Professional Documents
Culture Documents
Esta lista podra seguir extendindose a medida que se evalen mayor cantidad de elementos de un Sistema Informtico.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de
los clientes (ciudadanos) bajara enormemente.
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por s mismos las
deficiencias detectadas. A esto hay que aadir las nuevas herramientas de seguridad disponibles en el mercado.
Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos,
lanzados por el CERT, han dado sus frutos.
Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso.
Cuando un atacante tiene acceso desautorizado est haciendo uso desautorizado del sistema.
Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado
(simulacin de usuario).
Luego un Ataque ser un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidente envuelve
un conjunto de ataques que pueden ser distinguidos de otro grupo por las caractersticas del mismo (grado, similitud, tcnicas
utilizadas, tiempos, etc.).
Deteccin de Intrusos
A finales de 1996, Dan Farmer (creador de una de las herramientas ms tiles en la deteccin de intrusos: SATAN) realiz un
estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites
orientados al comercio y con contenidos especficos, adems de un conjunto de sistemas informticos aleatorios con los que
realizar comparaciones.
El estudio se realiz empleando tcnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en dos
grupos: rojos (red) y amarillos (yellow).
Los problemas del grupo rojo son los ms serios y suponen que el sistema est abierto a un atacante potencial, es decir, posee
problemas de seguridad conocidos en disposicin de ser explotados. As por ejemplo, un problema de seguridad del grupo rojo
es un equipo que tiene el servicio de FTP annimo mal configurado. Los problemas de seguridad del grupo amarillo son menos
serios pero tambin reseables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede
causarle serios daos o bien, que es necesario realizar tests ms intrusivos para determinar si existe o no un problema del grupo
rojo.
La tabla 7.1 resume los sistemas evaluados, el nmero de equipos en cada categora y los porcentajes de vulnerabilidad para
cada uno. Aunque los resultados son lmites superiores, no dejan de ser... escandalosos.
Como puede observarse, cerca de los dos tercios de los sistemas analizados tenan serios problemas de seguridad y Farmer
destaca que casi un tercio de ellos podan ser atacados con un mnimo esfuerzo.
Desde 1990 hasta nuestros das, el CERT viene desarrollando una serie de estadsticas que demuestran que cada da se
registran ms ataques informticos, y estos son cada vez ms sofisticados, automticos y difciles de rastrear.
La Tabla 7.2 detalla el tipo de atacante, las herramientas utilizadas, en que fase se realiza el ataque, los tipos de procesos
atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.
Cualquier adolescente de 15 aos (Script Kiddies), sin tener grandes conocimientos, pero con una potente y estable
herramienta de ataque desarrollada por los Gurs, es capaz de dejar fuera de servicio cualquier servidor de informacin de
cualquier organismo en Internet, simplemente siguiendo las instrucciones que acompaan la herramienta.
Los nmero que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro Hacker. Evidentemente la informacin
puede ser aprovechada para fines menos lcitos que para los cuales fue pensada, pero esto es algo ciertamente difcil de evitar.
Nota
I:
Estos
incidentes
slo
representan
el
30%
correspondientes
a
los
Hackers.
Nota II: En 1992 el DISA(2) realiz un estudio durante el cual se llevaron a cabo 38.000 ataques a distintas sitios de
organizaciones gubernamentales (muchas de ellas militares). El resultado de los ataques desde 1992 a 1995 se resumen en el
siguiente cuadro(3):
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de
confianza de los clientes (ciudadanos) bajara enormemente.
Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por s
mismos las deficiencias detectadas. A esto hay que aadir las nuevas herramientas de seguridad disponibles en el
mercado.
Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos,
lanzados por el CERT, han dado sus frutos.
Ingeniera Social
Trashing (Cartoneo)
Ataques de Monitorizacin
Ataques de Autenticacin
Garantizar que los recursos informticos de una compaa estn disponibles para cumplir sus propsitos, es decir, que no esten
daados o alterados por circunstancias o factores externos, es una definicin til para conocer lo que implica el concepto de
seguridad informtica.
En trminos generales, la seguridad puede entenderse como aquellas reglas tcnicas y/o
actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de
robo, prdida o dao, ya sea de manera personal, grupal o empresarial.
En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro
de las redes empresariales.
Por la existencia de personas ajenas a la informacin, tambin conocidas como piratas informticos o hackers, que buscan
tener acceso a la red empresarial para modificar, sustraer o borrar datos.
Por vulnerabilidad entendemos la exposicin latente a un riesgo. En el rea de informtica, existen varios riesgos tales como:
ataque de virus, cdigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopcin de Internet como
instrumento de comunicacin y colaboracin, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de
negacin de servicio y amenazas combinadas; es decir, la integracin de herramientas automticas de "hackeo", accesos no
autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones
para daar los recursos informticos.
Especficamente, en los ataques de negacin de servicio, el equipo de cmputo ya no es un blanco, es el medio a travs del cual
es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site
de la compaa. Con ello, es evidente que los riesgos estn en la red, no en la PC.
Es por la existencia de un nmero importante de amenazas y riesgos, que la infraestructura de red y recursos informticos de
una organizacin deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una
eficiente administracin del riesgo.
Para ello, resulta importante establecer polticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red,
los enlaces de telecomunicaciones, la realizacin del respaldo de datos y hasta el reconocimiento de las propias necesidades de
seguridad, para establecer los niveles de proteccin de los recursos.
Las polticas debern basarse en los siguientes pasos:
Conocer las consecuencias que traera a la compaa, en lo que se refiere a costos y productividad, la
Este tipo de polticas permitir desplegar una arquitectura de seguridad basada en soluciones tecnolgicas, as como el
desarrollo de un plan de accin para el manejo de incidentes y recuperacin para disminuir el impacto, ya que previamente
habremos identificado y definido los sistemas y datos a proteger.
Es importante tomar en consideracin, que las amenazas no disminuirn y las vulnerabilidades no desaparecern en su
totalidad, por lo que los niveles de inversin en el rea de seguridad en cualquier empresa, debern ir acordes a la importancia
de la informacin en riesgo.
As mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad apropiado y la administracin del
riesgo implica una proteccin multidimensional (firewalls, autenticacin, \ antivirus, controles, polticas, procedimientos,
anlisis de vulnerabilidad, entre otros), y no nicamente tecnologa.
Un esquema de seguridad empresarial contempla la seguridad fsica y lgica de una compaa. La primera se refiere a la
proteccin contra robo o dao al personal, equipo e instalaciones de la empresa; y la segunda est relacionada con el tema que
hoy nos ocupa: la proteccin a la informacin, a travs de una arquitectura de seguridad eficiente.
Esta ltima debe ser proactiva, integrar una serie de iniciativas para actuar en forma rpida y eficaz ante incidentes y
recuperacin de informacin, as como elementos para generar una cultura de seguridad dentro de la organizacin.
http://www.gestiopolis.com/recursos/documentos/fulldocs/rrhh/sigselecc.htm
ANTECEDENTES
Para sustentar esta investigacin se tomaron como antecedentes diversos estudios previos, tesis de grados y opiniones, de
algunas
teoras
relacionadas
con
los
Sistemas
de
Informacin
Gerencial.
Los antecedentes que a continuacin se citan, proporcionan a la investigacin una base terica que sustenta la problemtica
planteada.
Propuesta de un Sistema de Informacin Gerencial para la Toma de Decisiones de la Gerencia de Recursos Humanos,
Granados Andrs, Universidad de Carabobo - Valencia Venezuela (2000). El presente trabajo de investigacin tenia como
principal objetivo proponer un Sistema de Informacin Gerencial para la Toma de Decisiones en la Gerencia de Recursos
Humanos que facilite la integracin de los datos, la almacene y la haga disponible para ayudar en la toma de decisiones de los
Gerentes de Recursos Humanos, a travs de un Sistema de Informacin Gerencial Integral para la toma de decisiones
denominada WAREHOUSE. El diseo de la investigacin estaba conformado por 20 personas que laboran como Gerentes de
Recursos Humanos, los cuales estn involucrados con un uso de los Sistemas de informacin siendo la muestra censal. La
tcnica de recoleccin de datos consisti en la aplicacin de una encuesta estructurada en 10 preguntas para respuestas cerradas
y abiertas. La tcnica de anlisis estaba basada en la obtencin de porcentajes para cada factor que tiene el instrumento y la
complementacin de un anlisis de preguntas abiertas y reforzado con la construccin de grficos De los resultados derivan las
conclusiones, las cuales permitieron presentar una propuesta de un Sistema de Informacin Integral de la Gerencia de Recursos
Humanos facilitando para ella la integracin de la informacin con la toma de decisiones sobre la base WAREHOUSE Data
Sistem.
