y proteccin de la privacidad en el

sector de las comunicaciones electronicas. (Directive on privacy and

electronic communications)

Las opciones de seguridad de la base de datos Oracle, dan cumplimiento a un

amplio rango de regulaciones y normativas entre las que se destacan las siguientes:


30/90

18

CARACTERISTICAS Y CUMPLIMIENTOS REGULATORIOS DE ORACLE

(SOX, HIPAA, BDSG, EUROPEAN DIRECTIVE 2002/58/EC)

Component/Requeriment

OracleDB

VirtualPrivateDatabase

OracleLabelSecurity

OracleDatabaseVault

OracleAdvanceSecurity

OracleRecoveryManagmentSecure-Backup

OracleAuditVault

DataGuard

Content DB

Oracleidentifymanagement

OracleRealAplicationClusters

Oracle AS

Partitioning

EMconfiguratonmanagement

ASM

Regulation andSection

1 Data

clasification

X X X X X X SOX sec. 302,

404 DirectiveArt. 7, FDPA,9,14,19. HIPAA162, 308

2 Dataretention

X X X X SOX sec. 103;FDPA 6to, 10,36 DirectiveArt.8

3 Data Backup X X X HIPAA 184 310, HIPAA 164300, SOX sec.409; FDPA 9

4 Recovery X X X HIPAA 164 308

5 Integrity X X X X X X HIPAA 164 312SOX sec 109,303, 404 FDPA9,11,14,20,95

6 Encription X X X X HIPAA 164 312HIPAA 184 312SOX sec 302,404 . FDPA 9

7 Identification X X X HIPAA 164 312

SOX sec 302,404 DirectiveArt. 6,7,9. FDPA9

8 Autentication X X X X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 6,7,9. FDPA9

CONTIN A....


31/90

19

9 Autorization X X X X SOX 302, 404Directive Art.7,9. FDPA5,9,14

10

Accesscontrol

X X X X X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 6,7,9. FDPA9

11

Fine-grainedaccesscontrol

X X X HIPAA 164 312SOX sec 302,404.

12

User accountmanagment& review ofprivileges

X X X X HIPAA 164 302

13

Passwordmanagment

X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 6,7,9. FDPA14

14

Last privilegeprinciple

X X X X SOX sec 302,404Directive Art.6,7,9. FDPA 14

15

Segregationof duties

X X HIPAA 164 312HIPAA 184 312Directive Art. 9SOX sec 302,404 . FDPA 4g,

11, 42

CONTIN A....


32/90

20

16

Monitoringfor violation& securityactivity report(fine grainedauditing)

X X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 9. FDPA9,15

17

Securecomunication

X X HIPAA 164 312SOX sec 302,404 DirectiveArt. 9. FDPA9,15

18 Audit trails X X X X HIPAA 164 312SOX sec 302,404 FDPA8,11,14,15,,30,35

19

Availability X X X X X HIPAA 164 312SOX sec 404FDPA 14, 36

20

Operationlogs

X X X SOX sec. 103,302, 404;FDPA 9,20,35

Tab. 1 Regulaciones de Oracle


33/90

21

2.1.2.3. Normas en Ecuador

En el Ecuador el Instituto Ecuatoriano de Normalizacin (INEN) es eje

principal del Sistema Ecuatoriano de la Calidad en el pas, competente en

Normalizacin, Reglamentacin Tcnica y Metrologa, que contribuye a garantizar el

cumplimiento de los derechos ciudadanos relacionados con la seguridad; la

proteccin de la vida y la salud humana, animal y vegetal; la preservacin del medio

ambiente; la proteccin del consumidor y la promocin de la cultura de la calidad y

el mejoramiento de la productividad y competitividad en la sociedad ecuatoriana.

(INENwww.inen.gob.ec)

Actualmente, INEN tiene aprobadas en el Ecuador varias normas y estndares

relacionados con la tecnologa, dentro de estos estn controles importantes para la

seguridad de la base de datos. A continuacin se muestra el listado oficial aprobado

por el gobierno de las normas ISO adoptadas en el pas.

Tab. 1 - Lista de normas aprobadas y vigentes en el Ecuador

No. CODIGO TITULO A O PROCESOTI

1 NTE INEN ISO/IEC27000

Tecnologas de la Informacin -Tcnicas de seguridad -Sistema de gestin de seguridad de lainformacin Descripcin general yvocabulario

2011 SEGURIDAD

CONTINA....

2NTE INEN

ISO/IEC27001

Tecnologas de la Informacin.Tcnicas de Seguridad.Sistemas de Gestin de la Seguridad de laInformacin.Requisitos

2010

2NTEINEN: Norma Tcnica del instituto Ecuatoriano de Normalizacin.
http://www.inen.gob.ec/http://www.inen.gob.ec/http://www.inen.gob.ec/http://www.inen.gob.ec/


34/90

22

3NTE INEN

ISO/IEC27002

Tecnologas de la Informacin.

Tcnica de Seguridad.Cdigo dePrctica para la Gestin de la

Seguridad de la Informacin

2009

4 NTE INENISO/IEC27003

Tecnologa de la Informacin -

Tcnicas de seguridad Gestin del

riesgo en la seguridad de laInformacin

2011

5NTE INEN

ISO/IEC27004

Tecnologa de la Informacin Tcnicas de Seguridad Gestin dela Seguridad de la Informacin -Medicin

2011

6NTE INEN

ISO/IEC27005

Tecnologas de la Informacin Tcnicas de seguridad -Gestin del

riesgo en la seguridad de laInformacin

2011

7 NTE INENISO/IEC27006

Tecnologas de la Informacin -

Tcnicas de Seguridad Requisitos

para Organizaciones que Proveen

Auditora yCertificacin de Sistemas

de Gestin de la Seguridad de la

Informacin

2011

8NTE INEN

ISO/IEC27799

Informtica para la Salud. Gestin dela Seguridad de laInformacin parala Salud utilizando la NTE INEN-ISO/IEC 27002

2011

9NTE INEN

ISO/IEC27033-1

Tecnologas de la Informacin Tcnicas de seguridad Seguridadde redes. Parte 1. Visin General yConceptos.

2012

Como se puede apreciar, no existen normas, estndares, reglamentos o guas

en el Ecuador referente especficamente a la base de datos. Este podra significar un

problema para las empresas, ya que actualmente solo se est controlando a entidades

financieras a travs de las regulaciones emitidas por la superintendencia de Bancos.

