Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL
Amenazas Lgicas - Tipos de Ataques

Amenazas Lgicas
Los protocolos de comunicacin utilizados carecen (en su mayora) de seguridad o esta ha sido implementada en forma de
"parche" tiempo despus de su creacin.
Existen agujeros de seguridad en los sistemas operativos.
Existen agujeros de seguridad en las aplicaciones.
Existen errores en las configuraciones de los sistemas.
Los usuarios carecen de informacin respecto al tema.
Esta lista podra seguir extendindose a medida que se evalen mayor cantidad de elementos de un Sistema Informtico.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de
los clientes (ciudadanos) bajara enormemente.
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por s mismos las
deficiencias detectadas. A esto hay que aadir las nuevas herramientas de seguridad disponibles en el mercado.
Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos,
lanzados por el CERT, han dado sus frutos.
Acceso - Uso - Autorizacin

La identificacin de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.
Especficamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y
de un intruso. Por ejemplo:
Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso.
Cuando un atacante tiene acceso desautorizado est haciendo uso desautorizado del sistema.
Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado
(simulacin de usuario).
Luego un Ataque ser un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidente envuelve
un conjunto de ataques que pueden ser distinguidos de otro grupo por las caractersticas del mismo (grado, similitud, tcnicas
utilizadas, tiempos, etc.).

John D. Howard(1) en su tesis estudia la cantidad de ataques que puede tener un incidente. Al concluir dicho estudio y basado
en su experiencia en los laboratorios del CERT afirma que esta cantidad vara entre 10 y 1.000 y estima que un nmero
razonable para estudios es de 100 ataques por incidentes.
Deteccin de Intrusos
A finales de 1996, Dan Farmer (creador de una de las herramientas ms tiles en la deteccin de intrusos: SATAN) realiz un
estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites
orientados al comercio y con contenidos especficos, adems de un conjunto de sistemas informticos aleatorios con los que
realizar comparaciones.
El estudio se realiz empleando tcnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en dos
grupos: rojos (red) y amarillos (yellow).
Los problemas del grupo rojo son los ms serios y suponen que el sistema est abierto a un atacante potencial, es decir, posee
problemas de seguridad conocidos en disposicin de ser explotados. As por ejemplo, un problema de seguridad del grupo rojo
es un equipo que tiene el servicio de FTP annimo mal configurado. Los problemas de seguridad del grupo amarillo son menos
serios pero tambin reseables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede
causarle serios daos o bien, que es necesario realizar tests ms intrusivos para determinar si existe o no un problema del grupo
rojo.
La tabla 7.1 resume los sistemas evaluados, el nmero de equipos en cada categora y los porcentajes de vulnerabilidad para
cada uno. Aunque los resultados son lmites superiores, no dejan de ser... escandalosos.
Como puede observarse, cerca de los dos tercios de los sistemas analizados tenan serios problemas de seguridad y Farmer
destaca que casi un tercio de ellos podan ser atacados con un mnimo esfuerzo.
Identificacin de las Amenazas

La identificacin de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del
atacante.
Las consecuencias de los ataques se podran clasificar en:
Data Corruption: la informacin que no contena defectos pasa a tenerlos.

Denial of Service (DoS): servicios que deberan estar disponibles no lo estn.
Leakage: los datos llegan a destinos a los que no deberan llegar.
Desde 1990 hasta nuestros das, el CERT viene desarrollando una serie de estadsticas que demuestran que cada da se
registran ms ataques informticos, y estos son cada vez ms sofisticados, automticos y difciles de rastrear.
La Tabla 7.2 detalla el tipo de atacante, las herramientas utilizadas, en que fase se realiza el ataque, los tipos de procesos
atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.
Cualquier adolescente de 15 aos (Script Kiddies), sin tener grandes conocimientos, pero con una potente y estable
herramienta de ataque desarrollada por los Gurs, es capaz de dejar fuera de servicio cualquier servidor de informacin de
cualquier organismo en Internet, simplemente siguiendo las instrucciones que acompaan la herramienta.
Los nmero que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro Hacker. Evidentemente la informacin
puede ser aprovechada para fines menos lcitos que para los cuales fue pensada, pero esto es algo ciertamente difcil de evitar.
Nota
I:
Estos
incidentes
slo
representan
el
30%
correspondientes
a
los
Hackers.
Nota II: En 1992 el DISA(2) realiz un estudio durante el cual se llevaron a cabo 38.000 ataques a distintas sitios de
organizaciones gubernamentales (muchas de ellas militares). El resultado de los ataques desde 1992 a 1995 se resumen en el
siguiente cuadro(3):

Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados. Luego, si en el ao 2000 se denunciaron 21.756
casos
eso
arroja
3.064.225
incidentes
en
ese
ao.
Nota III: Puede observarse que los incidente reportados en 1997 con respecto al ao anterior es menor. Esto puede deberse a
diversas causas:
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de
confianza de los clientes (ciudadanos) bajara enormemente.
Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por s
mismos las deficiencias detectadas. A esto hay que aadir las nuevas herramientas de seguridad disponibles en el
mercado.
Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos,
lanzados por el CERT, han dado sus frutos.
Tipos de Ataques (leer mas)

A continuacin se expondrn diferentes tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser
realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc.
En los primeros tiempos, los ataques involucraban poca sofisticacin tcnica. Los Insiders (operadores, programadores, data
entrys) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando
una password vlida. A travs de los aos se han desarrollado formas cada vez ms sofisticadas de ataque para explotar
"agujeros" en el diseo, configuracin y operacin de los sistemas.
Ingeniera Social
Ingeniera Social Inversa
Trashing (Cartoneo)
Ataques de Monitorizacin
Ataques de Autenticacin
Denial of Service (DoS)
Ataques de Modificacin - Dao
Errores de Diseo, Implementacin y Operacin

Muchos sistemas estn expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o
realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada
da) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrnico y todas clase
de servicios informtico disponible.
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros mas conocidos y controlados que aquellos que existen
en sistemas operativos cerrados (como Windows). La importancia (y ventaja) del cdigo abierto radica en miles de usuarios
analizan dicho cdigo en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.

Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de
Hacking que los explotan), por lo que hoy tambin se hace indispensable contar con productos que conocen esas debilidades,
puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.
Implementacin de las Tcnicas

A lo largo de mi investigacin he recopilando distinto tipos de programas que son la aplicacin de las distintas tcnicas
enumeradas anteriormente. La mayora de las mismos son encontrados fcilmente en Internet en versiones ejecutables, y de
otros se encuentra el cdigo fuente, generalmente en lenguaje C, Java y Perl.
Cada una de las tcnicas explicadas (y ms) pueden ser utilizadas por un intruso en un ataque. A continuacin se intentarn
establecer el orden de utilizacin de las mismas, pero siempre remarcando que un ataque insume mucha paciencia,
imaginacin acumulacin de conocimientos y experiencia dada (en la mayora de los casos) por prueba y error.
1. Identificacin del problema (vctima): en esta etapa se recopila toda la informacin posible de la vctima. Cuanta ms
informacin se acumule, ms exacto y preciso ser el ataque, ms fcil ser eliminar las evidencias y ms difcil ser su
rastreo.
2. Exploracin del sistema vctima elegido: en esta etapa se recopila informacin sobre los sistemas activos de la vctima,
cuales son los ms vulnerables y cuales se encuentran disponibles. Es importante remarcar que si la victima parece
apropiada en la etapa de Identificacin, no significa que esto resulte as en esta segunda etapa.
3. Enumeracin: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia
con las etapas anteriores es que aqu se establece una conexin activa a los sistemas y la realizacin de consultas
dirigidas. Estas intrusiones pueden (y deberan) ser registradas, por el administrador del sistema, o al menos detectadas
para luego ser bloqueadas.
4. Intrusin propiamente dicha: en esta etapa el intruso conoce perfectamente el sistema y sus debilidades y comienza a
realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses.
Contrariamente a lo que se piensa, los sistemas son difciles de penetrar si estn bien administrados y configurados.
Ocasionalmente los defectos propios de la arquitectura de los sistemas proporciona un fcil acceso, pero esto puede ser, en la
mayora de los casos, subsanado aplicando las soluciones halladas.
Cmo defenderse de estos Ataques?

La mayora de los ataques mencionados se basan en fallos de diseo inherentes a Internet (y sus protocolos) y a los sistemas
operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo.
La solucin inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones
que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos.
Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes:
1. Mantener las mquinas actualizadas y seguras fsicamente
2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo).

3. Aunque una mquina no contenga informacin valiosa, hay que tener en cuenta que puede resultar til para un atacante,
a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera direccin.
4. No permitir el trfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como
"multiplicadores" durante un ataque Smurf.
5. Filtrar el trfico IP Spoof.
6. Auditorias de seguridad y sistemas de deteccin.
7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para
esto es recomendable estar suscripto a listas que brinden este servicio de informacin.
8. Por ltimo, pero quizs lo ms importante, la capacitacin continua del usuario.
Garantizar que los recursos informticos de una compaa estn disponibles para cumplir sus propsitos, es decir, que no esten
daados o alterados por circunstancias o factores externos, es una definicin til para conocer lo que implica el concepto de
seguridad informtica.
En trminos generales, la seguridad puede entenderse como aquellas reglas tcnicas y/o
actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de
robo, prdida o dao, ya sea de manera personal, grupal o empresarial.
En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro
de las redes empresariales.
Por la existencia de personas ajenas a la informacin, tambin conocidas como piratas informticos o hackers, que buscan
tener acceso a la red empresarial para modificar, sustraer o borrar datos.

Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de
cualquier compaa; de acuerdo con expertos en el rea, ms de 70 por ciento de las Violaciones e
intrusiones a los recursos informticos se realiza por el personal interno, debido a que ste conoce los
procesos, metodologas y tiene acceso a la informacin sensible de su empresa, es decir, a todos
aquellos datos cuya prdida puede afectar el buen funcionamiento de la organizacin.
Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a
nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que
proteja los recursos informticos de las actuales amenazas combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo
que puede representar un dao con valor de miles o millones de dlares.
Por vulnerabilidad entendemos la exposicin latente a un riesgo. En el rea de informtica, existen varios riesgos tales como:
ataque de virus, cdigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopcin de Internet como
instrumento de comunicacin y colaboracin, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de
negacin de servicio y amenazas combinadas; es decir, la integracin de herramientas automticas de "hackeo", accesos no
autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones
para daar los recursos informticos.
Especficamente, en los ataques de negacin de servicio, el equipo de cmputo ya no es un blanco, es el medio a travs del cual
es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site
de la compaa. Con ello, es evidente que los riesgos estn en la red, no en la PC.
Es por la existencia de un nmero importante de amenazas y riesgos, que la infraestructura de red y recursos informticos de
una organizacin deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una
eficiente administracin del riesgo.
Para ello, resulta importante establecer polticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red,
los enlaces de telecomunicaciones, la realizacin del respaldo de datos y hasta el reconocimiento de las propias necesidades de
seguridad, para establecer los niveles de proteccin de los recursos.
Las polticas debern basarse en los siguientes pasos:
Identificar y seleccionar lo que se debe proteger (informacin sensible)
Establecer niveles de prioridad e importancia sobre esta informacin
Conocer las consecuencias que traera a la compaa, en lo que se refiere a costos y productividad, la

prdida de datos sensibles
Identificar las amenazas, as como los niveles de vulnerabilidad de la red
Realizar un anlisis de costos en la prevencin y recuperacin de la informacin, en caso de sufrir un