Diseo de un Sistema Automatizado de Informacin Gerencial para la Planificaci6n Estratgica de los Recursos Humanos de
Mavesa, S.A., Martell Migdalia, Universidad Bicentenaria de Aragua - Valencia Venezuela (1999). El objetivo general de este
trabajo fue proponer un Diseo de un Sistema Automatizado de Informacin Gerencial para la Planificacin Estratgica que
facilite la Toma de Decisiones en la Administracin de Recursos Humanos de Mavesa. Este sistema buscaba evaluar y
seleccionar el personal que estaba capacitado para ocupar un cargo determinado, controlar la informacin referente al
entrenamiento y/o especializacin del personal de la empresa, mantener un archivo del personal elegible, as como obtener, a
travs de consultas, reportes y grficos toda la informacin necesaria para elaborar un plan estratgico Y realizar una mejor
toma de decisiones, permitiendo de esta forma solventar los problemas existentes en el sistema estudiado. El resultado que se
obtuvo fue el de minimizar los tiempos de respuestas en la seleccin del personal, as como un control del entrenamiento que
se realiz la medicin de las horas hombres utilizadas en entrenamiento entre otros, lo que contribuy con la obtencin de la
informacin precisa y oportuna para una adecuada toma de decisiones En conclusin el sistema propuesto contribuy con un
cambio radical en el desenvolvimiento de las actividades para el logro de una mejor Planeacin Estratgica de los recursos
humanos; habiendo resultado la propuesta factible econmicamente tcnicamente y psicosocialmente.
Diseo de un Sistema de Informacin Gerencial que sirva de apoyo en la Toma de Decisiones a la Alta Gerencia del Grupo
Qumico, Naranjo A. Yubiry G. Universidad Bicentenaria de Aragua - Valencia Venezuela (1998). En esta investigacin se
propuso un sistema automatizado que permitiera el manejo de la informacin en forma grfica y resumida para dar apoyo a las
toma de decisiones por parte de la alta gerencia del grupo qumico para mejorar el manejo del negocio, para lograr su objetivo
se estudio el funcionamiento del sistema actual que posean (sus debilidades y fortalezas, los requerimientos de la informacin
por parte de la gerencia, las reas que formaran parte del sistema de apoyo gerencial). La investigacin es de tipo descriptiva
dentro de la modalidad de proyecto factible, donde se recomend al finalizar el diseo del Sistema de Informacin Gerencial,
su implantacin con la finalidad de que la alta gerencia cuente con una herramienta poderosa en el manejo de informacin, la
creacin de otros modelos por Area del negocio y estudiar la instalacin del Sistema de Informacin Gerencial, a la gerencia
media
para
ayudarles
en
su
trabajo
diario.
Sistema de Informacin Computarizado para la Gestin del Area de Reclutamiento y Seleccin de Gerencia de Recursos
Humanos de la Empresa Elecentro, Orta M. Universidad Bicentenaria de Aragua, 1998; el cual tuvo como finalidad agilizar el
proceso de reclutamiento y seleccin de personal. Esta investigacin se desarroll como proyecto factible con una descripcin
de campo de carcter descriptivo, utilizando como metodologa una recopilacin de las usadas por los autores Kendall y
Montilva, tomando como poblacin a la empresa Elecentro. Dicho trabajo, dio su aporte a la presente investigacin en la
manera como automatizaron los procesos involucrados en el estudio, aumentando el rendimiento de las actividades y
proporcionando
informacin
confiable.
Diseo de un Sistema de Informacin Automatizado para su uso en los diferentes Departamentos de la Gerencia de Recursos
Humanos de la de Desarrollo de la Pequea y Mediana Industria (Corpoindustria), Villano, Marco, Universidad de Carabobo,
1998; el objetivo principal de la fue disear un sistema automatizado que contribuya con la eficiencia de los Recursos
Humanos, a travs del suministro oportuno y veraz de informacin referente al personal. En relacin al diseo de la
investigacin estaba concebida bajo la modalidad de proyecto factible, basado en una investigacin de campo y de acuerdo a
su tipo corresponde a un estudio descriptivo. La poblacin estaba conformada por diecisis personas que laboran en la
Gerencia de Recursos Humanos, la muestra fue censal. La tcnica de recoleccin de datos, consista en la aplicacin de un
instrumento contentivo de tres partes. El aporte de dicha investigacin para la empresa, fue de acuerdo a los resultados
obtenidos
y
se
hizo
mediante
conclusiones
y
recomendaciones.
Diseo de un Sistema de Informacin para Normalizar los Procesos de Reclutamiento, Seleccin de Personal y Evaluacin de
Desempeo en la Empresa C.A. Papeles Recubiertos, Mora V., Universidad Bicentenaria de Aragua, 1996; siendo el objetivo
general, el desarrollo de un sistema para normalizar los procesos de reclutamiento, seleccin de personal y evaluacin del
desempeo de la empresa, a fin de integrar el sistema y mantener la confiabilidad en las claves de acceso al sistema
automatizado. Esta investigacin fue de tipo descriptivo en la modalidad de proyecto factible, utilizando la metodologa de
Senn, tomando como poblaci6n a la empresa CA. Papeles Recubiertos. De esta manera, el aporte de este trabajo a la
investigacin en estudio es que pone de manifiesto la importancia de normalizar los procesos administrativos para integrarlos,
contribuyendo con ello a mejorar los procesos de forma efectiva Por otra parte, permite visualizar la importancia de controlar
el
automatizados.
Sistema de Informacin Gerencial Orientado a Ia Toma de Decisiones en el Sector Financiero de Clover International C.A.,
Barreto, Ignacio Universidad Bicentenana de Aragua - Valencia Venezuela (1994). Esta investigacin plante como objetivo
general desarrollar e implantar un Sistema de Informacin Gerencial, especialmente dirigido a dar mayor apoyo al proceso de
toma de decisiones financieras, que conforman ese sistema de administracin total para agilizar dicho proceso con miras a
mejorar la calidad de las decisiones en pro de un mejor servicio y aumentar la satisfaccin de la clientela. El presente estudio
aport conocimientos relevantes a la investigacin en cuanto a las herramientas y tcnicas a utilizar sirviendo de base para
seleccionar
las
que
sern
utilizadas.
ALCANCE
La Direccin de Relaciones de Trabajo, es una de las Direcciones que tiene influencia directa en la calidad de vida de todo el
personal que conforma la comunidad universitaria; ya que en ella se realizan todos los trmites relacionados con todos los
subsistemas de Recursos Humanos, los cuales incluyen aspectos socioeconmicos del personal que la integra.
La Direccin de Relaciones de Trabajo, mediante sus procesos, comunicaciones, asesoras y sus practicas disciplinarias,
maneja y genera mucha informacin, a travs de cada una de sus unidades, departamentos y secciones.
En la Direccin de Relaciones de Trabajo; no existe una administracin eficaz de la informacin, ya que hay en da para
subsistir y tomar decisiones es necesario manejar informacin oportuna de diversas fuentes tanto interna como externa. En la
actualidad sta Direccin no dispone de un Sistema de Informacin, que le permita generar, procesar, almacenar y ms tarde
recuperar la informacin necesaria para su eficiente funcionamiento gerencial. Entonces se plantea que el problemas es que la
informacin que fluye en los subsistemas que la conforman, con frecuencia se pierden, se distorsionan o se retrasan, y los
subsistemas
no
se
sirven
de
ella
adecuadamente.