Norma ISO 27000

La primera versin de esta norma data del ao 2000 y est basada en la norma

britnica BS 7799-1. La norma est organizada en 11 dominios, los cuales contiene


35/90

23

un total de 134 controles que abarcan desde los aspectos estratgicos de un SGSI

hasta los ms operativos.

Fig. 4 Pirmide de domin ios

2.1.2.3.1. Dominios de la norma UNIT-ISO/IEC 27002-27001

La norma ISO/IEC 27001 que en el Ecuador fue adoptada como UNIT-ISO

27001, Sistema de Gestin de la Seguridad de la Informacin-Requisitos publicada el

14 de octubre de 2005, es la norma que puede ser certificable. Esta norma utiliza el

modelo de proceso PDCA (Plan-Do-Check-Act) similar a los de gestin de calidad

ISO 9000, ISO 14000 de servicios, entre otros, (ver anexo A).


36/90

24

Est basada en la norma BS 7799-2, la cual viene siendo utilizada para

certificar en los ltimos siete aos aproximadamente.

Alrededor de 2000 organizaciones ya tienen la certificacin del SGSI, y se

espera que este nmero crezca en gran medida dada la importancia de esta norma

internacional.

Fig. 5 Modelo PDCA para un SGSI

La ISO 27002 es una herramienta muy til para los responsables de iniciar,

implantar o mantener la seguridad de una organizacin. En junio de 2005 se public

una nueva versin de la ISO/IEC 27002. Esta nueva versin integra los ltimos

desarrollos en el campo, para mantenerse como la norma internacional reconocida en

materia de buenas prcticas para la gestin de la seguridad de la informacin.


37/90

25

ISO / IEC 27002:2005 comprende la norma ISO / IEC 17799:2005 e ISO /

IEC 17799:2005 / Cor.1: 2007. Su contenido tcnico es idntica a la de la norma ISO

/ IEC 17799:2005. ISO / IEC 17799:2005 / Cor.1: 2007 cambia el nmero de

referencia de la norma 17799-27002.

ISO / IEC 27002:2005 establece los lineamientos y principios generales para

iniciar, implementar, mantener y mejorar la gestin de seguridad de la informacin

en una organizacin. Los objetivos describen ofrecer orientaciones generales sobre

las metas comnmente aceptadas de gestin de seguridad de informacin. ISO / IEC

27002:2005 contiene las mejores prcticas de los objetivos de control y controles en

las siguientes reas de gestin de seguridad de la informacin:

- Dominio 5 Poltica de Seguridad

- Dominio 6 - Organizacin de la Seguridad

- Dominio 7 - Gestin de Activos

- Dominio 8 - Seguridad de los Recursos Humanos

- Dominio 9 - Seguridad Fsica

- Dominio 10 - Gestin de Comunicaciones y Operaciones

- Dominio 11 - Control del Acceso

- Dominio 12 - Adquisicin, desarrollo y mantenimiento de sistemas de

informacin

- Dominio 13 - Gestin de los incidentes de la seguridad de la informacin

- Dominio 14 - Gestin de la Continuidad del Negocio


38/90

26

- Dominio 15 - Cumplimiento

Los objetivos de control y controles de la norma ISO / IEC 27002:2005 estn

destinados a ser implementado para satisfacer las necesidades identificadas por la

evaluacin del riesgo. ISO / IEC 27002:2005 ha sido diseada como una base comn

y gua prctica para el desarrollo de estndares de seguridad de la organizacin y las

prcticas eficaces de gestin de la seguridad, y para ayudar a construir la confianza

en las actividades interinstitucionales.

2.1.2.4. Gestin de Riesgos

Introduccin de gestin de riesgos y ah si vienen esos conceptos

2.1.2.4.1. Riesgo

El riesgo se define como la combinacin de la probabilidad de que se

produzca un evento y sus consecuencias negativas. Los factores que lo componen

son la amenaza y la vulnerabilidad (CIIFEN, 2010).

2.1.2.4.2. Amenaza

Amenaza es un fenmeno, sustancia, actividad humana o condicin peligrosa

que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que

daos a la propiedad, la prdida de medios de sustento y de servicios, trastornos

sociales y econmicos, o daos ambientales. La amenaza se determina en funcin de

la intensidad y la frecuencia.


39/90

27

2.1.2.4.3. Vulnerabilidad

Vulnerabilidad son las caractersticas y las circunstancias de una comunidad,

sistema o bien que los hacen susceptibles a los efectos dainos de una amenaza.

Con los factores mencionados se compone la siguiente frmula de riesgo.

RIESGO = AMENAZA * VULNERABILIDAD

Los factores que componen la vulnerabilidad son la exposicin,

susceptibilidad y resiliencia, expresando su relacin en la siguiente frmula.

(UNISDR, Terminologa sobre Reduccin de Riesgo de Desastres, 2012)

VULNERABILIDAD =

EXPOSICION * SUCEPTIBILIDAD

------------------------------------------------RESILIENCIA

Exposicines la condicin de desventaja debido a la ubicacin, posicin o

localizacin de un sujeto, objeto o sistema expuesto al riesgo.

Susceptibilidades el grado de fragilidad interna de un sujeto, objeto o sistema

para enfrentar una amenaza y recibir un posible impacto debido a la ocurrencia de un

evento adverso.


40/90

28

Resilienciaes la capacidad de un sistema, comunidad o sociedad expuestos a

una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera

oportuna y eficaz, lo que incluye la preservacin y la restauracin de sus estructuras

y funciones bsicas.

2.1.2.4.4. Controles

El propsito del control de riesgo es analizar el funcionamiento, la efectividad

y el cumplimiento de las medidas de proteccin, para determinar y ajustar sus

deficiencias.

Las actividades del proceso, tienen que estar integradas en el plan operativo

institucional, donde se define los momentos de las intervenciones y los responsables

de ejecucin.

Medir el cumplimiento y la efectividad de las medidas de proteccin requiere

que levantemos constantemente registros sobre la ejecucin de las actividades, los

eventos de ataques y sus respectivos resultados, as como tambin las mejoras a

adoptar para el futuro. Toda esta informacin debe ser analizada frecuentemente para

toma de decisiones y aprobacin de controles a implementar. Dependiendo de la

gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren

sanciones institucionales para los funcionarios.


41/90

29

En el proceso continuo de la Gestin de riesgo, las conclusiones que salen

como resultado del control de riesgo, nos sirven como fuente de informacin, cuando

se entra otra vez en el proceso de la Anlisis de riesgo.

