Implementación de lineamientos base de seguridad en bases de datos Oracle y SQL Server en una entidad bancaria

Texto completo

(1)FACULTAD DE INGENIERÍA Carrera de Ingeniería Informática y de Sistemas. IMPLEMENTACIÓN DE LINEAMIENTOS BASE DE SEGURIDAD EN BASES DE DATOS ORACLE Y SQL SERVER EN UNA ENTIDAD BANCARIA. Tesis para optar el Título Profesional de Ingeniero Informático y de Sistemas. JEAN FRANCO RAMÍREZ RIVAS. Asesor: Luis Jonathan Zerpa Zerpa Lima – Perú 2019.

(2) JURADO DE LA SUSTENTACIÓN ORAL. ………………………………………… Presidente. ………………………………………… Jurado 1. ………………………………………… Jurado 2. _______________________________________________________________________ Entregado el: __ / __ / 2019. Aprobado por:. ………………………………………… Jean Franco Ramírez Rivas Graduando. 2. ………………………………………… Mg. Jonathan Zerpa Zerpa Asesor de tesis.

(3) UNIVERSIDAD SAN IGNACIO DE LOYOLA FACULTAD DE INGENIERÍA. DECLARACIÓN DE AUTENTICIDAD. Yo, Jean Franco Ramírez Rivas, identificado con DNI N°46399417, Bachiller del Programa Académico de la Carrera de Ingeniería Informática y de Sistemas de la Facultad de Ingeniería de la Universidad San Ignacio de Loyola, presento mi tesis titulada: “Implementación de lineamientos base de seguridad de base de datos Oracle y SQL Server en una entidad bancaria”. Declaro en honor a la verdad, que el trabajo de tesis es de mi autoría; que los datos, los resultados y su análisis e interpretación, constituyen mi aporte. Todas las referencias han sido debidamente consultadas y reconocidas en la investigación. En tal sentido, asumo la responsabilidad que corresponda ante cualquier falsedad u ocultamiento de la información aportada. Por todas las afirmaciones ratifico lo expresado, a través de mi firma correspondiente.. Lima, mayo de 2019.. …………………………………………….. Jean Franco Ramírez Rivas DNI N°46399417. 3.

(4) EPÍGRAFE “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores". (Kevin Mitnick). 4.

(5) INDICE DE CONTENIDOS. AGRADECIMIENTOS. 11. RESUMEN. 12. ABSTRACT. 13. INTRODUCCIÓN. 14. IDENTIFICACIÓN DEL PROBLEMA. 15. FORMULACIÓN DEL PROBLEMA. 16. PROBLEMA GENEAL. 16. PROBLEMAS ESPECÍFICOS. 17. MARCO REFERENCIAL. 17. ANTECEDENTES INTERNACIONALES. 17. ANTECEDENTES NACIONALES. 18. ESTADO DEL ARTE. 18. MARCO TEÓRICO. 21. OBJETIVOS DE LA INVESTIGACIÓN. 26. OBJETIVO GENERAL. 26. OBJETIVO ESPECÍFICO. 26. JUSTIFICACIÓN DE LA INVESTIGACIÓN. 27. TEÓRICA. 27. PRÁCTICA. 27. SOCIAL. 27. HIPÓTESIS. 28. MATRIZ DE CONSISTENCIA. 29. MARCO METODOLÓGICO. 31. METODOLOGÍA. 5. 31.

(6) PARADIGMA. 31. ENFOQUE. 31. METODO. 31. VARIABLES. 32. VARIABLE INDEPENDIENTE. 32. VARIABLE DEPENDIENTE. 32. POBLACIÓN. 32. MUESTRA. 32. UNIDAD DE ANÁLISIS. 33. INSTRUMENTOS Y TÉCNICAS. 33. PROCEDIMIENTOS Y METODO DE ANÁLISIS. 35. RESULTADOS. 41. DISCUSIÓN. 48. CONCLUSIONES. 49. RECOMENDACIONES. 49. REFERENCIAS. 51. ANEXOS. 53. 6.

(7) INDICE DE TABLAS Tabla 1: Activos de TI respecto a base de dato. 15. Tabla 2: Normas de seguridad de datos de la PCI. 22. Tabla 3: Hipótesis. 27. Tabla 4: Matriz de consistencia. 29. Tabla 5: Bases de datos principales. 33. Tabla 6: Lista de cotejo de lineamientos de seguridad de Oracle. 54. Tabla 7: Lista de cotejo de lineamientos de seguridad de Microsoft SQL Server. 63. 7.

(8) INDICE DE FIGURAS Figura 1: Seguridad integral de Oracle. 25. Figura 2: Resultados de lista de cotejo para Oracle. 35. Figura 3: Resultados de lista de cotejo par SQL Server. 35. Figura 4: Ciclo de Deming. 37. Figura 5: Flujo de proceso para la aplicación de líneas base. 37. Figura 6: Elementos de la lista de cotejo para Oracle. 38. Figura 7: Ingreso de resultados de la lista de cotejo de Oracle. 39. Figura 8: Coeficiente de Alfa de Cronbach. 40. Figura 9: Elementos de la lista de cotejo para SQL Server. 40. Figura 10: Ingreso de resultados de la lista de cotejo de SQL Server. 41. Figura 11: Coeficiente de Alfa de Cronbach. 41. Figura 12: Gráfico de resultados de controles de seguridad de PIFPR. 43. Figura 13: Gráfico de resultados de controles de seguridad de EXTRANET. 44. Figura 14: Gráfico de resultados de controles de seguridad de P11001. 45. Figura 15: Gráfico de resultados de controles de seguridad de CMR206. 46. Figura 16: Gráfico de resultados de controles de seguridad de SVR92088. 47. Figura 17: Gráfico de resultados de controles de seguridad de SVR0418. 48. Figura 18: Registro de modificaciones de lineamientos base de Oracle. 68. Figura 19: Registro de modificaciones de lineamientos base de SQL Server. 68. 8.

(9) INDICE DE ANEXOS. Anexo 1: Lista de cotejo de lineamientos base Oracle y SQL Server. 53. Anexo 2: Registro de modificaciones. 67. Anexo 3: Resultados de la aplicación de la lista de cotejo. 68. 9.

(10) DEDICATORIA. A mi padre Cesar Ramírez, por todo su amor, sacrificio y dedicación. Por sus enseñanzas y darme fuerzas para luchar por mis objetivos.. A mi madre Mary Rivas por su amor, apoyo incondicional y confianza en mí.. A dios, por guiarme por el camino correcto y darme fuerzas para superar los obstáculos.. 10.

(11) AGRADECIMIENTO. Agradezco a la Universidad San Ignacio de Loyola, mi alma mater, por la formación de alta calidad brindada, brindarme las herramientas para alcanzar el éxito profesional y permitirme ser parte de una generación de profesionales líderes y emprendedores.. A mis profesores por todo el conocimiento transmitido, sin los cuales no habría cumplido mis objetivos profesionales.. A mi asesor de tesis, Mg. Jonathan Zerpa Zerpa, por ser mi guía en el proceso de desarrollo de mi tesis.. 11.

(12) RESUMEN El presente trabajo de investigación tiene como objetivo aplicar líneas base de seguridad de base de datos para los motores Oracle y Microsoft SQL Server en los activos de base de datos de la entidad bancaria Falabella. Los lineamientos base son configuraciones de seguridad que deben de tener todos los sistemas, estos se encuentran bajo los criterios establecidos por CIS Benchmarks, desarrollado por Center for Internet Security (CIS), estándar global de las mejores prácticas reconocidas para proteger la seguridad de los sistemas de tecnologías de la información (TI). El objetivo planteado junto con la cooperación de las diferentes áreas de TI de la organización ayudará a estar alineados a lo establecido por la Superintendencia de Banca, Seguros y AFP (SBS) que establece el cumplimiento permanente con el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), cabe resaltar que este es un proceso constante de mejora continua por lo cual nos apoyamos del ciclo de Deming (planificar, hacer, verificar y actuar). Como instrumento de investigación, el presenta trabajo hace uso de una lista de cotejo para la aplicación y control de lineamientos base. El instrumento correspondiente tiene estructurado los lineamientos a aplicar, su descripción respectiva y el sustento del cambio a nivel de seguridad de base de datos. Adicionalmente, el presente documento permite ser usado como método a seguir para las empresas que busquen implementar mecanismos de configuración de seguridad a las plataformas de bases de datos Oracle y Microsoft SQL Server.. Palabras claves: seguridad de base de datos, CIS Benchmarks, tecnologías de la información, PCI DSS, estándar global de mejores prácticas.. 12.