As, un Sistema de Informacin Gerencial bien diseado le permitir a la Direccin de Relaciones de Trabajo que todos sus
subsistemas, se entrelacen a travs de la informacin que se genere en cada uno y adems, se podr ofrecer informacin rpida,
menos costosa y ms completa para la toma de decisiones gerenciales; adicionalmente permitir el aprovechamiento de dos
elementos claves: la informacin oportuna, veraz, y la eficiencia de la toma de decisiones del personal que en ella labora. Por
lo que este estudio se limitar al anlisis de uno de los procesos que se realiza en la Direccin de Relaciones de Trabajo,
especficamente el Proceso de Seleccin del Personal que ingresar a la Institucin, ya que este proceso permite la recoleccin
de la data o informacin que alimente los subsiguientes procesos.
A travs de las mltiples generaciones desde los aos 50, Japn haba sido el seguidor en trminos del adelanto y construccin
de las computadoras basadas en los modelos desarrollados en los Estados Unidos y el Reino Unido. Japn, a travs de su
Ministerio de Economa, Comercio e Industria (MITI) decidi romper con esta naturaleza de seguir a los lderes y a mediados
de la dcada de los 70 comenz a abrirse camino hacia un futuro en la industria de la informtica. El Centro de Desarrollo y
Proceso de la Informacin de Japn (JIPDEC) fue el encargado llevar a cabo un plan para desarrollar el proyecto. En 1979
ofrecieron un contrato de tres aos para realizar estudios ms profundos con la participacin conjunta de empresas de la
industria dedicadas a la tecnologa e instituciones acadmicas, a instancias de Hazime Hiroshi. Fue durante este perodo
cuando el trmino "computadora de quinta generacin" comenz a ser utilizado.
En 1981a iniciativa del MITI se celebr una Conferencia Internacional, durante la cual Kazuhiro Fuchi anunci el programa de
investigacin y el 14 de abrilde1982el gobierno decidi lanzar oficialmente el proyecto, creando elInstitute for New
Generation Computer Technology (Instituto para la Nueva Generacin de Tecnologas de Computacin o ICOT por sus siglas
en ingls), bajo la direccin de Fuchi, a quien sucedera en el puesto como director del instituto Tohru Moto-Oka, y con la
participacin de investigadores de diversas empresas japonesas dedicadas al desarrollo de hardware y software, entre ellas
Fujitsu,NEC,Matsushita,Oki,Hitachi,ToshibaySharp.[5]
Aparte de las reacciones a nivel institucional, en un plano ms popular comenz a ser conocido en Occidentegracias a la
aparicin de libros en los que se hablaba del proyecto de manera ms o menos directa o era citado [7]pero principalmente por
artculos aparecidos en revistas dedicadas a los aficionados a la informtica; as por ejemplo, en el nmero de agosto de 1984
de la estadounidense Creative Computing se public un artculo que trataba ampliamente el tema, "The fifth generation:
Japan's computer challenge to the world"[8](traducido, La Quinta Generacin: El desafo informtico japons al mundo). En
el mbito de habla hispana se puede citar por ejemplo a la revista MicroHobby, que en julio de 1985 public [9]una entrevista a
Juan Pazos Sierra, Doctorado en Informtica y vinculado en aquella poca a la Facultad de Informtica de la Universidad de
Madrid, en la que describa someramente el proyecto como:
...un proyecto japons que tiene unas caractersticas curiosas y especiales; en primer lugar, la pretensin es construir un
computador basado en tecnologa VLSI, con una arquitectura no Von Neumann y que llevara como ncleo de software la
programacin lgica, el lenguaje PROLOG, para construir finalmente sobre todo esto Sistemas Expertos.
tu
ttulo College
norteamericano,
en
espanol
Y sobre sus potenciales resultados, expresaba una opinin relativamente optimista, en la lnea de lo augurado por los propios
promotores del proyecto. As, ante la pregunta de si se haba obtenido algn resultado en el mismo, responda:
De momento, nada. Se va a desarrollar muchsimo lo que ya existe, aparecern nuevas tecnologas, nuevos Sistemas Expertos
y la investigacin se ver enormemente potenciada por la tremenda inyeccin de dinero que el proyecto quinta generacin ha
supuesto para la Inteligencia Artificial.
Por su parte,Romn Gubern, en su ensayo El simio informatizado de 1987, consideraba que:
...el ordenador de quinta generacin es un verdadero intento de duplicacin tecnolgica del intelecto del Homo sapiens.[10]
FORMULACION DE PROBLEMA
Proteger los activos de la empresa frente a posibles amenazas que ofrece permanentemente el medio, es un gran
desafo. Este inters crece an ms cuando la informacin cobra importancia para sobrevivir frente a la
competencia y permanecer en el mercado; factores como el uso de internet y dems herramientas que facilitan la
comunicacin traen consigo innumerables ventajas, pero igualmente enfrentan a la organizacin a otros
problemas que anteriormente no existan. La materializacin de amenazas que alteran o destruyen la informacin,
crea la necesidad de disear e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos
de riesgos que estn relacionados con las tecnologas de informacin.
Con el tiempo el hombre ha venido desarrollando metodologas que le permita, enfrentar las amenazas mediante
el uso racional del conocimiento y tecnologas a su alcance, por medio de la administracin de los riesgos
podemos identificar, analizar, evaluar y realizar un control fsico, lgico y financiero a los que est expuesta la
Secretaria
Para mejora y garantizar la calidad de los datos la empresa cuenta con normas, estndares y herramientas que
buscan brindar una informacin veraz, oportuna, confiable con el fin de que la informacin este protegida y fuera
del alcance de algn intruso, pero estos mtodos y tcnicas no son suficientes, porque la mayora del personal
que maneja este sistema no cuenta con los conocimientos necesarios y no sabe la importancia de la proteccin de
la informacin para la empresa.
Una de las principales debilidades en los sistemas de informacin es la falta de aplicabilidad de los estndares, ya
que no cumplen las pautas necesarias para que un sistema est protegido y esto causa daos los cuales
podemos corregir por medio de unas normas, con el fin de aprovechar todos los recursos.
Los sistemas de informacin y los datos almacenados son uno de los recursos ms valiosos con los que puede
contar la Secretaria de salud. La necesidad imperante del flujo de informacin y el traslado de recursos de un sitio
a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de
comunicacin y toda la informacin que contienen sus nodos. Proteger la informacin y los recursos tecnolgicos
informticos es una tarea continua y de vital importancia que debe darse en la medida en que avanza la
tecnologa, ya que las tcnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y
como resultado los atacantes son cada vez ms numerosos, mejor organizados y con mejores capacidades. Las
amenazas que se pueden presentar provienen tanto de agentes externos como de agentes internos, por eso es
importante para la Secretaria de Salud de Bucaramanga definir una estrategia de seguridad fundamentada en
polticas que estn respaldadas por todos los miembros de la organizacin, de forma que se reduzca la
probabilidad de prdida de recursos por causa de los ataques a los que est expuesta.
Se debe considerar que la violacin de la seguridad en un sistema podra llegar a afectar gravemente las
operaciones ms importantes de la Secretaria y dejarla expuesta a la cualquier vulnerabilidad.
Considerando que la Secretaria de Salud no cuenta con una poltica clara sobre cmo crear una estrategia de
seguridad, cmo definir las polticas de seguridad, cules son los recursos que se deben proteger, qu
procedimientos debe tener la empresa para cumplir los objetivos de seguridad, qu personas deben estar
involucradas en el establecimiento de las polticas y quines deben velar por hacerlas cumplir; se ve la necesidad
a travs de esta monografa de desarrollar una poltica que busque cumplir todas estas necesidades.
Antecedentes
hacer uso de los correos electrnicos corporativos as como la conexin permanente hacia el intranet y extranet, pues
estos componentes de la tecnologa de la informacin hacen vulnerables a los sistemas de informacin de las
organizaciones pudiendo comprometer y caer en otras manos la informacin estratgica. Los niveles de riesgo son
grandes por esto se debe prever todo tipo de exposicin a los piratas de la informacin as como a los hackers y crakers.
*Los
* *Prevencin de riesgos en intranet
encriptamientos.
