Resumen: en el presente estudio se realizó el análisis de las vulnerabilidades del proceso de Gestión de bases de datos de dos instituciones basado en el dominio control de acceso de la norma internacional ISO 27002 y el modelo de madurez de la administración de la seguridad de la información (ISM3). Se establecieron 14 preguntas organizadas en 4 categorías: requisitos de negocio para el control de acceso, control de acceso a sistemas y aplicaciones, responsabilidad del usuario y gestión de acceso de usuario. Se aplicó tres técnicas: la entrevista, observación y una prueba técnica que se ejecutó con el fin de evaluar cada una de las categorías. Se evidenció que la empresa A obtuvo el nivel de madurez controlado, a diferencia de la empresa B que obtuvo administrado. Por último, se presenta los mecanismos de seguridad que son utilizados para mitigar las vulnerabilidades del proceso de gestión de bases de datos.
Palabras-clave: gestor de base de datos; control de acceso; vulnerabilidades en base de datos; ISO 27002; ISO 27001
Abstract: in this study, the analysis of the vulnerabilities of the Database Management process of two institutions was conducted based on the access control domain of the international standard ISO 27002 and the maturity model of the information security administration (ISM3). 14 questions organized in 4 categories were established: business requirements for access control, access control to systems and applications, user responsibility and user access management. Three techniques were applied: the interview, observation and a technical test that was executed in order to evaluate each of the categories. It was evidenced that company A obtained the level of maturity controlled, unlike company B that obtained managed. Finally, the security mechanisms that are used to mitigate the vulnerabilities of the database management process are presented.
Keywords: database manager; access control; database vulnerabilities; ISO 27002; ISO 27001.
1. Introducción
Con el surgir de nuevas tecnologías aparecen nuevos ataques que infringen la seguridad de los sistemas informáticos lo que provoca una mayor demanda de controles o salvaguardas para la protección de la información. Sin embargo, algunas organizaciones dejan de lado la seguridad informática, al ser un ámbito de incredulidad por parte de dueños de las empresas y ejecutivos, al estimar que no les ocurrirá y no proveen posibles intromisiones a sus sistemas, por esta razón no cuentan con especialistas o herramientas para detectar el fraude informático (Burgos y Campos, 2008). Por lo tanto, los activos que almacenan la información crítica de la empresa tienen vulnerabilidades que son utilizadas por los atacantes informáticos, y su objetivo principal por lo general es el acceso a las bases de datos de la organización. Saraswat y Tripathi (2014), indican muchas formas en que una base de datos es comprometida, por esta razón es necesario enfocarse en un marco de trabajo que proporcione guías de buenas prácticas, que salvaguarden la gestión de la seguridad de la información de los interesados (Solarte, Enriquez y del Carmen, 2015).
En respuesta, la Organización Internacional de Estandarización (ISO) propone la norma ISO 27000 que permite planificar, ejecutar, verificar y proceder ante fallos e interrupciones en la seguridad de la información de las infraestructuras (Disterer, 2013). Específicamente, la norma ISO 27002, interviene en el proceso de implementación de un sistema de gestión de seguridad de la información, mediante restricciones, excepciones y controles aplicables como medidas de seguridad informática y a la seguridad de la información en forma de políticas y procedimientos (Valencia y Orozco, 2017; Solarte, Enriquez y del Carmen, 2015). La norma se diseñó para ser usada como referencia a la hora de seleccionar controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) o bien como documento guía para organizaciones que implementen controles de seguridad de la información comúnmente aceptados (ISO/IEC 27002, 2013).
En el presente trabajo se define un modelo de evaluación de acceso a las bases de datos de acuerdo con los controles propuestos por la norma ISO 27002. El modelo consiste en un grupo de 4 componentes basados en las categorías del dominio 9 control de acceso, y ayuda a determina el nivel de madurez de la seguridad de la información que tiene la administración de las base de datos verificando el cumplimiento y eficiencia de los controles implementados.
El presente trabajo está estructurado de la siguiente forma: en la Sección 2 se detalla los trabajos relacionados, Sección 3 el dominio control de acceso basado en la ISO 27002. Sección 4 se enmarca el modelo de evaluación y la Sección 5 la metodología. Por último, la Sección 6 los resultados de la evaluación y en la Sección 7 las conclusiones y trabajos futuros.