(13) ABSTRACT The present of this research work has as objective apply database security baselines for Oracle and Microsoft SQL Server engines in the database assets of the Bank Falabella. The security baselines are security configurations that all systems must have, they are based on the criteria established by CIS Benchmarks, global standard of recognized best practices to protect the security of Information Technology (IT) systems. The objective set together with the cooperation of the different IT areas of the organization will help to be aligned with the provisions of the Superintendencia de Banca, Seguros y AFP (SBS) that stablishes permanent compliance of the payment card industry’s data security standards (PCI DSS). It is important to mention that PCI DSS is a constant process of continuous improvement, therefore the Deming Cycle (plan, do, verify and act) is used in order to enhance the database security. As a research instrument, this work makes use of a checklist for the application and control of database security baselines. It has the controls to be applied, their respective description, the reason of the change at the security level. Moreover, this document can be used as a method to follow for companies that have the need to implement security control mechanisms for Oracle and Microsoft SQL Server platforms.. Key words: database security, CIS Benchmarks, information technology, PCI DSS, global standard for best practices. 13.

(14) INTRODUCCIÓN El documento correspondiente producto de la presente investigación comprende el análisis e implementación de lineamientos base (configuraciones) de seguridad de base de datos para las plataformas Oracle y Microsoft SQL Server de la entidad bancaria Falabella teniendo como objetivo principal garantizar la protección y reforzar los niveles de seguridad de la información. Los controles de seguridad correspondientes permitirán a la organización estar alineados a lo establecido por la Superintendencia de Banca, Seguros y AFP (SBS) en la resolución SBS 65232013 “Reglamentos de tarjetas de crédito y débito”. En primera instancia se identificará la necesidad que tiene la organización de reforzar la seguridad de sus activos de base de datos, luego procederemos con el marco referencial donde se describe la estructura del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI – DSS) con las arquitecturas integrales de seguridad del motor Oracle y SQL Server. Seguidamente se describen los objetivos generales y específicos de la organización, la justificación e hipótesis correspondiente. En base a lo mencionado se elabora una matriz de consistencia, instrumento fundamental para el desarrollo del trabajo de investigación. Posteriormente se establece un marco metodológico donde se detalla el tipo de investigación, el tipo de método empleado, se delimita la población y muestra. A continuación, se detalla el instrumento y técnicas para la recolección de información, el método de análisis e interpretación de los resultados obtenidos. Finalmente se definen conclusiones en base a los resultados obtenidos y se plantean recomendaciones. Los controles de seguridad de bases de datos aplicados a los activos de la organización se basan en los estándares globales de las mejores prácticas de seguridad establecidos por CIS Benchmarks.. 14.

(15) PROBLEMA DE INVESTIGACIÓN Identificación del problema El Banco Falabella inició sus operaciones en el mercado peruano el 2007, actualmente cuenta con una cartera de más 1’530,000 clientes fidelizados con tarjetas de crédito, préstamos y productos de ahorro. Servicios Informáticos Falabella Sociedad Anónima Cerrada (SIFSAC), empresa perteneciente al grupo Falabella fundada el 15 de febrero del 2006, se encarga del soporte, implementación y administración de la infraestructura tecnológica y servicios de tecnologías de la información del Banco Falabella. El área de administración de base de datos y servicios de SIFSAC, se encarga de brindar continuidad a los servicios de base de datos (soporte, mantenimiento e implementación) en sus plataformas Oracle y SQL Server. En la actualidad, SIFSAC cuenta con los siguientes activos de tecnologías de la información respecto a base de datos: Tabla 1 Activos de TI de base de dato Activo. Modelo. Versión. Base de datos. Oracle. 8.X, 9.X, 10.X, 11.X y 12.X. Base de datos. Microsoft SQL Server. 2000, 2008 y 2012. Nota. Fuente: Elaboración propia. En la actualidad las tecnologías de la información y comunicación (TIC) han permitido a las instituciones financieras ofrecer nuevos servicios bancarios tales como banca en línea y móvil facilitando a los clientes realizar transacciones y consultas por medio de internet; sin embargo, también incrementa los delitos informáticos que ponen en peligro la confidencialidad, la integridad y disponibilidad de la información. Por lo tanto, es una obligación que las instituciones financieras desarrollen sistemas de protección robustos basados en las buenas prácticas de seguridad. La Superintendencia de Banca, Seguros y AFP (SBS) es el organismo encargado de la regulación y supervisión de los Sistemas Financiero, de Seguros y del Sistema Privado de pensiones, así como de prevenir y detectar el lavado de activos y financiamiento del terrorismo. Su objetivo primordial es preservar los intereses de los depositantes, de los asegurados y de los afiliados al SPP (página oficial de la SBS). 15.

(16) El 30 de octubre del 2013, la SBS publicó la resolución SBS 6523-2013 “Reglamento de tarjetas de crédito y débito”, en el cual el artículo número 18 “Medidas en materia de seguridad de la información” especifica lo siguiente: son exigibles, a las empresas, las normas vigentes sobre gestión de seguridad de la información y de continuidad del negocio. Asimismo, en torno al almacenamiento, procesamiento y transmisión de los datos de las tarjetas que emitan, las empresas deberán implementar los siguientes controles específicos de seguridad establecidos en el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), el cual considera, entre otras, las siguientes medidas: a. Desarrollar y mantener una red de intercambio de datos segura. b. Implementar mecanismos para proteger los datos de los usuarios. c. Mantener un programa de administración de vulnerabilidades. d. Implementar adecuadas políticas de control de acceso. e. Supervisar y evaluar todos los accesos a los recursos de red. f.. Mantener una política de seguridad de la información. Debido a lo expuesto en el párrafo precedente, el Banco Falabella tiene la necesidad de. estar alineado a lo que rige la Superintendencia de Banca, Seguros y AFP (SBS) y por ende al cumplimiento permanente del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS); por lo tanto, el área de seguridad de la información de SIFSAC se ve en la necesidad de establecer e implementar líneas base de seguridad a los activos de tecnologías de la información con el objetivo principal de proteger la información y aumentar los niveles de seguridad. El activo de tecnología de la información principal para el trabajo presente son las plataformas de base de datos Oracle y SQL Server; por lo tanto, existe la necesidad de aplicar lineamientos base y tener planes de acción para estar alineados a lo que rige la SBS. FORMULACIÓN DEL PROBLEMA En base a la problemática expuesta, se formulan las siguientes preguntas de investigación: Problema general ¿Qué configuraciones de seguridad de base de datos protegen y aumentan la seguridad de la información en el Banco Falabella?. 16.

(17) Problemas específicos ¿Cuáles son los lineamientos base de seguridad de base de datos Oracle que protegen el sistema contra las amenazas cibernéticas? ¿Cuáles son los lineamientos base de seguridad de base de datos SQL Server que protegen el sistema contra las amenazas cibernéticas? ¿Cuál es la estrategia de implementación de lineamientos base de seguridad de base de datos para proteger la información? ¿Qué configuraciones de seguridad de base de datos tienen un impacto negativo en la disponibilidad de las aplicaciones? MARCO REFERENCIAL Antecedentes Internacionales Aragón (2016), maestro en ciencias en informática del instituto Politécnico Nacional ubicado en México D.F, realizó una tesis titulada “Implementación de controles de seguridad en activos informáticos” teniendo como objetivo demostrar cómo es posible verificar los controles de seguridad de activos informáticos utilizando herramientas de software bajo una aplicación metódica y una revisión sistemática de sus resultados. Como metodología, el autor se baso en la aplicación de lineamientos base de seguridad de base de datos según la norma ISO/IEC 27002:2005; por lo tanto, para simular un ambiente de prueba y la posterior aplicación de los controles, el autor simuló un entorno virtualizado basado en sistema operativo Windows y motor de base de datos Mysql. Adicionalmente hizo uso de la herramienta Sqlmap con el objetivo de realizar inyección SQL y poder explotar estos errores. El resultado al escenario descrito fue haber encontrado un hueco de seguridad en la validación de datos de entrada (credenciales) transgrediendo el control número 12.2.1 de la norma ISO/IEC 27002:2005 (validación de los datos de entrada). Finalmente se logró identificar que es necesario implementar y validar los controles de seguridad periódicamente en los activos informáticos para evitar comprometer la confidencialidad, disponibilidad e integridad de la información en las organizaciones. Orellana (2015), magister en seguridad informática aplicada de la escuela superior Politécnica del Litoral ubicado en Guayaquil – Ecuador, realizó una tesis titulada “Elaboración del hardening (aseguramiento) de una base de datos SQL Server en una empresa procesadora de tarjetas de crédito” teniendo como objetivo el cumplimiento del estándar de seguridad de datos 17.

