Cuestionario sobre SGBD (Seguridad)

1) ¿Cuáles son las inconvenientes de un sistema gestor de base de datos?

• Redundancia e inconsistencia de datos: Debido a que los archivos y
programas de aplicación son creados por diferentes programadores en un
largo período de tiempo, los diversos archivos tienen probablemente
diferentes formatos y los programas pueden estar escritos en diferentes
lenguajes. Más aún, la misma información puede estar duplicada en
diferentes lugares (archivos). Esta redundancia conduce a un
almacenamiento y coste de acceso más altos. Además, puede conducir a
inconsistencia de datos; es decir, las diversas copias de los mismos datos
pueden no coincidir.
• Dificultad en el acceso a los datos: La cuestión aquí es que el entorno de
procesamiento de archivos convencional no permite que los datos
necesarios sean obtenidos de una forma práctica y eficiente. Se deben
desarrollar sistemas de recuperación de datos más interesantes para un
uso general.
• Aislamiento de datos: Debido a que los datos están dispersos en varios
archivos, y los archivos pueden estar en diferentes formatos, es difícil
escribir nuevos programas de aplicación para recuperar los datos
apropiados.
• Problemas de integridad: Los valores de los datos almacenados en la
base de datos deben satisfacer ciertos tipos de restricciones de
consistencia. Por ejemplo, el saldo de una cuenta bancaria no puede
nunca ser más bajo de una cantidad predeterminada (por ejemplo 25 €).
Los desarrolladores hacen cumplir esas restricciones en el sistema
añadiendo el código apropiado en los diversos programas de aplicación.
Sin embargo, cuando se añaden nuevas restricciones, es difícil cambiar los
programas para hacer que se cumplan. El problema es complicado cuando
las restricciones implican diferentes elementos de datos de diferentes
archivos.
• Problemas de atomicidad. Un sistema de un computador, como
cualquier otro dispositivo mecánico o eléctrico, está sujeto a fallo. En
muchas aplicaciones es crucial asegurar que, una vez que un fallo ha
ocurrido y se ha detectado, los datos se restauran al estado de
consistencia que existía antes del fallo. Es difícil asegurar esta propiedad
en un sistema de procesamiento de archivos convencional.
• Anomalías en el acceso concurrente: Conforme se ha ido mejorando el
conjunto de ejecución de los sistemas y ha sido posible una respuesta en
 tiempo más rápida, muchos sistemas han ido permitiendo a múltiples
usuarios actualizar los datos simultáneamente. En tales sistemas un
entorno de interacción de actualizaciones concurrentes puede dar lugar a
datos inconsistentes. Ya que se puede acceder a los datos desde muchos
programas de aplicación diferentes que no han sido previamente
coordinados, la supervisión es difícil de proporcionar.
• Problemas de seguridad: No todos los usuarios de un sistema de bases
de datos deberían poder acceder a todos los datos. Como los programas
de aplicación se añaden al sistema de una forma ad hoc, es difícil
garantizar tales restricciones de seguridad.
2) Indique los pasos importantes para configurar una base de datos para
una empresa dada.
         Identificar entidades, atributos y relaciones entre ellos.
         Realizar el modelado de datos (Modelo Entidad-Relación).
         Identificar la cardinalidad mínima y cardinalidad máxima.
         Realizar la especialización.
         Llevar a cabo la normalización.
         Crear la BD e introducir los datos.

3) Explique la diferencia entre independencia de datos física y lógica.

La independencia de datos es la capacidad de modificar una definición de
esquema, en este caso el físico o el lógico, sin que los programas de
aplicación tengan que reescribirse. La diferencia entre éstos radica en que
las modificaciones en el nivel físico son ocasionalmente necesarias para
mejorar el funcionamiento, y las modificaciones en el nivel lógico son
necesarias siempre que la estructura lógica de la base de datos se altere.

4) Explique cinco responsabilidades del Sistema Gestor de la Base de

Datos.
1.       Establecer y mantener trayectorias de acceso a la BD.
2.       Respaldo y recuperación.
3.       Seguridad e integridad.
4.       Control de concurrencia.
5.       Consulta y actualización.

5) Para cada responsabilidad explique qué pasaría de no asumir la

responsabilidad.
1.       No se podría tener un acceso rápido y eficiente a los datos.
2.       Si ocurriese una falla no podría recuperar los datos que se pierdan.
3.       Existirían cambios no autorizados o no previstos en la BD.
4.       Podría existir una inconsistencia en los datos por el acceso concurrente
entre usuarios.
5.       No se pudiese manipular y modificar la información dentro de la BD.