El software de monitoreo fue desarrollado en el lenguaje Visual Basic 5.0 para realizar una interfaces basadas en Windows 95.
la filosofa del proyecto es que el sistema pueda ser utilizado por cualquier persona, tanto en su parte de configuracin como en
su parte de monitoreo, para no tener necesidad de contratar personas especializadas en los equipos del sistema para su
configuracin y establecimiento en el nodo; se utiliz una librera llamada Powertcp para el manejo del protocolo SNMP bajo
TCP/IP y el Sistema esta en la capacidad de agregar, remover y configurar cada nodo.
De igual manera, Bauza (2002), realiz una investigacin titulada Sistema IABN (Instituto Autnomo Biblioteca Nacional),
ella fue de tipo estructural o de sistema, en donde se propuso el desarrollo de un modelo operativo factible, adems, esto
permiti elaborar un instrumento para un sistema operativo viable, con el objetivo de solucionar problemas de procedimientos
y normas, as como de tipo practico por medio de la cual se garantizaba un servicio que prestamos con la calidad que (IABN)
brinda a toda la nacin. Los datos fueron obtenidos a travs del cuestionario diagnosticado, estos fueron basados en una matriz
de doble entrada y expresados en trminos porcentuales por medio de procedimientos estadsticos. Este trabajo propona una
base de datos que fuera dirigida a facilitar el servicio de prestamos centralizados de libros y otros documentos.
Tambin se tiene en la tesis de grado realizado por Ercolino en el ao 2001, que llev por ttulo el diseo y manejo de un
sistema de monitoreo y control remoto para los nodos de telecomunicaciones que conforman la red de servicios de Impsat S.A.
de la Universidad Metropolitana tiene como objetivo principal, establecer un sistema que sea capaz de monitorear los equipos
de potencia del nodo y adems algunas variables externas necesarias, para el buen funcionamiento de este. Adems se propuso
un esquema de potencia robusto a las fallas as como tambin el diseo del sistema de monitoreo necesario para llevar un
control sobre los nodos, tanto en la parte de tipos de potencia tanto en la parte de variables fsicas necesarias.
A travs de la historia se han realizado distintos tipos de auditora, tanto al comercio como a las finanzas de los
gobiernos. El significado del auditor fue persona que oye, y fue apropiado en la poca durante la cual los
MARCO HISTRICO
El hombre ha resguardado y protegido con esfuerzo sus conocimientos, desde tiempos inmemorables, debido a la
superioridad y poder que ste le produca sobre otros hombres o sociedades. En la antigedad surgen las
bibliotecas, lugares donde se poda resguardar la informacin para trasmitirla y evitar que otros la obtuvieran,
siendo esto alguna de las primeras muestras de proteccin de la informacin.
La informacin tiene un papel importante en los diferentes acontecimientos que han sucedido en el transcurso de
los seres humanos, como las guerras ya que con esto se tomaba la mejor decisin y sacaba una mayor ventaja
sobre sus adversarios, se crean las redes de espionaje con el fin de obtener informacin valiosa e influyente y
surge diferentes formas de proteccin.
Con el devenir de los aos al incrementarse el alcance de la tecnologa, el cuidado de la informacin se ha vuelto
crucial y confidencial, la informacin est centralizada y puede tener un alto valor, puede ser divulgada, mal
utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo, para los hombres, las
organizaciones y las sociedades.
La informacin es poder y se le conoce como critica, sensitiva, valiosa, por tanto surge la necesidad de a segurar
la informacin, identificando los problemas, realizando una anlisis de riesgo, la comunicacin, la integridad, la
disponibilidad, confidencialidad y recuperacin de los riesgos. La seguridad de la Informacin tiene como fin la
proteccin de los datos y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin
no autorizada.
MARCO TEORICO
El sistema de informacin tiene una gran importancia, es un conjunto de elementos orientados al tratamiento y
administracin de la informacin, organizada y lista para su posterior uso, la comunicacin o adquisicin de
conocimientos permiten ampliar o precisar los que se poseen sobre un dato, con el fin de brindar ayuda y resolver
problemas, la necesidad constante de los seres humanos de aprender e indagar hace que la informacin juegue
un papel importante en la sociedad.
El desarrollo tecnolgico y el aumento de los medios de informacin brindan herramientas que facilitan el acceso
al conocimiento y al manejo de los datos, con ello se crean riesgos y diferentes tipos de amenazas a los que se
ven enfrentadas las organizaciones, surge la necesidad de resguardar los datos, por lo tanto se cuenta con
normas y mecanismos los cuales buscan identificar las debilidades, los peligros e intrusos que acceden a los
archivos, con el fin de que el sistema de informacin cumpla las caractersticas necesarias para garantizar su
seguridad, confidencialidad, disponibilidad e integridad de los datos,
organizacin.
El recurso humano es uno de los elementos ms importantes ya que interactan con el Sistema de Informacin,
el cual est formado por las personas que utilizan el sistema y estas a sus vez son las principales amenazas
internas ya que por la falta de seguridad y controles pueden hacer un mala administracin y uso de los datos.
metodologas para la identificacin de riesgos informticos
MARCO CONCEPTUAL
Sistema de informacin: Es un sistema automatizado o manual que involucra personas, maquinas y/o
mtodos organizados de recoleccin, proceso, transmisin y clasificacin de datos. El objetivo del sistema
de informacin es proporcionar datos necesarios para un determinado mbito de la organizacin, con el fin
de conducir, controlar y apoyar la estrategia corporativa.
Entrada de informacin: Proceso mediante el cual el sistema de informacin toma los datos que requiere
para procesar la informacin, esto pueden ser manuales o automticos.
Salida de informacin: Proceso en donde el sistema tiene la capacidad de sacar la informacin que ingreso
al sistema y luego fue procesada, esta funcin se lleva con xito por los perifricos de salida, y de
almacenamiento segn lo que requiera el usuario.
Amenazas internas: Estas amenazas pueden ser ms serias que las externas, ya que los usuarios conocen
la red y saben cmo es su funcionamiento, tienen algn nivel de acceso a la red por las mismas
necesidades de su trabajo.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener informacin
certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella
y buscar la manera de atacarla.
Confidencialidad: Asegurar que slo los individuos autorizados tengan acceso a los recursos que se
intercambian.
Integridad: Determinar si se han alterado los datos durante la transmisin (accidental o intencionalmente).
Disponibilidad: Garantizar el acceso a un servicio o a los recursos.
Normas: Establece los lmites permisibles de acciones y procesos para cumplir con las polticas.
Proteger los activos de la empresa frente a posibles amenazas que ofrece permanentemente el medio, es un gran
desafo. Este inters crece an ms cuando la informacin cobra importancia para sobrevivir frente a la
competencia y permanecer en el mercado; factores como el uso de internet y dems herramientas que facilitan la
comunicacin traen consigo innumerables ventajas, pero igualmente enfrentan a la organizacin a otros
problemas que anteriormente no existan. La materializacin de amenazas que alteran o destruyen la informacin,
crea la necesidad de disear e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos
de riesgos que estn relacionados con las tecnologas de informacin.
En la Secretara de Salud de Bucaramanga se maneja informacin de gran importancia teniendo en cuenta que
son recursos del estado y requieren la proteccin de los datos, en la mayora de los casos la informacin no
cuenta con los estndares de seguridad necesarios, para el acceso y uso de los archivos, de ah surge la
necesidad de implementar un sistema que permita disminuir las vulnerabilidades al que est expuesto el sistema
de informacin.
Con el tiempo el hombre ha venido desarrollando metodologas que le permita, enfrentar las amenazas mediante
el uso racional del conocimiento y tecnologas a su alcance, por medio de la administracin de los riesgos
podemos identificar, analizar, evaluar y realizar un control fsico, lgico y financiero a los que est expuesta la
Secretaria
Para mejora y garantizar la calidad de los datos la empresa cuenta con normas, estndares y herramientas que
buscan brindar una informacin veraz, oportuna, confiable con el fin de que la informacin este protegida y fuera
del alcance de algn intruso, pero estos mtodos y tcnicas no son suficientes, porque la mayora del personal
que maneja este sistema no cuenta con los conocimientos necesarios y no sabe la importancia de la proteccin de
la informacin para la empresa.