ataque y perderla
Implementar respuesta a incidentes y recuperacin para disminuir el impacto
Este tipo de polticas permitir desplegar una arquitectura de seguridad basada en soluciones tecnolgicas, as como el
desarrollo de un plan de accin para el manejo de incidentes y recuperacin para disminuir el impacto, ya que previamente
habremos identificado y definido los sistemas y datos a proteger.
Es importante tomar en consideracin, que las amenazas no disminuirn y las vulnerabilidades no desaparecern en su
totalidad, por lo que los niveles de inversin en el rea de seguridad en cualquier empresa, debern ir acordes a la importancia
de la informacin en riesgo.
As mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad apropiado y la administracin del
riesgo implica una proteccin multidimensional (firewalls, autenticacin, \ antivirus, controles, polticas, procedimientos,
anlisis de vulnerabilidad, entre otros), y no nicamente tecnologa.
Un esquema de seguridad empresarial contempla la seguridad fsica y lgica de una compaa. La primera se refiere a la
proteccin contra robo o dao al personal, equipo e instalaciones de la empresa; y la segunda est relacionada con el tema que
hoy nos ocupa: la proteccin a la informacin, a travs de una arquitectura de seguridad eficiente.
Esta ltima debe ser proactiva, integrar una serie de iniciativas para actuar en forma rpida y eficaz ante incidentes y
recuperacin de informacin, as como elementos para generar una cultura de seguridad dentro de la organizacin.
http://www.gestiopolis.com/recursos/documentos/fulldocs/rrhh/sigselecc.htm
ANTECEDENTES
Para sustentar esta investigacin se tomaron como antecedentes diversos estudios previos, tesis de grados y opiniones, de
algunas
teoras
relacionadas
con
los
Sistemas
de
Informacin
Gerencial.
Los antecedentes que a continuacin se citan, proporcionan a la investigacin una base terica que sustenta la problemtica
planteada.
Propuesta de un Sistema de Informacin Gerencial para la Toma de Decisiones de la Gerencia de Recursos Humanos,
Granados Andrs, Universidad de Carabobo - Valencia Venezuela (2000). El presente trabajo de investigacin tenia como
principal objetivo proponer un Sistema de Informacin Gerencial para la Toma de Decisiones en la Gerencia de Recursos
Humanos que facilite la integracin de los datos, la almacene y la haga disponible para ayudar en la toma de decisiones de los
Gerentes de Recursos Humanos, a travs de un Sistema de Informacin Gerencial Integral para la toma de decisiones
denominada WAREHOUSE. El diseo de la investigacin estaba conformado por 20 personas que laboran como Gerentes de
Recursos Humanos, los cuales estn involucrados con un uso de los Sistemas de informacin siendo la muestra censal. La
tcnica de recoleccin de datos consisti en la aplicacin de una encuesta estructurada en 10 preguntas para respuestas cerradas
y abiertas. La tcnica de anlisis estaba basada en la obtencin de porcentajes para cada factor que tiene el instrumento y la
complementacin de un anlisis de preguntas abiertas y reforzado con la construccin de grficos De los resultados derivan las
conclusiones, las cuales permitieron presentar una propuesta de un Sistema de Informacin Integral de la Gerencia de Recursos
Humanos facilitando para ella la integracin de la informacin con la toma de decisiones sobre la base WAREHOUSE Data
Sistem.
Diseo de un Sistema Automatizado de Informacin Gerencial para la Planificaci6n Estratgica de los Recursos Humanos de
Mavesa, S.A., Martell Migdalia, Universidad Bicentenaria de Aragua - Valencia Venezuela (1999). El objetivo general de este
trabajo fue proponer un Diseo de un Sistema Automatizado de Informacin Gerencial para la Planificacin Estratgica que
facilite la Toma de Decisiones en la Administracin de Recursos Humanos de Mavesa. Este sistema buscaba evaluar y
seleccionar el personal que estaba capacitado para ocupar un cargo determinado, controlar la informacin referente al
entrenamiento y/o especializacin del personal de la empresa, mantener un archivo del personal elegible, as como obtener, a
travs de consultas, reportes y grficos toda la informacin necesaria para elaborar un plan estratgico Y realizar una mejor
toma de decisiones, permitiendo de esta forma solventar los problemas existentes en el sistema estudiado. El resultado que se
obtuvo fue el de minimizar los tiempos de respuestas en la seleccin del personal, as como un control del entrenamiento que
se realiz la medicin de las horas hombres utilizadas en entrenamiento entre otros, lo que contribuy con la obtencin de la
informacin precisa y oportuna para una adecuada toma de decisiones En conclusin el sistema propuesto contribuy con un
cambio radical en el desenvolvimiento de las actividades para el logro de una mejor Planeacin Estratgica de los recursos
humanos; habiendo resultado la propuesta factible econmicamente tcnicamente y psicosocialmente.
Diseo de un Sistema de Informacin Gerencial que sirva de apoyo en la Toma de Decisiones a la Alta Gerencia del Grupo
Qumico, Naranjo A. Yubiry G. Universidad Bicentenaria de Aragua - Valencia Venezuela (1998). En esta investigacin se
propuso un sistema automatizado que permitiera el manejo de la informacin en forma grfica y resumida para dar apoyo a las
toma de decisiones por parte de la alta gerencia del grupo qumico para mejorar el manejo del negocio, para lograr su objetivo
se estudio el funcionamiento del sistema actual que posean (sus debilidades y fortalezas, los requerimientos de la informacin
por parte de la gerencia, las reas que formaran parte del sistema de apoyo gerencial). La investigacin es de tipo descriptiva
dentro de la modalidad de proyecto factible, donde se recomend al finalizar el diseo del Sistema de Informacin Gerencial,
su implantacin con la finalidad de que la alta gerencia cuente con una herramienta poderosa en el manejo de informacin, la
creacin de otros modelos por Area del negocio y estudiar la instalacin del Sistema de Informacin Gerencial, a la gerencia
media
para
ayudarles
en
su
trabajo
diario.
Sistema de Informacin Computarizado para la Gestin del Area de Reclutamiento y Seleccin de Gerencia de Recursos
Humanos de la Empresa Elecentro, Orta M. Universidad Bicentenaria de Aragua, 1998; el cual tuvo como finalidad agilizar el
proceso de reclutamiento y seleccin de personal. Esta investigacin se desarroll como proyecto factible con una descripcin
de campo de carcter descriptivo, utilizando como metodologa una recopilacin de las usadas por los autores Kendall y
Montilva, tomando como poblacin a la empresa Elecentro. Dicho trabajo, dio su aporte a la presente investigacin en la
manera como automatizaron los procesos involucrados en el estudio, aumentando el rendimiento de las actividades y
proporcionando
informacin
confiable.
Diseo de un Sistema de Informacin Automatizado para su uso en los diferentes Departamentos de la Gerencia de Recursos
Humanos de la de Desarrollo de la Pequea y Mediana Industria (Corpoindustria), Villano, Marco, Universidad de Carabobo,
1998; el objetivo principal de la fue disear un sistema automatizado que contribuya con la eficiencia de los Recursos
Humanos, a travs del suministro oportuno y veraz de informacin referente al personal. En relacin al diseo de la
investigacin estaba concebida bajo la modalidad de proyecto factible, basado en una investigacin de campo y de acuerdo a
su tipo corresponde a un estudio descriptivo. La poblacin estaba conformada por diecisis personas que laboran en la
Gerencia de Recursos Humanos, la muestra fue censal. La tcnica de recoleccin de datos, consista en la aplicacin de un
instrumento contentivo de tres partes. El aporte de dicha investigacin para la empresa, fue de acuerdo a los resultados
obtenidos
y
se
hizo
mediante
conclusiones
y
recomendaciones.
Diseo de un Sistema de Informacin para Normalizar los Procesos de Reclutamiento, Seleccin de Personal y Evaluacin de
Desempeo en la Empresa C.A. Papeles Recubiertos, Mora V., Universidad Bicentenaria de Aragua, 1996; siendo el objetivo
general, el desarrollo de un sistema para normalizar los procesos de reclutamiento, seleccin de personal y evaluacin del
desempeo de la empresa, a fin de integrar el sistema y mantener la confiabilidad en las claves de acceso al sistema
automatizado. Esta investigacin fue de tipo descriptivo en la modalidad de proyecto factible, utilizando la metodologa de
Senn, tomando como poblaci6n a la empresa CA. Papeles Recubiertos. De esta manera, el aporte de este trabajo a la
investigacin en estudio es que pone de manifiesto la importancia de normalizar los procesos administrativos para integrarlos,
contribuyendo con ello a mejorar los procesos de forma efectiva Por otra parte, permite visualizar la importancia de controlar
el

acceso
en
los
sistemas
automatizados.
Sistema de Informacin Gerencial Orientado a Ia Toma de Decisiones en el Sector Financiero de Clover International C.A.,
Barreto, Ignacio Universidad Bicentenana de Aragua - Valencia Venezuela (1994). Esta investigacin plante como objetivo
general desarrollar e implantar un Sistema de Informacin Gerencial, especialmente dirigido a dar mayor apoyo al proceso de
toma de decisiones financieras, que conforman ese sistema de administracin total para agilizar dicho proceso con miras a
mejorar la calidad de las decisiones en pro de un mejor servicio y aumentar la satisfaccin de la clientela. El presente estudio
aport conocimientos relevantes a la investigacin en cuanto a las herramientas y tcnicas a utilizar sirviendo de base para
seleccionar
las
que
sern
utilizadas.
ALCANCE
La Direccin de Relaciones de Trabajo, es una de las Direcciones que tiene influencia directa en la calidad de vida de todo el
personal que conforma la comunidad universitaria; ya que en ella se realizan todos los trmites relacionados con todos los
subsistemas de Recursos Humanos, los cuales incluyen aspectos socioeconmicos del personal que la integra.
La Direccin de Relaciones de Trabajo, mediante sus procesos, comunicaciones, asesoras y sus practicas disciplinarias,
maneja y genera mucha informacin, a travs de cada una de sus unidades, departamentos y secciones.
En la Direccin de Relaciones de Trabajo; no existe una administracin eficaz de la informacin, ya que hay en da para
subsistir y tomar decisiones es necesario manejar informacin oportuna de diversas fuentes tanto interna como externa. En la
actualidad sta Direccin no dispone de un Sistema de Informacin, que le permita generar, procesar, almacenar y ms tarde
recuperar la informacin necesaria para su eficiente funcionamiento gerencial. Entonces se plantea que el problemas es que la
informacin que fluye en los subsistemas que la conforman, con frecuencia se pierden, se distorsionan o se retrasan, y los
subsistemas
no
se
sirven
de
ella
adecuadamente.
As, un Sistema de Informacin Gerencial bien diseado le permitir a la Direccin de Relaciones de Trabajo que todos sus
subsistemas, se entrelacen a travs de la informacin que se genere en cada uno y adems, se podr ofrecer informacin rpida,
menos costosa y ms completa para la toma de decisiones gerenciales; adicionalmente permitir el aprovechamiento de dos
elementos claves: la informacin oportuna, veraz, y la eficiencia de la toma de decisiones del personal que en ella labora. Por
lo que este estudio se limitar al anlisis de uno de los procesos que se realiza en la Direccin de Relaciones de Trabajo,
especficamente el Proceso de Seleccin del Personal que ingresar a la Institucin, ya que este proceso permite la recoleccin
de la data o informacin que alimente los subsiguientes procesos.
A travs de las mltiples generaciones desde los aos 50, Japn haba sido el seguidor en trminos del adelanto y construccin
de las computadoras basadas en los modelos desarrollados en los Estados Unidos y el Reino Unido. Japn, a travs de su
Ministerio de Economa, Comercio e Industria (MITI) decidi romper con esta naturaleza de seguir a los lderes y a mediados
de la dcada de los 70 comenz a abrirse camino hacia un futuro en la industria de la informtica. El Centro de Desarrollo y
Proceso de la Informacin de Japn (JIPDEC) fue el encargado llevar a cabo un plan para desarrollar el proyecto. En 1979
ofrecieron un contrato de tres aos para realizar estudios ms profundos con la participacin conjunta de empresas de la
industria dedicadas a la tecnologa e instituciones acadmicas, a instancias de Hazime Hiroshi. Fue durante este perodo
cuando el trmino "computadora de quinta generacin" comenz a ser utilizado.
En 1981a iniciativa del MITI se celebr una Conferencia Internacional, durante la cual Kazuhiro Fuchi anunci el programa de
investigacin y el 14 de abrilde1982el gobierno decidi lanzar oficialmente el proyecto, creando elInstitute for New
Generation Computer Technology (Instituto para la Nueva Generacin de Tecnologas de Computacin o ICOT por sus siglas
en ingls), bajo la direccin de Fuchi, a quien sucedera en el puesto como director del instituto Tohru Moto-Oka, y con la
participacin de investigadores de diversas empresas japonesas dedicadas al desarrollo de hardware y software, entre ellas
Fujitsu,NEC,Matsushita,Oki,Hitachi,ToshibaySharp.[5]

Los campos principales para la investigacin de este proyecto inicialmente eran:
Tecnologas para el proceso del conocimiento.
Tecnologas para procesar bases de datos y bases de conocimiento masivo.
Sitios de trabajo del alto rendimiento.
Informticas funcionales distribuidas.
Supercomputadoraspara el clculo cientfico.
Impacto institucional internacional

Debido a la conmocin suscitada que caus que los japoneses fueran exitosos en el rea de los artculos electrnicos durante la
dcada de los 70, y que prcticamente hicieran lo mismo en el rea de la automocin durante los 80, el proyecto de la quinta
generacin tuvo mucha reputacin entre los otros pases.
Tal fue su impacto que se crearon proyectos paralelos. En Estados Unidos, la Microelectronics and Computer Technology
Corporation[6]y laStrategic Computing Initiative; por parte europea, en Reino Unidofue ALVEY[6], y en el resto de Europa su
reaccin fue conocida como ESPRIT(European Strategic Programme for Research in Information Technology, en espaol
Programa Estratgico Europeo en Investigacin de la Tecnologa de la Informacin).
Popularidad internacional
Aparte de las reacciones a nivel institucional, en un plano ms popular comenz a ser conocido en Occidentegracias a la
aparicin de libros en los que se hablaba del proyecto de manera ms o menos directa o era citado [7]pero principalmente por
artculos aparecidos en revistas dedicadas a los aficionados a la informtica; as por ejemplo, en el nmero de agosto de 1984
de la estadounidense Creative Computing se public un artculo que trataba ampliamente el tema, "The fifth generation:
Japan's computer challenge to the world"[8](traducido, La Quinta Generacin: El desafo informtico japons al mundo). En
el mbito de habla hispana se puede citar por ejemplo a la revista MicroHobby, que en julio de 1985 public [9]una entrevista a
Juan Pazos Sierra, Doctorado en Informtica y vinculado en aquella poca a la Facultad de Informtica de la Universidad de
Madrid, en la que describa someramente el proyecto como:
...un proyecto japons que tiene unas caractersticas curiosas y especiales; en primer lugar, la pretensin es construir un
computador basado en tecnologa VLSI, con una arquitectura no Von Neumann y que llevara como ncleo de software la
programacin lgica, el lenguaje PROLOG, para construir finalmente sobre todo esto Sistemas Expertos.
College para Adultos no es tarde para lograr

www.InnovaCollege.com/AdultosEnlaces patrocinados
tu
ttulo College
norteamericano,
en
espanol
Y sobre sus potenciales resultados, expresaba una opinin relativamente optimista, en la lnea de lo augurado por los propios
promotores del proyecto. As, ante la pregunta de si se haba obtenido algn resultado en el mismo, responda:
De momento, nada. Se va a desarrollar muchsimo lo que ya existe, aparecern nuevas tecnologas, nuevos Sistemas Expertos
y la investigacin se ver enormemente potenciada por la tremenda inyeccin de dinero que el proyecto quinta generacin ha
supuesto para la Inteligencia Artificial.
Por su parte,Romn Gubern, en su ensayo El simio informatizado de 1987, consideraba que:
...el ordenador de quinta generacin es un verdadero intento de duplicacin tecnolgica del intelecto del Homo sapiens.[10]
1.1.- Antecedentes de la investigacin.