(18) para la industria de tarjeta de pago (PCI DSS) para lo cual se consideró los controles de seguridad en las configuraciones de base de datos, controles de acceso, políticas de contraseña y auditoria. La metodología aplicada se basó como primera fase en un análisis preliminar de las medidas de seguridad de base de datos que tenía la empresa antes de cumplir con el estándar PCI, la segunda fase fue la implementación de los 12 requisitos del estándar PCI orientado a los componentes de base de datos. El autor realizó un análisis posterior en base a un checklist de controles de seguridad donde se evidencio los controles que aplicaban y los que no podían aplicar ya que alteraban el funcionamiento de las aplicaciones causando incompatibilidad (parches de actualización) y la no operativa de procesos críticos del negocio. Finalmente, el autor pudo concluir que las medidas de seguridad aplicadas y abaladas por el estándar PCI DSS protegen la confidencialidad, integridad y trazabilidad de la información de las tarjetas, adicionalmente enfatizó en crear una cultura de seguridad dentro de la organización para mejorar los procesos existentes. Antecedentes Nacionales Soto (2013), ingeniero de sistemas de la universidad Nacional de Ingeniería ubicada en Lima – Perú, realizó una tesis titulada “Implementación de una solución de auditoria y seguridad de base de datos en una entidad financiera” teniendo como objetivo satisfacer los requerimientos regulatorios de la Superintendencia de Banca, Seguros y AFP (SBS) que es la implementación de un sistema de gestión de la seguridad de la información según la norma circular N° G-1402009. La metodología usada se centró en aplicar un análisis cualitativo, financiero y finalmente un análisis FODA para la evaluación de las soluciones de seguridad en base de datos, las soluciones candidatas fueron IBM InfoSphere Guardium e Imperva SecureSphere Database Security. Como resultado de la evaluación de soluciones se decidió adquirir y desplegar la herramienta Imperva Imperva SecureSphere Database Security permitiéndoles el cumplimiento de los criterios de aseguramiento de integridad y confidencialidad según las regulaciones SOX y PCI y permitiéndoles tener una mayor visibilidad de las actividades realizadas en las bases de datos por usuarios privilegiados y de negocio, así como alertas en tiempo real de las actividades no autorizadas y bloqueos de ataques por inyección SQL. Finalmente, el autor pudo concluir que la implementación de controles de monitoreo detectivo y preventivo previenen la ocurrencia de escenarios de fraudes informáticos que impacten negativamente el negocio. Estado del arte En el contexto internacional, existen modelos estandarizados de buenas prácticas que protegen 18.

(19) la seguridad de la infraestructura tecnológica contra las amenazas cibernéticas. Una de las organizaciones más importantes que constantemente se encuentra trabajando en los lineamientos de seguridad de tecnologías de la información es Center for Internet Security (CIS), organización sin fines de lucro formada en octubre del año 2000 que cuenta con una gran comunidad TI, grandes corporaciones, agencias gubernamentales e instituciones académicas. CIS Benchmarks, desarrollado por Center for Internet Security (CIS), es un estándar global de las mejores prácticas reconocidas para proteger la seguridad de los sistemas de tecnologías de la información y los datos frente a los ataques informáticas más dominantes. CIS Benchmarks engloba estándares de seguridad de distintos proveedores de TI a nivel de sistema operativo, dispositivos de red, aplicaciones, dispositivos móviles, bases de datos, plataformas de virtualización, software de escritorio y navegadores web. CIS Benchmarks establece un conjunto de controles de seguridad de base de datos aplicables a plataformas Oracle versión 11g basado en su documento CIS Oracle Database 11g R2 Benchmark v2.0.0 (2016) y plataformas Oracle versión 12c basado en su documento CIS Oracle Database 12c Benchmark v1.1.0 (2015). Ambos documentos engloban los siguientes puntos: -. Requerimientos para instalación y parches de base de datos: una de las mejores formas para asegurar que Oracle está seguro es implementar los Critical Patch Updates (CPUs) apenas estén disponibles y como complemento la aplicación de parches al sistema operativo que no van a interferir o alterar las operaciones del sistema. Es también prudente eliminar la data de ejemplo de Oracle de los entornos de producción.. -. Ajustes de parámetros de Oracle: la operación de la instancia de base de datos Oracle está gobernada por numerosos parámetros que están establecidos en archivos de configuración específicos. Alterar los parámetros de la instancia puede causar problemas que van desde denegación de servicio hasta robo de información propietaria; por lo tanto, estas configuraciones deberían ser consideradas y mantenidas cuidadosamente.. -. Restricciones de inicio de sesión: las restricciones en las conexiones cliente/usuario a la base de datos Oracle ayudan a bloquear el acceso no autorizado a datos y servicios mediante el ajuste de las reglas de acceso. Estas medidas de seguridad ayudan a asegurar que no se pueda efectuar inicios de sesión exitosos a través de ataques de contraseñas de fuerza bruta o intuidos por una hábil explotación de ingeniería social. Estos ajustes son por lo general recomendados para ser aplicados a todos los perfiles de. 19.

(20) base de datos existentes. -. Restricciones de autorizaciones y acceso de usuarios: la capacidad para utilizar los recursos de la base de datos en un determinado nivel o reglas de autorización de usuarios permite la manipulación a los distintos componentes de la base de datos Oracle. Estas autorizaciones deben estructurarse para bloquear el uso no autorizado o la corrupción de datos vitales y servicios mediante el establecimiento de restricciones en las capacidades del usuario, particularmente los del usuario público “PUBLIC”. Tales medidas de seguridad ayudan a asegurar que los inicios de sesión exitosas no puedan ser redirigidos fácilmente.. -. Políticas y procedimientos de auditoria: la capacidad de auditar las actividades de la base de datos está entre las características de seguridad más importantes. Las decisiones deben ser hechas tomando en cuenta el alcance de la auditoría ya que la auditoría tiene costos de almacenamiento y de rendimiento por el impacto en las operaciones auditadas; por lo tanto, se podría presentar degradación del rendimiento de la base de datos. Está también el costo adicional de administrar (almacenar, respaldar y asegurar) y revisar los datos registrados. Se debe tomar medidas de protección de los registros de auditoría ya que pueden ser alterados o eliminados con el fin de esconder actividades no autorizadas. Con respecto a las plataformas Microsoft SQL Server, CIS Benchmarks establece un. conjunto de controles de seguridad de base de datos aplicables a la versión 2012 en su documento CIS Microsoft SQL Server 2012 Benchmark v1.2.0 (2015), estos controles establecen lo siguiente: -. Instalación, actualización y parches: instalar el último SQL Server Service Pack y asegurarse de que el motor tenga las últimas actualizaciones de seguridad. Los Service Pack (SP), siempre mantienen actualizado un producto, estos incluyen revisiones y soluciones a problemas; por lo tanto, es altamente recomendable su actualización.. -. Reducción del área de superficie: la superficie de ataque general de SQL Server se debe reducir habilitando solo las características que los clientes y aplicaciones necesitan. Esto limita los distintos mecanismos en que los usuarios malintencionados puedan explotar SQL Server, así mismo este control permite cerrar las vías a posibles ataques informáticos.. -. Autenticación y autorización: se recomienda usar la autenticación de Windows debido a que tiene un esquema de seguridad integrada por estar estrechamente integrado con Windows. Este modelo de autenticación usa una serie de mensajes cifrados para. 20.