2.1.2.5. Herramientas para comprobar seguridades en base de datos

Existen varias herramientas que hacen pruebas o evalan la seguridad de las

bases de datos, en esta gama de productos existen los licenciados y los no

licenciados, tambin denominados de software libre. Entre las ms usadas en el

mbito del software libre se encuentran:

- SQL Ninja._ Herramienta dedicada a explotar SQL Injection3 solo en

aplicaciones web que usan la base de datos SQL server. Si la herramienta

logra infiltrarse puede proporcionar acceso remoto al servidor de Base de

datos.

- SFX.SQLi._ Utiliza XML SQL Injection para extraer informacin de las

bases SQL Server de forma rpida.

- - SQLMap._ Herramienta desarrollada en Python utiliza SQL Injection

automtica que explota todas las vulnerabilidades posibles en las bases de

datos.

3SQL Injection: Tcnica de infiltracin en la seguridad de una base de datos.


42/90


43/90

31

Figura 6 Herramienta Nessus

NeXpose Entreprise.- Es una solucin inteligente de riesgos de seguridad,

est diseada para organizaciones con redes extensas. Esta herramienta es proactiva

soporta todo el ciclo de vida de gestin de vulnerabilidades como por ejemplo;

descubrimiento, deteccin, clasificacin de riesgo, verificacin, anlisis de impacto,reportes y migracin.

Fig. 7 Nexpose Enterprise

Fig. 6 - Resumen Tenable Nessus


44/90

32

Websaint.-Herramienta de la empresa SAAS. Es una solucin en la nube que

incluye, escaneo de vulnerabilidades, test de penetracin y escaneo web. Lo

interesante de esta herramienta es que no requiere instalar algn software localmente,

y tambin es que enva las notificaciones o reportes va correo electrnico.

Fig. 8 Web Saint

2.1.2.6. Seguridad en base de datos Oracle

Durante los ltimos diez aos, han surgido varias regulaciones que imponen

estrictos controles internos y la proteccin de informacin personalmente

identificable que sus siglas son (PII)4, esta informacin personal est en la mayora

de sitios web donde se requiere crear una cuenta o registrarse. Para proteger esta

4

PII: Informacin Personal Identificable


45/90

33

informacin personal, se han creado normas y regulaciones que fijan un estndar a

adoptar. Algunos ejemplos de dichas regulaciones incluyen entre las ms

importantes:

- Sarbanes-Oxley (SOX).- Monitoriza empresas que cotizan en la bolsa.

- PCI (Data Security Standard).- Conjunto de normas de seguridad.

- HIPAA (Health Insurance Portability and Accountability Act).- Reglas de

proteccin de la informacin confidencial de la salud de los individuos.

- Basilea II.- Gestin del riesgo operacional.

- Directiva de la UE sobre Privacidad y Comunicaciones Electrnicas en

Europa

El continuo surgimiento de nuevas regulaciones en todo el mundo junto con

la naturaleza cada vez ms sofisticada del robo de informacin requiere una estricta

seguridad de datos. Por estas razones Oracle sigue implementando cada vez controles

ms estrictos en sus productos de seguridad que se rigen a las regulaciones

mencionadas anteriormente.

Los estudios sobre Seguridad y Delitos Informticos de CSI/FBI5 2005 han

documentado que ms del 70% de los ataques y la prdida de datos de los sistemas

de informacin han sido cometidos por integrantes de la organizacin, es decir, por

aquellas personas por lo menos con autorizacin en algn nivel de acceso al sistema

y sus datos. Las soluciones transparentes de seguridad son crticas en la actual

5 CSI/FBI Computer Crime and Security Survey con la participacin de San Francisco Federal Bureau de

Investigaciones. Pgina oficial www.gocsi.com


46/90

34

economa global de negocios. Oracle Database tiene entre sus objetivos principales el

brindar seguridad en el entorno de base de datos, con soluciones de seguridad que

funcionan de manera transparente con las aplicaciones existentes, mientras se cumple

con los requerimientos obligatorios de las regulaciones. Desde sus inicios la

seguridad de Oracle ha ido evolucionando a travs del tiempo y las versiones que se

han lanzado, en cada nueva versin o complemento de seguridad se han ido

reforzando cada vez ms las brechas de seguridad que cada vez son mas complejas

de encontrar. A continuacin en la figura se describe la evolucin de Oracle y sus

complementos de seguridad a travs de sus versiones.

Fig. 9 Evolucin de la seguridad en BDD Oracle


47/90

35

Con el paso del tiempo, Oracle ha mejorado la seguridad de la base de datos,

ya sea con complementos adicionales as como con mejoras a las versiones que van

evolucionando. Como se puede apreciar en los aos anteriores no existan tantos

complementos y herramientas de seguridad, ya que ao tras ao han crecido los

ataques, las formas de infiltracin y en si la expansin del internet. Por esta razn

surgen nuevos complementos que contrarrestan las nuevas formas de robo de

informacin as como infiltracin.

La versin de Oracle 11gl contiene todas las mejoras y uniones de los

complementos anteriores que hoy en da la hacen una de las mejores a nivel mundial,

as lo muestra Gartner en su estudio anual.


48/90

36

Fig. 10 Database Magnament System Magic Cuadrant

As como tambin el ms reconocido entre los principales vendedores de

soluciones de software.


49/90

37

Tab. 2 Tabla de Gartner manejadores de Base de Datos

Enfoques de Seguridad:

Las caractersticas de seguridad son crticas porque histricamente la

mayora de las aplicaciones ha dependido de la seguridad en el nivel de aplicaciones

para restringir el acceso a los datos sensibles. Los conceptos de seguridad como

privilegio mnimo y necesidad de conocimiento fueron considerados menos

importantes que la escalabilidad y la rpida implementacin de nuevas aplicaciones.

Internet aceler el desarrollo de nuevas aplicaciones para todos los aspectos del

procesamiento de negocios, dando como resultado una mejor accesibilidad, grandes

ahorros de costo y aumentos de productividad. No obstante, las regulaciones

mundiales ahora requieren controles ms estrictos sobre informacin financiera

sensible y relacionada con la privacidad.


50/90

38

La versin de Oracle 11gl contiene muchas mejoras y ha juntado muchos

aspectos de seguridad de los cuales se obtiene enfoques principales de seguridad.

La seguridad de la base de datos Oracle tiene varios enfoques los cuales son:

Seguridad en Aplicaciones.- Las aplicaciones es una de las capas ms

importantes en el ambiente de la tecnologa de la informacin pero

desafortunadamente muy ignorada desde la perspectiva de la seguridad. Es decir,

sobre todo, a las aplicaciones transaccionales donde realmente se hace el proceso y

que residen en el back-end de la infraestructura y no a las que hoy da en el mercado

se les pone mayor atencin que son las basadas en Web.