2. Trabajos relacionados
Las empresas implementan sistema de base de datos con el fin de administrar sus datos y proveer la información a los sistemas informáticos que son utilizados por los usuarios en la ejecución de sus actividades diarias. Si embargo el control de acceso es la principal preocupación de las violaciones de seguridad causadas por intrusos. Quisbert (2014), en su investigación para mitigar las vulnerabilidades que existen en las bases de datos. El sistema utilizó agentes inteligentes, almacenados en una base de datos de conocimiento, bajo un patrón de vulnerabilidad, con el fin de avisar a tiempo sobre alguna vulneración. El autor indicó que el 70% de las vulnerabilidades son internas y el 30% externas.
En el estudio con el tema "Solución basada en el Razonamiento Basado en Casos para el apoyo a las auditorías informáticas a bases de datos", de los autores Azán et al. (2014), se realizó un proceso de auditoría a los Sistemas Gestores de Bases de Datos (SGBD), en el Departamento de Seguridad Informática a través de matrices de diagnóstico o listas de chequeo. Los expertos determinaron los niveles de riesgos de la seguridad de la información en alto, medio y bajo después de un análisis de los SGBD. El estudio tuvo como resultado la construcción de un sistema que permite monitorear los SGBD: PostgreSQL, MySQL, SQL Server y Oracle.
3.Dominio Control de Acceso aplicado a la gestión de Base de Datos
La información es el activo más importante en las empresas debido a su uso para la ejecución normal de las actividades del personal y la fuente para la toma de decisiones críticas de los stakeholders. Sin embargo, la información más sensible esta almacenada en los servidores, especialmente en los gestores de base de datos, bajo la responsabilidad del área de Tecnología de la Información y Comunicación (TIC) y debe ser salvaguardada adecuadamente contra el robo y manipulación de personal no autorizado.
Por otra parte, la ISO propone la familia 27000, con el fin de proporcionar directrices para mantener la integridad, confidencialidad y disponibilidad de la información a través de la implementación de un SGSI. La norma ISO 27001 plantea requisitos tangibles y obligatorios para la implementación de un SGSI y proporciona una herramienta global para la instauración de un sistema de alta calidad, indispensable y útil para cualquier institución (Patiño, Solís, Sang, & Arroyo, 2018). Específicamente la norma ISO 27002 en su versión 2013 consta de un total de 14 capítulos de controles, 35 categorías principales y 114 controles, en el capítulo control de acceso contiene los mecanismos necesarios para salvaguardar el acceso a las aplicaciones, sistemas operativos e información (ISO/IEC 27002, 2013). A continuación, se detallan las 4 categorías del dominio control de acceso aplicadas a la gestión de base de datos.
3.1.Categoría requisitos de negocio para el control de acceso
Se orienta a limitar el acceso a los recursos de tratamiento de información y a la información en sí. Por lo tanto, es importante definir políticas de control de acceso que permita gestionar el derecho de acceso de los usuarios a las bases de datos, así como una clara segregación de funciones para obtener un control adecuado de los gestores de base de datos. Es necesario, separar los ambientes de producción y desarrollo, y definir las funciones para el Administrador de Base de Datos (DBA) y los programadores.
Asimismo, se debe especificar en las reglas de negocio los cambios de los permisos de los usuarios iniciados automáticamente por el sistema y aquellos iniciados por el administrador de sistema gestor de base de datos. Además, las reglas deben estar especificadas en procedimientos formales, así como las responsabilidades del DBA.
3.2. Categoría gestión de acceso de usuario
Consiste en garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios. Debe implantarse un procedimiento formal de registro y retirada de usuarios que haga posible la asignación de los derechos de acceso. Asimismo, un procedimiento formal para asignar o revocar los derechos de acceso para todos los tipos de usuarios de todos los sistemas y servicios. La asignación y el uso de privilegios de acceso debe estar restringida y controlada. La asignación de la información secreta de autenticación debe ser controlada a través de un proceso formal de gestión.