(21) autenticar usuarios en SQL Server mientras que un inicio de sesión de SQL Server, las credenciales pasan a través de la red haciendo este método menos seguro. -. Política de contraseña: establecer políticas de complejidad de contraseñas que estén diseñadas para impedir ataques por fuerza bruta y directivas de caducidad de las contraseñas.. -. Establecer políticas de auditoria.. -. Encriptación: establecer algoritmos de encriptación robustos de llave simétrica y asimétrica. Adicionalmente a lo expuesto, existen diferentes estándares internacionales de seguridad. de la información que son aplicables a la seguridad de base de datos. Se destacan los siguientes estándares: -. COBIT: Cobit señala al estándar como un marco de gobierno de las tecnologías de la información que permite el desarrollo de políticas y buenas prácticas para el control de las tecnologías en toda la organización (2012, Cobit 5 y la seguridad de la información).. -. BIS: Instituto Británico de estándares establece normas que tiene como objetivo la estandarización de procesos que se enfocan en la seguridad de la información: formación, auditoria y certificación (2016, BIS).. -. Normas ISO: International Organization for Standardization, es un conjunto de estándares desarrollados que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización. Los principales estándares son la familia ISO/IEC 27000, ISO/IEC 27001 y su anexo ISO/IEC 27002 (2016, ISO 27000).. -. HIPAA: Health Insurance Portability and Accountability Act (Ley de Portabilidad y Contabilidad de los Seguros de Salud) es un conjunto de reglas relacionadas a la confidencialidad y seguridad de los datos (2016, HHS Health Information Privacy).. Marco Teórico Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) PCI Security Standards Council en el documento titulado “Requisitos y procedimientos de evaluación de seguridad” versión 3.2 (2016) indica que las normas PCI DSS se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. La PCI DSS proporciona una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de cuentas. La PCI DSS. 21.

(22) se aplica a todas las entidades que participan en el procesamiento de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios. A continuación, se muestra una descripción general de los 12 requisitos de las normas de seguridad de datos PCI DSS: Tabla 2 Normas de seguridad de datos de la PCI. Desarrollar y mantener redes y. 1. Instalar y mantener una configuración de firewall para proteger. sistemas seguros.. los datos del titular de la tarjeta. 2. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.. Proteger los datos del titular de la 3. Proteger los datos del titular de la tarjeta que fueron tarjeta.. almacenados. 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.. Mantener un programa de. 5. Proteger todos los sistemas contra malware y actualizar los. administración de vulnerabilidad.. programas o software antivirus regularmente. 6. Desarrollar y mantener sistemas y aplicaciones seguros. Implementar medidas sólidas de. 7. Restringir el acceso a los datos del titular de la tarjeta según la. control de accesos.. necesidad de saber que tenga la empresa. 8.. Identificar y autenticar el acceso a los componentes del. sistema. 9. Restringir el acceso físico a los datos del titular de la tarjeta. Supervisar y evaluar las redes. 10. Rastree y supervise todos los accesos a los recursos de red. con regularidad.. y a los datos del titular de la tarjeta. 11. Probar periódicamente los sistemas y procesos de seguridad.. 22.

(23) Mantener una política de. 12. Mantener una política que aborde la seguridad de la. seguridad de la información.. información para todo el personal. Nota. Fuente: Elaboración propia basada en PCI DSS versión 3.2 (2016). Principales amenazas de bases de datos En el año 2015, la compañía especializada en seguridad cibernética Imperva, elaboró un informe sobre las 10 amenazas críticas de seguridad de bases de datos:. 1- Privilegios excesivos e inutilizados: se crea un riesgo innecesario cuándo se le otorga privilegios de base de datos que exceden los requerimientos del puesto de trabajo del empleado; por lo tanto, los mecanismos de control de privilegios de los roles de trabajo tienen que ser definidos. 2- Abuso de privilegios: los usuarios pueden llegar a abusar de los privilegios del alto nivel para fines no autorizados. Por ejemplo: suministrar información sensible de un cliente determinado. 3- Inyección por SQL: Existen dos tipos de ataque por inyección de base de datos: A- Inyección SQL dirigida a bases de datos tradicionales: inserción de código malicioso en los campos de entrada de las aplicaciones web. B- Inyección NoSQL dirigidas a plataformas Big Data: inserción de declaraciones maliciosas en componentes de Big Data (por ejemplo: Hive o MapReduce). 4- Malware: técnicas avanzadas que son usadas por los cibercriminales, hackers patrocinados por estados o espías con el objetivo de penetrar en las organizaciones y robar datos confidenciales. 5- Auditorias débiles: El registro automatizado de transacciones de bases de datos con datos confidenciales y operaciones de administración deben formar parte de cualquier implementación de base de datos. La no recopilación de registros de auditoria puede llegar a representar un riesgo serio para la organización. 6- Exposición de los medios de almacenamiento para respaldo: los medios de almacenamiento para respaldo a menudo se encuentran desprotegidos llevando a cabo numerosas violaciones de seguridad que implican robo de discos y cintas. No auditar y no monitorear las actividades de acceso de bajo nivel por parte de los administradores conlleva a tener un riesgo en la confidencialidad de los datos. 7- Explotación de vulnerabilidades y bases de datos mal configuradas: es común encontrar bases de datos vulnerables y sin parches de seguridad o descubrir bases de 23.

(24) datos que tienen cuentas y configuraciones predeterminadas. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra la organización. 8- Datos sensibles mal gestionados: datos sensibles en las bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios. 9- Denegación de servicio (DoS): se realiza cuando cuándo una cantidad considerable de sistemas ataque un objetivo único probando denegación de servicio. Las condiciones pueden ser dadas a través de muchas técnicas, de las cuales la más común usada en entornos de base de datos es la sobre carga de los recursos del servidor de base de datos tales como la memoria física y el CPU ya sea sobre cargando con un número excesivo de consultas a la base de datos o con un volumen menor de consulta bien elaboradas que consuman una cantidad desproporcionada de recursos del sistema. 10- Limitado conocimiento y experiencia en seguridad: muchas firmas están mal equipadas de conocimientos técnicos para lidiar con las brechas de seguridad.. Seguridad de base de datos Oracle Oracle (2011), en su documentación técnica “Seguridad y cumplimiento rentable de Oracle Database”, dispone de una arquitectura de seguridad integral que se dividen en cuatro áreas: cifrado y enmascaramiento, control de acceso, auditoria y seguimiento, control y bloqueo. Estás opciones y soluciones facilitan el cumplimiento a regulaciones y normativas de seguridad.. Figura 1. Seguridad Integral de Oracle. Fuente: Oracle (2011), Seguridad y cumplimiento rentable de Oracle Database. 24.

(25) 1- Cifrado y enmascaramiento: Oracle proporciona soluciones de cifrados sólidos que permiten proteger los datos confidenciales del acceso no autorizado a través de los siguientes niveles: el cifrado Transparent Data Encryption (TDE) permite la encriptación transparente de datos, cifrado de datos en tránsito permite proteger todas las comunicaciones con y desde la base de datos Oracle, cifrado de datos en cintas de respaldo permite que la solución Oracle Secure Backup cifre datos escritos en cinta y proporciona una administración de respaldo en cinta centralizada, enmascaramiento de datos para no producción permite que la solución Oracle Data Masking enmascare datos sensibles cumpliendo con las normas de protección y privacidad de datos. 2- Control de acceso: Oracle proporciona un modelo de control de acceso altamente detallado e incluye compatibilidad de roles y seguridad en el nivel de filas. Para el control de usuario privilegiados, Oracle Database Vault incrementa la seguridad de la base de datos evitando el acceso ilimitado a los datos de las aplicaciones desde cuentas administrativas, pero a la vez permite que continúen las actividades administrativas diarias 3- Auditoría y control: Oracle cuenta con mecanismos de activación de registros de auditoria para operaciones DDL (create, alter, drop), DML (select, insert, update, delete) y DCL (grant, revoke). 4- Monitoreo y bloqueo: Oracle permite detectar en tiempo real ataques de inyección SQL con la solución Oracle Database Firewall ofrece políticas de listas de excepción, listas negras y listas blancas, alertas inteligentes y monitoreo con un costo de administración y gestión muy bajos. Seguridad de base de datos Microsoft SQL Server SQL Server (2017), en su documentación técnica “Información general sobre la seguridad de SQL Server”, dispone de una arquitectura de seguridad integral que se dividen en seis áreas:. 1- Autenticación SQL Server: SQL server permite dos módulos de autenticación: la autenticación de Windows que es un sistema de seguridad integrada con los usuarios de dominio y el modo mixto que admite autenticación tanto de Windows como SQL Server. 2- Roles de servidor y base de datos: SQL Server segmenta sus roles de dos maneras: roles fijos del servidor que son recomendables para la administración de SQL Server y roles fijos de base de datos que incluye un conjunto predefinido de permisos diseñados para permitir administrar un conjunto de permisos con facilidad.. 25.