Actualmente la referencia que se tiene con respecto a la seguridad en

aplicaciones es el control de acceso y ste en definitiva es un punto importantsimo

pero no suficiente. Oracle ha simplificado algunos aspectos de seguridad vinculado a

aplicaciones, despus de aos de investigacin con el complemento de seguridad

Oracle Database Security.

Seguridad en Base de Datos.- Con respecto a la seguridad dirigida a base de

datos, Oracle ofrece potente actividad de base de datos con control y bloqueo, control

de acceso con mltiples factores y privilegios de usuario, clasificacin de datos,

encriptacin de datos transparente, auditora e informes consolidados, administracin

de configuracin segura y enmascaramiento de datos, para que los clientes puedan


51/90


52/90

40

millones de dlares invertidos en 2011 en productos de seguridad se destinaron a la

salvaguarda de los centros de datos.

Entre las ms reconocidas empresas especializadas en seguridad a nivel

mundial segn el Instituto SANS se encuentran:

- Imperva

- Guardium

- Sentrigo

- Tizor

- Secerno

Imperva cuenta con ms de 2200 clientes a nivel mundial, en ms de 60

pases y cientos de organizaciones. La compaa tiene presencia en la mayora de

empresas lderes a nivel mundial de la siguiente forma:

- 8 de las Top 10 global de empresas de Telecomunicaciones del mundo

- 5 de los Top 10 mejores bancos de Estados Unidos

- 3 de los Top 5 global de las Empresas de servicios financieros para el

consumidor.

- 4 del Top 5 global de las compaas de Hardware

- Ms de 200 agencias gubernamentales en todo el mundo


53/90


54/90

42

- Exposicin de los medios de almacenamiento para backup. stos estn a

menudo desprotegidos, por lo que numerosas violaciones de seguridad han

conllevado el robo de discos y de cintas. Adems, el no auditar y monitorizar las

actividades de acceso de bajo nivel por parte de los administradores sobre la

informacin confidencial puede poner en riesgo los datos.

- Explotacin de vulnerabilidades y bases de datos mal configuradas. Los

atacantes saben cmo explotar estas vulnerabilidades para lanzar ataques contra

las empresas.

- Datos sensibles mal gestionados. Los datos sensibles en las bases de datos

estarn expuestos a amenazas si no se aplican los controles y permisos

necesarios.

- Denegacin de servicio (DoS). En este tipo de ataque se le niega el acceso a las

aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser

fraudes de extorsin en el que un atacante remoto repetidamente atacar los

servidores hasta que la vctima cumpla con sus exigencias.

- Limitado conocimiento y experiencia en seguridad y educacin. Muchas

firmas estn mal equipadas para lidiar con una brecha de seguridad por la falta de


55/90

43

conocimientos tcnicos para poner en prctica controles de seguridad, polticas y

capacitacin.

2.1.3. Herramientas para comprobar seguridad en Base de Datos Oracle

En la actualidad existen varias herramientas de comprobacin de seguridades

en las bases de datos, muchas de estas utilizan el principio de SQL inyection, otras en

cambio tratan de buscar alguna puerta abierta. Las herramientas existentes pueden

ser de pago o gratis, las ms completas son las de pago pero existen buenas

alternativas de software libre, entre las cuales se tomaron varias importantes, a

continuacin se listan las herramientas que pueden ser aplicadas para evaluar las

seguridades de una base de datos Oracle.

- Scuba. Ligera herramienta de la reconocida empresa Imperva, analiza

vulnerabilidades en el entorno de base de datos de diferentes plataformas,

entre las cuales estn: SQL, Oracle, Mysql, entre otras. Esta herramienta es

gratuita, aunque la empresa tambin ofrece otras alternativas ms complejas

que son licenciadas.

- Inguma. Herramienta de ambiente Linux para escaneo de puertos y

vulnerabilidades orientado a Oracle. Esta herramienta es gratis y de desarrollo

colectivo.


56/90

44

2.1.4. Seguridad en Oracle

Oracle tiene tecnologa avanzada en base de datos para proteger la

informacin almacenada, proporciona algunas soluciones de seguridad para

garantizar la privacidad de la informacin, protegerse contra las amenazas internas y

facilitar el cumplimiento normativo.

Entre estas soluciones las ms importantes estn:

- DatabaseVault y Firewall de Oracle

- Oracle Advanced Security (Encriptacin)

- Oracle Label Security

- Oracle Data Masking (Enmascaramiento de datos)

Fig. 11 Seguridad Oracle


57/90

45

Al momento no se dispone de una gua o manual que contenga diferentes

niveles de seguridad con configuraciones que nos permitan estandarizar y garantizar

un nivel de seguridad para las organizaciones.

2.1.4.1. Database Vault y Firewall de Oracle

El firewall de Oracle provee la primera lnea de defensa para la base de datos,

previene accesos ilegales, detiene SQL Injection, adicionalmente hace cumplir las

polticas de seguridad con precisin.

Esta primera lnea de defensa es independiente de la configuracin de base de

datos y operacin, es un blindaje independiente que ayuda a reducir el riesgo de

prdida de datos e infiltraciones y ayuda a las empresas a manejar cualquier cambio

en el ambiente de regulacin. Tambin brinda un monitoreo en tiempo real con

whitelist6, blacklist7, y exeptionlist8.

6Whitelist: Denominada Lista Blanca es una lista o registro de entidades que, por una razn u otra,pueden obtener algn privilegio particular, servicio, movilidad, acceso o reconocimiento.7Blacklist: Denominada Lista Negra, al contrario de la lista blanca es la compilacin que identifica a

quienes sern denegados, no reconocidos u obstaculizados.8Exceptionlist: Denominada Lista de Excepciones, es una lista especial complementaria, la cual

aade ciertas excepciones a las listas ya definidas.


58/90

46

Fig. 12 Database/Firewall

Oracle Database Vault permite controlar quin, cundo, y dnde acceder a

los datos y aplicaciones, protegiendo sus empresas frente a las preocupaciones ms

comunes de seguridad: amenazas que provienen de malas intenciones, negligencia, o

simples descuidos. Al imponer la separacin de tareas, incluso entre los

administradores. Fue el primer producto de su clase en salir, Oracle Database Vault

presenta una gran cantidad de nuevas y avanzadas caractersticas de seguridad para

restringir el acceso a la base de datos, incluso por parte de usuarios con roles o

privilegios importantes. Estas caractersticas pueden utilizarse de manera flexible y

adaptable para cumplir con los requerimientos de autorizacin, sin que se requieran

cambios en las aplicaciones existentes.