Los propietarios de los activos deben revisar los derechos de acceso de usuario a intervalos regulares. Los derechos de acceso de todos los empleados y terceras partes, a la información y a los recursos de tratamiento de la información deben ser retirados a la finalización del empleo, del contrato o del acuerdo, o ajustados en caso de cambio.
El acceso y los servicios de red deben ser manejados solo por usuarios autorizados, principalmente que no existan identificadores redundantes, es decir, no proveer a varios usuarios las mismas credenciales para el acceso a los datos. Por lo tanto, se recomienda realizar un procedimiento formal que controle la asignación y revocación de privilegios de los usuarios luego de la salida y término de sus actividades profesionales en la empresa (ISO/IEC 27002, 2013).
Además, es necesario evitar la elevación de privilegios no autorizados, es decir el DBA podría elevar accesos de un usuario normal a uno tipo administrador del sistema. Por ejemplo, en MySQL se puede usar los comandos show grants para verificar qué cuentas tienen acceso a qué. Luego usar revoke para eliminar los privilegios que no son necesarios. De igual manera SQL Server utiliza la declaración revoke para revocar los privilegios.
Las entidades deben realizar un proceso formal de gestión de información secreta de autenticación de los usuarios, para poder llevar de mejor manera dicha información.
3.3. Categoría responsabilidad del usuario
Se debe requerir a los usuarios que sigan las prácticas de la organización en el uso de la información secreta de autenticación, es decir la forma cómo los usuarios salvaguardan la información de autentificación a los sistemas, así como establecer contraseñas de calidad, las cuales deben ser cambiadas periódicamente. Por lo tanto, el gestor de base de datos debe contar con un método de autenticación seguro que exija el ingreso de una contraseña para acceder al gestor de base de datos de la empresa.
3.4.Categoria control de acceso a sistemas y aplicaciones
Es importante prevenir el acceso no autorizado a los sistemas y aplicaciones de acuerdo con la política de control de acceso previamente definida. Sin embargo, es necesario la definición de un procedimiento seguro de inicio de sesión con adecuados controles de aplicación implementados.
Si existe acceso al gestor de base de datos por medio de la red, debe configurarse la contraseña a través de un mecanismo de encriptación para evitar que sea escuchada por usuarios no autorizados. Además, se debe almacenar las acciones de inserción, modificación, eliminación y lectura de registros de los usuarios por medio de registros de auditoria para ayudar a detectar de una manera eficaz si se está vulnerando el gestor de base de datos.
Por otra parte, el gestor de base de datos no debe permitir ver la contraseña al momento de escribirla, así como configurar un mínimo de tiempo posible de duración de las sesiones que están inactivas durante un determinado tiempo. Además, evitar configuraciones por defectos o situar la contraseña en los códigos fuente de los sitios web de la empresa.
4.Modelo de Evaluación de la Seguridad en la gestión de Base de Datos
En esta sección se aborda el modelo de evaluación a través de las 4 categorías del dominio de control de acceso de la norma ISO 27002 y el modelo de madurez ISM3.
4.1.Elementos del Modelo de Evaluación
Los elementos del modelo son las 4 categorías del dominio 9 control de acceso de la norma ISO 27002. A partir de los controles propuestos en el dominio, se diseñó un cuestionario de 14 preguntas (Tabla 1).
4.2.Descripción del nivel de madurez
Como respuesta, el cuestionario tiene un conjunto de opciones basado en una escala del modelo de madurez. Un modelo de madurez de la seguridad de la información promueve una correcta utilización de las buenas prácticas debido a que orientan sobre el nivel en el que se encuentran y así se conduce a un alto nivel de madurez de la seguridad de la información.
El modelo de madurez utilizado es el Modelo de Madurez de Gestión de Seguridad de la Información (ISM3-Information Security Management Maturity Model) debido a que maneja métricas de Seguridad de la Información, que ayudan a mantener a la organización en un nivel de riesgo aceptable, se ajusta tanto a pequeñas como a grandes organizaciones, es muy utilizado y adaptable para necesidades específicas como ciberseguridad. (ReaGuaman, Sánchez-García, San Feliu Gilabert & Calvo-Manzano Villalón, 2017)
5.Metodología de investigación
El modelo se aplicó en dos entidades ubicadas en Ecuador, las cuales estuvieron de acuerdo en proporcionar información para el presente estudio. Por motivo de confidencialidad por parte de las empresas colaboradoras, los nombres no son revelados en el documento por lo tanto se asignó una letra genérica a cada una:
A = Institución privada de 218 empleados en el año 2018. Único responsable de la administración de las bases de datos. Los gestores de base de datos son SQL Server estándar con licencia y MySQL.