(26) 3- Propiedad y separación de esquemas de usuario: los propietarios de los objetos disponen de permisos que son irrevocables para los administradores de base de datos evitando quitar los privilegios de un propietario del objeto e impidiendo eliminar usuarios de una base de datos si en ella existen objetos que le pertenezcan a otro propietario. 4- Autorización y permisos: SQL Server hace énfasis en aplicar el principio de privilegios mínimos ya que es una estrategia de defensa contra las amenazas de seguridad. El enfoque garantiza que los usuarios siguen el principio de privilegios mínimos y siempre inician sesión con cuentas de usuarios limitadas. 5- Cifrado de datos: SQL Server proporciona funciones para cifrar y descifrar datos con un certificado, una clave simétrica o una clave asimétrica.. OBJETIVO DE LA INVESTIGACIÓN Objetivo General -. Implementar lineamientos base de seguridad de base de base de datos que garanticen protección, aumenten la seguridad de la información y estén alineados a lo que rige la Superintendencia de Banca, Seguros y AFP (SBS).. Objetivos Específicos -. Determinar y aplicar los lineamientos base de seguridad de base de datos Oracle para la protección de los sistemas frente a las amenazas cibernéticas.. -. Determinar y aplicar los lineamientos base de seguridad de base de datos SQL Server para la protección de los sistemas frente a las amenazas cibernéticas.. -. Determinar la estrategia de implementación de lineamientos base de seguridad de base de datos para la protección de la información.. -. Determinar las configuraciones de seguridad de base de datos que tengan un impacto negativo en la disponibilidad de las aplicaciones.. JUSTIFICACIÓN Teórica El presente trabajo de investigación busca proporcionar la estrategia y aplicación de lineamientos base de seguridad óptimos para la protección de los activos de base de datos y por ende de la información con el fin de alcanzar los objetivos de negocio y los cumplimientos de las normativas establecidas por la Superintendencia de Banca, Seguros y AFP (SBS). Así mismo, busca recalcar la importancia de resguardar y proteger la información estableciendo medidas preventivas para mantener la confidencialidad, disponibilidad e integridad de los datos; por lo tanto, la especialidad 26.

(27) de base de datos dentro de la Ingeniería Informática es crucial y la puesta en marcha de este conocimiento será de gran aporte para los objetivos estratégicos de toda organización que busca proteger la seguridad de los sistemas de tecnologías de la información y los datos frente a los ataques informáticas más dominantes. Práctica En el aspecto práctico, el presenta trabajo de investigación busca cubrir la necesidad de estar alineados a las normativas de seguridad de datos de la industria de tarjetas de pagos (PCI DSS) aplicando lineamientos base de seguridad de base de datos basado en un análisis impacto/beneficio de los sistemas de tecnologías de la información que soportan el negocio. Social En el aspecto práctico, el presenta trabajo de investigación busca ser una referencia confiable para los administradores de base de datos que requieran aumentar la seguridad de las plataformas de bases de datos Oracle y Microsoft SQL Server. Finalmente busca brindar las mejores prácticas y estrategias para la implementación de lineamientos base de seguridad basado en un análisis impacto/beneficio de los sistemas de tecnologías de la información.. HIPÓTESIS Tabla 3 Hipótesis Tipo de hipótesis Hipótesis general. Hipótesis. Hipótesis Nula. - La aplicación de lineamientos. - La aplicación de lineamientos. base de seguridad de base de. base de seguridad de base de. datos Oracle y Microsoft SQL. datos Oracle y Microsoft SQL. Server basado en los estándares. Server basado en los. globales de mejores prácticas de. estándares globales de. CIS Benchmarks protegen y. mejores prácticas de CIS. aumentan la seguridad de la. Benchmarks no. información en el banco Falabella.. protegen y disminuyen la seguridad de la información en el banco Falabella.. 27.

(28) - Tener como estrategia aplicar. - Tener como estrategia aplicar. lineamientos de seguridad de base lineamientos de seguridad de de datos en un entorno de prueba Hipótesis específica y posteriormente en un entorno de. base de datos en un entorno de prueba y posteriormente en. certificación (QA) minimiza el. un entorno de certificación. impacto negativo en la. (QA) no minimiza el impacto. configuración de seguridad en un. negativo en la configuración de. entorno productivo con respecto a. seguridad en un entorno. la operatividad de las bases de. productivo con respecto a la. datos y continuidad del negocio.. operatividad de las bases de datos y continuidad del negocio.. 28. - La aplicación de parches de. - La aplicación de parches de. actualización de seguridad que. actualización de seguridad que. corrigen bugs de alto riego y. corrigen bugs de alto riego y. mitiguen vulnerabilidades. mitiguen vulnerabilidades no. incrementan el nivel de seguridad. incrementan el nivel de. de los sistemas.. seguridad de los sistemas..

(29) - Tener una configuración segura. - Tener una configuración. en los parámetros de base de. segura en los parámetros de. datos, configurar óptimamente los. base de datos, configurar. servicios de red, administrar los. óptimamente los servicios de. privilegios, establecer políticas de. red, administrar los privilegios,. contraseña y configurar los límites. establecer políticas de. de los perfiles, tener un control de. contraseña y configurar los. los accesos de usuarios,. límites de los perfiles, tener un. establecer políticas/procedimientos control de los accesos de de auditoria y encriptar datos. usuarios, establecer. sensibles en las tablas específicas políticas/procedimientos de incrementan los niveles. auditoria y encriptar datos. de protección para los sistemas. sensibles en las tablas. frente a las amenazas. específicas no incrementan los. cibernéticas.. niveles de protección para los sistemas frente a las amenazas cibernéticas.. Nota. Fuente: Elaboración propia. 29.

(30) MATRIZ DE CONSISTENCIA. Tabla 4 Matriz de consistencia PROBLEMA. OBJETIVOS. HIPÓTESIS. VARIABLES. METODOLOGÍA. Problema general. Objetivo general. Hipótesis general. Variable dependiente. Tipo de. ¿Qué configuraciones de seguridad de. Implementar lineamientos base de seguridad de. La aplicación de lineamientos base de seguridad de base de datos Oracle. Nivel de seguridad en los. investigación. base de datos protegen y aumentan la. base de base de datos que garanticen protección,. y Microsoft SQL Server basado en los estándares globales de mejores. sistemas gestores de base de. El tipo de. seguridad de la información en el Banco. aumenten la seguridad de la información y estén. prácticas de CIS Benchmarks protegen y aumentan la seguridad de la. datos del banco Falabella.. investigación que. Falabella?. alineados a lo que rige la Superintendencia de. información en el banco Falabella.. Banca, Seguros y AFP (SBS). Problemas específicos. se adapta al Impacto en la disponibilidad de. presente trabajo es. Hipótesis específica. los sistemas gestores de base. experimental.. ¿Cuáles son los lineamientos base de. Objetivos específicos. Tener como estrategia aplicar lineamientos de seguridad de base de. de datos y continuidad del. seguridad de base de datos Oracle que. Determinar y aplicar los lineamientos base de. datos en un entorno de prueba y posteriormente en un entorno de. negocio del banco Falabella.. protegen el sistema contra las amenazas. seguridad de base de datos Oracle para la. certificación (QA) minimiza el impacto negativo en la aplicación de los. cibernéticas?. protección de los sistemas frente a las. controles en un entorno productivo con respecto a la operatividad de las. Variable independiente. El método de. amenazas cibernéticas.. bases de datos y continuidad del negocio.. Lineamientos base de. investigación es. seguridad de base de datos. cuantitativa,. Oracle y Microsoft SQL Server.. bivariado,. ¿Cuáles son los lineamientos base de seguridad de base de datos SQL Server. Determinar y aplicar los lineamientos base de. La aplicación de parches de actualización de seguridad que corrigen bugs. que protegen el sistema contra las. seguridad de base de datos SQL Server para la. de alto riego y mitiguen vulnerabilidades incrementan el nivel de. amenazas cibernéticas?. protección de los sistemas frente a las. seguridad de los sistemas.. amenazas cibernéticas. ¿Cuál es la estrategia de implementación. paradigma. de lineamientos base de. positivista.. Oracle y Microsoft SQL Server.. Determinar la estrategia de implementación de. configurar óptimamente los servicios de red, administrar los privilegios,. lineamientos base de seguridad de base de. establecer políticas de contraseña y configurar los límites de los perfiles,. información?. datos para la protección de la información.. tener un control de los accesos de usuarios, establecer. ¿Qué configuraciones de seguridad de. Determinar las configuraciones de seguridad de. tablas específicas incrementan los niveles. base de datos tienen un impacto negativo. base de datos que tengan un impacto negativo. de protección para los sistemas frente a las amenazas cibernéticas.. en la disponibilidad de las aplicaciones?. en la disponibilidad de las aplicaciones.. políticas/procedimientos de auditoria y encriptar datos sensibles en las. 30. correlacional y de Estrategia de implementación. seguridad de base de datos. base de datos para proteger la. Nota. Fuente: Elaboración propia. investigación. Tener una configuración segura en los parámetros de base de datos,. de lineamientos base de seguridad de. Método de.

(31) MARCO METODOLÓGICO Metodología García explica que “La investigación experimental es un proceso que consiste en someter a un objeto o grupo de individuos a determinadas condiciones, estímulos o tratamiento (variable independiente), para observar los efectos o reacciones que se producen (variable dependiente). (2012, p. 21). Por lo tanto, en base a la teoría expuesta, la presente investigación es experimental ya que se manipula los controles de seguridad de base de datos Oracle y Microsoft SQL Server (variable independiente) para su aplicación en los sistemas gestores de base de datos con el objetivo principal de incremental los niveles de seguridad y mitigar las principales vulnerabilidades (variables dependientes). Adicionalmente, la investigación es explicativa ya que como lo indica Hernández “Su interés se centra en explicar por qué ocurre un fenómeno y en qué condiciones se manifiesta o por que se relacionan dos o más variables”. (2006, p. 108). Por lo tanto, el presente trabajo de investigación analiza el efecto de aplicar los controles de seguridad de base de datos ya que estos pueden tener un impacto negativo o positivo en la continuidad del negocio. Paradigma La metodología presente sigue el paradigma positivista ya que busca encontrar las causas y la objetividad a través de cuestionarios para la recopilación de datos; por lo tanto, se producirán datos estadísticos lo cual conlleva a realizar un proceso deductivo. Enfoque La metodología presente se realiza bajo un enfoque cualitativo ya que como lo indica Hernández “El enfoque cualitativo consiste en el análisis objetivo de la realidad, a través de la medición de los fenómenos observados con la finalidad de probar una hipótesis construida en base a la teoría previamente revisada”. (2014, p. 37). Método La presente investigación será de carácter experimental ya que se manipulan las variables independientes para observar los efectos o reacciones en las variables dependientes de las hipótesis planteadas.. 31.

(32) VARIABLES Variable independiente Lineamientos base de seguridad de base de datos Oracle y Microsoft SQL Server ya que es un fenómeno que afecta a otras variables; por lo tanto, no dependen de otra variable para subsistir y su manipulación afectará directamente a los niveles de seguridad de base de datos. Estrategia de implementación de lineamientos base de seguridad de base de datos Oracle y Microsoft SQL Server ya que no es afectada por ninguna otra variable y su manipulación afecta a la disponibilidad de los sistemas gestores de base de datos. Variable dependiente Nivel de seguridad en los sistemas gestores de base de datos del banco Falabella porque sufre los cambios ocasionados por la manipulación de la variable independiente “lineamientos base de seguridad de bases de datos”; por lo tanto, la variable dependiente se mide en base al desarrollo y/o comportamiento de la variable independiente. Impacto en la disponibilidad de los sistemas gestores de base de datos y continuidad de negocio del banco Falabella ya que es una variable que se ve afectada por la estrategia de implementación previamente analizada en base al impacto y puesta en marcha en ambientes de desarrollo y certificación para posteriormente ser aplicadas en entornos productivos. POBLACIÓN Y MUESTRA Población Todas las bases de datos Oracle versiones 10g, 11g y 12c y bases de datos Microsoft SQL Server versiones 2000, 2005 y 2008 del banco Saga Falabella. Muestra La muestra tomada para la investigación es del tipo no probabilístico: intencional o de conveniencia; por lo tanto, se eligen muestras representativas. Se realizó un listado de las bases de datos más críticas del banco Saga Falabella que son administradas por el área de base de datos y servicios de SIFSAC. Se obtuvo la siguiente lista de las principales bases de datos: 32.

(33) Tabla 5 Bases de datos principales Servidor BFP345 SVR32309 SVR32377 SVR32376. EXTRANET P11001. Oracle Oracle. Aplicación/ Servicio 11.2.0.3.0 Extranet 12.1.0.2.0 Malla ETL. PIFPR1/PIFPR2. Oracle. 10.2.0.4.0 Cajeros ATM. Base de datos. Tipo. Versión. CMR206. DMCANALES, DMCMR, DWREPORTS, ODSBF. Microsoft SQL Server. 2000. Data Warehouse. SVR92088. CREDITOVENCPR. Microsoft SQL Server. 2005. Cobranzas. SVR0418. SX_BCOFALABELLA_PERU_PAC. Microsoft SQL Server. 2008. Validación de transacciones financieras. Nota. Fuente: Elaboración propia. UNIDAD DE ANÁLISIS La unidad de análisis son los sistemas gestores de bases de datos que soportan los servicios y aplicaciones críticas del Banco Falabella. Las bases de datos soportan los procesos de negocio y resguardan la integridad, confiabilidad y disponibilidad del activo más importante del Banco Falabella (la información). Cada sistema gestor de base de datos (SGDB) se encuentran en ambientes de producción sobre plataformas de sistema operativo Linux, Unix y Windows Server, dependiente el tipo de motor de base de datos. INSTRUMENTOS Y TÉCNICAS Instrumentos La observación es la técnica por el cual se hace el procesamiento perceptivo del comportamiento de fenómenos, desenvolvimiento de los hechos y acontecimientos en escenarios que son objeto de indagación. La principal técnica aplicada al presente estudio fue la observación usando como principal instrumento de investigación una lista de cotejo para evaluar los lineamientos base de seguridad de las bases de datos Oracle y Microsoft SQL Server del Banco Falabella (lista de cotejo en 33.

(34) anexo 1). La lista de cotejo correspondiente fue elaborada en base al documento de líneas base de seguridad de base de datos proporcionado por la gerencia de operaciones de Adessa Falabella, empresa de TI del grupo Falabella, ubicada en Santiago de Chile. El documento fue desarrollado por un proveedor externo, validado por seguridad de la información corporativo Adessa y aprobado por la gerencia de operaciones (registro de modificaciones en anexo 2). El instrumento aplicado al presente estudio fue realizado en base a los lineamientos de CIS Security Benchmarks, estándar global de las mejores prácticas reconocidas para proteger la seguridad de los sistemas de tecnologías de la información y los datos frente a los ataques informáticos más dominantes. Técnicas La validación del instrumento se efectuó a través del método del coeficiente KR-20 (KuderRichardson) que es aplicable en las pruebas que tienen ítems con respuestas dicotómicas. La valoración se realizó tomando en cuenta los resultados obtenidos a través de la lista de cotejo para le evaluación de lineamientos base de seguridad de Oracle y Microsoft SQL Server (anexo 3). En base a los resultados obtenidos después de haber aplicado la lista de cotejo a una muestra de 6 bases de datos del Banco Falabella, se obtuvo la siguiente tabla de resultados:. 34.