Es el conjunto de hechos, sucesos y acontecimientos ocurridos anteriormente a la formulacin del problema, los cuales sirven
para aclarar, juzgar e interpretar la situacin que investigamos, por lo tanto su propsito es el de ayudar al investigador a
definir las estrategias metodolgicas que vamos a seguir.
Contenido del antecedente.
Se debe sealar el ttulo del trabajo, autor y ao, los objetivos y los hallazgos de la misma, de esta forma estas ubicando el
problema en un contexto histrico que permitir al jurado de la tesis la definicin de un marco amplio,
1.2.- Bases tericas
Es el conjunto de proposiciones y conceptos tendientes a xplicar el fenmeno que planteamos. Sabino en El Proyecto de
Investigacin Pag. 39 sugiere considerar los siguientes aspectos:
/.- Ubicacin del problema en un enfoque terico determinado.
/.- Relacin entre la teora y el objeto de estudio.
/.- La posicin de diferentes autores sobre el problema que investigamos.
/.- Adopcin de una postura justificada por parte del investigador.
/.- Definicin de los trminos relacionados con la variable, aclarando el sentido en que se utilizan las palabras o conceptos.
Uno de los errores ms comunes en la elaboracin de los trabajos de grado consiste en confundir la conceptualizacin de la
variables, sus explicaciones genricas y tericas con la instrumentacin y operacionalizacin de las mismas producto de la
recopilacin de los datos y la aplicacin de los respectivos instrumentos o tcnicas lo cual es sin duda materia del marco
metodolgico, es decir las explicaciones, los conceptos afines o diferentes de los diferentes trminos que tienen que ver con las
variables corresponden al marco terico, pero su comportamiento producto de la investigacin y los cruces que solemos hacer
de ellas en los diferentes instrumentos de representacin en unicamente parte del marco metodolgico.
1.3 Antecedentes de la empresa.
La empresa constituye el marco espacial donde se realiza la investigacin y las caractersticas de la misma deben ser expuestas
con suficiente claridad de tal manera que el receptor pueda adquirir una dimensin completa del lugar donde se genera el
problema, sin que ello signifique atiborrar al trabajo de informaciones innecesarias y de cuadros estadsticos superfluos que no
abordan el fondo del organismo. En este sentido es conveniente establecer los siguientes parmetros:
Creacin de la empresa: Su origen, Por quienes?, Dnde? El propsito, la fecha, el ramo de industria al cual se dedicara, su
evolucin a nivel de algunos cambios de ramos de produccin, de directivos.
Actualidad de la empresa: Sus objetivos, su estructura, la funcionalidad, el capital, ubicacin de sus agencias, las bases legales,
RIF y documentos de registros, los problemas ms notorios, como endeudamiento, financiamiento, hipotecas, deudas, gastos
en personal e insumos, productos terminados, mercados Etc. Recomendamos a los alumnos solicitar como documento
importante el manual de organizacin y el registro de la empresa; pero a veces el problema se focaliza en una unidad especfica
de la empresa y entonces debemos determinar las caractersticas especificas de ese departamento en cuanto a sus funciones,
personal, atribuciones, e interrelacin con las otras unidades,

1.4.- Bases legales de la investigacin.
Est constituida por el conjunto de documentos de naturaleza legal que sirven de testimonio referencial y de soporte a la
investigacin que realizamos, entre esos documentos tenemos:
Normas
Leyes
Reglamentos
Decretos
Resoluciones
Y las encontramos normalmente en: la Gaceta Oficial a la cual hay que indicarle su nmero y fecha de edicin, las leyes
aprobadas por el ente legislativo, en las actas aprobadas por las Juntas Directivas, en los Registros, en las notaras, cuando se
trata de empresas es conveniente y necesario disponer del manual de organizacin por cuanto en l estn datos tales como el
registro de la empresa: sus objetivos, fines, estructura, antecedentes, el RIF Etc. Otros documentos menores; pero no menos
importante los constituyen las resoluciones de los rganos ejecutivos de la organizacin que estudiamos que en la mayora de
los casos pueden estar reflejados en los memorando, actas e informes.
1.5.- Sistema actual de la investigacin.
Resulta del estudio de los antecedentes, se refiere al momento en el cual realizamos la investigacin, el cmo se encuentra el
problema en la actualidad, sus problemas e inconvenientes, sus obstculos y logros, es una fotografa actualizada del problema
sealando los pormenores que lo caracterizan.
1.6.- Sistema de variables
1.6.- Sistema de Variables:
Es una propiedad que puede variar y cuya variacin es susceptible de medirse Sampieri P. 75
Las variables son los elementos que vamos a medir, controlar y estudiar dentro del problema formulado, de all que se requiera
la posibilidad real y cierta de que se puedan cuantificar. Ese trabajo de manejarlas, insertarlas en cuadros, manipularlas en los
instrumentos del caso se llama operacionalizacin.
En las variables es importante:
0.- Conocer sus dimensiones
0.- Debe estar planteada en el problema
0.- Tiene una relacin directa con los objetivos formulados en el proyecto de investigacin.
0.- Implica necesariamente el manejo de los indicadores que aportarn elementos importantes a la hora de las conclusiones.
Dimensiones de las variables: son los grandes bloques estructurales de la variable susceptible de ser descompuesta en los
indicadores.

Los indicadores constituyen el conjunto de actividades o caractersticas propias de un concepto o enunciado, son elementos
especficos y concretos Ej.
Problema. Clasificacin de las empresas venezolanas
Variable: empresas venezolanas
Dimensiones: Tecnolgicas, qumicas, elctricas, petroleras Etc.
Indicadores: la existencia de cada una de ellas en los diferentes estados.
Variable Dimensiones Indicadores Valores
Clasificacin de Qumicas Cant. existencia 10
Las empresas ve- Elctricas
nezolanas
Los indicadores precisan la informacin, la cuantifican y de alguna manera la detallan y conducen al conocimiento real y
exacto de la informacin, y despus ser manejadas en bloque, como un resultado total, a partir de cual se puedan extraer
conclusiones parciales que unidas a los otros cuadros pueden dar una informacin aproximada a la hiptesis formulada.
Al operacionalizar las variables es conveniente tener presente el cuadro que nos trae Tulio Ramrez en el libro Como Hacer un
Proyecto de Investigacin que nos parece muy prctico y aconsejable:
Variables Dimensiones Indicadores Fuentes Tcnica Instrumentos
Captulo III Marco Metodolgico
FORMULACION DE PROBLEMA
Proteger los activos de la empresa frente a posibles amenazas que ofrece permanentemente el medio, es un gran
desafo. Este inters crece an ms cuando la informacin cobra importancia para sobrevivir frente a la
competencia y permanecer en el mercado; factores como el uso de internet y dems herramientas que facilitan la
comunicacin traen consigo innumerables ventajas, pero igualmente enfrentan a la organizacin a otros
problemas que anteriormente no existan. La materializacin de amenazas que alteran o destruyen la informacin,
crea la necesidad de disear e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos
de riesgos que estn relacionados con las tecnologas de informacin.

En la Secretara de Salud de Bucaramanga se maneja informacin de gran importancia teniendo en cuenta que
son recursos del estado y requieren la proteccin de los datos, en la mayora de los casos la informacin no
cuenta con los estndares de seguridad necesarios, para el acceso y uso de los archivos, de ah surge la
necesidad de implementar un sistema que permita disminuir las vulnerabilidades al que est expuesto el sistema
de informacin.
Con el tiempo el hombre ha venido desarrollando metodologas que le permita, enfrentar las amenazas mediante
el uso racional del conocimiento y tecnologas a su alcance, por medio de la administracin de los riesgos
podemos identificar, analizar, evaluar y realizar un control fsico, lgico y financiero a los que est expuesta la
Secretaria
Para mejora y garantizar la calidad de los datos la empresa cuenta con normas, estndares y herramientas que
buscan brindar una informacin veraz, oportuna, confiable con el fin de que la informacin este protegida y fuera
del alcance de algn intruso, pero estos mtodos y tcnicas no son suficientes, porque la mayora del personal
que maneja este sistema no cuenta con los conocimientos necesarios y no sabe la importancia de la proteccin de
la informacin para la empresa.
Una de las principales debilidades en los sistemas de informacin es la falta de aplicabilidad de los estndares, ya
que no cumplen las pautas necesarias para que un sistema est protegido y esto causa daos los cuales
podemos corregir por medio de unas normas, con el fin de aprovechar todos los recursos.

OBJETIVOS
OBJETIVO GENERAL:
Disear una poltica de seguridad de la informacin para la Secretaria de Salud de Bucaramanga que facilite el
control, proteccin, disponibilidad, confiabilidad e integridad de la informacin, con el fin de resolver los problemas
generados por las vulnerabilidades.
OBJETIVOS ESPECIFICOS:
Identificar las principales vulnerabilidades a las que estn expuestos los sistemas de informacin de la
Secretara de Salud de Bucaramanga, a travs de un anlisis de la infraestructura actual y sus riesgos
asociados.
Proponer un conjunto de normas y mecanismos necesarios para garantizar la seguridad de la informacin
en la Secretara de Salud de Bucaramanga.
Capacitar a los usuarios sobre la importancia de la proteccin de la informacin y las polticas de seguridad
propuestas para la Secretara de Salud de Bucaramanga.

JUSTIFICACION
Los sistemas de informacin y los datos almacenados son uno de los recursos ms valiosos con los que puede
contar la Secretaria de salud. La necesidad imperante del flujo de informacin y el traslado de recursos de un sitio
a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de
comunicacin y toda la informacin que contienen sus nodos. Proteger la informacin y los recursos tecnolgicos
informticos es una tarea continua y de vital importancia que debe darse en la medida en que avanza la
tecnologa, ya que las tcnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y
como resultado los atacantes son cada vez ms numerosos, mejor organizados y con mejores capacidades. Las
amenazas que se pueden presentar provienen tanto de agentes externos como de agentes internos, por eso es
importante para la Secretaria de Salud de Bucaramanga definir una estrategia de seguridad fundamentada en
polticas que estn respaldadas por todos los miembros de la organizacin, de forma que se reduzca la
probabilidad de prdida de recursos por causa de los ataques a los que est expuesta.
Se debe considerar que la violacin de la seguridad en un sistema podra llegar a afectar gravemente las
operaciones ms importantes de la Secretaria y dejarla expuesta a la cualquier vulnerabilidad.
Considerando que la Secretaria de Salud no cuenta con una poltica clara sobre cmo crear una estrategia de
seguridad, cmo definir las polticas de seguridad, cules son los recursos que se deben proteger, qu
procedimientos debe tener la empresa para cumplir los objetivos de seguridad, qu personas deben estar
involucradas en el establecimiento de las polticas y quines deben velar por hacerlas cumplir; se ve la necesidad
a travs de esta monografa de desarrollar una poltica que busque cumplir todas estas necesidades.
Antecedentes
hacer uso de los correos electrnicos corporativos as como la conexin permanente hacia el intranet y extranet, pues
estos componentes de la tecnologa de la informacin hacen vulnerables a los sistemas de informacin de las
organizaciones pudiendo comprometer y caer en otras manos la informacin estratgica. Los niveles de riesgo son
grandes por esto se debe prever todo tipo de exposicin a los piratas de la informacin as como a los hackers y crakers.
*Los
* *Prevencin de riesgos en intranet
encriptamientos.