Oracle Database Vault mejora la capacidad para satisfacer los requerimientos

de cumplimiento, como los de Sarbanes-Oxley y otras regulaciones que rigen el

control de acceso y entrega de informacin sensible; controla el acceso a la

informacin de la base de datos y las aplicaciones, incluso por usuarios con los ms

altos privilegios; impone la autorizacin de mltiples factores por medio de reglas


59/90

47

comerciales flexibles; muestra quin tiene acceso, cundo y a qu tipo de

informacin utilizando informes listos para usar. A continuacin se detallan las

regulaciones que cumple este complemento:

Tab. 3 - Oracle Database Vault (DBV) y Regulaciones

Oracle Database Vault (DBV) y Regulaciones

Regulacin RequisitoDBV mitiga este

riesgo?

Sarbanes-Oxley Artculo302

Cambios no autorizados en losDatos S

Sarbanes-Oxley Artculo 404Modificacin a datos, acceso no autorizado

S

Sarbanes-Oxley Artculo 409 Negacin de servicio, acceso no autorizado S

Gramm-Leach-BlileyAcceso no autorizado, modificacin y/o

revelacinS

HIPAA 164.306 Acceso no autorizado a los datos S

HIPAA 164.312Acceso no autorizado a los datos S

Basilea II Administracin deRiesgos Internos

Acceso no autorizado a los datos S

CFR Seccin 11 Acceso no autorizado a los datos S

Ley de Privacidad de Japn Acceso no autorizado a los datos S

CONTINA....


60/90

48

PCI Requisito 7Restringir el acceso a datos de titulares de

tarjeta por necesidadde conocimiento de la empresa

S

PCI Requisito 8.5.6Activar cuentas utilizadas por

proveedores para el mantenimiento remotosolo durante el tiempo necesario

S

Fig. 13 Database Vault lgica interna

Como complemento, DatabaseVault al concentrar las alertas de seguridad

como de infraestructura se gestiona de mejor manera los incidentes de seguridad y a

la vez los que puedan afectar al correcto funcionamiento del sistema.


61/90

49

Fig. 14 Esquema de Seguridad Firewall & Audit Vault

2.1.4.2. Oracle Advanced Security

Oracle Advanced Security es un complemento de seguridad que ayuda con la

privacidad de direcciones, para esto utiliza un sub-complemento llamado Transparent

Data Encryption, el cual encripta datos sensibles y confidenciales.

Fig. 15 Advance Security


62/90


63/90

51

normas estn s Sarbanes-Oxley, PCI DSS, HIPAA. Del mismo modo, utiliza un

proceso irreversible para reemplazar los datos sensibles con datos que parecen reales

pero que estn cancelados sobre la base de reglas de enmascaramiento, y garantiza

que los datos originales no puedan ser recuperados ni restaurados. Otra ventaja es la

ayuda que brinda para mantenerla integridad de la aplicacin mientras enmascara los

datos.

Fig. 17 Oracle Data Masking

Oracle Database Security brinda soluciones transparentes para la seguridad de

aplicaciones en las reas crticas de administracin de usuarios, control de acceso,

proteccin de datos y monitoreo.


64/90

52

Fig. 18 Ciclo de seguridad y proteccin de Database Security

Como se puede observar en la figura Oracle database security contempla un

ciclo de seguridad en el cual estn los principales complementos de seguridad antes

mencionados y las reas de enfoque en el mbito de la seguridad.

Los complementos mencionados anteriormente son los ms relevantes en el

mbito de la seguridad que tiene Oracle para la versin 11g.


65/90

53

CAPTULO III

3.

3.1.Introduccin:

Si a la fecha Internet ha venido acelerando el desarrollo de nuevas

aplicaciones para todos los aspectos del procesamiento de negocios, tambin las

bases de datos tienen que desarrollar nuevas formas de proteger la informacin

sensible, las regulaciones ahora requieren controles mucho ms estrictos para la

informacin delicada, tanto financiera como relacionada con la privacidad. Se

requieren soluciones de seguridad transparentes para implementar los controles ms

estrictos porque la mayora de las aplicaciones se basan en la seguridad a nivel de

aplicacin para restringir el acceso a datos delicados.

Los conceptos de seguridad en un sistema antes no tenan la priorizacin

necesaria, estaban incluso por debajo de la escalabilidad y disponibilidad.

Actualmente la seguridad va a la par de estas y otras caractersticas. Los productos de

Oracle en seguridad de datos complementan la seguridad a nivel de aplicacin

permitiendo a las organizaciones minimizar los costos asociados con el

cumplimiento de las regulaciones y la implementacin de los estrictos controles

internos.


66/90

54

3.2.Evaluacin de Resultados y discusin

3.2.1. Definir la configuracin de seguridad de la base de datos

Existen numerosos criterios de diferentes administradores de base de datos

Oracle de las configuraciones bsicas que se debe aplicar a la base de datos de una

organizacin para hacerla segura, estos criterios pueden basarse en algn estndar o

simplemente por buenas practicas. El presente proyecto recopila y analiza varias de

estas configuraciones y le asigna un nivel de seguridad, es decir una priorizacin

dependiendo del grado de seguridad que se quiera obtener, que recursos se tengan o

dispongan para poder implementar estos controles y que tipo de informacin se

almacene.

El resultado de este anlisis es un checklist o tambin conocido como lista de

verificacin, esta lista se genera a partir de parmetros de seguridad que pueden ser

ajustados para mejorar el entorno de seguridad de la base de datos, tambin se basa

en estndares, normas y buenas prcticas en el mbito general de la seguridad y

explota las bondades y ventajas que tiene la base de datos Oracle para generar

registros de auditoria que pueden ser revisados para dar un valor agregado y

complementario a la seguridad. De acuerdo a estas caractersticas, el anlisis para

escoger la norma relacionada a la configuracin de seguridad y a una clasificacin de

acuerdo a la rama de la seguridad se obtiene el siguiente Checklist:


67/90

55

Los niveles de seguridad definidos para la lista de verificacin del proyecto,

son los siguientes:

Bajo (1)

Medio (2)

Alto (3)

Estos niveles son determinados de acuerdo al siguiente criterio:

Nivel 1 (Bajo).- El nivel bajo es considerado el nivel ms bsico de

configuraciones de seguridad que deben estar implementadas en un ambiente de base

de datos Oracle. Muchas de estas configuraciones bsicas vienen activadas por

defecto y dependiendo del enfoque de la organizacin se refuerzan o desactivan.