B = Institución pública de aproximadamente 250 empleados en el año 2018. Posee un único responsable. Los gestores de base de datos son SQL Server Express y MySQL.
5.1. Recolección de datos
La evaluación consistió en aplicar tres métodos de recolección de datos: entrevista, observación y prueba técnica. Es decir, se aplicó la entrevista al DBA y se utilizó el cuestionario detallado en la Tabla 1, posteriormente a través de la observación se analizó los controles con el fin de evidenciar las respuestas del encuestado y obtener soporte de lo respondido.
5.1.1. Prueba de Penetración
La tercera técnica de recolección de información fue la ejecución de una prueba de penetración con el objetivo de identificar las vulnerabilidades y evaluar la eficiencia de los controles de seguridad en el acceso a sistemas y aplicaciones de la organización. Primeramente, se identificó y recolectó información del objetivo. En la página oficial de la empresa se identificó los servicios web vulnerables. La herramienta utilizada fue SqlMap que permite ejecutar pruebas de inserción de código abierto, con las que se localiza y aprovecha vulnerabilidades de inyección SQL (Barinas, Alarcón, y Callejas, 2014). Es decir, a través de la herramienta SqlMap se valida cadenas de SQL Injection que proporciona información que permite identificar el gestor de base de datos u otro dato como errores de programación interna.
En el análisis de los servicios web de la institución A se identificó que las páginas tenían protocolos de seguridad https y se verificó que el inicio de sesión contaba con los controles de aplicación impidiendo el acceso a terceros no autorizados (Figura1).
En la institución B se identificó una página vulnerable, la cual no contaba con el certificado de seguridad SSL, y se comprobó que la página de inicio de sesión no tiene controles de aplicación que permita verificar si se está enviando cadenas sql en sus cajas de texto. Además, a través de la url vulnerable se logró obtener el nombre de 15 bases de datos y después se procedió a obtener de una de ellas el listado de las tablas (Figura 2).
6.Resultado
Una vez realizada todas las preguntas, se evidenció que ambas instituciones tenían falencias con respecto a la seguridad de la información, debido a que carecen de una política de control de acceso. Además, los sistemas informáticos son propensos a tener vulnerabilidades porque sus custodios implementan controles mínimos. Por lo tanto, los ataques internos se producen por la falta de controles de aplicaciones, es decir tienen vulnerabilidades que permiten el acceso a las bases de datos, asimismo el descuido del DBA puede revelar la clave de acceso de los gestores de bases de datos.
6.1. Hallazgos Empresa A
Como se muestra en la Tabla 3, la media de todos los factores fue superior 3 a excepción del primer elemento (requisitos de negocio para el control de acceso), lo que indica que no se tiene una política para controlar el acceso de los usuarios a los recursos informáticos.
El elemento gestión de accesos de usuario tiene un valor de 3 es decir administrado debido a que el departamento de Recursos Humanos emite un comunicado al área de TIC sobre el cambio de privilegios de acceso de un usuario. Además, el único identificador de usuario (IDs) es creado a partir del primer nombre y primer apellido, y la contraseña es una combinación de letras, número y caracteres especiales.
El elemento con un mayor nivel de madurez (5- optimizado) es responsabilidad del usuario debido a que el DBA es el custodio de la cuenta tipo administrador de la base de datos.
Por último, el elemento control de acceso a sistemas y aplicaciones obtuvo un nivel controlado (4) debido a que sus servicios web si contaban con controles que prevenían el envío de mensaje de error que informara sobre sus características o configuración. También tiene un sistema automático de gestión de contraseñas y un registro de auditoria en el gestor de base de datos.