Es difcil algunos segmentos de las sociedades que no hayan visto afectado, de alguna forma, por el manejo de la informacin.
De hecho, durante la historia se ha tenido la necesidad de usar distintos sistemas de informacin para ejecutar las labores.
Entre los antecedentes encontrados en esta investigacin se tienen los siguientes:
Para Naranjo (1998), en su trabajo de grado titulado Diseo de un Sistema de Informacin Gerencial que sirva de apoyo en la
Toma de Decisiones de la Alta Gerencia del Grupo Qumico, plante como objetivo general proponer un sistema automatizado
que permitiera el manejo de la informacin en forma grfica y resumida para dar apoyo a la toma de decisiones por parte de la
alta gerencia del grupo qumico para mejorar el manejo del negocio, el cual para lograr su objetivo estudi el funcionamiento
del sistema actual que posean (sus debilidades y fortalezas, los requerimientos de la informacin por parte de la gerencia, las
reas que formaran parte del sistema de apoyo gerencial, donde recomend al finalizar el diseo del sistema de informacin
gerencial, su implantacin con la finalidad de que la alta gerencia cuenta con una herramienta poderosa en el manejo de la
informacin, sugerencia que se relaciona con el desarrollo de la investigacin planteada, ya que con la implantacin de una
proceso automatizado, los investigadores pretenden mejorar, el mecanismo del control de la informacin, a objeto de obtener
una verificacin rpida de la data, sobre determinadas operaciones que le permitan aplicar oportunamente de controles
administrativos en pro de la organizacin y el servicio al cliente.
Ahora bien, Quintero en el 2001, realiz una investigacin titulada "Implantacin de un Nuevo Sistema de Control de
Inventarios e Investigacin Acerca de los Resultados de su Aplicacin", plantendose como objetivo general, estudiar y realizar
el Sistema de Control de Investigacin de la empresa y aplicar ajuste, correcciones y adaptaciones que sean necesarias para
garantizar el acuerdo abastecimiento, logran llegar a la siguiente conclusin:
Un sistema de control de inventarios diseados especialmente paras las necesidades de la empresa constituye un factor esencial
en las polticas de produccin y venta as como en las proyecciones funcionales, puesto que permite garantizar el adecuado,
suficiente y oportuno suministro de materia prima para la produccin con el mnimo posible de inversin esttica en los
inventarios que lo supone y significa ahorro de dinero y racionalidad de la produccin.
El software de monitoreo fue desarrollado en el lenguaje Visual Basic 5.0 para realizar una interfaces basadas en Windows 95.
la filosofa del proyecto es que el sistema pueda ser utilizado por cualquier persona, tanto en su parte de configuracin como en
su parte de monitoreo, para no tener necesidad de contratar personas especializadas en los equipos del sistema para su
configuracin y establecimiento en el nodo; se utiliz una librera llamada Powertcp para el manejo del protocolo SNMP bajo
TCP/IP y el Sistema esta en la capacidad de agregar, remover y configurar cada nodo.
De igual manera, Bauza (2002), realiz una investigacin titulada Sistema IABN (Instituto Autnomo Biblioteca Nacional),
ella fue de tipo estructural o de sistema, en donde se propuso el desarrollo de un modelo operativo factible, adems, esto
permiti elaborar un instrumento para un sistema operativo viable, con el objetivo de solucionar problemas de procedimientos
y normas, as como de tipo practico por medio de la cual se garantizaba un servicio que prestamos con la calidad que (IABN)
brinda a toda la nacin. Los datos fueron obtenidos a travs del cuestionario diagnosticado, estos fueron basados en una matriz
de doble entrada y expresados en trminos porcentuales por medio de procedimientos estadsticos. Este trabajo propona una
base de datos que fuera dirigida a facilitar el servicio de prestamos centralizados de libros y otros documentos.
Tambin se tiene en la tesis de grado realizado por Ercolino en el ao 2001, que llev por ttulo el diseo y manejo de un
sistema de monitoreo y control remoto para los nodos de telecomunicaciones que conforman la red de servicios de Impsat S.A.
de la Universidad Metropolitana tiene como objetivo principal, establecer un sistema que sea capaz de monitorear los equipos
de potencia del nodo y adems algunas variables externas necesarias, para el buen funcionamiento de este. Adems se propuso
un esquema de potencia robusto a las fallas as como tambin el diseo del sistema de monitoreo necesario para llevar un
control sobre los nodos, tanto en la parte de tipos de potencia tanto en la parte de variables fsicas necesarias.
A travs de la historia se han realizado distintos tipos de auditora, tanto al comercio como a las finanzas de los
gobiernos. El significado del auditor fue persona que oye, y fue apropiado en la poca durante la cual los

registros de contabilidad gubernamental eran aprobados solamente despus de la lectura pblica en la cual las
cuentas eran ledas en voz alta. Desde tiempos medievales, y durante la revolucin Industrial, se realizaban
auditoras para determinar si las personas en posiciones de responsabilidad oficial en el gobierno y en el comercio
estaban actuando y presentado informacin
CAUSAS Y ORIGEN DE LA vulnerabilidades de la informacin

MARCO DE REFERENCIA
MARCO HISTRICO
El hombre ha resguardado y protegido con esfuerzo sus conocimientos, desde tiempos inmemorables, debido a la
superioridad y poder que ste le produca sobre otros hombres o sociedades. En la antigedad surgen las
bibliotecas, lugares donde se poda resguardar la informacin para trasmitirla y evitar que otros la obtuvieran,
siendo esto alguna de las primeras muestras de proteccin de la informacin.
La informacin tiene un papel importante en los diferentes acontecimientos que han sucedido en el transcurso de
los seres humanos, como las guerras ya que con esto se tomaba la mejor decisin y sacaba una mayor ventaja
sobre sus adversarios, se crean las redes de espionaje con el fin de obtener informacin valiosa e influyente y
surge diferentes formas de proteccin.
Con el devenir de los aos al incrementarse el alcance de la tecnologa, el cuidado de la informacin se ha vuelto
crucial y confidencial, la informacin est centralizada y puede tener un alto valor, puede ser divulgada, mal
utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo, para los hombres, las
organizaciones y las sociedades.
La informacin es poder y se le conoce como critica, sensitiva, valiosa, por tanto surge la necesidad de a segurar
la informacin, identificando los problemas, realizando una anlisis de riesgo, la comunicacin, la integridad, la
disponibilidad, confidencialidad y recuperacin de los riesgos. La seguridad de la Informacin tiene como fin la
proteccin de los datos y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin
no autorizada.
MARCO TEORICO
El sistema de informacin tiene una gran importancia, es un conjunto de elementos orientados al tratamiento y
administracin de la informacin, organizada y lista para su posterior uso, la comunicacin o adquisicin de
conocimientos permiten ampliar o precisar los que se poseen sobre un dato, con el fin de brindar ayuda y resolver
problemas, la necesidad constante de los seres humanos de aprender e indagar hace que la informacin juegue
un papel importante en la sociedad.

Los principales elementos del sistema de Informacin son las personas, los datos, las actividades o tcnicas de
trabajo, los recursos materiales, todos ellos interactan entre s para procesar los datos, con el fin de distribuirlo
de la mejor manera posible en una determinada organizacin en funcin de sus objetivos.
Un sistema de informacin efecta cuatro actividades primordiales: entrada, almacenamiento, procesamiento y

salida de la informacin, con el fin de cumplir los propsitos bsicos de la organizacin, asegurando la
automatizacin de los procesos operativos, proporcionando datos que sirven de soporte para el proceso de la
toma de decisiones, esto con el fin de lograr una ventaja a travs de su implementacin y uso.
El desarrollo tecnolgico y el aumento de los medios de informacin brindan herramientas que facilitan el acceso
al conocimiento y al manejo de los datos, con ello se crean riesgos y diferentes tipos de amenazas a los que se
ven enfrentadas las organizaciones, surge la necesidad de resguardar los datos, por lo tanto se cuenta con
normas y mecanismos los cuales buscan identificar las debilidades, los peligros e intrusos que acceden a los
archivos, con el fin de que el sistema de informacin cumpla las caractersticas necesarias para garantizar su
seguridad, confidencialidad, disponibilidad e integridad de los datos,
ya que es de vital importancia para la
organizacin.
El recurso humano es uno de los elementos ms importantes ya que interactan con el Sistema de Informacin,
el cual est formado por las personas que utilizan el sistema y estas a sus vez son las principales amenazas
internas ya que por la falta de seguridad y controles pueden hacer un mala administracin y uso de los datos.
metodologas para la identificacin de riesgos informticos
MARCO CONCEPTUAL
Sistema de informacin: Es un sistema automatizado o manual que involucra personas, maquinas y/o
mtodos organizados de recoleccin, proceso, transmisin y clasificacin de datos. El objetivo del sistema
de informacin es proporcionar datos necesarios para un determinado mbito de la organizacin, con el fin
de conducir, controlar y apoyar la estrategia corporativa.
Entrada de informacin: Proceso mediante el cual el sistema de informacin toma los datos que requiere
para procesar la informacin, esto pueden ser manuales o automticos.

Proceso de informacin: La capacidad que tiene el sistema para realizar las operaciones de clculo o
funciones suministradas por el sistema, esto puede realizarse con datos adquiridos por el sistema
recientemente o datos almacenados dentro del sistema permitiendo as la transformacin de los datos o el
cambio que queramos realizar en ellos.
Almacenamiento de informacin: Es una de las actividades ms importantes ya que este opera cuando la
informacin ya est lista para salir del sistema este proceso se puede realizar mediante los dispositivos de
almacenamiento internos o externos.
Salida de informacin: Proceso en donde el sistema tiene la capacidad de sacar la informacin que ingreso
al sistema y luego fue procesada, esta funcin se lleva con xito por los perifricos de salida, y de
almacenamiento segn lo que requiera el usuario.
Riesgo: La explotacin de una vulnerabilidad por parte de una amenaza.
Amenaza: Cualquier accin o evento que puede ocasionar consecuencias adversas.
Amenazas internas: Estas amenazas pueden ser ms serias que las externas, ya que los usuarios conocen
la red y saben cmo es su funcionamiento, tienen algn nivel de acceso a la red por las mismas
necesidades de su trabajo.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener informacin
certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella
y buscar la manera de atacarla.
Confidencialidad: Asegurar que slo los individuos autorizados tengan acceso a los recursos que se
intercambian.
Integridad: Determinar si se han alterado los datos durante la transmisin (accidental o intencionalmente).
Disponibilidad: Garantizar el acceso a un servicio o a los recursos.
Normas: Establece los lmites permisibles de acciones y procesos para cumplir con las polticas.

Intruso: Persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido
(cracker, defacer, script kiddie o Script boy, etc.).
Controles: Cualquier accin o proceso que se utiliza para mitigar el riesgo.
FORMULACION DE PROBLEMA
Proteger los activos de la empresa frente a posibles amenazas que ofrece permanentemente el medio, es un gran
desafo. Este inters crece an ms cuando la informacin cobra importancia para sobrevivir frente a la
competencia y permanecer en el mercado; factores como el uso de internet y dems herramientas que facilitan la
comunicacin traen consigo innumerables ventajas, pero igualmente enfrentan a la organizacin a otros
problemas que anteriormente no existan. La materializacin de amenazas que alteran o destruyen la informacin,
crea la necesidad de disear e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos
de riesgos que estn relacionados con las tecnologas de informacin.
En la Secretara de Salud de Bucaramanga se maneja informacin de gran importancia teniendo en cuenta que
son recursos del estado y requieren la proteccin de los datos, en la mayora de los casos la informacin no
cuenta con los estndares de seguridad necesarios, para el acceso y uso de los archivos, de ah surge la
necesidad de implementar un sistema que permita disminuir las vulnerabilidades al que est expuesto el sistema
de informacin.
Con el tiempo el hombre ha venido desarrollando metodologas que le permita, enfrentar las amenazas mediante
el uso racional del conocimiento y tecnologas a su alcance, por medio de la administracin de los riesgos
podemos identificar, analizar, evaluar y realizar un control fsico, lgico y financiero a los que est expuesta la
Secretaria
Para mejora y garantizar la calidad de los datos la empresa cuenta con normas, estndares y herramientas que
buscan brindar una informacin veraz, oportuna, confiable con el fin de que la informacin este protegida y fuera
del alcance de algn intruso, pero estos mtodos y tcnicas no son suficientes, porque la mayora del personal
que maneja este sistema no cuenta con los conocimientos necesarios y no sabe la importancia de la proteccin de
la informacin para la empresa.

Una de las principales debilidades en los sistemas de informacin es la falta de aplicabilidad de los estndares, ya
que no cumplen las pautas necesarias para que un sistema est protegido y esto causa daos los cuales
podemos corregir por medio de unas normas, con el fin de aprovechar todos los recursos.
OBJETIVOS
OBJETIVO GENERAL:
Disear una poltica de seguridad de la informacin para la Secretaria de Salud de Bucaramanga que facilite el
control, proteccin, disponibilidad, confiabilidad e integridad de la informacin, con el fin de resolver los problemas
generados por las vulnerabilidades.
OBJETIVOS ESPECIFICOS:
Identificar las principales vulnerabilidades a las que estn expuestos los sistemas de informacin de la
Secretara de Salud de Bucaramanga, a travs de un anlisis de la infraestructura actual y sus riesgos
asociados.
Proponer un conjunto de normas y mecanismos necesarios para garantizar la seguridad de la informacin
en la Secretara de Salud de Bucaramanga.
Capacitar a los usuarios sobre la importancia de la proteccin de la informacin y las polticas de seguridad
propuestas para la Secretara de Salud de Bucaramanga.