OBJETIVOS
OBJETIVO GENERAL:
Disear una poltica de seguridad de la informacin para la Secretaria de Salud de Bucaramanga que facilite el
control, proteccin, disponibilidad, confiabilidad e integridad de la informacin, con el fin de resolver los problemas
generados por las vulnerabilidades.
OBJETIVOS ESPECIFICOS:
Identificar las principales vulnerabilidades a las que estn expuestos los sistemas de informacin de la
Secretara de Salud de Bucaramanga, a travs de un anlisis de la infraestructura actual y sus riesgos
asociados.
Proponer un conjunto de normas y mecanismos necesarios para garantizar la seguridad de la informacin
en la Secretara de Salud de Bucaramanga.
Capacitar a los usuarios sobre la importancia de la proteccin de la informacin y las polticas de seguridad
propuestas para la Secretara de Salud de Bucaramanga.
Los sistemas de informacin y los datos almacenados son uno de los recursos ms valiosos con los que puede
contar la Secretaria de salud. La necesidad imperante del flujo de informacin y el traslado de recursos de un sitio
a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de
comunicacin y toda la informacin que contienen sus nodos. Proteger la informacin y los recursos tecnolgicos
informticos es una tarea continua y de vital importancia que debe darse en la medida en que avanza la
tecnologa, ya que las tcnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y
como resultado los atacantes son cada vez ms numerosos, mejor organizados y con mejores capacidades. Las
amenazas que se pueden presentar provienen tanto de agentes externos como de agentes internos, por eso es
importante para la Secretaria de Salud de Bucaramanga definir una estrategia de seguridad fundamentada en
polticas que estn respaldadas por todos los miembros de la organizacin, de forma que se reduzca la
probabilidad de prdida de recursos por causa de los ataques a los que est expuesta.
Se debe considerar que la violacin de la seguridad en un sistema podra llegar a afectar gravemente las
operaciones ms importantes de la Secretaria y dejarla expuesta a la cualquier vulnerabilidad.
Considerando que la Secretaria de Salud no cuenta con una poltica clara sobre cmo crear una estrategia de
seguridad, cmo definir las polticas de seguridad, cules son los recursos que se deben proteger, qu
procedimientos debe tener la empresa para cumplir los objetivos de seguridad, qu personas deben estar
involucradas en el establecimiento de las polticas y quines deben velar por hacerlas cumplir; se ve la necesidad
a travs de esta monografa de desarrollar una poltica que busque cumplir todas estas necesidades.
Antecedentes
hacer uso de los correos electrnicos corporativos as como la conexin permanente hacia el intranet y extranet, pues
estos componentes de la tecnologa de la informacin hacen vulnerables a los sistemas de informacin de las
organizaciones pudiendo comprometer y caer en otras manos la informacin estratgica. Los niveles de riesgo son
grandes por esto se debe prever todo tipo de exposicin a los piratas de la informacin as como a los hackers y crakers.
*Los
* *Prevencin de riesgos en intranet
encriptamientos.
El software de monitoreo fue desarrollado en el lenguaje Visual Basic 5.0 para realizar una interfaces basadas en Windows 95.
la filosofa del proyecto es que el sistema pueda ser utilizado por cualquier persona, tanto en su parte de configuracin como en
su parte de monitoreo, para no tener necesidad de contratar personas especializadas en los equipos del sistema para su
configuracin y establecimiento en el nodo; se utiliz una librera llamada Powertcp para el manejo del protocolo SNMP bajo
TCP/IP y el Sistema esta en la capacidad de agregar, remover y configurar cada nodo.
De igual manera, Bauza (2002), realiz una investigacin titulada Sistema IABN (Instituto Autnomo Biblioteca Nacional),
ella fue de tipo estructural o de sistema, en donde se propuso el desarrollo de un modelo operativo factible, adems, esto
permiti elaborar un instrumento para un sistema operativo viable, con el objetivo de solucionar problemas de procedimientos
y normas, as como de tipo practico por medio de la cual se garantizaba un servicio que prestamos con la calidad que (IABN)
brinda a toda la nacin. Los datos fueron obtenidos a travs del cuestionario diagnosticado, estos fueron basados en una matriz
de doble entrada y expresados en trminos porcentuales por medio de procedimientos estadsticos. Este trabajo propona una
base de datos que fuera dirigida a facilitar el servicio de prestamos centralizados de libros y otros documentos.
Tambin se tiene en la tesis de grado realizado por Ercolino en el ao 2001, que llev por ttulo el diseo y manejo de un
sistema de monitoreo y control remoto para los nodos de telecomunicaciones que conforman la red de servicios de Impsat S.A.
de la Universidad Metropolitana tiene como objetivo principal, establecer un sistema que sea capaz de monitorear los equipos
de potencia del nodo y adems algunas variables externas necesarias, para el buen funcionamiento de este. Adems se propuso
un esquema de potencia robusto a las fallas as como tambin el diseo del sistema de monitoreo necesario para llevar un
control sobre los nodos, tanto en la parte de tipos de potencia tanto en la parte de variables fsicas necesarias.
A travs de la historia se han realizado distintos tipos de auditora, tanto al comercio como a las finanzas de los
gobiernos. El significado del auditor fue persona que oye, y fue apropiado en la poca durante la cual los
MARCO HISTRICO
El hombre ha resguardado y protegido con esfuerzo sus conocimientos, desde tiempos inmemorables, debido a la
superioridad y poder que ste le produca sobre otros hombres o sociedades. En la antigedad surgen las
bibliotecas, lugares donde se poda resguardar la informacin para trasmitirla y evitar que otros la obtuvieran,
siendo esto alguna de las primeras muestras de proteccin de la informacin.
La informacin tiene un papel importante en los diferentes acontecimientos que han sucedido en el transcurso de
los seres humanos, como las guerras ya que con esto se tomaba la mejor decisin y sacaba una mayor ventaja
sobre sus adversarios, se crean las redes de espionaje con el fin de obtener informacin valiosa e influyente y
surge diferentes formas de proteccin.
Con el devenir de los aos al incrementarse el alcance de la tecnologa, el cuidado de la informacin se ha vuelto
crucial y confidencial, la informacin est centralizada y puede tener un alto valor, puede ser divulgada, mal
utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo, para los hombres, las
organizaciones y las sociedades.
La informacin es poder y se le conoce como critica, sensitiva, valiosa, por tanto surge la necesidad de a segurar
la informacin, identificando los problemas, realizando una anlisis de riesgo, la comunicacin, la integridad, la
disponibilidad, confidencialidad y recuperacin de los riesgos. La seguridad de la Informacin tiene como fin la
proteccin de los datos y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin
no autorizada.
MARCO TEORICO
El sistema de informacin tiene una gran importancia, es un conjunto de elementos orientados al tratamiento y
administracin de la informacin, organizada y lista para su posterior uso, la comunicacin o adquisicin de
conocimientos permiten ampliar o precisar los que se poseen sobre un dato, con el fin de brindar ayuda y resolver
problemas, la necesidad constante de los seres humanos de aprender e indagar hace que la informacin juegue
un papel importante en la sociedad.
El desarrollo tecnolgico y el aumento de los medios de informacin brindan herramientas que facilitan el acceso
al conocimiento y al manejo de los datos, con ello se crean riesgos y diferentes tipos de amenazas a los que se
ven enfrentadas las organizaciones, surge la necesidad de resguardar los datos, por lo tanto se cuenta con
normas y mecanismos los cuales buscan identificar las debilidades, los peligros e intrusos que acceden a los
archivos, con el fin de que el sistema de informacin cumpla las caractersticas necesarias para garantizar su
seguridad, confidencialidad, disponibilidad e integridad de los datos,
organizacin.
El recurso humano es uno de los elementos ms importantes ya que interactan con el Sistema de Informacin,
el cual est formado por las personas que utilizan el sistema y estas a sus vez son las principales amenazas
internas ya que por la falta de seguridad y controles pueden hacer un mala administracin y uso de los datos.
metodologas para la identificacin de riesgos informticos
MARCO CONCEPTUAL
Sistema de informacin: Es un sistema automatizado o manual que involucra personas, maquinas y/o
mtodos organizados de recoleccin, proceso, transmisin y clasificacin de datos. El objetivo del sistema
de informacin es proporcionar datos necesarios para un determinado mbito de la organizacin, con el fin
de conducir, controlar y apoyar la estrategia corporativa.
