La protección de datos en los sistemas transaccionales

...

Para evitar esos inconvenientes, cualquier empresa -no importa su envergadura ni la prestación de sus servicios al público- debe instrumentar un plan de concientización sobre el uso correcto de la información, apunta el experto de BDO. "Y esta política, para clasificar qué sectores del personal pueden manejar determinados datos y a cuáles les estará vedado, debe surgir de un convencimiento de los niveles de alta gerencia", acota.

Para que la protección de los datos internos de la empresa sea efectiva, se requiere del consenso e involucramiento de la alta gerencia de la empresa, sostiene Silberfich, en las siguientes cuestiones:

• Considerando el Plan de Seguridad Informática con el Plan Estratégico de Negocios y de Sistemas, de acuerdo con la cultura de la empresa.

• Definiendo normas, procedimientos de Seguridad Informática y controlando su cumplimiento (estándares de sistemas operativos, uso de Internet, e-mail, mantenimiento de passwords, roles y perfiles y acceso a transacciuones en los aplicativos de producción)

• Y concientizando a los usuarios finales diariamente en las tareas de protección de datos.

De acuerdo con la página sobre cómo protegernos de los robos de la base de datos se debe poner alcances al acceso a la base de datos, ya que cualquiera no puede entrar a la BBDD, porque también hay robos dentro de la empresa lo cual se tiene que haces un plan de seguridad informático con el plan estratégico de negocios y de sistemas, que se debe involucrar a la gerencia de la empresa.

Claves para la seguridad informática

Según La Gaceta, 2007, nos dice con palabras de expertos en BBDD la definición de las claves para la seguridad informática:

La información debe ser protegida, entre otras razones porque garantiza la continuidad comercial, minimiza el daño y maximiza el retorno sobre las inversiones y las oportunidades. La seguridad informática apunta a mitigar los riesgos, y la que puede lograrse por medios técnicos tiene límites y debe ser respaldada por una gestión y procedimientos adecuados en el trabajo tanto de los recursos humanos técnicos como no técnicos (usuarios finales), señalan los especialistas de BDO Becher, una firma que en Tucumán es representada por el estudio saieg consultores y asociados en dirección.

Alcanzar la seguridad de la información requiere como mínimo los siguientes pasos y requerimientos: evaluar los riesgos que enfrenta la organización (amenazas, vulnerabilidades, probabilidad de ocurrencia, cuantificación de los riesgos); evaluar los requisitos que deben cumplir (legales, normativos, reglamentarios, contractuales) e identificar y evaluar respecto de la información (los principios de la organización, los objetivos establecidos y los requisitos de procesamiento).

Según los expertos, la instrumentación de una sana política empresarial de seguridad informática no es costosa, ya que no requiere actualizar la tecnología (software ni hardware), sino capacitar y actualizar a todos los niveles de personal sobre las reglas de juego para el uso de la información interna (privada, pública o confidencial). También que el personal tome conciencia de que, si maneja información crítica, debe evitar fotocopiar o imprimir informes en lugares de uso común con el resto del plantel de la empresa.

De acuerdo con la página y los expertos en BBDD sobre las claves para la seguridad informática, se tiene que hacer unos pasos y requerimientos para alcanzar la seguridad informática, tales como evaluar los riesgos, probabilidad de ocurrencia, cuantificación de riesgo, evaluando los requisitos que se deben cumplir, los objetivos establecidos y los requisitos de procedimientos, ya que según los expertos estos pasos no son costosos, solo es capacitar y actualizar a todos los empleados con el uso de la información interna de la empresa.

Ataques a las diferentes bases de datos

Según ALONSO, 2012, nos define sobre los ataques a la base de datos, lo cual solo mostramos dos definiciones:

Base de datos DB2, se trata de una de las bases de datos más veteranas, aunque tal vez es de las menos comunes en entornos de aplicativos web. Normalmente se encuentra en entornos de mainframe en los que no hay un acceso desde el exterior. Aun así, en ocasiones es posible encontrarla en dichos entornos y realizar ataques de inyección SQL.

MySql es posiblemente la base de datos que sufre mayores variaciones en sus últimas versiones en cuanto a las tablas de sistema. A partir de la versión 5 cambia totalmente el funcionamiento del catálogo, así como las tablas que contienen los datos. En versiones anteriores a la 4 había problemas en el catálogo en la utilización de algoritmos débiles de encriptación que permitían descifrar las contraseñas utilizadas.

Analizando la definición de los ataques de la base de datos con SQL Inyección, nos dice dos claras ideas con diferentes SGBD, una es BBDD DB2, es antigua lo cual no es común en páginas web, pero aun así es posible realizar ataques con inyección SQL, por otro lado tenemos la BBDD MySql la cual sufre mayor cambio en sus versiones en cuestión de las tablas del sistema, lo cual en la versión 4 por la utilización de algoritmos débiles de encriptación se permitía descifrar las contraseñas más utilizadas.

La Protección contra Blind SQL Injection

Según ALONSO, 2012, nos define sobre cómo protegernos contra la SQL Injection, para una mejor seguridad informática:

Las protecciones para SQL Injection son las mismas que contra SQL Injection. ¿Cómo hacerlo?, pues comprobando absolutamente todo. Hoy en día, en todos los documentos técnicos en los que se evalúa el desarrollo de aplicaciones seguras está disponible un amplio estudio sobre cómo desarrollar protegiendo los programas contra la inyección de código.

Toda consulta que se vaya a lanzar contra la base de datos y cuyos parámetros vengan desde el usuario, no importa si en principio van a ser modificados o no por el usuario, debe ser comprobada y realizar funciones de tratamiento para todos los casos posibles. Hay que prever que todos los parámetros pueden ser modificados y traer valores maliciosos. Se recomienda utilizar códigos que ejecuten consultas ya pre-compiladas para evitar que interactúe con los parámetros de los usuarios.

Asimismo, como se ha visto, los atacantes intentan realizar ingeniera inversa