6) ¿Cuáles son las cinco funciones principales del administrador de la

base de datos?
• Definición del esquema: El ABD crea el esquema original de la base de
datos escribiendo un conjunto de instrucciones de definición de datos en
el LDD.
• Definición de la estructura y del método de acceso.
• Modificación del esquema y de la organización física: Los ABD realizan
cambios en el esquema y en la organización física para reflejar las
necesidades cambiantes de la organización, o para alterar la organización
física para mejorar el rendimiento.
• Concesión de autorización para el acceso a los datos: La concesión de
diferentes tipos de autorización permite al administrador de la base de
datos determinar a qué partes de la base de datos puede acceder cada
usuario. La información de autorización se mantiene en una estructura del
sistema especial que el sistema de base de datos consulta cuando se
intenta el acceso a los datos en el sistema.
• Mantenimiento rutinario: Algunos ejemplos de actividades rutinarias de
mantenimiento del administrador de la base de datos son:
— Copia de seguridad periódica de la base de datos, bien sobre cinta o
sobre servidores remotos, para prevenir la pérdida de datos en caso de
desastres como inundaciones.
— Asegurarse de que haya suficiente espacio libre en disco para las
operaciones normales y aumentar el espacio en disco según sea necesario.
— Supervisión de los trabajos que se ejecuten en la base de datos y
asegurarse de que el rendimiento no se degrada por tareas muy costosas
iniciadas por algunos usuarios.

7) Indique 5 aplicaciones que usted perciba que se usa una base de datos
para almacenar datos persistentes.
1.       En un hospital, para mantener el expediente clínico de los pacientes.
2.       En un banco, para almacenar la información del cliente, por ejemplo sus
estados de cuenta.
3.       En una escuela, para llevar control de los datos de los alumnos.
4.       En un videoclub, para mantener organizado la información de clientes y
películas con las que cuenta.
5.       En una cadena de restaurantes, para tener en orden la información de
sus distintas sucursales.
Fuentes de información
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXX
1. Cuáles son los tres aspectos principales de seguridad de una Base
de Datos
a) La confidencialidad
b) La integridad
c) La disponibilidad
2. Cuáles son los tipos de fallos que puede sufrir una Base de Datos?
a) Fallo físico
b) Fallo lógico
c) Fallo humano (intencionados o no)
3. Cuáles son los dos tipos de mecanismos de seguridad de una Base
de Datos?
a) Discrecionales (usados para otorgar privilegios a usuarios)
b) Obligatorios (sirven para imponer seguridad de múltiples niveles
clasificados)
4. Cuáles son los elementos que ayudan a controlar el acceso a los
datos en una BD?
a) Código y contraseña
b) Identificación por hardware
c) Características bioantropométricas (huellas dactilares)
d) Voz, retina de ojo…
5. Cuál es el principio básico en el que se apoya la recuperación de la
Base de Datos ante cualquier fallo?
a) Redundancia física.
6. Cuáles son los dos tipos importantes de fallo de acuerdo con
SGBD?
a) Los que provocan la pérdida de memoria volátil, debido a la
interrupción del suministro eléctrico o por funcionamiento
anormal del hardware.
 b) Los que provocan la pérdida del contenido de memoria
segunda.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXX

8. ¿Qué es una base de datos?

Una base de datos es un conjunto de información perteneciente a un

mismo contexto y almacenada sistemáticamente para su posterior uso.

Existen programas denominados sistemas gestores de bases de datos,

abreviado SGBD,  que permiten almacenar y posteriormente acceder a los
datos de forma rápida y estructurada.

9. ¿Cuáles son las principales características de una base de datos?

– Independencia de los Datos. Es decir, que los datos no dependen del

programa y por tanto cualquier aplicación puede hacer uso de los datos.

– Reducción de la Redundancia. Llamamos redundancia a la existencia de

duplicación de los datos, al reducir ésta al máximo conseguimos un mayor
aprovechamiento del espacio y además evitamos que existan
inconsistencias entre los datos. Las inconsistencias se dan cuando nos
encontramos con datos contradictorios.

– Seguridad. Un SBD debe permitir que tengamos un control sobre la

seguridad de los datos.

– Se visualiza normalmente como una tabla de una hoja de cálculo, en la

que los registros son las filas y las columnas son los campos, o como un
formulario.

– Permite realizar un listado de la base de datos.