Entrada de informacin: Proceso mediante el cual el sistema de informacin toma los datos que requiere
para procesar la informacin, esto pueden ser manuales o automticos.
Salida de informacin: Proceso en donde el sistema tiene la capacidad de sacar la informacin que ingreso
al sistema y luego fue procesada, esta funcin se lleva con xito por los perifricos de salida, y de
almacenamiento segn lo que requiera el usuario.
Amenazas internas: Estas amenazas pueden ser ms serias que las externas, ya que los usuarios conocen
la red y saben cmo es su funcionamiento, tienen algn nivel de acceso a la red por las mismas
necesidades de su trabajo.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener informacin
certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella
y buscar la manera de atacarla.
Confidencialidad: Asegurar que slo los individuos autorizados tengan acceso a los recursos que se
intercambian.
Integridad: Determinar si se han alterado los datos durante la transmisin (accidental o intencionalmente).
Disponibilidad: Garantizar el acceso a un servicio o a los recursos.
Normas: Establece los lmites permisibles de acciones y procesos para cumplir con las polticas.
Los SGBD son aplicaciones autnomas que implementan las Bases de datos y gestionan sus recursos (memoria y espacio en
disco) de forma independiente del sistema operativo.
Los SGBD proporcionan una serie de beneficios al tratar grandes volmenes de datos:
Eliminan la redundancia de datos. Se evita tener almacenados datos repetidos o datos calculados. Con ello se consigue
un almacenamiento eficiente y asegurar la consistencia de los datos.
Proporciona una visin abstracta de los datos. Ocultando los detalles del almacenamiento fsico y permite un acceso a
los datos de forma independiente a su localizacin y organizacin fsica.
Proporcionan lenguajes de alto nivel que facilitan el manejo de los datos. Generalmente SQL.
Flexibilidad respecto a los cambios. Facilita los cambios en la organizacin lgica de los datos ( P.ej: Modificar la
estructura de una tabla). Permite cambiar la organizacin fsica de los datos sin modificar la lgica. Independencia de
los datos respecto a las aplicaciones.
Permite el acceso concurrente de usuarios a los datos. La gestiona a travs de transacciones y bloqueos.
Establece medidas de seguridad sobre los datos:
o Asegura la integridad de los datos respecto a accidentes ( backups, sistemas de recuperacin contra fallos...)
o Garantiza la confidencialidad de los datos: Gestiona el control de acceso y de actividades de los usuarios.
La arquitectura de un SGBD se compone de cinco niveles y tres procesos transversales:
Nivel 5- Compilador y optimizador de sentencias DML y DQL que recibe de los clientes. Crea el plan de ejecucin.
Nivel 4- Ejecucin del plan de ejecucin de las sentencias. (Realizar las operaciones relacionales que componen el plan).
Nivel 3- Soporte a los conceptos de ficheros e ndices.
Nivel 2- Gestin de la memoria. El SGBD gestiona de forma independiente el espacio de memoria que tenga asignado.
Nivel 1- Gestin de disco. El SGBD implementa su propio sistema de ficheros en el espacio de disco que tenga asignado.
Los tres procesos transversales de soporte son:
La gestin de transacciones
La gestin de bloqueos
Seguridad
Los SGBD tienen como finalidad facilitar el acceso a los datos por parte de los usuarios, esta cualidad conlleva riesgos, pues
tambin facilita el acceso a los datos por parte de usuarios no autorizados. Es por ello, que los SGBD disponen de servicios de
seguridad para minimizar estos riesgos. Es funcin del DBA establecer y gestionar los sistemas de seguridad del SGBD.
Los principios bsicos de seguridad son:
1. Identificacin y autenticacin: el usuario se identificar y autenticar con el procedimiento de introducir un
usuario/contrasea (logon) con la finalidad de confirmar su identidad. Normalmente, el SO obliga a identificar al
usuario, se pueden establecer mecanismos que permitan que esta identificacin sea utilizada tambin por la base de
datos (single-sign-on), aunque siempre ser ms seguro obligar a volver a identificarse al acceder al SGBD.
2. Autorizacin y controles de acceso: una vez identificado el usuario, el DBMS controla las operaciones que pueden
hacer sobre los elementos de la base de datos.
3. Integridad y Consistencia: el DBMS ser el encargado de mantener la integridad y la consistencia de los datos,
siguiendo las especificaciones definidas al modelo de datos (constraints). Para asegurar la consistencia, adems, se usan
las transacciones.
4. Auditora: Es la seguridad a posteriori. Los SGBD almacenan en ficheros logs, todas las operaciones realizadas en la
base de datos. Si hay agujeros de seguridad, en la auditora del fichero log pueden ser descubiertos y eliminarlos. Las
auditoras pueden hacerse de forma peridica o cuando se sospecha que ha habido una violacin de la seguridad. Hay
SGBD generan ficheros logs especficos para las auditoras, denominadas audit trail. Un SGBD que facilite las
auditorias, hace que sea ms seguro
5. Disponibilidad: se trata de asegurar que los datos estn disponibles y son accesibles para los usuarios durante unos
horarios determinados. Si la disponibilidad es de 24 horas, la administracin del SGBD es ms compleja: los backups
deben hacerse en caliente, el hardware debe ser de alta disponibilidad (hot-swap...) y tambin la conexin de red
Extranet/Intranet. Para sistemas crticos, se pueden incorporar sistemas de redundancia a nivel de SO (RAID, Cluster,
etc.) o del SGBD (BD Replicadas).
Gestin del control de acceso a las bases de datos
Una de las tareas del DBA es organizar los permisos de acceso a los datos por parte de los usuarios, de acuerdo a la poltica de
la organizacin. El lenguaje SQL incorpora las sentencias necesarias para administrar la seguridad.
Las tareas a realizar son:
Crear cuentas de usuario: Utilizando la sentencia CREATE USER nom_usuari IDENTIFIED BY contrasea o ...
IDENTIFY EXTERNALLY si queremos aprovechar la identificacin del SO. La administracin de las contraseas
debe contemplar: Las contraseas deben almacenarse de forma cifrada, los usuarios deben cambiar peridicamente de
contraseas, se puede establecer vas permitidas de acceso como nmero de intentos mximo de acceso.
Grupos de usuario (roles): El uso de roles facilita la administracin en bases de datos con multitud de usuarios. El rol
acta de contenedor de permisos, en vez de asignarlos a los usuarios, se asignan a los roles. Para cada base de datos
contenida en el SGBD, se crea un rol para cada tipo de usuario posible, ej: ADMINISTRADOR, OPERADOR,
CONSULTA... Un usuario puede tener varios roles.
Asignar y quitar permisos a los usuarios y roles. Los permisos son autorizaciones para poder realizar operaciones sobre
determinados objetos de la base de datos. A mayor granularidad a la hora de otorgar los permisos, mayor control de la
seguridad. Hay dos tipos de permisos:
- A nivel de objeto: Permitir o restringir el acceso a los datos y cambios sobre stos. La sentencia SQL sera GRANT
( SELECT | UPDATE | DELETE | INSERT ) ON nombre_tabla_o_vista TO user [WITH GRANT OPTION]. Y se
elimina con la operacin REVOKE.
- A nivel de sistema: Permitir realizar funciones de administracin del SGBD, poder cambiar el esquema de las BD
(crear, modifiar,borrar tablas, vistas...) o administrar los mismos permisos.
Clasificar los datos y usuarios en niveles de seguridad. (No todos los SGBD)
Otro mtodo de seguridad es el uso de vistas. Con las vistas se pueden crear tablas virtuales a partir de tablas con informacin
confidencial. La vista slo muestra la informacin autorizada. El usuario tiene acceso a la vista pero no a la tabla.
En una base de datos podemos encontrar tres tipos de seguridad, que se pueden combinar:
Rendimiento
El DBA debe asegurar que el rendimiento del SGBD sea el apropiado para satisfacer los requisitos de los usuarios.