6.2.Hallazgos Empresa B
La empresa B en el elemento requisitos de negocio para el control de acceso obtuvo un valor de 1 (no definido), es el nivel más bajo en la escala. Es decir, no se tiene creada una política de control de acceso. Por lo tanto, se desconoce las directrices o controles que deben implementarse en las redes y los servicios para evitar a los usuarios no autorizados o atacantes. Otro aspecto relevante fue la prueba de penetración realizada a los servicios web que evidenciaron la falta de mecanismos de seguridad.
El elemento gestión de accesos de usuario obtuvo un valor de 3.66 lo que indica que está en un nivel entre administrado y controlado, debido a que su IDs es creado a partir del primer nombre y primer apellido, y la contraseña es una combinación de letras, número y caracteres especiales. Por otra parte, la asignación y habilitación, o la revocación de un IDs es automática debido a que se ingresa la fecha de inicio y salida del empleado en el sistema informático.
El elemento responsabilidad del usuario tiene un nivel 5 (optimizado), debido a que solo el administrador de las bases de datos cuenta con las claves de los gestores de bases de datos. Además, no se encontró expuesta en el escritorio de trabajo del DBA.
Por último, el elemento control de acceso a sistemas y aplicaciones se ubicó en el nivel 2 (definido), en comparación con la Empresa A el nivel es menor debido a que tiene menores restricciones y ningún control en los mensajes de error.
6.3.Mecanismos de Seguridad para el Proceso de Gestión de Base de Datos
El principal control es la redacción y revisión constante de una política de control de acceso que establezca los lineamientos que deben seguirse por parte del personal de la empresa.
Se debe implementar un procedimiento formal de registro y retirada de usuarios que haga posible la asignación de derechos de acceso. Conocer el sistema de control de acceso, utilizar las instrucciones grant y revoke para controlar el acceso a la base de datos. Tanto como en SQL Server y MySQL utilizan la declaración grant para asignar privilegios en las bases de datos. Usar la declaración show grants, para verificar los permisos de las cuentas. Evitar almacenar contraseñas en texto plano. Se debe contar con sistemas de gestión de contraseñas que sean interactivos y que aseguraren contraseñas robustas.
Los registros de auditorías son datos que se almacenan en archivos de auditoría y describen un único evento. Para implementar los controles de autoría se debe revisar y evaluar el control interno del entorno en que se desarrolla la base de datos. Para monitorear el acceso. Microsoft Sql Server utiliza la herramienta Sql Server Audit, la cual permite realizar auditoría en la base de datos a través de la creación de la descripción de las acciones de los usuarios al realizar modificaciones, esto solo es posible en versiones de SQL Server Enterprise y Develope.
Los DBA deben revisar los derechos de acceso de usuario en determinados tiempos. Restringir y comprobar el acceso a usuarios en la tabla user de la base de datos MySQL como root. Es importante definir una contraseña a root debido a que, por defecto la cuenta viene sin contraseña.
Además, se debe realizar la retira de los derechos de acceso a la información y a las instalaciones del procesamiento de información cuando se ha finalizado el contrato de los empleados y terceras partes como proveedores.
7.Conclusiones
En el presente trabajo se describió un modelo de evaluación que permite conocer el nivel de madurez de los controles de acceso en la gestión de base de datos, el cual proporciona un conjunto de preguntas que pueden ser adaptadas a diferentes contextos. Los resultados determinaron que el modelo de madurez basado en ISM3 logra identificar un correcto nivel de cada uno de los elementos del modelo propuesto. Además, la triangulación de las técnicas entrevista, observación y prueba técnica contribuyen a un resultado más preciso en la evaluación, especialmente la utilización de herramientas como SqlMap. Por último, la aplicación del modelo de evaluación en las dos empresas evidenció que la empresa A obtuvo el nivel de madurez Controlado, a diferencia de la empresa B que obtuvo Administrado.
Trabajos futuros
Se considera como trabajos futuros el acoplamiento al modelo de evaluación a los demás dominios de la norma con el fin de ser ajustados para brindar mayor facilidad de implementación de controles.