– Permiten la programación a usuarios avanzados.

10. Enumera algunas de las causas que pueden hacer que fracase un
proyecto de creación de una base de datos.

Alguna de las causas pueden ser las siguientes:

  Que el programa que gestione los datos no sea adecuado.
 Que el sistema de distribución el cual nos ayude a ordenar la
información no sea el correcto.
 Que la información que se almacena en la base de datos no sea
adecuada ( no este completa, sea redundante, sea imprecisa o
exista dificultad en el acceso a la información).

11. ¿Cómo distinguirías entre los conceptos de base de datos, sistema de

gestión de base de datos y sistema de base de datos?

Un sistema gestor de base de datos es un conjunto de programas que

almacenan y gestionan el matenimiento y acceso a una base de datos,
mientras que el sistema de base de datos es el conjunto del SGBD y la
base de datos en si, aparte de los usuarios.

12. ¿En cuál (o cuáles) niveles de abstracción de una base de datos esta

implicado un usuario final?

En el nivel externo.

13. ¿Qué relación existe entre el sistema de información y la base de

datos?

Que una base de datos es un sistema de información.

14. Explique la diferencia entre redundancia física y redundancia lógica,

indicando cuál es perjudicial y porqué. Ponga un ejemplo.

La redundancia física es la duplicación de datos varias veces (ocupando

mayor espacio en la BDD), mientras que la redundancia lógica se da
provocando una gran cantidad de errores en la BDD, lo que provoca un
funcionamiento mucho más lento. Una base de datos permite cierta
redundancia física, porque no genera un volumen demasiado grande de
errores.

Ejemplo:Tener una cuenta de cliente repetida dos veces en un listado de

clientes (un ejemplo de base de datos) provoca muchos errores debido a
la redundancia existente.

15. ¿Qué otro término se puede utilizar para denominar la redundancia

física?
Otro término podría ser redundancia controlada.

16. ¿La redundancia física implica siempre redundancia lógica? ¿Y

viceversa?

La redundancia física siempre implica redundancia lógica, pero no al

contrario.

17. ¿Cuáles son los tres niveles de abstracción de una base de datos?

Explícalos.

Nivel interno: Es el nivel más cercano al almacenamiento físico de los

datos. Permite escribirlos tal y como están almacenados en el ordenador.
En este nivel se crean los archivos de configuración.

Nivel conceptual: En este nivel se representan los datos que se van a

utilizar sin tener en cuenta aspectos como lo que representamos en el
nivel interno.

Nivel externo: Se describen los datos o parte de éstos que más interesan a
los usuarios.

18. ¿Cuál es el principal objetivo que se pretende alcanzar en la

arquitectura a tres niveles?

Poder separar los programas de aplicación de la base de datos física

19. Formúlese una relación de las responsabilidades del SGDB. Justifica

cada responsabilidad explicando los problemas que surgirían si no se
cumpliera con ella.

Pueden distinguirse tres responsabilidades fundamentales:

*Pérdida de datos por corte de luz. La responsabilidad del administrador

estará en la creación de copias de seguridad cada cierto tiempo con el fin
de poder guardar una gran parte de la información.

*Hackeo de datos de los usuarios. El administrador debe disponer de un

sistema de seguridad para evitar el robo de los datos más importantes de
los usuarios
*Base de datos obsoleta. Deberá ocuparse de mantener la base de datos
actualizada y de la eliminación de datos que sean duplicados o queden
obsoletos.

20. ¿Cuáles son las funciones principales de un administrador de base de

datos?

 Implementar, dar soporte y gestionar bases de datos corporativas.

 Crear y configurar bases de datos relacionales.
 Ser responsables de la integridad de los datos y la disponibilidad.
 Diseñar, desplegar y monitorizar servidores de bases de datos.
 Diseñar la distribución de los datos y las soluciones de
almacenamiento.

 Garantizar la seguridad de las bases de datos, realizar copias de

seguridad y llevar a cabo la recuperación de desastres.
 Planificar e implementar el aprovisionamiento de los datos y
aplicaciones.
 Diseñar planes de contingencia.
 Diseñar y crear las bases de datos corporativas de soluciones
avanzadas.
 Analizar y reportar datos corporativos que ayuden a la toma de
decisiones en la inteligencia de negocios.
 Producir diagramas de entidades relacionales y diagramas de flujos
de datos, normalización esquemática, localización lógica y física de
bases de datos y parámetros de tablas.