El rendimiento del SGBD se puede medir utilizando tres indicadores:
La velocidad de respuesta de las transacciones. Es el rendimiento percibido por los usuarios.
La productividad del SGBD. El nmero de transacciones por segundo ejecutadas por el SGBD.
La utilizacin de los recursos. Especialmente la capacidad de almacenamiento de los discos.
El primer factor en el rendimiento de una BD es su diseo. Un buen diseo de la BD y de las aplicaciones permite obtener un
buen rendimiento del SGBD. Ahorrar esfuerzo (= dinero y dedicacin) a la hora de analizar, disear e implementar una
aplicacin, provoca problemas de rendimiento, entre otros.
Por esto es muy importante que a la hora de disear un nuevo sistema se tengan en cuenta los siguientes criterios:
- Definir las necesidades de servicio que tendrn las aplicaciones.
- Hacer un anlisis correcto de los datos y como sern accedidos.
- Desarrollar un cdigo de acceso a la BD eficiente.
La optimizacin de los elementos de un SGBD es un factor prioritario en su rendimiento. La optimizacin se puede conseguir:
El uso de ndices. La consulta a las tablas puede acelerarse utilizando ndices para las columnas utilizadas en las
operaciones selecciones y join. El uso de los ndices acelera las operaciones de consulta, pero no perjudica la
velocidad de las operaciones de modificacin y borrado. No se deben indexar columnas muy voltiles o con poca
variedad de valores ni tablas con pocas filas.
El diseo de las consultas pueden invalidar el uso del ndice. Por ejemplo, los optimizadores no utilizan los ndices en
columnas usadas en operaciones aritmticas, con operaciones con null o en consultas anidadas.
La organizacin fsica de los datos. Se pueden configurar el tamao de los bloques en disco o reubicar los segmentos.
Los elementos que se acceden de forma simultnea deben estar en dispositivos separados, para permitir la
simultaneidad.
La red de comunicaciones. En la actualidad, con las bases de datos distribuidas y con la arquitectura de aplicaciones de
dos y tres capas, el rendimiento de las comunicaciones afectan directamente al rendimiento del SGBD.
El modelo de datos fsico. Hay casos que conviene desnormalizar el diseo de las bases de datos para ganar en
rendimiento. Por ejemplo: Guardando datos calculados, cuando su clculo supone mucho tiempo.
Servicios de red
Actualmente, el servicio informtico de las organizaciones est distribuido y se comunica a travs de las redes de
comunicaciones. La arquitectura de aplicaciones que impera es la de cliente-servidor de tres capas y quedan todava muchas
aplicaciones de dos capas. Los SGBD han de incorporar en sus productos los protocolos y elementos que permiten la
comunicacin a travs de red.
Ejemplos de servicios de red de los DBMS son SQL*Net de Oracle (net8 a partir de Oracle8) o OpenClient de Sybase.
Objetivos
Los servicios de red de los SGBD permiten:
1. la comunicacin entre los procesos en las mquinas clientes y los procesos del SGBD en los servidores.
2. Tambin permiten la comunicacin servidor-servidor, para bases de datos distribuidas o cooperativas.
Se utilizan protocolos preparados para intercambiar a travs de la red sentencias SQL y datos.
Es deseable que estos protocolos incorporen las siguientes funcionalidades:
- Transparencia respecto a las caractersticas de la red (topologa, medios de transmisin).
- Independencia de los protocolos de red utilizados.
- Transparencia respecto de las localizaciones de las mquinas.
- Seguridad y confiabilidad en las transacciones remotas.
Veamos un ejemplo de las capas de interfaz de red de Oracle (SQL*net):
Cdigo cliente
Net8 Cdigo estndar
Cdigo Servidor
Proceso Cliente
Proceso Servidor
Interfaz Protocolo X
Controlador dispositivo
Interfaz OS - Red
SO
Hardware
El administrador es el responsable que se realice la copia de seguridad de datos de las BD, para asegurar la integridad de los
datos en caso de accidente.
En la mayora de accidentes no catastrficos, como el fallo de una instancia del SGBD, el propio SGBD puede recuperar la
integridad de los datos de forma automtica. Para conseguirlo, el SGBD almacena todas las operaciones que se realicen en
unos ficheros denominados RedoLogs, y para poder deshacer las operaciones de las transacciones no confirmadas.
Los accidentes ms graves, como averas de discos, necesitan la intervencin del administrador y tener una copia de seguridad
de los datos.
Tipos de backups
Backups fsicos: consisten en hacer una copia de los archivos de datos y otros tipos de archivos del DBMS (de control, de
configuracin, etc.) a nivel fsico. Normalmente comporta una recuperacin de la base de datos completa, a no ser que esta
disponga de mecanismos especiales por asegurar la consistencia de una recuperacin fsica parcial. Se permite hacer este tipo
de backup de dos formas.
- Backup fsico en fro (off-line). Consiste en parar la base de datos y hacer una copia completa de todos los archivos de
datos (y configuracin, control, etc.).
Es un buen sistema porque implica una recuperacin fiable y rpida (slo se tienen que transferir ficheros y levantar la base
de datos, no se tiene que hacer recuperacin lgica posterior).
Slo se podr hacer si lo permiten las necesidades del servicio.
- Backup fsico en caliente (on-line). Se hace mediante mecanismos de checkpoint . Los datos que se copian son
inconsistentes. A la hora de hacer una recuperacin, a partir del ltimo checkpoint se tiene que hacer una recuperacin
lgica aplicando el commit o el rollback de las transacciones que estaban pendientes de validar en el momento de empezar
la copia. Ser necesario en entornos en qu se tenga que dar servicio ininterrumpido, o sin tiempo necesario para hacer los
Backups en frio.
Backups lgicos: Las exportaciones generan unos ficheros dnde se guarda toda la informacin, en forma de definicin de
objetos ms los datos que contienen, que permiten recrear las estructuras y los datos si se importan estos ficheros, ya sea sobre
la misma u otra base de datos. Se pueden hacer a nivel de base de datos completa, o parcial. Pueden ser incrementales o
acumulativos. Se tienen que hacer en caliente (la base de datos on-line), puesto que las utilidades de exportacin van leyendo
de la base de datos y escribiendo al fichero resultante. Muchas veces son necesarios por hacer backups selectivos (slo de una
parte de la BD), o por transferir datos de una base de datos a otra).
El tipo de backup ms adecuado depender de los requerimientos de nuestro sistema, del tamao de la BD, del tiempo
disponible por hacer la recuperacin, etc. El ideal es hacer copias tanto fsicas como lgicas peridicamente, y en caso de
prdida de datos, poder aplicar el tipo de recuperacin ms adecuado.
Journaling
Esta tcnica ser necesaria si no es aceptable perder ningn dato de nuestro sistema en caso de fallo de algn fichero de datos.
Consiste en guardar todas las transacciones que se ejecutan a la base de datos copindolas a archivos, sobre otro disco. Esto es
una redundancia que puede resultar costosa, pero en caso de fallo del disco, se puede reconstruir todo el trabajo perdido. La
recuperacin consistira en recuperar primero la ltima copia de la base de datos disponible, y aplicar despus todos los
cambios que se han hecho desde entonces, que se conocen gracias a estos ficheros.
Recuperacin
El plan de backup se tiene que hacer siempre pensando en las necesidades que tendremos a la hora de hacer una recuperacin.
Habremos de considerar:
- Si tenemos que recuperar los datos totalmente o no son tan crticas y es suficiente restaurar la ltima copia.
- De qu tiempo se dispondr por hacer la recuperacin.
- Complejidad de la recuperacin.
Es imprescindible que los mecanismos de recuperacin se prueben habitualmente por comprobar el correcto funcionamiento.
No sirve de nada tener todas las copias peridicamente realizadas y almacenadas si cuando se produce una prdida, la
recuperacin no funciona.
Los objetivos se redactan con verbo en infinitivo, es decir, con verbos no conjugados. stos pueden ser: Disear,
Construir, Estudiar, Evaluar, etctera.
Los objetivos no son preguntas, son metas por alcanzar no dudas por resolver.