Nivel 2 (Medio).-El nivel medio es un ajuste personalizado a parmetros de

seguridad especficos en la base de datos con el que se refuerza la seguridad de la

misma y convierte a la base de datos en un elemento seguro.

Nivel 3 (Alto).-El nivel alto como su nombre lo indica es un nivel superior de

seguridad, en el que no solo se refuerzan las caractersticas de seguridad sino que se

monitorea las actividades en la base de datos para poder encontrar cualquier

anomala, acceso no autorizado e intrusin en la base de datos. Este nivel al ser el

ms complejo y abarcar a los otros dos es a menudo usado por entidades financieras,


68/90

56

gubernamentales, y cualquier otra que quiera invertir en la seguridad de su

informacin.

3.2.2. Secciones o clasificaciones de Seguridad

El instituto SANS es uno de las entidades mas reconocidas en el mbito de la

seguridad, se mantiene siempre a la vanguardia y tiene entre sus conocimientos la

incorporacin de seguridad en la base de datos como tal. Tomando como referencia

al reconocido instituto SANS9se ha adoptado las siguientes reas o secciones crticas

a las que se har referencia en este proyecto.Las he denominado secciones ya que

contienen caractersticas similares asociadas a un rea en particular que va ligado a la

seguridad.

Planeacin y evaluacin de riesgos

Sistema operativo y aspectos de seguridad

Autenticacin

Controles de Acceso

Red

Disponibilidad, Backup y Recovery

- Planeacin y evaluacin de riegos

9SANS (SysAdmin Audit, Networking and Security Institute)

http://www.sans.org/score/incidentforms/
http://www.sans.org/score/incidentforms/http://www.sans.org/score/incidentforms/http://www.sans.org/score/incidentforms/


69/90

57

Esta seccin abarca todo lo que se pueda prevenir para mejorar la seguridad

de la base de datos o su entorno, como por ejemplo la gestin de los parches,

versiones, backups automatizados sea de la base o la configuracin de la misma.

- Sistema operativo y aspectos de seguridad

Esta seccin incluye caractersticas importantes de seguridad que se puede

aadir en el sistema operativo, tales como permisos en directorios clave, usuarios por

defecto, y roles.

- Autenticacin

Como su nombre lo indica esta seccin contiene caractersticas de seguridad

relacionadas con todos quienes se hayan autenticado en la base de datos, tambin

incluye revisiones sobre logs de aplicaciones.

- Control de acceso

Esta seccin es la que ms parmetros de seguridad contiene ya que los

controles o precauciones que se pueden tener en esta rama de la seguridad son

extensos. En forma resumida esta seccin contiene temas de permisos, roles, revisin

de objetos que puedan contener accesos no autorizados etc.


70/90

58

- Red

En la seccin de Red estn caractersticas de seguridad que se pueden mejorar

para reforzar las defensas contra intrusiones y programas que buscan puertos o

entradas a la base de datos.

- Disponibilidad Backup y recovery

Esta seccin abarca caractersticas de seguridad relacionadas con la

disponibilidad y el salvaguardo de la informacin de backup que es igual de

importante como la informacin en produccin, ya que sin esta en medio de

algn contingente no se puede volver a levantar la base de datos.

3.2.3. Estructura del Checklist (lista de verficacin)

La estructura principal del checklist es la siguiente:

DescripcinNivel de

seguridadO/S Observacin/Configuracin

Seccin 1

Caractersticas de Seguridad..

1,2,3

Seccin 2

Caractersticas de Seguridad..

1,2,3


71/90

59

Descripcin.- Se refiere al parmetro de seguridad que puede ser ajustado o a la

caracterstica de seguridad que se puede usar o explotar.

Nivel de Seguridad.- Se refiere a los niveles de seguridad fijados para la

clasificacin por niveles de los parmetros. Estos niveles se refieren a:

- Bajo (1)

- Medio (2)

- Alto (3)

O/S (Sistema Operativo).-Esta columna muestra en que sistema operativo puede ser

aplicada esa caracterstica de seguridad.

Existen varios sistemas operativos en el mundo, pero la compatibilidad o en

cul de ellos se puede aplicar estas revisiones de seguridad depende de la

compatibilidad de la base de datos Oracle como tal. Oracle abarca la mayora de

sistemas operativos entre los cuales los ms conocidos son:

- Windows

- Linux

- Oracle Linux

- Unix

En su mayor parte los comandos que recomienda esta lista de seguridad

pueden ser aplicados de igual forma en cualquier sistema operativo, excepto los que


72/90

60

son comandos del sistema operativo como tal. En el listado especifica estos casos

especiales apuntando a que sistema operativo de la lista est dirigido.

Configuracin.-Se refiere a la sugerencia de comando que se puede aplicar para la

caracterstica de seguridad a la que hace referencia, este es un campo adicional en el

checklist que puede sugerir algn comando a aplicar as como una referencia de

donde revisar y poder ajustar el parmetro de seguridad.

3.2.4. Niveles de seguridad y su aplicacin en el mercado

Anteriormente ya fueron definidos los niveles de seguridad y las mtricas de

los mismos. Ahora falta saber cmo se pueden aplicar o como decidir qu nivel de

seguridad aplicar en la organizacin. A continuacin se describe cada nivel de

seguridad y que garantas o que ventajas se obtiene estando en cada uno de estos.

- Nivel Bajo

El nivel bajo es considerado como el ms esencial, es decir la mayora de

estas configuraciones vienen por defecto en una instalacin de base de datos, claro

que es importante revisar que estas caractersticas tengan el valor correcto. Las

caractersticas de seguridad en este nivel son:


73/90

61

Tab. 4 Tabla caractersticas del n ivel bajo

Descripcin Nivel deseguridad

O/S Observacin/Configuracin

PLANEACIN Y EVALUACINDE RIESGOS

Configurar Backupsperidicos de la base dedatos

1 Todos

Sistema operativo y aspectosde seguridad

Bloquear la cuenta pordefecto del software deOracle

1 Todos SQL> alter user oracle accountblock;

Revisar permisos de los Datafiles

1 Linux,Unix

$ ls l

Asegurarse que ningnusuario tenga privilegios deALTER SESSION y ALTERSYSTEM

1 Todos SQL> select * from dba_sys_privswhere privilege =`ALTER SESSION';

SQL> revoke alter session to ;

CONTROLES DE ACCESO

Revisar que el parmetroos_authent_prefix este enNULL

1 Todos SQL> alter system setos_authent_prefix='' scope=spfile

sid='*';

Revisar el parmetroO7_dictionary_accessibilityeste desactivado

1 Todos SQL> show parameterO7_dictionary_accessibility;

Revisar que el parmetroremote_listenereste enNULL

1 Todos SQL> alter system setremote_listener='';

Revisar que no existausuarios o roles con todos losprivilegios asignados

1 Todos

Revisar usuarios con elprivilegio BECOME_USER

1 Todos

Revocar el privilegiopublicexecuteen el archivo utl_file

1 Todos SQL> revoke execute on utl_filefrom public;

CONTINA....