Referencias
Azán, Y., Bravo, L., Rosales, W., Trujillo, D., Garcia, E., & Pimentel, A. (2014). Solución basada en el Razonamiento Basado en Casos para el apoyo a las auditorías informáticas a bases de datos. Revista Cubana de Ciencias Informáticas, 8(2), 52-69. Retrieved from http://rcci.uci.cu
Barinas, A., Alarcón, A., y Callejas, M. (2014). Vulnerabilidad de ambientes virtuales de aprendizaje utilizando SQLMap, RIPS, W3AF y Nessus. Ventana Informática. (30). doi: https://doi.org/10.30554/ventanainform.30.276.2014
Burgos, J. y Campos, P. (2008). Modelo para Seguridad de la Información en TIC. Concepción, Chile: Universidad del Bío-Bío. Recuperado: http://ceurws.org/Vol488/paper13.pdf
Caicedo Alcivar, A. R. (2018). Informe Estudio de Caso: Análisis de las Vulnerabilidades en Gestores de Base de Datos utilizando el dominio "Control De Acceso" de ISO 27002. Pontifica Universidad Católica del Ecuador Sede Esmeraldas.
Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for information security management. Journal of Information Security, 4(2), 92-100. doi: 10.4236^.2013.42011
ISO/IEC 27002. (2013). International Standard Iso/Iec 27002:2013.Tecnología de la Información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información.
Le, N. T., & Hoang, D. B. (2016). Can maturity models support cyber security?. 2016 IEEE 35th International Performance Computing and Communications Conference (IPCCC). Recuperado: doi:10.1109/pccc.2016.7820663
Patiño, S., Solis, E., Sang, G. Y., y Arroyo, R. (2018). ICT Risk Management Methodology Proposal for Governmental Entities based on ISO / IEC 27005. 2018 Fifth International Conference on EDemocracy & EGovernment (ICEDEG), 75-82. Recuperado: https://doi.org/10.1109/ICEDEG.2018.8372361
Quisbert, A. (2014). REVISTA PGI -INVESTIGACIÓN, CIENCIA Y TECNOLOGÍA Modelo de Sistemas Multi-Agentes para Percibir, Evaluar y Alertar Ex-Antes los Accesos no Autorizados a Repositorios de Base de Datos. Recuperado:http://www. revistasbolivianas.org.bo/pdf/rpgi/n1/n1_a24.pdf
Rea-Guaman, Á. M., Sánchez-García, I. D., San Feliu Gilabert, T., & Calvo-Manzano Villalón, J. A. (2017). Modelos de madurez en ciberseguridad: una revisión sistemática.
Saraswat, D., y Tripathi, P. (2014). International Journal of Advanced Research in Computer Science and Software Engineering. International Journal of Advanced Research in Computer Science and Software Engineering, 4(5), 442-458. Recuperado: http://rjarcsse.com/Before_August_2017/docs/papers/Volume_3/5_May2013/ V3I50309.pdf
Solarte, F., Enriquez, E., y del Carmen, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/ IEC 27001. Revista Tecnológica-ESPOL, 28(5).
Recuperado: http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/456.
Valencia, F. y Orozco, M. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/ IEC 27000. RISTI-Revista Ibérica de Sistemas e Tecnologias de Informaçâo, (22), 73-88. doi: http://dx.doi.org/10.17013/risti.22.73-88.
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer
© 2019. This work is published under https://creativecommons.org/licenses/by-nc-nd/4.0 (the “License”). Notwithstanding the ProQuest Terms and Conditions, you may use this content in accordance with the terms of the License.
Abstract
Palabras-clave: gestor de base de datos; control de acceso; vulnerabilidades en base de datos; ISO 27002; ISO 27001 Abstract: in this study, the analysis of the vulnerabilities of the Database Management process of two institutions was conducted based on the access control domain of the international standard ISO 27002 and the maturity model of the information security administration (ISM3). 14 questions organized in 4 categories were established: business requirements for access control, access control to systems and applications, user responsibility and user access management. [...]the security mechanisms that are used to mitigate the vulnerabilities of the database management process are presented. PostgreSQL, MySQL, SQL Server y Oracle. 3.Dominio Control de Acceso aplicado a la gestión de Base de Datos La información es el activo más importante en las empresas debido a su uso para la ejecución normal de las actividades del personal y la fuente para la toma de decisiones críticas de los stakeholders.
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer