SEGURIDAD EN BASES DE DATOS

ARTURO RIBAGORDA GARNACHO
Catedrático y Director
del Dpto. de Informática
UNIVERSIDAD CARLOS III
arturo@inf.uc3m.es
Coordinadores: Eduardo Fernández-Medina,
Mario Piattini y Manuel Ángel Serrano
Autores: recopilación de 12 trabajos monográficos
Edita: Fundación Dintel
Año 2001 - 403 páginas - ISBN: 84-931933-9-9
Sitio: www.fundacion-dintel.org

Es consustancial con las actuales sociedades avanzadas la acelerada digitalización de las informaciones que éstas generan o tratan. Así, diversos estudios prospectivos de reputadas empresas e instituciones vienen coincidiendo en que antes de 2005 –algunos apuntan a que en el 2003–, no menos del 50% de los datos creados en la sociedad estadounidense lo será en formato digital, y buena parte de ellos jamás conocerán los soportes convencionales –papel, por ejemplo– que durante toda la historia de la escritura han sido el depósito natural de las informaciones. Si ello ocurre, y todos los indicios así lo indican, el mismo escenario tendremos en Europa tres o cuatro años más tarde.
Una consecuencia inmediata de lo que antecede, es que las BB DD se están convirtiendo velozmente en el almacén primordial en donde buscar y hallar las informaciones que nuestras sociedades y nosotros mismos precisamos, lo que comporta que su seguridad preocupe más que nunca. Además, su conexión a Internet ha añadido a las amenazas que siempre habían padecido las derivadas de su acceso remoto desde los más recónditos lugares.
Todo ello, no hace sino justificar el agradecimiento debido a los coordinadores de la obra, por la oportuna idea de recoger en un libro en nuestra lengua los aspectos más relevantes de la seguridad de dichas BB DD –en ocasiones presentando originales trabajos de investigación– y a su editor, la Fundación Dintel, por su patrocinio.
El manual en cuestión, de genérico título: Seguridad en bases de datos, está coordinado por los profesores de la universidad de Castilla-La Mancha: Fernández-Medina, E; Piattini, M; Serrano, M. A., con larga trayectoria en la docencia e investigación en BB DD, que han sabido recoger en 13 monografías –recabadas entre veinte prestigiosos profesores universitarios y acreditados profesionales de la seguridad– lo más interesante y actual de la materia. Además (y contrariamente a lo usual en obras colectivas basadas en trabajos de diversos autores), gracias a la adecuada selección de las facetas a tratar en cada monografía, ni se solapan éstas ni dejan ningún aspecto por tratar. Todo ello –que sin duda constituye la tarea más difícil y laboriosa con que se enfrentan los coordinadores de una obra colectiva– ha sido resuelto, con un encomiable acierto.
De este modo, el manual presenta una panorámica no redundante e integradora de la seguridad, que abarca no sólo sus lados más técnicos, sino también aquellos vinculados con la administración o incluso los relacionados con los aspectos legales.
La obra comienza con un trabajo introductorio de título global, Bases de datos seguras, en el que se muestran los aspectos que fundamentan la seguridad: las políticas y modelos de control de accesos, con especial atención a los modelos de seguridad obligatoria conocidos como multinivel.
En el segundo: Metodología para el diseño de bases de datos multinivel, se atiende al aspecto más crucial de cuantos atañen a la seguridad de cualquier sistema: su diseño al dictado de estrictos requisitos de seguridad. Para ello, se preconiza extender los modelos de diseño existentes, de modo que puedan satisfacer los oportunos requisitos de seguridad. Igualmente, y con idéntico objetivo, se propone un nuevo lenguaje de especificación de restricciones de seguridad.
El tercero, Seguridad Jurídica en Bases de Datos, se detiene en la visión de las BB DD desde la vigente normativa legal, comenzando en el Texto Refundido de la Ley de la Propiedad Intelectual hasta llegar a lo dictado al respecto por la LOPD y su Reglamento.
Por su parte, Control de accesos en sistemas interoperables, estudia la integración de los mecanismos de acceso de BB DD (quizá heterogéneas) de distintas entidades, lo cual constituye un asunto de creciente necesidad para éstas, que cada vez más a menudo se ven precisadas a compartir algunas informaciones depositadas en sus respectivos sistemas, de omún dispares, de BB DD.
En el tema siguiente: Plan de auditoría de seguridad para bases de datos, se exponen todo tipo de recomendaciones para asegurar los mecanismos y procedimientos involucrados en la protección de las BB DD, tomando como ejemplo a Oracle.
El sexto trabajo, Seguridad en almacenes de datos, parte de la metodología de gestión de riesgos Magerit para tratar las medidas de seguridad aplicables a dichos almacenes, sean específicas para ellos o también usadas en las BB DD convencionales.
Los capítulos séptimo y octavo (únicos en la obra que presentan un cierto solape) tienen como finalidad estudiar un aspecto muy actual, como es la seguridad en los accesos vía web a las BB DD, aunque uno se detenga más en la arquitectura y otro principalmente en los protocolos.
La novena monografía, Requisitos reutilizables de seguridad en sistemas de información y bases de datos, enfoca un método de obtención de requisitos de seguridad de un sistema de información genérico, que cumple con la metodología Magerit.
Por su parte, Seguridad en accesos a directorios LDAP, se centra en los accesos al directorio LDAP, que está convirtiéndose en el repositorio básico de información de usuarios de los sistemas de información, y particularmente de las credenciales de autenticación de los mismos, sean éstos sus contraseñas o sus certificados de clave pública.
La undécima, Criptografía y seguridad en bases de datos, se detiene en los algoritmos protocolos de cifrado y su aplicación a las BB DD.
En el artículo, Seguridad en los sistemas operativos, se estudian las políticas y modelos de seguridad que se encuentran en estos programas, así como los principios que deben de seguir su diseño. Finalmente, expone los criterios de seguridad –ciertamente ya obsoletos– de la serie Arco Iris, aunque más oportuno hubiese sido detenerse, ya en este siglo XXI, en los Criterios Comunes (Common Criteria) adoptados como norma ISO ya en 1998.
Para concluir, en Experiencia en protección de datos de la Comunidad de Madrid, su antigua y competente directora resume los trabajos de la APD de la citada comunidad durante los años en que estuvo a su frente.
En resumen, un libro reseñable que compila aportaciones en este campo de investigadores españoles, demostrando que en nuestro país la seguridad está adquiriendo aceleradamente carta de naturaleza en universidades y empresas, con cada vez más profesionales trabajando en la misma. Es de justicia, reconocer a los coordinadores la idea de la obra y su acertada tarea y agradecer a la Fundación Dintel el haber hecho posible que los mismos saliesen a la luz.

Documento en PDF
 

<volver