(35) Figura 2. Resultados de lista de cotejo para la evaluación de lineamientos base de seguridad de Oracle. Fuente: Elaboración propia. Figura 3. Resultados de lista de cotejo para la evaluación de lineamientos base de seguridad de Microsoft SQL Server. Fuente: Elaboración propia. Se calcula el coeficiente KR-20: 𝐊 𝐒 𝟐 − ∑𝐏𝐢 ∗ 𝐐𝐢 𝐊𝐑 𝟐𝟎 = ( )∗ 𝐭 𝐊−𝟏 𝐒𝐭 𝟐 Donde: K = número total de ítems de la lista de cotejo 𝐒𝐭𝟐 = varianza total Pi = proporción de los controles aplicados Qi = proporción de los controles no aplicados TCA = total de controles aplicados por ítem. Reemplazando para la evaluación de lineamientos base de seguridad de Oracle: 36 7.00 − 1.11 KR 20 = ( )∗ 36 − 1 7.00 𝐊𝐑 𝟐𝟎 = 𝟎. 𝟖𝟕 Reemplazando para la evaluación de lineamientos base de seguridad de Microsoft SQL Server:. 35.

(36) 19 6.33 − 1.33 KR 20 = ( )∗ 19 − 1 6.33 𝐊𝐑 𝟐𝟎 = 𝟎. 𝟖𝟑 Para ambos resultados se llega a la conclusión de que existe validez en el instrumento utilizado.. PROCEDIMIENTOS Y MÉTODOS DE ANÁLISIS Procedimientos Se realizó el procedimiento de recolección de información utilizando como principal instrumento de investigación una lista de cotejo para evaluar los controles de seguridad de las bases de datos Oracle y Microsoft SQL Server del Banco Falabella (lista de cotejo en anexo 1). Como complemente al instrumento de investigación, se adoptó como parte del procedimiento de implementación de líneas base el ciclo de Deming de mejora continua para cumplir los objetivos que rigen la Superintendencia de Banca, Seguros y AFP (SBS):. Figura 4: Ciclo de Deming. Fuente: Elaboración propia. Adicionalmente, se muestra el flujo de proceso para la aplicación de controles de seguridad de Oracle y Microsoft SQL Server:. 36.

(37) Figura 5. Flujo de proceso para la aplicación de líneas base. Fuente: Elaboración propia. Método de análisis Para obtener la confiabilidad de los datos hallados a través de la lista de cotejo correspondiente, se hizo uso del software estadístico “SPSS versión 22”. Los datos fueron ingresados en el software para realizar el cálculo del coeficiente de KR-20 (Kuder-Richardson).. 37.

(38) Figura 6. Elementos de la lista de cotejo para la evaluación de lineamientos base de seguridad de base de datos Oracle. Fuente: SPSS Versión 22. Luego procedimos ingresar los datos obtenidos en la lista de cotejo correspondiente a lineamientos base de seguridad de Oracle:. Figura 7. Ingreso de resultados de la lista de cotejo aplicada a la seguridad de Oracle. Fuente: SPSS Versión 22. Para el caso puntual del coeficiente de confiabilidad vinculado a la homogeneidad o consistencia interna, se dispone del coeficiente (alpha), propuesto por Lee J. Cronbach (19162001) en el año 1951. Se ha demostrado que el coeficiente de Cronbach representa una generalización de las fórmulas KR-20 y KR-21 de consistencia interna, desarrolladas en 1937 38.

(39) por Kuder y Richardson (Kerlin249 Confiabilidad y coeficiente Alpha de Cronbach ger y Lee, 2002). En base a la teoría expuesta en el párrafo anterior, se procede a calcular el coeficiente de Cronbatch:. Figura 8. Coeficiente de Alfa de Cronbach Fuente: SPSS Versión 22. Se procedió a realizar el mismo procedimiento para el cálculo del coeficiente de Alfa de Cronbach con respecto a los resultados de la lista de cotejo aplicada a la seguridad de base de datos Microsoft SQL Server:. Figura 9. Elementos de la lista de cotejo para la evaluación de lineamientos base de seguridad de base de datos. 39.

(40) Microsoft SQL Server. Fuente: SPSS Versión 22. Figura 10. Ingreso de resultados de la lista de cotejo aplicada a la seguridad de base de datos Microsoft SQL Server. Fuente: SPSS Versión 22. Figura 11. Coeficiente de Alfa de Cronbach. Fuente: SPSS Versión 22. Los resultados obtenidos para la confiabilidad de los datos de la lista de cotejo de la seguridad de base de datos Oracle fue de 0.784 y con respecto a la lista de cotejo de la seguridad de base de datos Microsoft SQL Server fue de 0.722. Para ambos resultados se considera valores aceptables asegurando una consistencia de los resultados correspondientes previamente hallados. Coeficiente Alfa > .9 → Excelente 40.

(41) Coeficiente Alfa > .9 → Bueno Coeficiente Alfa > .7 → Aceptable Coeficiente Alfa > .6 → Cuestionable Coeficiente Alfa > .5 → Pobre Coeficiente Alfa < .5 → Inaceptable. RESULTADOS La evaluación de lineamientos base de seguridad de base de datos fue realizada bajo las siguientes configuraciones de seguridad prioritarios: Oracle: A- Instalación y parches B- Seguridad de la red de Oracle – Listener C- Políticas y procedimientos de auditoria de base de datos D- Configuración de seguridad de parámetros de instancia E- Restricciones de inicio de sesión F- Restricciones de acceso Microsoft SQL Server: A- Instalación y parches B- Reducción del área de superficie C- Autenticación y autorización D- Políticas de contraseña E- Auditoria y registro. 41.

(42) Los resultados de la evaluación han sido clasificados de acuerdo con el siguiente criterio: Tabla 6 Criterio de evaluación Resultado. Descripción. Configuración de seguridad completamente implementado en el grupo de base de datos de acuerdo con el estándar correspondiente de CIS Security Implementado Benchmarks. Configuración de seguridad no implementado en el grupo de base de datos No implementado de acuerdo con el estándar correspondiente de CIS Security Benchmarks. Nota. Fuente: Elaboración propia. Tabla 7 Resultados de evaluación de configuraciones de seguridad de base de datos Base de datos PIFPR P11001 EXTRANET. Oracle Oracle Oracle. CMR206. Microsoft SQL Server. SVR92088. Microsoft SQL Server. SVR0418. Microsoft SQL Server. Motor. Nota. Fuente: Elaboración propia. 42. Versión Plataforma Implementado 10.2.0.4.0 Unix AIX 26 12.1.0.2.0 Linux Red Hat 31 11.2.0.3.0 Linux Red Hat 30 Windows 2008 2000 EE SP2 10 Windows 2003 2005 EE SP2 13 Windows 2008 2008 ES SP1 15. No implementado 10 5 6. Total 36 36 36. 9. 19. 6. 19. 4. 19.

(43) Figura 12. Gráfico de resultados de configuraciones de seguridad de PIFPR. Fuente: Elaboración propia. Interpretación de resultados: PIFPR, base de datos Oracle versión 10.2.0.4.0 se encuentra bajo una infraestructura Oracle RAC 10g (Real Application Cluster) sobre una plataforma Unix AIX. El 72 % de controles de seguridad fueron aplicados satisfactoriamente mientras que el 28 % de controles no fueron aplicados debido al siguiente sustento: -. Ítem 1.1 (actualización de Oracle): Por políticas del negocio, no se realizará upgrade a la versión más reciente ya que no forma parte del alcance de aplicación de líneas base.. -. Ítem. 2.3. (SECURE_CONTROL),. 2.4. (SECURE_REGISTER),. 4.8. (SEC_CASE_SENSITIVE_LOGON) y 4.9 (SEC_MAX_FAILED_LOGINATTEMPTS): parámetro no disponible para la versión 10.2.0.4.0. -. Todos los ítems de la sección 5 (Restricciones de inicio de sesión): el área de seguridad de la información del Banco Falabella tiene que evaluar los perfiles candidatos a la aplicación de los controles correspondientes.. 43.