74/90

62

Revocar el privilegiopublicexecuteen el archivo utl_tcp

1 Todos SQL> revoke execute on utl_tcpfrom public;

Revocar el privilegiopublicexecuteen el archivo utl_http

1 Todos SQL> revoke execute on utl_httpfrom public;

DISPONIBILIDAD BACKUP YRECOVERY

Revisar los backupsregularmente

1 Todos

La seguridad que ofrece este nivel es la primera capa que regula lo que son

permisos sobre las carpetas de la base de datos y los roles principales, as como

proteccin bsica en la red local.

Este nivel lo tienen la mayora de organizaciones que usan Oracle en la

versin 11g, aunque el nivel de proteccin no es el adecuado si hablamos de

entidades financieras o que posean informacin personal de terceras personas.

- Nivel Medio

Los administradores de base de datos que se empiezan a preocupar por la

seguridad, estn empezando o completando este nivel de seguridad. Ya que en este

nivel si se requiere ms anlisis y personalizacin de parmetros de acuerdo al core

del negocio y al giro del negocio. Las configuraciones definidas en este nivel son:


75/90

63

Tab. 5 Tabla de caractersticas del nivel medio

DescripcinNivel de


PLANEACIN YEVALUACIN DE RIESGOS

Revisar las versiones ygestionar los parches deOracle

2 Todos SQL> select * from v$version;

Revisar Polticas yprocedimientos de la Basede datos

2 Todos

Sistema operativo yaspectos de seguridad

Revisar los permisos delpropietario de la carpeta$ORACLE_HOME/bin

2Linux,Unix

$ ls l

Revisar permisos delarchivo de trace

2Linux,Unix

$ ls l

Guardar los logs en unservidor distinto

2 Todos

AUTENTICACIN

CONTROLES DE ACCESO

Asegurar la vista ALL_USERS 2 TodosSQL> select * from

all_tab_privs_made;

Crear un rol para gestionarlas cuentas de usuario

2 Todos

Revisar que el parmetrolog_archive_start esteactivado

2 Todos SQL> alter system archive log start;

Revisar usuarios que tengan

el privilegio de dba2 Todos SQL> select * from DBA_ROLES;

Revisar los accesos directosotorgados a objetos otablas

2 Todos

Setear el tiempo de vida delas contraseas a 60 das

2 Todos

SQL> create profile all_users limitPASSWORD_LIFE_TIME 60;

CONTINA....


76/90

64

Setear el intento de login a5

2 Todos

SQL> alter profile all_users setfailed_login_attempts = 5;

Auditar los triggers de losusuarios

2 Todos

RED

No usar los puertos dellistener por defecto 15211526

2 Todos Modificar el listener.ora

No usar nombres deservicio conocidos Ej; ORCL

2 Todos

DISPONIBILIDAD BACKUP YRECOVERY

Asegurarse que la base esteen modoARCHIVE LOG

2 Todos SQL>alter database ARCHIVELOG;

Las empresas que deberan aplicar este nivel de seguridad son todas aquellas

que piensen que su informacin es valiosa como por ejemplo: Hospitales,

constructoras, medios, etc.

Pese a que es ya una segunda capa ms compleja de seguridad aun no es

suficiente para entidades reguladas a las cuales se les exige un alto grado de

seguridad. En el Ecuador la superintendencia de bancos exige a las entidades

bancarias tener un alto grado de seguridad en su informacin.


77/90

65

- Nivel Alto

De acuerdo al anlisis que se ha realizado en este proyecto, quien logre

ponerse en este nivel de seguridad cuenta con tres capas de seguridad bastante

confiables y que resguardan la informacin que contiene la base de datos.

Este nivel si requiere un poco ms de recursos para implementarlo y

monitorearlo, ya sean recursos de horas hombre como de inversin en complementos

de seguridad y auditoria. Las caractersticas de seguridad en este nivel son:

Tab. 6 Tabla de caracteris ticas del nivel alto

PLANEACIN Y EVALUACINDE RIESGOS

Guardar el archivo SPFILE yCONTROLFILE en un lugarseguro y respaldar una copiade los mismos

3 TodosRMAN> CONFIGURECONTROLFILE AUTOBACKUP ON;

Sistema operativo y aspectosde seguridad

Auditar scripts que contenganusuarios y contraseas

3 Todos

Auditar los archivos deconfiguracin de los clientesque contengan usuarios ycontraseas

3 Todos

AUTENTICACIN

Auditar actividades deusuarios

3 Todos

Auditar logins de la base dedatos de aplicacin.

3 TodosSQL> ALTER SYSTEM SETaudit_trail = "DB SCOPE=SPFILE;

Auditar las contraseas de losusuarios de la base de datos

3 Todos

CONTINA....


78/90


79/90

67

Los criterios a considerar junto con la inversin que tomara implementar este

nivel van ligados al grado de confidencialidad y privacidad de la informacin de la

base de datos. Este nivel es el adecuado para entidades financieras, del gobierno, y

que manejen informacin personal de individuos, la cual es protegida por las leyes y

las autoridades de control, y cabe destacar que garantiza su funcionalidad solamente

si ya fueron aplicados los dos anteriores niveles.

3.2.5. Evaluacin de resultados del checklist y discusin

Tab. 7 Check l ist seguridades en Oracle

DescripcinNivel de


PLANEACIN Y EVALUACIN DE

RIESGOS

Revisar las versiones y gestionar losparches de Oracle

2 Todos SQL> select * from v$version;

Configurar Backups peridicos de labase de datos

1 Todos

Guardar el archivo SPFILE yCONTROLFILE en un lugar seguro yrespaldar una copia de los mismos

3 TodosRMAN> CONFIGURECONTROLFILE AUTOBACKUPON;

Revisar Polticas y procedimientosde la Base de datos

2 Todos

Sistema operativo y aspectos deseguridad

Revisar los permisos del propietariode la carpeta $ORACLE_HOME/bin

2Linux,Unix

$ ls l

CONTINA....