JUSTIFICACION
Los sistemas de informacin y los datos almacenados son uno de los recursos ms valiosos con los que puede
contar la Secretaria de salud. La necesidad imperante del flujo de informacin y el traslado de recursos de un sitio
a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de
comunicacin y toda la informacin que contienen sus nodos. Proteger la informacin y los recursos tecnolgicos
informticos es una tarea continua y de vital importancia que debe darse en la medida en que avanza la
tecnologa, ya que las tcnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y
como resultado los atacantes son cada vez ms numerosos, mejor organizados y con mejores capacidades. Las
amenazas que se pueden presentar provienen tanto de agentes externos como de agentes internos, por eso es
importante para la Secretaria de Salud de Bucaramanga definir una estrategia de seguridad fundamentada en
polticas que estn respaldadas por todos los miembros de la organizacin, de forma que se reduzca la
probabilidad de prdida de recursos por causa de los ataques a los que est expuesta.
Se debe considerar que la violacin de la seguridad en un sistema podra llegar a afectar gravemente las
operaciones ms importantes de la Secretaria y dejarla expuesta a la cualquier vulnerabilidad.
Considerando que la Secretaria de Salud no cuenta con una poltica clara sobre cmo crear una estrategia de
seguridad, cmo definir las polticas de seguridad, cules son los recursos que se deben proteger, qu
procedimientos debe tener la empresa para cumplir los objetivos de seguridad, qu personas deben estar
involucradas en el establecimiento de las polticas y quines deben velar por hacerlas cumplir; se ve la necesidad
a travs de esta monografa de desarrollar una poltica que busque cumplir todas estas necesidades.
Antecedentes
hacer uso de los correos electrnicos corporativos as como la conexin permanente hacia el intranet y extranet, pues
estos componentes de la tecnologa de la informacin hacen vulnerables a los sistemas de informacin de las
organizaciones pudiendo comprometer y caer en otras manos la informacin estratgica. Los niveles de riesgo son
grandes por esto se debe prever todo tipo de exposicin a los piratas de la informacin as como a los hackers y crakers.
*Los
* *Prevencin de riesgos en intranet
encriptamientos.

Es difcil algunos segmentos de las sociedades que no hayan visto afectado, de alguna forma, por el manejo de la informacin.
De hecho, durante la historia se ha tenido la necesidad de usar distintos sistemas de informacin para ejecutar las labores.
Entre los antecedentes encontrados en esta investigacin se tienen los siguientes:
Para Naranjo (1998), en su trabajo de grado titulado Diseo de un Sistema de Informacin Gerencial que sirva de apoyo en la
Toma de Decisiones de la Alta Gerencia del Grupo Qumico, plante como objetivo general proponer un sistema automatizado
que permitiera el manejo de la informacin en forma grfica y resumida para dar apoyo a la toma de decisiones por parte de la
alta gerencia del grupo qumico para mejorar el manejo del negocio, el cual para lograr su objetivo estudi el funcionamiento
del sistema actual que posean (sus debilidades y fortalezas, los requerimientos de la informacin por parte de la gerencia, las
reas que formaran parte del sistema de apoyo gerencial, donde recomend al finalizar el diseo del sistema de informacin
gerencial, su implantacin con la finalidad de que la alta gerencia cuenta con una herramienta poderosa en el manejo de la
informacin, sugerencia que se relaciona con el desarrollo de la investigacin planteada, ya que con la implantacin de una
proceso automatizado, los investigadores pretenden mejorar, el mecanismo del control de la informacin, a objeto de obtener
una verificacin rpida de la data, sobre determinadas operaciones que le permitan aplicar oportunamente de controles
administrativos en pro de la organizacin y el servicio al cliente.
Ahora bien, Quintero en el 2001, realiz una investigacin titulada "Implantacin de un Nuevo Sistema de Control de
Inventarios e Investigacin Acerca de los Resultados de su Aplicacin", plantendose como objetivo general, estudiar y realizar
el Sistema de Control de Investigacin de la empresa y aplicar ajuste, correcciones y adaptaciones que sean necesarias para
garantizar el acuerdo abastecimiento, logran llegar a la siguiente conclusin:
Un sistema de control de inventarios diseados especialmente paras las necesidades de la empresa constituye un factor esencial
en las polticas de produccin y venta as como en las proyecciones funcionales, puesto que permite garantizar el adecuado,
suficiente y oportuno suministro de materia prima para la produccin con el mnimo posible de inversin esttica en los
inventarios que lo supone y significa ahorro de dinero y racionalidad de la produccin.
El software de monitoreo fue desarrollado en el lenguaje Visual Basic 5.0 para realizar una interfaces basadas en Windows 95.
la filosofa del proyecto es que el sistema pueda ser utilizado por cualquier persona, tanto en su parte de configuracin como en
su parte de monitoreo, para no tener necesidad de contratar personas especializadas en los equipos del sistema para su
configuracin y establecimiento en el nodo; se utiliz una librera llamada Powertcp para el manejo del protocolo SNMP bajo
TCP/IP y el Sistema esta en la capacidad de agregar, remover y configurar cada nodo.
De igual manera, Bauza (2002), realiz una investigacin titulada Sistema IABN (Instituto Autnomo Biblioteca Nacional),
ella fue de tipo estructural o de sistema, en donde se propuso el desarrollo de un modelo operativo factible, adems, esto
permiti elaborar un instrumento para un sistema operativo viable, con el objetivo de solucionar problemas de procedimientos
y normas, as como de tipo practico por medio de la cual se garantizaba un servicio que prestamos con la calidad que (IABN)
brinda a toda la nacin. Los datos fueron obtenidos a travs del cuestionario diagnosticado, estos fueron basados en una matriz
de doble entrada y expresados en trminos porcentuales por medio de procedimientos estadsticos. Este trabajo propona una
base de datos que fuera dirigida a facilitar el servicio de prestamos centralizados de libros y otros documentos.
Tambin se tiene en la tesis de grado realizado por Ercolino en el ao 2001, que llev por ttulo el diseo y manejo de un
sistema de monitoreo y control remoto para los nodos de telecomunicaciones que conforman la red de servicios de Impsat S.A.
de la Universidad Metropolitana tiene como objetivo principal, establecer un sistema que sea capaz de monitorear los equipos
de potencia del nodo y adems algunas variables externas necesarias, para el buen funcionamiento de este. Adems se propuso
un esquema de potencia robusto a las fallas as como tambin el diseo del sistema de monitoreo necesario para llevar un
control sobre los nodos, tanto en la parte de tipos de potencia tanto en la parte de variables fsicas necesarias.
A travs de la historia se han realizado distintos tipos de auditora, tanto al comercio como a las finanzas de los
gobiernos. El significado del auditor fue persona que oye, y fue apropiado en la poca durante la cual los

registros de contabilidad gubernamental eran aprobados solamente despus de la lectura pblica en la cual las
cuentas eran ledas en voz alta. Desde tiempos medievales, y durante la revolucin Industrial, se realizaban
auditoras para determinar si las personas en posiciones de responsabilidad oficial en el gobierno y en el comercio
estaban actuando y presentado informacin
CAUSAS Y ORIGEN DE LA vulnerabilidades de la informacin

MARCO DE REFERENCIA
MARCO HISTRICO
El hombre ha resguardado y protegido con esfuerzo sus conocimientos, desde tiempos inmemorables, debido a la
superioridad y poder que ste le produca sobre otros hombres o sociedades. En la antigedad surgen las
bibliotecas, lugares donde se poda resguardar la informacin para trasmitirla y evitar que otros la obtuvieran,
siendo esto alguna de las primeras muestras de proteccin de la informacin.
La informacin tiene un papel importante en los diferentes acontecimientos que han sucedido en el transcurso de
los seres humanos, como las guerras ya que con esto se tomaba la mejor decisin y sacaba una mayor ventaja
sobre sus adversarios, se crean las redes de espionaje con el fin de obtener informacin valiosa e influyente y
surge diferentes formas de proteccin.
Con el devenir de los aos al incrementarse el alcance de la tecnologa, el cuidado de la informacin se ha vuelto
crucial y confidencial, la informacin est centralizada y puede tener un alto valor, puede ser divulgada, mal
utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo, para los hombres, las
organizaciones y las sociedades.
La informacin es poder y se le conoce como critica, sensitiva, valiosa, por tanto surge la necesidad de a segurar
la informacin, identificando los problemas, realizando una anlisis de riesgo, la comunicacin, la integridad, la
disponibilidad, confidencialidad y recuperacin de los riesgos. La seguridad de la Informacin tiene como fin la
proteccin de los datos y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin
no autorizada.
MARCO TEORICO
El sistema de informacin tiene una gran importancia, es un conjunto de elementos orientados al tratamiento y
administracin de la informacin, organizada y lista para su posterior uso, la comunicacin o adquisicin de
conocimientos permiten ampliar o precisar los que se poseen sobre un dato, con el fin de brindar ayuda y resolver
problemas, la necesidad constante de los seres humanos de aprender e indagar hace que la informacin juegue
un papel importante en la sociedad.

Los principales elementos del sistema de Informacin son las personas, los datos, las actividades o tcnicas de
trabajo, los recursos materiales, todos ellos interactan entre s para procesar los datos, con el fin de distribuirlo
de la mejor manera posible en una determinada organizacin en funcin de sus objetivos.
Un sistema de informacin efecta cuatro actividades primordiales: entrada, almacenamiento, procesamiento y

salida de la informacin, con el fin de cumplir los propsitos bsicos de la organizacin, asegurando la
automatizacin de los procesos operativos, proporcionando datos que sirven de soporte para el proceso de la
toma de decisiones, esto con el fin de lograr una ventaja a travs de su implementacin y uso.
El desarrollo tecnolgico y el aumento de los medios de informacin brindan herramientas que facilitan el acceso
al conocimiento y al manejo de los datos, con ello se crean riesgos y diferentes tipos de amenazas a los que se
ven enfrentadas las organizaciones, surge la necesidad de resguardar los datos, por lo tanto se cuenta con
normas y mecanismos los cuales buscan identificar las debilidades, los peligros e intrusos que acceden a los
archivos, con el fin de que el sistema de informacin cumpla las caractersticas necesarias para garantizar su
seguridad, confidencialidad, disponibilidad e integridad de los datos,
ya que es de vital importancia para la
organizacin.
El recurso humano es uno de los elementos ms importantes ya que interactan con el Sistema de Informacin,
el cual est formado por las personas que utilizan el sistema y estas a sus vez son las principales amenazas
internas ya que por la falta de seguridad y controles pueden hacer un mala administracin y uso de los datos.
metodologas para la identificacin de riesgos informticos
MARCO CONCEPTUAL
Sistema de informacin: Es un sistema automatizado o manual que involucra personas, maquinas y/o
mtodos organizados de recoleccin, proceso, transmisin y clasificacin de datos. El objetivo del sistema
de informacin es proporcionar datos necesarios para un determinado mbito de la organizacin, con el fin
de conducir, controlar y apoyar la estrategia corporativa.
Entrada de informacin: Proceso mediante el cual el sistema de informacin toma los datos que requiere
para procesar la informacin, esto pueden ser manuales o automticos.

Proceso de informacin: La capacidad que tiene el sistema para realizar las operaciones de clculo o
funciones suministradas por el sistema, esto puede realizarse con datos adquiridos por el sistema
recientemente o datos almacenados dentro del sistema permitiendo as la transformacin de los datos o el
cambio que queramos realizar en ellos.
Almacenamiento de informacin: Es una de las actividades ms importantes ya que este opera cuando la
informacin ya est lista para salir del sistema este proceso se puede realizar mediante los dispositivos de
almacenamiento internos o externos.
Salida de informacin: Proceso en donde el sistema tiene la capacidad de sacar la informacin que ingreso
al sistema y luego fue procesada, esta funcin se lleva con xito por los perifricos de salida, y de
almacenamiento segn lo que requiera el usuario.
Riesgo: La explotacin de una vulnerabilidad por parte de una amenaza.
Amenaza: Cualquier accin o evento que puede ocasionar consecuencias adversas.
Amenazas internas: Estas amenazas pueden ser ms serias que las externas, ya que los usuarios conocen
la red y saben cmo es su funcionamiento, tienen algn nivel de acceso a la red por las mismas
necesidades de su trabajo.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener informacin
certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella
y buscar la manera de atacarla.
Confidencialidad: Asegurar que slo los individuos autorizados tengan acceso a los recursos que se
intercambian.
Integridad: Determinar si se han alterado los datos durante la transmisin (accidental o intencionalmente).
Disponibilidad: Garantizar el acceso a un servicio o a los recursos.
Normas: Establece los lmites permisibles de acciones y procesos para cumplir con las polticas.