Los objetivos no son hiptesis. No se puede plantear como objetivo de la monografa un supuesto que todava no est
comprobado. Un objetivo es algo que se quiere cubrir, algo que se quiere lograr. Es una meta que la investigacin debe
alcanzar.
Los objetivos no son los pasos a realizar durante el proyecto. Estos pasos constituyen la metodologa y hacen parte
del cmo se va a realizar el proyecto?, no del qu se va a realizar?
Se debe estipular un objetivo general y varios objetivos especficos (mximo 5). El objetivo general debe contener a los objetivos
especficos, los cuales detallan una o varias caractersticas que ser posible observar en la monografa, o los subproductos que se irn
alcanzado en el desarrollo de la misma. Recuerde que los objetivos deben ser fcilmente identificables dentro del proyecto.
5. JUSTIFICACIN
Nmero mximo de pginas : 3
En la justificacin se exponen las razones para realizar la monografa. La mayora de las investigaciones se efectan con un propsito
definido, no se hacen simplemente por capricho de una persona; y ese propsito debe ser lo suficientemente fuerte para que se
justifique su realizacin. Adems, en muchos casos se tiene que explicar por qu es conveniente llevar a cabo la investigacin y cules
son los beneficios que se derivarn de ella.1
Por lo tanto en esta seccin se debe aclarar los alcances del proyecto y el aporte que el mismo realizar para solucionar la
problemtica planteada en el numeral anterior. Adems se debern presentar los beneficios que dicho desarrollo proporcionar a las
entidades y personas involucradas.
6. MARCO DE REFERENCIA
1 REZA BECERRIL, Fernando. Ciencia, metodologa e investigacin. Alhambra Mexicana Editorial. 1997. Cap 8.
El propsito de la realizacin del marco de referencia se refiere a la necesidad que tiene el investigador de familiarizarse con el conocimiento existente dentro del campo
en el que va a realizar la investigacin. Si el estudio realmente tiene la intencin de contribuir de alguna manera a incrementar el conocimiento existente, para ello la
revisin de lo compilado al respecto ha de ser cuidadosa y metdica 2.
El captulo del marco de referencia se subdivide en antecedentes, marco conceptual, marco terico, marco normativo (legal o jurdico),
marco histrico, marco tecnolgico, marco econmico, marco ambiental, marco sicolgico, marco cultural, estudio similares y estudio
bsicos, dependiendo de las caractersticas del proyecto que se va a realizar (Ver ANEXO A). En una monografa tpica se deben incluir
como mnimo: Marco Conceptual, Antecedentes, Marco Terico y Marco Tecnolgico. Los Antecedentes contienen la sistematizacin de
la informacin recopilada sobre el tema objeto de la monografa, organizando los casos consultados sobre problemticas similares o en
el mismo mbito de la monografa propuesta.
7. METODOLOGA APLICADA
Nmero mximo de pginas: 5
Esta seccin indicar la metodologa a utilizar (referenciando al autor y el libro donde se podra consultar). Esta consta de las
diferentes fases a realizar especificando las actividades y tareas que se realizarn en la ejecucin del proyecto, para cada una de las
fases.
8. CRONOGRAMA
Nmero mximo de pginas: 1
Una vez identificadas las actividades, se deber estimar el tiempo que se dedicar para cada una de ellas y se organizar esta
informacin en un cuadro de cronograma (Ver Anexo B).
El cronograma se estipula en semanas, sin necesidad de especificar el mes, slo se indica como Mes1, Mes2, etc. La fecha de inicio en
la cual empieza a ejecutarse el cronograma corresponde a la fecha en que comienza la realizacin de la fase 1 contemplada en la
metodologa.
9. PRESUPUESTO
Nmero mximo de pginas: 1
Corresponde al costeo del proyecto de acuerdo con el tiempo de desarrollo, identificando los diferentes rubros que harn parte del
desarrollo. Los rubros ms comunes son Recursos Humanos, Recursos Tecnolgicos (Software, Hardware), Papelera. (Ver Anexo C)
10. BIBLIOGRAFA
Nmero mximo de pginas: 4
Incluye las fuentes documentales consultadas para la construccin del anteproyecto y referenciadas en las diferentes secciones, siguiendo la normativa ICONTEC.
NORMAS DE PRESENTACIN
Para la elaboracin de este documento se deber tener en cuenta las siguientes normas:
Debe redactarse de manera impersonal. (No debern utilizarse expresiones como: Construiremos, investigaremos, realizaremos, etc.)
Debe usarse papel bond tamao carta blanco.
Se deber transcribir en un procesador de palabras e imprimir por una sola cara en letra de tamao 12 puntos.
Todos los prrafos debern comenzar contra el margen izquierdo y sin dejar sangra, exceptuando la cita directa extensa (ver las normas ICONTEC).
El espacio interlineal ser de uno y medio.
Los mrgenes, puntuacin y numeracin de ttulos se realizar segn la norma ICONTEC, teniendo en cuenta que cada seccin anteriormente descrita hace las
veces de captulo y su nombre ser usado como ttulo respectivo.
La numeracin de las pginas es voluntaria, si se hace se debe omitir escribir la numeracin en la pgina de presentacin y en la primera pgina de cada
captulo.
No se debe incluir ninguna portada diferente a la Hoja de Presentacin, ni pginas en blanco adicionales.
BIBLIOGRAFA RECOMENDADA
BERNAL, Csar Augusto. Metodologa de la Investigacin para Administracin y Economa.
HERNANDEZ SAMPIERI, Roberto y otros. "Metodologa de la investigacin". 2 ed. Mc Graw Hill. Mxico 1998.
REZA BECERRIL, Fernando. "Ciencia, metodologa e investigacin. Alhambra Mexicana, 1997.
SABINO, Carlos. "El proceso de investigacin". Editorial Cometa de papel. Medelln, 1996.
2 HERNNDEZ SAMPIERI Roberto, FERNNDEZ COLLADO Carlos y BAPTISTA LUCIO Pilar. Metodologa de la investigacin. Segunda Edicin
- Editorial Mc Graw - Hill. Captulo 3 Pg 21.
Inicio.
Todos los programas.
Microsoft SQL Server 2008 r2.
Herramientas de configuracin.
Administrador de SQL Server 2008 R2.
Esta seccin contiene los temas de la Ayuda F1 para los cuadros de dilogo de Configuracin
de SQL Server Native Client del Administrador de configuracin de Microsoft SQL Server. SQL
ServerSQL Native Client es la biblioteca de red que los equipos cliente utilizan para conectarse a
SQL Server, y se inicia con Microsoft SQL Server.
Las opciones establecidas en SQL Server Configuracin de SQL Native Client se utilizan en el
equipo que ejecuta el programa cliente. Si se establecen en el equipo que ejecuta SQL Server,
slo afectan a los programas cliente que se ejecutan en el servidor.
Estas opciones no afectan a los clientes que se conectan a versiones anteriores de SQL Server,
salvo que utilicen las herramientas de cliente que se inician con SQL Server, como SQL Server
Management Studio. En esta seccin:
* Crear una cadena de conexin vlida con el protocolo VIA
* Protocolos de cliente (Administrador de configuracin de SQL Server)
* Alias (Administrador de configuracin de SQL Server)
Configuracin de Red.
Tomar imagen a la pantalla donde todos los servicios de SQL Server 2008
R2 estn detenidos y con configuracin Manual.
Iniciar la maquina virtual con Windows Server 2003 y SQL Server 2008
R2.
Inicio.
Clic de derecho en mi pc.
Administracin de discos.
Al terminar el proceso.
R2.
c. Administrar la memoria.
Ruta para la configuracin de la memoria SQL Server 2008 R2:
Iniciar la maquina virtual con Windows server 2003 y SQL Server 2008
R2.
Inicio.
Todos los programas.
Microsoft SQL server 2008 r2.
SQL Server Management Studio.
Tomar
pantallazo
especificar
que
se
puede
modificar
en
la
b. Consultar.
Tambin con una nueva consulta comando use prueba y verificar que la
consulta se realizo con xito.
Tomar imagen de cada paso para la creacin de la nueva base de datos
y su configuracin, por ultimo borrar la base de datos, anexar
documentos y fotos a su manual paso a paso de configuracin de BD
en SQL Server
2008 R2.