80/90

68

Bloquear la cuenta por defecto delsoftware de Oracle

1 TodosSQL> alter user oracle accountblock;

Revisar permisos del archivo detrace

2 Linux,Unix

$ ls l

Revisar permisos de los Data files1

Linux,Unix

$ ls l

Auditar scripts que contenganusuarios y contraseas

3 Todos

Auditar los archivos deconfiguracin de los clientes quecontengan usuarios y contraseas

3 Todos

Guardar los logs en un servidordistinto 2 Todos

Asegurarse que ningn usuariotenga privilegios de ALTER SESSIONy ALTER SYSTEM

1 Todos

SQL> select * fromdba_sys_privs where privilege=`ALTER SESSION';

SQL> revoke alter session to;

AUTENTICACIN

Auditar actividades de usuarios 3 Todos

Auditar logins de la base de datosde aplicacin.

3 TodosSQL> ALTER SYSTEM SETaudit_trail = "DBSCOPE=SPFILE;

Auditar las contraseas de losusuarios de la base de datos

3 Todos

CONTROLES DE ACCESO

Asegurar la vista ALL_USERS 2 TodosSQL> select * fromall_tab_privs_made;

Asegurar acceso al catlogo deroles

3 TodosPermisos en la vistarole_role_privs

Asegurar acceso a las vistas del roldba

3 Todos

Crear un rol para gestionar lascuentas de usuario

2Todos

CONTINA....


81/90

69

Revisar que el parmetrolog_archive_start este activado

2 TodosSQL> alter system archive logstart;

Revisar que el parmetroos_authent_prefix este en NULL

1 TodosSQL> alter system setos_authent_prefix=''scope=spfile sid='*';

Revisar el parmetroO7_dictionary_accessibility estedesactivado

1 TodosSQL> show parameterO7_dictionary_accessibility;

Revisar el parmetroremote_os_authentestedesactivado

3 TodosSQL> show parameterremote_os_authent;

Revisar que el parmetroremote_listener este en NULL

1 TodosSQL> alter system setremote_listener='';

Revisar usuarios que tengan elprivilegio de dba

2 TodosSQL> select * fromDBA_ROLES;

Revisar que no exista usuarios oroles con todos los privilegiosasignados

1 Todos

Revisar los accesos directosotorgados a objetos o tablas

2 Todos

Revisar usuarios con el privilegioBECOME_USER

1 Todos

Revocar el privilegiopublic executeen el archivo utl_file

1 TodosSQL> revoke execute onutl_file from public;

Revocar el privilegiopublic executeen el archivo utl_tcp

1 TodosSQL> revoke execute onutl_tcp from public;

Revocar el privilegiopublic executeen el archivo utl_http

1 TodosSQL> revoke execute onutl_http from public;

Revocar todos los permisos nonecesarios del rol PUBLIC

3 TodosSQL> revoke create view fromPUBLIC;

CONTINA....


82/90


83/90


84/90

72

Realizamos un escaneo de puertos

Puertos TCP

Sin la configuracin adecuada se puede acceder a la consola de sqlplus con un

simple comando y acceder a la base de datos.

i nguma> por t scan

Por t scan resul t s

- - - - - - - - - - - - - - - -

Por t 80/ www i s opened at uberser ver . com

Por t 7777 i s opened at uber ser ver . com

Por t 8080/ webcache i s opened at uberserver . com

Por t 21/ f t p i s opened at uber ser ver . com

Por t 9090 i s opened at uber ser ver . com

i nguma> t cpscan

Scanni ng por t 17004 ( 418/ 418)

Open Por t s

- - - - - - - - - -

Por t 1521 i s open

Por t 135/ l oc- sr v i s open

Por t 3306/ mysql i s open

Por t 139/ net bi os- ssn i s open


85/90

73

Para poder asegurar esta entrada se debe aplicar la caracterstica de nivel medio donde se

quita el prefijo del sistema operativo en la autenticacin de Oracle.

[oracle@srvoracle ~]$ sqlplus / as sysdba

SQL*Plus: Release 11.2.0.3.0 Production on Sat Nov 30 09:22:18 2013

Copyright (c) 1982, 2011, Oracle. All rights reserved.

Connected to:

Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production

With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing

options

SQL>


SQL*Plus: Release 11.2.0.3.0 Production on Sat Nov 30 09:22:18 2013

Copyright (c) 1982, 2011, Oracle. All rights reserved.

Connected to:

Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production

With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing

options

SQL>alter system set os_authent_prefix='' scope=spfile sid='';

System altered.

SQL>


86/90

74

Al intentar nuevamente conectarse luego de aplicar esta configuracin resulta

lo siguiente:


ERROR:

ORA-01031: insufficient privileges

SQL>


87/90

75

CAPTULO IV

4.1 Conclusiones y Recomendaciones

4.1.1 Conclusiones

- Debido a varias estafas y fraudes hoy en da existen normas y estndares

que se exigen a ciertas organizaciones, Oracle dentro de su manejador de

base de datos cumple con varias de estas regulaciones para facilitar a las

empresas que usan esta base de datos el cumplimiento regulatorio.

- El anlisis de la informacin obtenida acerca de las normas o estndares

de base de datos nos muestra que no existe una gua especializada en

seguridad de base de datos Oracle con parmetros especficos.

- Los niveles de seguridad obtenidos en este proyecto sirven como

referencia para administradores de base de datos Oracle que quieran

implementar o mejorar sus seguridades.

- En el mundo globalizado la complejidad de la tecnologa va aumentando

por lo que si se quiere proteger la informacin, se debe tener personal

capacitado lo cual debe ser tomado en cuenta en el presupuesto del rea

de tecnologa.


88/90

76

- Los complementos de seguridad para la base de datos Oracle pueden ser

un problema por su costo, pero dependiendo de la planificacin en el

presupuesto, la importancia que se le de a resguardar la informacin y al

costo beneficio que se obtenga al darle valor a la informacin puede

justificarse la inversin en seguridad.

4.1.2 Recomendaciones

- Se recomienda a las empresas incluir en su planificacin el mejoramiento,

Cuadro CheCHECK LIST ORACLEcklist

Documents

Transcript of Cuadro CheCHECK LIST ORACLEcklist