Intruso: Persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido
(cracker, defacer, script kiddie o Script boy, etc.).
Controles: Cualquier accin o proceso que se utiliza para mitigar el riesgo.
Los motores de Bases de Datos
Los SGBD son aplicaciones autnomas que implementan las Bases de datos y gestionan sus recursos (memoria y espacio en
disco) de forma independiente del sistema operativo.
Los SGBD proporcionan una serie de beneficios al tratar grandes volmenes de datos:
Eliminan la redundancia de datos. Se evita tener almacenados datos repetidos o datos calculados. Con ello se consigue
un almacenamiento eficiente y asegurar la consistencia de los datos.
Proporciona una visin abstracta de los datos. Ocultando los detalles del almacenamiento fsico y permite un acceso a
los datos de forma independiente a su localizacin y organizacin fsica.
Proporcionan lenguajes de alto nivel que facilitan el manejo de los datos. Generalmente SQL.
Flexibilidad respecto a los cambios. Facilita los cambios en la organizacin lgica de los datos ( P.ej: Modificar la
estructura de una tabla). Permite cambiar la organizacin fsica de los datos sin modificar la lgica. Independencia de
los datos respecto a las aplicaciones.
Permite el acceso concurrente de usuarios a los datos. La gestiona a travs de transacciones y bloqueos.
Establece medidas de seguridad sobre los datos:
o Asegura la integridad de los datos respecto a accidentes ( backups, sistemas de recuperacin contra fallos...)
o Garantiza la confidencialidad de los datos: Gestiona el control de acceso y de actividades de los usuarios.
La arquitectura de un SGBD se compone de cinco niveles y tres procesos transversales:
Nivel 5- Compilador y optimizador de sentencias DML y DQL que recibe de los clientes. Crea el plan de ejecucin.
Nivel 4- Ejecucin del plan de ejecucin de las sentencias. (Realizar las operaciones relacionales que componen el plan).
Nivel 3- Soporte a los conceptos de ficheros e ndices.
Nivel 2- Gestin de la memoria. El SGBD gestiona de forma independiente el espacio de memoria que tenga asignado.
Nivel 1- Gestin de disco. El SGBD implementa su propio sistema de ficheros en el espacio de disco que tenga asignado.
Los tres procesos transversales de soporte son:
La gestin de transacciones
La gestin de bloqueos
La gestin de recuperacin contra errores.
Gestin del almacenamiento

La arquitectura de los datos dentro del SGBD se compone de tres niveles:
El nivel interno: Corresponde a la organizacin fsica de los datos: Tamaos, formatos, ficheros...
El nivel conceptual: Contiene la organizacin lgica de los datos: Tablas, vnculos, restricciones...
El nivel externo: Es un subconjunto del nivel conceptual, con una organizacin lgica diferente adaptada para una
aplicacin en concreto. Se utilizan las vistas.
El uso de tres niveles a la hora de gestionar los datos est motivado con el objeto de conseguir:
La independencia fsica de los datos: Se puede variar la organizacin fsica de los datos sin que se vean afectados los
niveles superiores. Por ejemplo: Variar el tamao de los sectores en disco.
La independencia lgica de los datos: Reduce el impacto de modificar la organizacin conceptual de los datos.
Permite actualizar las vistas para que la organizacin externa no se vea afectada y los cambios sean transparentes a las
aplicaciones.
Gestin del espacio fsico
El SGBD gestiona su espacio de disco de forma independiente del SO.

El SGBD divide el espacio disponible en unidades lgicas denominadas tablespace, que tiene un nombre identificativo,
espacio reservado y contiene elementos de una BD. Una BD puede estar dividida en uno o ms tablespace.
A cada tablespace se le asocian uno o ms datafiles, que son los ficheros donde se almacenan los datos de los elementos de
la BD (Tablas, ndices...). Cada datafile contiene el espacio necesario para almacenar los datos actuales ms el que se prevea
que tendr. Cuando se agota el espacio del datafile, hay gestores que aumentan su tamao asignado y otros que crean otro
datafile.
Fsicamente dentro del tablespace, los datos se organizan en bloques, extensiones y segmentos.
Los bloques: Es la unidad mnima de E/S del SGBD. Es un nmero especfico de bytes en un
dispositivo de almacenamiento. El tamao del bloque no tiene porque ser igual que los bloques de
E/S del SO pero conviene que sea mltiplo. Normalmente, un bloque almacena datos de un mismo
elemento. Los parmetros que se pueden configurar de los bloques son:
El tamao: Oscila entre 2Kbits y 32Kbits. En entornos OLTP, donde se efectan muchas operaciones ligeras, conviene
tener tamaos pequeos para que quepan en memoria principal el mayor nmero de bloques. En entornos OLAP, donde
se efectan pocas operaciones pesadas, conviene bloques grandes para mover muchos datos en cada operacin de E/S.
Los parmetros PCT Free y PCT Used: El PCTFree es el porcentaje de espacio del bloque destinado a almacenar los
posible aumentos del tamao de las filas almacenadas en el bloque. Una vez que slo queda el PCTFree libre, no se
puede insertar nuevas filas en el bloque. El PCTUsed es el porcentaje de utilizacin que se debe volver a alcanzar para
poder volver a insertar filas tras alcanzar el PCTFree. El objeto de esta restriccin es evitar tener datos de una misma
fila en varios bloques, porque resta rendimiento a las operaciones. Cuanto mayor es la variabilidad del tamao de las
filas de una tabla, mayor debe ser el PCTFree
Extensiones. Es la unidad compuesta por un grupo de bloques consecutivos en disco. Si todas los datos de un tablas
estn almacenados de forma consecutiva, las lecturas son eficientes, en cambio, tener los bloques repartidos por el
disco unidos por punteros, mejora las operaciones de insercin, borrado y modificacin. Los SGBD adoptan una
solucin intermedia, tienen grupos de bloques consecutivos (extensiones) unidos por punteros.
Segmentos. Es una coleccin de extensiones que pertenecen a un tablespace y estn contenidos en uno o ms
datafiles.Existen 4 tipos de segmentos: de datos, de ndices, temporales y de rollback.
Tareas del DBA respecto al almacenamiento de un BD:
Asesoramiento a los analistas y diseadores, para que tengan en cuenta las peculiaridades del SGBD a la hora de
realizar el diseo final de la BD y asegurar su eficiencia: Ayudar a decidir los parmetros del almacenamiento y la
ubicacin de los datafiles. Los datafiles que se acceden de forma simultnea conviene que estn en dispositivos de
almacenamiento diferentes para permitir el acceso concurrente.
Monitorizacin de la BD durante su explotacin con objeto de:
o Planificar el crecimiento del espacio almacenamiento. Tanto el previsto por los analistas, como el imprevisto.
Decidir como se realizar este crecimiento.
o Reorganizar los elementos de la bd. Durante la explotacin de la BD se puede evidenciar que la organizacin fsica
de los elementos no es la ms eficiente. El DBA debe detectar este hecho y tomar decisiones.
o Desfragmentar el espacio de disco. Durante la eliminacin y modificacin de filas
Seguridad
Los SGBD tienen como finalidad facilitar el acceso a los datos por parte de los usuarios, esta cualidad conlleva riesgos, pues
tambin facilita el acceso a los datos por parte de usuarios no autorizados. Es por ello, que los SGBD disponen de servicios de
seguridad para minimizar estos riesgos. Es funcin del DBA establecer y gestionar los sistemas de seguridad del SGBD.
Los principios bsicos de seguridad son:
1. Identificacin y autenticacin: el usuario se identificar y autenticar con el procedimiento de introducir un
usuario/contrasea (logon) con la finalidad de confirmar su identidad. Normalmente, el SO obliga a identificar al
usuario, se pueden establecer mecanismos que permitan que esta identificacin sea utilizada tambin por la base de
datos (single-sign-on), aunque siempre ser ms seguro obligar a volver a identificarse al acceder al SGBD.
2. Autorizacin y controles de acceso: una vez identificado el usuario, el DBMS controla las operaciones que pueden
hacer sobre los elementos de la base de datos.
3. Integridad y Consistencia: el DBMS ser el encargado de mantener la integridad y la consistencia de los datos,
siguiendo las especificaciones definidas al modelo de datos (constraints). Para asegurar la consistencia, adems, se usan
las transacciones.
4. Auditora: Es la seguridad a posteriori. Los SGBD almacenan en ficheros logs, todas las operaciones realizadas en la
base de datos. Si hay agujeros de seguridad, en la auditora del fichero log pueden ser descubiertos y eliminarlos. Las
auditoras pueden hacerse de forma peridica o cuando se sospecha que ha habido una violacin de la seguridad. Hay
SGBD generan ficheros logs especficos para las auditoras, denominadas audit trail. Un SGBD que facilite las
auditorias, hace que sea ms seguro
5. Disponibilidad: se trata de asegurar que los datos estn disponibles y son accesibles para los usuarios durante unos
horarios determinados. Si la disponibilidad es de 24 horas, la administracin del SGBD es ms compleja: los backups
deben hacerse en caliente, el hardware debe ser de alta disponibilidad (hot-swap...) y tambin la conexin de red
Extranet/Intranet. Para sistemas crticos, se pueden incorporar sistemas de redundancia a nivel de SO (RAID, Cluster,
etc.) o del SGBD (BD Replicadas).
Gestin del control de acceso a las bases de datos
Una de las tareas del DBA es organizar los permisos de acceso a los datos por parte de los usuarios, de acuerdo a la poltica de
la organizacin. El lenguaje SQL incorpora las sentencias necesarias para administrar la seguridad.
Las tareas a realizar son:
Crear cuentas de usuario: Utilizando la sentencia CREATE USER nom_usuari IDENTIFIED BY contrasea o ...
IDENTIFY EXTERNALLY si queremos aprovechar la identificacin del SO. La administracin de las contraseas
debe contemplar: Las contraseas deben almacenarse de forma cifrada, los usuarios deben cambiar peridicamente de
contraseas, se puede establecer vas permitidas de acceso como nmero de intentos mximo de acceso.
Grupos de usuario (roles): El uso de roles facilita la administracin en bases de datos con multitud de usuarios. El rol
acta de contenedor de permisos, en vez de asignarlos a los usuarios, se asignan a los roles. Para cada base de datos
contenida en el SGBD, se crea un rol para cada tipo de usuario posible, ej: ADMINISTRADOR, OPERADOR,
CONSULTA... Un usuario puede tener varios roles.
Asignar y quitar permisos a los usuarios y roles. Los permisos son autorizaciones para poder realizar operaciones sobre
determinados objetos de la base de datos. A mayor granularidad a la hora de otorgar los permisos, mayor control de la
seguridad. Hay dos tipos de permisos:
- A nivel de objeto: Permitir o restringir el acceso a los datos y cambios sobre stos. La sentencia SQL sera GRANT
( SELECT | UPDATE | DELETE | INSERT ) ON nombre_tabla_o_vista TO user [WITH GRANT OPTION]. Y se
elimina con la operacin REVOKE.
- A nivel de sistema: Permitir realizar funciones de administracin del SGBD, poder cambiar el esquema de las BD
(crear, modifiar,borrar tablas, vistas...) o administrar los mismos permisos.
Clasificar los datos y usuarios en niveles de seguridad. (No todos los SGBD)
Otro mtodo de seguridad es el uso de vistas. Con las vistas se pueden crear tablas virtuales a partir de tablas con informacin
confidencial. La vista slo muestra la informacin autorizada. El usuario tiene acceso a la vista pero no a la tabla.
En una base de datos podemos encontrar tres tipos de seguridad, que se pueden combinar:

Control de acceso discrecional. Es el sistema tradicional de seguridad. Los usuarios tienen permisos sobre los
elementos de la BD, cuando el usuario quiere realizar una accin, el SGBD comprueba que tenga los permisos
necesarios para realizar la accin.
Control de acceso mandatory. Utilizado en sistemas de alta seguridad. Tanto los datos como los usuarios estn
clasificados en niveles de seguridad: p.ej: secreto, confidencial y no clasificado. Los usuarios slo pueden interactuar
con los datos con nivel de seguridad menor o igual al suyo.
Seguridad en sistema estadsticos. Utilizado en SGBD con datos personales confidenciales. Se permite a los usuarios
obtener datos estadsticos sobre ellos, pero no acceder a los datos individualmente.
El Real Decreto que desarrolla la Ley Orgnica de Proteccin de Datos establece unos requisitos mnimos de seguridad a
aplicar a los datos almacenados en la BD, en caso de contener datos de carcter personal.
Rendimiento
El DBA debe asegurar que el rendimiento del SGBD sea el apropiado para satisfacer los requisitos de los usuarios.
El rendimiento del SGBD se puede medir utilizando tres indicadores:
La velocidad de respuesta de las transacciones. Es el rendimiento percibido por los usuarios.
La productividad del SGBD. El nmero de transacciones por segundo ejecutadas por el SGBD.
La utilizacin de los recursos. Especialmente la capacidad de almacenamiento de los discos.
El primer factor en el rendimiento de una BD es su diseo. Un buen diseo de la BD y de las aplicaciones permite obtener un
buen rendimiento del SGBD. Ahorrar esfuerzo (= dinero y dedicacin) a la hora de analizar, disear e implementar una
aplicacin, provoca problemas de rendimiento, entre otros.
Por esto es muy importante que a la hora de disear un nuevo sistema se tengan en cuenta los siguientes criterios:
- Definir las necesidades de servicio que tendrn las aplicaciones.
- Hacer un anlisis correcto de los datos y como sern accedidos.
- Desarrollar un cdigo de acceso a la BD eficiente.
La optimizacin de los elementos de un SGBD es un factor prioritario en su rendimiento. La optimizacin se puede conseguir:
El uso de ndices. La consulta a las tablas puede acelerarse utilizando ndices para las columnas utilizadas en las
operaciones selecciones y join. El uso de los ndices acelera las operaciones de consulta, pero no perjudica la
velocidad de las operaciones de modificacin y borrado. No se deben indexar columnas muy voltiles o con poca
variedad de valores ni tablas con pocas filas.
El diseo de las consultas pueden invalidar el uso del ndice. Por ejemplo, los optimizadores no utilizan los ndices en
columnas usadas en operaciones aritmticas, con operaciones con null o en consultas anidadas.
La organizacin fsica de los datos. Se pueden configurar el tamao de los bloques en disco o reubicar los segmentos.
Los elementos que se acceden de forma simultnea deben estar en dispositivos separados, para permitir la
simultaneidad.
La red de comunicaciones. En la actualidad, con las bases de datos distribuidas y con la arquitectura de aplicaciones de
dos y tres capas, el rendimiento de las comunicaciones afectan directamente al rendimiento del SGBD.
El modelo de datos fsico. Hay casos que conviene desnormalizar el diseo de las bases de datos para ganar en
rendimiento. Por ejemplo: Guardando datos calculados, cuando su clculo supone mucho tiempo.
Servicios de red
Actualmente, el servicio informtico de las organizaciones est distribuido y se comunica a travs de las redes de
comunicaciones. La arquitectura de aplicaciones que impera es la de cliente-servidor de tres capas y quedan todava muchas
aplicaciones de dos capas. Los SGBD han de incorporar en sus productos los protocolos y elementos que permiten la
comunicacin a travs de red.
Ejemplos de servicios de red de los DBMS son SQL*Net de Oracle (net8 a partir de Oracle8) o OpenClient de Sybase.
Objetivos
Los servicios de red de los SGBD permiten:
1. la comunicacin entre los procesos en las mquinas clientes y los procesos del SGBD en los servidores.
2. Tambin permiten la comunicacin servidor-servidor, para bases de datos distribuidas o cooperativas.
Se utilizan protocolos preparados para intercambiar a travs de la red sentencias SQL y datos.
Es deseable que estos protocolos incorporen las siguientes funcionalidades:
- Transparencia respecto a las caractersticas de la red (topologa, medios de transmisin).
- Independencia de los protocolos de red utilizados.
- Transparencia respecto de las localizaciones de las mquinas.
- Seguridad y confiabilidad en las transacciones remotas.
Veamos un ejemplo de las capas de interfaz de red de Oracle (SQL*net):
Cdigo cliente
Net8 Cdigo estndar
Cdigo Servidor
Proceso Cliente
Net8 Adaptador Protocolo X

Interfaz Protocolo X
Controlador dispositivo
Interfaz OS - Red
Net8 Cdigo estndar
Proceso Servidor
Net8 Adaptador Protocolo X

SO
Hardware
Red
Interfaz Protocolo X
Controlador dispositivo
Interfaz OS - Red
SO
Hardware
Backup y recuperacin de datos
El administrador es el responsable que se realice la copia de seguridad de datos de las BD, para asegurar la integridad de los
datos en caso de accidente.
En la mayora de accidentes no catastrficos, como el fallo de una instancia del SGBD, el propio SGBD puede recuperar la
integridad de los datos de forma automtica. Para conseguirlo, el SGBD almacena todas las operaciones que se realicen en
unos ficheros denominados RedoLogs, y para poder deshacer las operaciones de las transacciones no confirmadas.
Los accidentes ms graves, como averas de discos, necesitan la intervencin del administrador y tener una copia de seguridad
de los datos.
Tipos de backups
Backups fsicos: consisten en hacer una copia de los archivos de datos y otros tipos de archivos del DBMS (de control, de
configuracin, etc.) a nivel fsico. Normalmente comporta una recuperacin de la base de datos completa, a no ser que esta
disponga de mecanismos especiales por asegurar la consistencia de una recuperacin fsica parcial. Se permite hacer este tipo
de backup de dos formas.
- Backup fsico en fro (off-line). Consiste en parar la base de datos y hacer una copia completa de todos los archivos de
datos (y configuracin, control, etc.).
Es un buen sistema porque implica una recuperacin fiable y rpida (slo se tienen que transferir ficheros y levantar la base
de datos, no se tiene que hacer recuperacin lgica posterior).
Slo se podr hacer si lo permiten las necesidades del servicio.
- Backup fsico en caliente (on-line). Se hace mediante mecanismos de checkpoint . Los datos que se copian son
inconsistentes. A la hora de hacer una recuperacin, a partir del ltimo checkpoint se tiene que hacer una recuperacin
lgica aplicando el commit o el rollback de las transacciones que estaban pendientes de validar en el momento de empezar
la copia. Ser necesario en entornos en qu se tenga que dar servicio ininterrumpido, o sin tiempo necesario para hacer los
Backups en frio.
Backups lgicos: Las exportaciones generan unos ficheros dnde se guarda toda la informacin, en forma de definicin de
objetos ms los datos que contienen, que permiten recrear las estructuras y los datos si se importan estos ficheros, ya sea sobre
la misma u otra base de datos. Se pueden hacer a nivel de base de datos completa, o parcial. Pueden ser incrementales o
acumulativos. Se tienen que hacer en caliente (la base de datos on-line), puesto que las utilidades de exportacin van leyendo
de la base de datos y escribiendo al fichero resultante. Muchas veces son necesarios por hacer backups selectivos (slo de una
parte de la BD), o por transferir datos de una base de datos a otra).
El tipo de backup ms adecuado depender de los requerimientos de nuestro sistema, del tamao de la BD, del tiempo
disponible por hacer la recuperacin, etc. El ideal es hacer copias tanto fsicas como lgicas peridicamente, y en caso de
prdida de datos, poder aplicar el tipo de recuperacin ms adecuado.
Journaling
Esta tcnica ser necesaria si no es aceptable perder ningn dato de nuestro sistema en caso de fallo de algn fichero de datos.
Consiste en guardar todas las transacciones que se ejecutan a la base de datos copindolas a archivos, sobre otro disco. Esto es
una redundancia que puede resultar costosa, pero en caso de fallo del disco, se puede reconstruir todo el trabajo perdido. La
recuperacin consistira en recuperar primero la ltima copia de la base de datos disponible, y aplicar despus todos los
cambios que se han hecho desde entonces, que se conocen gracias a estos ficheros.
Recuperacin
El plan de backup se tiene que hacer siempre pensando en las necesidades que tendremos a la hora de hacer una recuperacin.
Habremos de considerar:
- Si tenemos que recuperar los datos totalmente o no son tan crticas y es suficiente restaurar la ltima copia.
- De qu tiempo se dispondr por hacer la recuperacin.
- Complejidad de la recuperacin.
Es imprescindible que los mecanismos de recuperacin se prueben habitualmente por comprobar el correcto funcionamiento.
No sirve de nada tener todas las copias peridicamente realizadas y almacenadas si cuando se produce una prdida, la
recuperacin no funciona.
El anteproyecto constituye el plan de trabajo que orientar el desarrollo de su monografa.

secciones:
Est conformado por las siguientes
1. HOJA DE PRESENTACIN DE ANTEPROYECTO

Nmero mximo de pginas: 1
(Anexo 3)
Esta pgina tiene como objetivo la fcil identificacin del trabajo y de los autores. Tenga en cuenta que la Escuela correspondiente es la de Posgrados y el Programa es el
de Especializacin en Seguridad Informtica. El Director corresponde a la firma del Docente del Mdulo de Seminario de Grado 1.
2. FICHA TECNICA PARA ANTEPROYECTO DE GRADO

(Anexo 2)
Diligencie los datos especificados, teniendo en cuenta los siguientes elementos:
Ciclo: Postgrado
Tipo de Proyecto: Trabajo de Desarrollo
Lnea de Investigacin: Lnea de investigacin: Aseguramiento de la informacin
rea temtica: Seguridad Informtica
3. FORMULACION DEL PROBLEMA
Nmero mximo de pginas : 3
El propsito de esta seccin es presentar la idea de la monografa, mostrando las necesidades que hacen factible su implementacin.
La formulacin del problema ayuda a delimitar el trabajo, pues permite identificar los focos sobre los cuales actuar la monografa.
Para formular correctamente el problema es necesario adelantar una investigacin preliminar que permita conocer los inconvenientes
que se presentan y que requieren solucin por parte del especialista.
4. OBJETIVOS
Presentan las metas o logros planteados para la monografa, por lo tanto debe ser posible alcanzarlos dentro del plazo estipulado para el desarrollo.
Algunas recomendaciones para la formulacin de objetivos son:
Los objetivos se redactan con verbo en infinitivo, es decir, con verbos no conjugados. stos pueden ser: Disear,
Construir, Estudiar, Evaluar, etctera.
Los objetivos no son preguntas, son metas por alcanzar no dudas por resolver.
Los objetivos no son afirmaciones.
Los objetivos no son hiptesis. No se puede plantear como objetivo de la monografa un supuesto que todava no est
comprobado. Un objetivo es algo que se quiere cubrir, algo que se quiere lograr. Es una meta que la investigacin debe
alcanzar.
Los objetivos no son los pasos a realizar durante el proyecto. Estos pasos constituyen la metodologa y hacen parte
del cmo se va a realizar el proyecto?, no del qu se va a realizar?
Se debe estipular un objetivo general y varios objetivos especficos (mximo 5). El objetivo general debe contener a los objetivos
especficos, los cuales detallan una o varias caractersticas que ser posible observar en la monografa, o los subproductos que se irn
alcanzado en el desarrollo de la misma. Recuerde que los objetivos deben ser fcilmente identificables dentro del proyecto.
5. JUSTIFICACIN
En la justificacin se exponen las razones para realizar la monografa. La mayora de las investigaciones se efectan con un propsito
definido, no se hacen simplemente por capricho de una persona; y ese propsito debe ser lo suficientemente fuerte para que se
justifique su realizacin. Adems, en muchos casos se tiene que explicar por qu es conveniente llevar a cabo la investigacin y cules
son los beneficios que se derivarn de ella.1
Por lo tanto en esta seccin se debe aclarar los alcances del proyecto y el aporte que el mismo realizar para solucionar la
problemtica planteada en el numeral anterior. Adems se debern presentar los beneficios que dicho desarrollo proporcionar a las
entidades y personas involucradas.
6. MARCO DE REFERENCIA
1 REZA BECERRIL, Fernando. Ciencia, metodologa e investigacin. Alhambra Mexicana Editorial. 1997. Cap 8.
El propsito de la realizacin del marco de referencia se refiere a la necesidad que tiene el investigador de familiarizarse con el conocimiento existente dentro del campo
en el que va a realizar la investigacin. Si el estudio realmente tiene la intencin de contribuir de alguna manera a incrementar el conocimiento existente, para ello la
revisin de lo compilado al respecto ha de ser cuidadosa y metdica 2.
El captulo del marco de referencia se subdivide en antecedentes, marco conceptual, marco terico, marco normativo (legal o jurdico),
marco histrico, marco tecnolgico, marco econmico, marco ambiental, marco sicolgico, marco cultural, estudio similares y estudio
bsicos, dependiendo de las caractersticas del proyecto que se va a realizar (Ver ANEXO A). En una monografa tpica se deben incluir
como mnimo: Marco Conceptual, Antecedentes, Marco Terico y Marco Tecnolgico. Los Antecedentes contienen la sistematizacin de
la informacin recopilada sobre el tema objeto de la monografa, organizando los casos consultados sobre problemticas similares o en
el mismo mbito de la monografa propuesta.
7. METODOLOGA APLICADA
Esta seccin indicar la metodologa a utilizar (referenciando al autor y el libro donde se podra consultar). Esta consta de las
diferentes fases a realizar especificando las actividades y tareas que se realizarn en la ejecucin del proyecto, para cada una de las
fases.
8. CRONOGRAMA
Una vez identificadas las actividades, se deber estimar el tiempo que se dedicar para cada una de ellas y se organizar esta
informacin en un cuadro de cronograma (Ver Anexo B).
El cronograma se estipula en semanas, sin necesidad de especificar el mes, slo se indica como Mes1, Mes2, etc. La fecha de inicio en
la cual empieza a ejecutarse el cronograma corresponde a la fecha en que comienza la realizacin de la fase 1 contemplada en la
metodologa.
9. PRESUPUESTO
Corresponde al costeo del proyecto de acuerdo con el tiempo de desarrollo, identificando los diferentes rubros que harn parte del
desarrollo. Los rubros ms comunes son Recursos Humanos, Recursos Tecnolgicos (Software, Hardware), Papelera. (Ver Anexo C)
10. BIBLIOGRAFA
Incluye las fuentes documentales consultadas para la construccin del anteproyecto y referenciadas en las diferentes secciones, siguiendo la normativa ICONTEC.
NORMAS DE PRESENTACIN
Para la elaboracin de este documento se deber tener en cuenta las siguientes normas:
Debe redactarse de manera impersonal. (No debern utilizarse expresiones como: Construiremos, investigaremos, realizaremos, etc.)
Debe usarse papel bond tamao carta blanco.
Se deber transcribir en un procesador de palabras e imprimir por una sola cara en letra de tamao 12 puntos.
Todos los prrafos debern comenzar contra el margen izquierdo y sin dejar sangra, exceptuando la cita directa extensa (ver las normas ICONTEC).
El espacio interlineal ser de uno y medio.
Los mrgenes, puntuacin y numeracin de ttulos se realizar segn la norma ICONTEC, teniendo en cuenta que cada seccin anteriormente descrita hace las
veces de captulo y su nombre ser usado como ttulo respectivo.
La numeracin de las pginas es voluntaria, si se hace se debe omitir escribir la numeracin en la pgina de presentacin y en la primera pgina de cada
captulo.
No se debe incluir ninguna portada diferente a la Hoja de Presentacin, ni pginas en blanco adicionales.
BIBLIOGRAFA RECOMENDADA
BERNAL, Csar Augusto. Metodologa de la Investigacin para Administracin y Economa.
HERNANDEZ SAMPIERI, Roberto y otros. "Metodologa de la investigacin". 2 ed. Mc Graw Hill. Mxico 1998.
REZA BECERRIL, Fernando. "Ciencia, metodologa e investigacin. Alhambra Mexicana, 1997.
SABINO, Carlos. "El proceso de investigacin". Editorial Cometa de papel. Medelln, 1996.
2 HERNNDEZ SAMPIERI Roberto, FERNNDEZ COLLADO Carlos y BAPTISTA LUCIO Pilar. Metodologa de la investigacin. Segunda Edicin
- Editorial Mc Graw - Hill. Captulo 3 Pg 21.
Inicio.
Todos los programas.
Microsoft SQL Server 2008 r2.
Herramientas de configuracin.
Administrador de SQL Server 2008 R2.
b. Administrar los servicio de SQL Server 2008 R2:

Consultar el estado del servicio de SQL Server.
Cambiar Estado del servicio (Detener, iniciar, pausar, reiniciar).
Cambiar el tipo de Inicio (automtico, manual, desactivado).
Iniciar y detener una instancia de SQL Server 2012.
Habilite y deshabilite la configuracin de red de SQL Server.
Para qu sirve la configuracin de SQL Server Native?.
Esta seccin contiene los temas de la Ayuda F1 para los cuadros de dilogo de Configuracin
de SQL Server Native Client del Administrador de configuracin de Microsoft SQL Server. SQL
ServerSQL Native Client es la biblioteca de red que los equipos cliente utilizan para conectarse a
SQL Server, y se inicia con Microsoft SQL Server.
Las opciones establecidas en SQL Server Configuracin de SQL Native Client se utilizan en el
equipo que ejecuta el programa cliente. Si se establecen en el equipo que ejecuta SQL Server,
slo afectan a los programas cliente que se ejecutan en el servidor.
Estas opciones no afectan a los clientes que se conectan a versiones anteriores de SQL Server,
salvo que utilicen las herramientas de cliente que se inician con SQL Server, como SQL Server
Management Studio. En esta seccin:
* Crear una cadena de conexin vlida con el protocolo VIA
* Protocolos de cliente (Administrador de configuracin de SQL Server)
* Alias (Administrador de configuracin de SQL Server)
Tomar imagen de la configuracin predeterminada de los servicios de

SQL Server 2008 R2:

Servicios.
Configuracin de Red.
SQL Server Native.
Tomar imagen a la pantalla donde todos los servicios de SQL Server 2008
R2 estn detenidos y con configuracin Manual.

Las imgenes presentarlas en el manual de configuracin paso a paso de
SQL Server 2008 R2.
c. Formateo de NTFS a bloques de 64kb.
Para formatear los disco a bloques de 64kb:
Abrir maquina virtual.
Configuracin winserver2003sena.
Almacenamiento.
Clic derecho en controlador IDE.
Agregar un disco.
Crear nuevo disco - Crear 3 discos en total.
Nota: Solo se puede crear 2 discos por la capacidad de memoria de la maquina

virtual
Iniciar la maquina virtual con Windows Server 2003 y SQL Server 2008
R2.
Inicio.
Clic de derecho en mi pc.

Administrar.
Administracin de discos.
Automticamente aparece el asistente para inicializar y convertir

discos.
Al terminar el proceso.
Clic derecho a cada disco y formatear en bloques de 64 kb.

Clic derecho nuevo volumen.
En el asistente para volumen nuevo en la ventada donde aparece
la formatear este volumen con la siguiente configuracin escoger el
Tamao de asignacin a 64 kb.
Repetir este proceso para los 3 discos creados en la maquina virtual.
c. Tomar Imgenes de todo el proceso y anexarlo en el documento de
evidencia.
4.4.Conexin al Sistema Manejador de Base de Datos SQL Server

2008 r2.
a. La ruta para iniciar una instancia de SQL Server 2008 R2 con Management
Studio:
R2.
Inicio.
SQL Server Management Studio.
En la ventana conectar con el servidor escoger la autenticacin por
Windows o SQL Server y clic en conectar.
Como evidencia anex la impresin de pantalla a su documento del
laboratorio.
b. Establecer conexiones de usuario.

Para establecer conexiones de usuario:
R2.
Inicio.
Microsoft SQL server 2008 r2.
Conectar con el server.
En el explorador de objetos clic derecho sobre el servidor y propiedades.
Seleccionar una pagina Conexiones.
Hacer una consulta de las variables de configuracin a travs de la

ejecucin del procedimiento del sistema sp_configure antes y despus
de los cambios y adicione las imgenes al documento.
Tomar pantallazo de la configuracin predeterminada de SQL Server y

especificar cuantos usuarios concurrentes estn activos en este
momento para esa instancia.
Modifique la cantidad de usuario para una instancia a 100 usuarios y

especifique que ms se puede modificar en configuracin de usuarios.
Cunto es lo mximo en usuarios concurrentes que soporta SQL
Server?
El mximo de de usuarios concurrentes es de 32767
Anexe estos documentos a su manual
R2.
c. Administrar la memoria.
Ruta para la configuracin de la memoria SQL Server 2008 R2:
Iniciar la maquina virtual con Windows server 2003 y SQL Server 2008
R2.
Inicio.

Conectar con el server.
En el explorador de objetos clic derecho sobre el servidor y propiedades.
Seleccionar una pagina - Memoria.
Tomar
pantallazo
especificar
que
se
puede
modificar
en
la

configuracin de la memoria para SQL Server 2008 R2.
Qu se debe habilitar para trabajar con memoria mayor a 4 gb en

sistemas de 32 bits?
Las opcin max server memory.

Ejemplo:
sp_configure 'show advanced options', 1;
GO
RECONFIGURE;
GO
sp_configure 'max server memory', 4096;
GO
RECONFIGURE;
GO
4.5. Gestin de las bases de datos (crear, acceder, consultar y

borrar).
a. Para borrar, crear BD:
Iniciar la maquina virtual con Windows server 2003 y SQL Server 2008
R2.
Inicio.
Conectar con el Server.
Clic derecho en base de datos en el panel izquierdo.
Nueva base de datos.
Modificar el tamao, crecimiento y la ruta de los archivos.

Cree una base de datos nueva con el nombre prueba modificar el
crecimiento de los archivos y la ruta de de almacenamiento para los
disco de bloques de 64 kb y especificar que se puede modificar al crear
una nueva base de datos.
b. Consultar.

Para verificar que la nueva base de datos este creada ir al explorador
de desplegar la instancia Base de datos y verificar que este creada
correctamente.
Tambin con una nueva consulta comando use prueba y verificar que la
consulta se realizo con xito.
Tomar imagen de cada paso para la creacin de la nueva base de datos
y su configuracin, por ultimo borrar la base de datos, anexar
documentos y fotos a su manual paso a paso de configuracin de BD
en SQL Server
2008 R2.
C. Borrar base de datos.

Para borrar la base de datos creada ir a explorador de objetos, instancia
donde se creo la base de datos, desplegar base de datos clic derecho
sobre la base de datos prueba eliminar.
Explorador de objetos clic derecho Borrar la base de datos.

Tambin desde una nueva consulta con el comando drop prueba.
Despus de la configuracin y creacin de la BD.
Explorador de objetos clic derecho Borrar la base de datos.
4.6. Gestin de Usuarios en SQL Server.

a. Para la creacin de Usuarios:
R2.
Inicio.

Conectar con el Server.
Explorador de objetos.
Clic en seguridad.
Clic derecho Inicio de sesin.

b. Consultar los usuarios creados por SQL Server 2008 de forma
predeterminada, tomar pantallazo antes y despus de la creacin de sus
usuarios.
Para la consulta de los usuarios ir al explorador de objetos, clic en la
instancia desplegar seguridad, inicio de sesin y encontramos todos los
usuarios para esa instancia.

c. modificar: Para modificar los usuarios ir al explorador de objetos, clic
en la instancia desplegar seguridad, inicio de sesin y encontramos
todos los usuarios para esa instancia doble clic o clic derecho
propiedades, modificar las preferencia necesarias para la nueva
configuracin del usuario.
d. Borrar: Para borrar los usuarios ir al explorador de objetos, clic en la

instancia desplegar seguridad, inicio de sesin y encontramos todos los

Usuarios para esa instancia clic derecho
eliminar.
Realicemos la Gestin de Usuarios (crear, borrar y modificar

usuario):
Consulte todos los usuarios de SQL Server.

Cree un usuario con su primer nombre y documento Eje: Edna36111222
Asgnele privilegios para lectura y escritura de la base de datos Prueba.
Modifique privilegios por tabla y por comandos.

Crear 2 usuarios para esta base de datos 1 el dueo de la base de datos
y el otro el digitador. Puede escoger los usuarios anteriormente creados.
Llenar al menos unos 5 registros.

Modifique y borre nuevamente los usuarios y tomar pantallazo como
evidencia.
Tomar imgenes como evidencia de todo el proceso y anexarlo a su
documento de evidencia.
Modifique y borre nuevamente los usuarios y tomar pantallazo como

evidencia.
4.7. Administracin de servicios (consultar, iniciar, detener,

pausar, reanudar y reiniciar servicios).
Capture las imgenes de pantalla donde se aprecie la correcta ejecucin
de cada uno de los siguientes procedimientos
y anxelas al documento que ser enviado
como evidencia de este laboratorio.

a. Consultar los servicios que SQL Server
esta ejecutando.
Visualizar los servicios que SQL Server esta
ejecutando en el servidor se puede realizar
mediante el Administrador de tareas
de Windows solo basta con determinar
los procesos que
pertenecen
al usuario
sqlserver.

Atividad Configurar SQL Server

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Atividad Configurar SQL Server

Uploaded by

Copyright:

Available Formats

Configurar sistemas manejadores de base de datos - SQL

Amenazas Lgicas - Tipos de Ataques

Existen agujeros de seguridad en los sistemas operativos.

Existen agujeros de seguridad en las aplicaciones.

Existen errores en las configuraciones de los sistemas.

Los usuarios carecen de informacin respecto al tema.

Acceso - Uso - Autorizacin

Configurar sistemas manejadores de base de datos - SQL

Identificacin de las Amenazas

Data Corruption: la informacin que no contena defectos pasa a tenerlos.

Configurar sistemas manejadores de base de datos - SQL

Leakage: los datos llegan a destinos a los que no deberan llegar.

Configurar sistemas manejadores de base de datos - SQL

Tipos de Ataques (leer mas)

Ingeniera Social Inversa

Denial of Service (DoS)

Ataques de Modificacin - Dao

Errores de Diseo, Implementacin y Operacin

Configurar sistemas manejadores de base de datos - SQL

Implementacin de las Tcnicas

Cmo defenderse de estos Ataques?

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Identificar y seleccionar lo que se debe proteger (informacin sensible)

Establecer niveles de prioridad e importancia sobre esta informacin

Configurar sistemas manejadores de base de datos - SQL

Identificar las amenazas, as como los niveles de vulnerabilidad de la red

Realizar un anlisis de costos en la prevencin y recuperacin de la informacin, en caso de sufrir un

Implementar respuesta a incidentes y recuperacin para disminuir el impacto

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Tecnologas para el proceso del conocimiento.

Tecnologas para procesar bases de datos y bases de conocimiento masivo.

Sitios de trabajo del alto rendimiento.

Informticas funcionales distribuidas.

Supercomputadoraspara el clculo cientfico.

Impacto institucional internacional

College para Adultos no es tarde para lograr

Configurar sistemas manejadores de base de datos - SQL

1.1.- Antecedentes de la investigacin.

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Un sistema de informacin efecta cuatro actividades primordiales: entrada, almacenamiento, procesamiento y

ya que es de vital importancia para la

Configurar sistemas manejadores de base de datos - SQL

Riesgo: La explotacin de una vulnerabilidad por parte de una amenaza.

Amenaza: Cualquier accin o evento que puede ocasionar consecuencias adversas.

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Configurar sistemas manejadores de base de datos - SQL

Un sistema de informacin efecta cuatro actividades primordiales: entrada, almacenamiento, procesamiento y