21. Indica las diferencias existentes entre las funciones de manipulación

y de descripción

-Función de descripción: el diseñador especifica los elementos de datos

que componen la base de datos, su estructura y las relaciones que existen
entre ellos, las reglas de integridad semántica, etc. Además de las
características de tipo físico y las vistas lógicas de los usuarios. Ésta
función es realizada mediante el Lenguaje de Descripción/Definición de
Datos (LDD) propio del SGBD.

-Función de manipulación: los usuarios pueden acceder a la información,

es decir, consultar la base de datos, o bien actualizarla porque se han
producido cambios en la base de datos. Para hacer esto es neesario cargar
los datos en las estructuras creadas durante la función de descripción para
poder disponer de la base de datos completamente. Se realiza mediante el
Lenguaje de Manipulación de Datos (LMD).

22. ¿Qué tipos de usuarios interaccionan con una base de datos?

  -Usuarios accidentales:  Serán poco complejos y con mínima experiencia

que interactúan con el SGBD mediante alguna aplicación permanente que
los guía por la base de datos mediante el uso de menús. Desconocen por
completo la existencia de la base de datos o del sistema que la soporta.
Realizan operaciones muy limitadas (que el administrados especifica) y
sólo afectan a una parte específica de la BD.

-Usuarios online: Este grupo de usuarios se comunica con la base de datos

ya sea directamente, o indirectamente mediante el uso de una aplicación.
Poseen un nivel de conocimiento mayor que el tipo de usuario anterior,
pues pueden ser conscientes de que se encuentran conectados a un SGBD
y es posible que tengan experiencia previa dentro de operaciones
relacionadas con las bases de datos a las que están accediendo. También
pueden ser ingenuos e interactuar con el SGBD mediante el uso de menús
o sistemas de ayuda como los usuarios anteriormente mencionados.
Dentro de este grupo están comprendidos aquellos usuarios más
complejos que interactúan directamente con el SGBD mediante el uso de
lenguajes de consulta para evitar el uso de programas.

-Programadores de aplicaciones:  Son aquellos usuarios que desarrollan

los programas o las interfaces de usuario que utilizarán los usuarios
previamente mencionados. Se encargan de realizar la función de
manipulación del SGBD, por lo que emplean un LMD, con el cual incrustan
las sentencias de acceso a la base de datos que empleará el programa.

23. Indica que es un lenguaje huésped y un lenguaje anfitrión.

El lenguaje huésped es el LMD de bajo nivel, cuya función es el de la

manipulación física de los datos. Llamado así porque suele estar alojado
en algún otro lenguaje de programación de propósito general. El lenguaje
anfitrión es un lenguaje principal a partir del cual se desarrolla la actividad
necesaria con la base de datos. Es independiente.

24. La gestión del espacio de almacenamiento, ¿a qué nivel de la

arquitectura ANSI/SPARC pertenece?

Se situaría en el nivel interno.

25. Dibujar un diagrama de la arquitectura de sistemas de bases de datos
(ANSI/SPARC).

26. Indica las principales funciones realizadas por el SGDB.

–  Función descriptiva

– Función de utilización

– Función de manipulación.

27. Explica la diferencia entre la independencia física y lógica de los

datos.

La independencia lógica consiste en la capacidad de manipular el esquema

conceptual sin que los programas se vean alterados, y la independencia
física hace referencia a la modificación de los programas y aplicaciones.

28. ¿Qué es el diccionario de datos?

Se trata de un depósito de los elementos en un sistema que alberga las

características lógicas y puntuales de los datos que se van a utilizar en el
sistema que se programa, incluyendo entre ellos: nombre, descripción,
alias, contenido y organización.
29. Diferencias entre el LDD y LMD de un sistema gestor de base de
datos.

El LDD sólo permite la definición o descripción de los datos, mientras que

el LMD permite la manipulación de éstos.

30. Indica los componentes principales de un sistema gestor de base de

datos.

-Control de autorización

-Procesador de comandos

-Control de la integridad

-Optimizador de consultas

-Planificador.

-Gestor de transacciones

-Gestor de buffers

31. ¿Qué es un modelo de datos?

Un modelo de datos es un lenguaje que está orientado a hablar de una

base de datos. Éste permite describir: Las estructuras de datos de la base;
Las restricciones de Integridad; y Las operaciones de manipulación de
datos. Típicamente presentan dos sublenguajes: Lenguaje de definición de
datos (DDL) y Lenguaje de Manipulación de datos (DML).

32. ¿Qué son los lenguajes de cuarta generación? Pon ejemplos.

