SEGURIDAD

SEGURIDAD DE LA INFORMACIÓN

Son las políticas, certificaciones y buenas prácticas de los estándares que en la actualidad se aplican a nivel mundial con el fin de proteger el activo más importante de una compañía en la actualidad la cual es la información, en cualquiera que está representada, impresa cintas magnéticas manuelas internos de procesos etc. asocio este término, al gobierno de IT de una organización, la cual alinea sus procesos para que no solo se asegure la parte informática, sino que también todos los ambientes en torno a la compañía.

SEGURIDAD

PILARES DE LA SEGURIDAD INFORMÁTICA

INTEGRIDAD: Es la cualidad de la información que se refiere a que esta no debe ser modificada, alterada o manipulada por terceros. También plantea que la información se mantenga protegida ante incidentes o ataques maliciosos. Sólo se podrá modificar la información mediante autorización. Un ejemplo de una medida que permita mantener la Integridad es la implementación de Antivirus, Firewall, o Servidores proxys, con las cuales se puede proteger la información de accesos no autorizados que puedan llegar a alterar o borrar algún dato.

CONFIDENCIALIDAD: Se refiere a que la información no debe ser revelada a terceros no autorizados por el propietario de la información. Para aplicarla, se requiere garantizar que la información solo sea accesible de por las personas que se encuentran autorizadas. Es necesario garantizar que se puede acceder a la información mediante autorización y control. Un ejemplo de una medida que permita mantener la Confidencialidad es la implementación de políticas de Autenticación, que permite identificar al emisor de un mensaje, al creador de un documento o al equipo que se conecta a una red o a un servicio.

DISPONIBILIDAD: Se refiere a que la información debe poder ser accedida en el momento adecuado a través de los canales y procedimientos destinados para esto. Se espera que el sistema informático se mantenga trabajando sin sufrir ninguna caída en el acceso al servicio. Es necesario que se ofrezcan los recursos que requieran los usuarios autorizados cuando se necesiten. La información deberá permanecer accesible a las personas autorizadas. Un ejemplo de una medida que garantice la Disponibilidad es la implementación de mecanismos que ayuden a evitar un ataque de denegación del servicio, tales como protocolos en los Firewall que filtren las IP sospechosas o con tasas de tráfico altas, equipos con Antivirus actualizados, etc.

BASES DE DATOS, SEGURIDAD

SQL INJECTION

La inyección SQL es una vulnerabilidad de bases de datos relacionales. Corresponde a un filtrado incorrecto de las variables usadas en las partes del código de un programa que usa sentencias SQL. Para que ese error en el código de un programa pueda ser usado maliciosamente, hace falta que el motor de bases de datos permita la concatenación de consultas. Por defecto, SQL Server trae esa opción habilitada, mientras que motores como MySQL o Access no.

Un usuario malintencionado escribe instrucciones de Transact-SQL en lugar de consultas válidas. Si la entrada se pasa directamente al servidor sin haber sido validada y la aplicación ejecuta el código inyectado por error, el ataque podría dañar o destruir datos.

Para la prevención de ataques SQL se requiere que, en el código de la aplicación, se tengan en cuenta métodos que validen las sentencias SQL y los datos ingresados en los formularios. Se puede, por ejemplo, implementar una función que reemplace los caracteres no deseados, como podrían ser la comilla simple, el punto y coma, los guiones simples juntos (–), etc. Los distintos lenguajes de programación ofrecen mecanismos para modificar estos caracteres. En el caso de PHP por ejemplo, existe la función mysql_real_scape_string(), que toma como parámetro una cadena y la modifica quitando caracteres especiales, retornándola totalmente segura para ser ejecutada dentro de la instrucción SQL.