(44) Figura 13. Gráfico de resultados de configuraciones de seguridad de EXTRANET. Fuente: Elaboración propia. Interpretación de resultados: EXTRANET, base de datos Oracle versión 11.2.0.3.0 se encuentra bajo una sobre una plataforma Linux Red Hat. El 83 % de controles de seguridad fueron aplicados satisfactoriamente mientras que el 17 % de controles no fueron aplicados debido al siguiente sustento: -. Ítem 1.1 (actualización de Oracle): Por políticas del negocio, no se realizará upgrade a la versión más reciente ya que no forma parte del alcance de aplicación de líneas base.. -. Todos los ítems de la sección 5 (Restricciones de inicio de sesión): el área de seguridad de la información del Banco Falabella tiene que evaluar los perfiles candidatos a la aplicación de los controles correspondientes.. Figura 14. Gráfico de resultados de configuraciones de seguridad de P11001. Fuente: Elaboración propia. Interpretación de resultados: P11001, base de datos Oracle versión 12.1.0.2.0 se encuentra bajo una sobre una plataforma Linux Red Hat. El 86 % de controles de seguridad fueron aplicados satisfactoriamente mientras que el 14 % de controles no fueron aplicados debido al siguiente sustento: 44.

(45) -. Todos los ítems de la sección 5 (Restricciones de inicio de sesión): el área de seguridad de la información del Banco Falabella tiene que evaluar los perfiles candidatos a la aplicación de los controles correspondientes.. Figura 15. Gráfico de resultados de configuraciones de seguridad de CMR206. Fuente: Elaboración propia. Interpretación de resultados: CMR206, servidor SQL Server 2000 donde residen las bases de datos DMCANALES, DMCMR, DWREPORTS y ODSBF sobre una plataforma Windows 2008 EE SP2. El 53 % de controles de seguridad fueron aplicados satisfactoriamente mientras que el 47 % de controles no fueron aplicados debido al siguiente sustento: -. Ítem 1.1 (actualización del sistema): Por políticas del negocio, no se aplicará parches a versiones sin soporte ni realizar upgrade ya que no forma parte del alcance de aplicación de líneas base.. -. Ítem 2.1 (AD HOC DISTRIBUTED QUERIES), 2.2 (COMMON LANGUAGE RUNTIME), 2.3 (DEDICATED ADMIN CONNECTION), 2.5 (TRUSTWORTHY), 4.2 (Caducidad de la contraseña), 4.3 (Complejidad de la contraseña): parámetro no disponible para la versión 2000 de SQL Server.. -. ítem 2.7 (puertos no estándar): se mantuvo el puerto estándar 1433, el cambio de puerto impactaría las conexiones de todas las aplicaciones.. -. ítem 3.1 (Autenticación SQL Server): no fue posible cambiar la autenticación a Windows Only ya que impactaría las conexiones que no cuenten con un usuario de dominio Windows (SQL Server Authentication).. 45.

(46) Figura 16. Gráfico de resultados de configuraciones de seguridad de SVR92088. Fuente: Elaboración propia. Interpretación de resultados: SVR92088, servidor SQL Server 2005 donde reside la base de datos CREDITOVENCPR sobre una plataforma Windows 2003 EE SP2. El 68 % de controles de seguridad fueron aplicados satisfactoriamente mientras que el 32 % de controles no fueron aplicados debido al siguiente sustento: -. Ítem 1.1 (actualización del sistema): Por políticas del negocio, no se aplicará parches a versiones sin soporte ni realizar upgrade ya que no forma parte del alcance de aplicación de líneas base.. -. ítem 1.2 (servidor dedicado): se observó que se encontraba instalado el cliente Oracle 9.2; sin embargo, no se desinstalo ya que el servidor SQL Server cuenta con link servers conectándose a bases de datos remotas Oracle.. -. ítem 2.7 (puertos no estándar): se mantuvo el puerto estándar 1433, el cambio de puerto impactaría las conexiones de todas las aplicaciones.. -. ítem 3.1 (Autenticación SQL Server): no fue posible cambiar la autenticación a Windows Only ya que impactaría las conexiones que no cuenten con un usuario de dominio Windows (SQL Server Authentication).. -. ítem 4.2 (Caducidad de la contraseña): no fue posible aplicar el control ya que forzaría la indisponibilidad de los procesos cada cierto tiempo por el cambio de contraseña para los usuarios de aplicación.. -. ítem 4.3 (Complejidad de la contraseña): no fue posible aplicar el control ya que ocasionaría errores de autenticación a todos los procesos que se conecten a la base de datos.. 46.

(47) Figura 17. Gráfico de resultados de configuraciones de seguridad de SVR0418. Fuente: Elaboración propia. Interpretación de resultados: SVR0418,. servidor. SQL. Server. 2008. donde. reside. la. base. de. datos. SX_BCOFALABELLA_PERU_PAC sobre una plataforma Windows 2008 ES SP1. El 79 % de controles de seguridad fueron aplicados satisfactoriamente mientras que el 21 % de controles no fueron aplicados debido al siguiente sustento: -. ítem 2.7 (puertos no estándar): se mantuvo el puerto estándar 1433, el cambio de puerto impactaría las conexiones de todas las aplicaciones.. -. ítem 3.1 (Autenticación SQL Server): no fue posible cambiar la autenticación a Windows Only ya que impactaría las conexiones que no cuenten con un usuario de dominio Windows (SQL Server Authentication).. -. ítem 4.2 (Caducidad de la contraseña): no fue posible aplicar el control ya que forzaría la indisponibilidad de los procesos cada cierto tiempo por el cambio de contraseña para los usuarios de aplicación.. -. ítem 4.3 (Complejidad de la contraseña): no fue posible aplicar el control ya que ocasionaría errores de autenticación a todos los procesos que se conecten a la base de datos.. 47.

(48) DISCUSIÓN Dentro de las conclusiones de Encalada (2015) en su tesis de maestría “Guía de auditoria para la evaluación del control interno de seguridad de la información en la universidad católica de Cuenca basada en Cobit 5” señala que con la guía de auditoria se pudieron identificar oportunidades de mejora y se determinaron iniciativas de seguridad de la información. Así mismo, indica que, como resultado de la aplicación de la guía de auditoria, la universidad católica de Cuenca cuenta con un diagnóstico de control interno con sus respectivas recomendaciones bajo el criterio de Cobit 5 que aportarán a mejorar la seguridad de la información. Ambas tesis se centran bajo marcos internacionales reconocidos como buenas prácticas para el control de la seguridad de la información. El presente trabajo será de aporte para tener un modelo eficaz de controles de seguridad de base de datos bajo los estándares internacionales de buenas prácticas. En el trabajo realizado por Gómez (2013) en el trabajo de investigación “Metodología para la realización de una auditoria a la seguridad de las bases de datos” señala que se concluyó satisfactoriamente la elaboración de una metodología o esquema de gestión de auditoria que cubre los elementos relevantes en materia de seguridad física y lógica aplicables a las bases de datos como un medio de orientar y facilitar la labor del auditor de tecnología de la información. El trabajo presente, al haber usado como principal instrumento de investigación una lista de cotejo para le evaluación de lineamientos base de seguridad de base de datos, aporta como metodología para poder auditar la seguridad de las bases de datos bajo los estándares globales de buenas prácticas establecidos por CIS Security Benchmarks. En el trabajo realizado por Soto (2013) en el informe de suficiencia “Implementación de una solución de auditoria y seguridad de base de datos en una entidad financiera” señala que la implementación de una solución para la auditoria y seguridad permitió obtener la autorización de la Superintendencia de Banca, Seguros y AFP para la utilización del método estándar alternativo lo que permitió tener una reducción importante en los requerimientos de patrimonio efectivo. Ambos trabajos tienen objetivos puntuales de estar alineado con las necesidades del negocio bajo regímenes específicos de entes reguladores; por lo tanto, para el caso presentado del trabajo de investigación, la organización tiene la necesidad de estar alineado a lo que rige la SBS y por ende al cumplimiento permanente de las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS).. 48.