Son lenguajes de programación de alto nivel muy ligados a las bases de

datos, a veces se restringen a los lenguajes de POO. Ejemplos de estos
lenguajes son PL/SQL o NATURAL

 
33. Indica las principales ventajas de un sistema de bases de datos.
¿Existen algunas desventajas?

Ventajas:

-Gestión y control centralizado de los datos. Reducción de redundancias.

Seguridad. Integridad. Control de concurrencia. Independencia de los
datos. Modificación de los datos.

Desventajas:

-Elevado coste

-Coste de migración de aplicaciones, necesarios para pasar a un entorno

integrado

-Recuperación de datos

Las 10 grandes amenazas de seguridad en las bases de datos

El 96% de los datos sustraídos en 2012 provenían de bases de datos. Saber

cuáles son las grandes amenazas de seguridad en este ámbito es esencial
para evitarlo

El 96% de los datos sustraídos durante 2012 provenían de bases de

datos, según un informe de Verizon (Data Breach). Además, durante el
año pasado, 242 millones de registros resultaron potencialmente
comprometidos, indica la Open Security Foundation. Se trata de
dos preocupantes datos que la compañía Imperva, especializada en
seguridad, recuerda en un informe que ha elaborado sobre las diez
principales amenazas que existen contra las bases de datos y en el que se
pone de manifiesto que éstas son el objetivo prioritario para hackers e
insiders maliciosos.

En el informe asevera que esto es así debido a que las bases de

datos representan el corazón de cualquier organización, ya que almacenan
registros de clientes y otros datos confidenciales del negocio. Y afirma
además que esta vulnerabilidad de las bases de datos mejoraría si no
hubiera la actual falta de inversión en soluciones de seguridad adecuadas
para protegerlas. Y es que, como señala IDC, menos del 5% de los 27.000
millones de dólares invertidos en 2011 en productos de seguridad se
destinaron a la salvaguarda de los centros de datos.

Éste es, según Imperva, el top 10 en amenazas en el entorno de bases de

datos:

Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan

privilegios de base de datos que exceden los requerimientos de su puesto
de trabajo se crea un riesgo innecesario. Los mecanismos de control de
privilegios de los roles de trabajo han de ser bien definidos o mantenidos.

Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios

legítimos de bases de datos para fines no autorizados, por ejemplo,
sustraer información confidencial. Una vez que los registros de
información alcanzan una máquina cliente, los datos se exponen a
diversos escenarios de violación.

Inyección por SQL. Un ataque de este tipo puede dar acceso a alguien y
sin ningún tipo de restricción a una base de datos completa e incluso
copiar o modificar la información.

Malware y spear phising. Se trata de una técnica combinada que usan los
cibercriminales, hackers patrocinados por estados o espías para penetrar
en las organizaciones y robar sus datos confidenciales.

Auditorías débiles. No recopilar registros de auditoría detallados puede

llegar a representar un riesgo muy serio para la organización en muchos
niveles.

Exposición de los medios de almacenamiento para backup. Éstos están a

menudo desprotegidos, por lo que numerosas violaciones de seguridad
han conllevado el robo de discos y de cintas. Además, el no auditar y
monitorizar las actividades de acceso de bajo nivel por parte de los
administradores sobre la información confidencial puede poner en riesgo
los datos.

Explotación de vulnerabilidades y bases de datos mal configuradas. Los

atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques
contra las empresas.
Datos sensibles mal gestionados. Los datos sensibles en las bases de
datos estarán expuestos a amenazas si no se aplican los controles y
permisos necesarios.

Denegación de servicio (DoS). En este tipo de ataque se le niega el acceso

a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones
suelen ser fraudes de extorsión en el que un atacante remoto
repetidamente atacará los servidores hasta que la víctima cumpla con sus
exigencias.

Limitado conocimiento y experiencia en seguridad y educación. Muchas

firmas están mal equipadas para lidiar con una brecha de seguridad por la
falta de conocimientos técnicos para poner en práctica controles de
seguridad, políticas y capacitación.

Para la firma de seguridad, la clave para evitar estas amenazas es una

defensa multicapa que permita localizar y evaluar dónde se ubican las
vulnerabilidades en la base de datos y en qué sitio residen los datos
críticos; gestionar los derechos de usuario para identificar derechos
excesivos sobre los datos sensibles; hacer monitorización y bloqueo para
proteger las bases de datos de ataques, pérdida de datos y robo;
realizar auditorías y proteger los datos.