Guia

SERVICIO NACIONAL DE APRENDIZAJE SENA Versión: 01
GUÍA DE APRENDIZAJE
SISTEMA INTEGRADO DE GESTIÓN Fecha: 01/04/2013
Proceso Gestión de la Formación Profesional Integral
Procedimiento Ejecución de la Formación Profesional Integral Código: F004-P006-GFPI
Guía de aprendizaje Nº. 6

1. IDENTIFICACIÓN DE LA GUÍA DE APRENDIZAJE
Programa de Formación: Código del programa: 217219
ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y Versión: 1
SEGURIDAD DE BASES DE DATOS
Nombre del proyecto: DISEÑO Y ADMINISTRACIÓN DE Código del proyecto:

UNA BASE DE DATOS PARA UNA ALCALDÍA.
Fase del proyecto: EVALUACIÓN
Actividad del Proyecto: Actividad de Aprendizaje: Ambiente de Materiales de
formación: formación:
Efectuar acciones de AA11 - Confirmar el Escenario, elementos Devolutivo Consumible
protección a la base de cumplimiento políticas de y condiciones de (Herramienta (unidades
datos seguridad. seguridad industrial, - equipo) empleadas
salud ocupacional y durante el
AA12 - Aplicar acciones
medio ambiente. programa)
de protección a la base de
datos.
AA13 - Producir
documentación técnica de la
seguridad de la información
de las bases de datos
Resultados de Aprendizaje: Competencia: Ambiente Virtual N/A N/A
• Realizar las acciones de Diagnóstico del nivel de de Aprendizaje
protección de la BD de seguridad de la información dispuesto en el
acuerdo con las políticas de acuerdo con las normas Sistema de Gestión
de la organización y los internacionales y el objeto de Aprendizaje (LMS)
planes de contingencias de negocio. accedido a través de
establecidos la plataforma SENA
SOFIA PLUS.
• Comprobar el
cumplimiento de las
políticas de seguridad
siguiendo los protocoles
establecidos
•E
laborar documentación
técnica de la seguridad
de la información de las
bases de datos según
procedimientos de la
organización y normas
internacionales.
Duración de la guía: 200 Horas
1
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
2. INTRODUCCIÓN
Un factor crítico para el buen desarrollo de las actividades que como administradores de base de
datos debemos realizar tiene que ver con el aseguramiento de la información. Ya al inicio de las
actividades de formación se conceptualizo sobre los estándares internacionales para la seguridad
de la Información, a través de la norma ISO-27000, ahora es el momento de profundizar en
aspectos que le permitirá definir y validar los esquemas de seguridad de la organización, así
como la determinación de privilegios sobre los datos. Se introducirá sobre la gestión de riesgos
como elemento que posibilita analizar los riesgos y plantear las acciones que permitirán prevenir,
mitigar o generar contingencias sobre estos.
Durante el desarrollo de esta actividad de aprendizaje se deberán verificar las Políticas de Seguridad
de la información a partir de los aspectos relevantes de las Normas y Estándares asociados a la
Seguridad informática y el análisis y evaluación de Riesgos, con el fin de construir en forma
colaborativa directrices que orienten el uso de las tecnologías y sensibilicen sobre la importancia
de la protección a la información y a los servicios asociados a ésta.
En procura de todo lo anterior, usted encontrará en el desarrollo de esta guía, actividades que le
permitirán afrontar estas tareas, no solo para identificar riesgos o para realizar diagnósticos de
seguridad, sino particularmente el tener la visión global de la seguridad en la información y las
acciones requeridas para controlar accesos no autorizados y la preservación de los datos.
Ahora lo invitamos a desarrollar las tareas para alcanzar los objetivos de esta fase con actitud
crítica, argumentativa y propositiva.
3. ESTRUCTURACION DIDACTICA DE LAS ACTIVIDADES DE APRENDIZAJE

3.1 Actividades de Reflexión inicial.
En el proceso de asegurar el acceso y la integridad de los datos, nos encontramos con tareas
asociadas como son:
• Clasificar los riesgos a partir de herramientas para su valoración.
• Identificar las pruebas de seguridad que deben ser aplicadas.
• Reconocer las características y funciones de seguridad que posee el SMBD.
• Analizar el comportamiento obtenido al diligenciar la plantilla de verificación de Norma ISO

270002.
• Determinar el esquema de seguridad de acceso a implantar en el SMBD de acuerdo con las

características particulares de cada uno de ellos y de los acuerdos de niveles de servicio.
• Construir el plan de gestión del riesgo, a partir de la cual se determinaran acciones para mitigar
o contrarrestar sus efectos.
• Establecer las políticas de seguridad a implantar desde la perspectiva de la gestión sobre las
bases de datos, tomando como insumos las temáticas abordadas y las tareas realizadas.
• Elaborar la documentación técnica de la seguridad de la información de las Bases de Datos.
2
Detengámonos un instante y pensemos en lo siguiente:
• ¿Cómo se puede garantizar que la base de datos estará protegida contra accesos no autorizados?
• ¿Cómo se deben definir los permisos y niveles de acceso?
• ¿En qué se diferencia la identificación de la autenticación?
• ¿Qué es ethical hacking?
• ¿Qué es la Gestión de Riesgos?
• ¿Por qué es importante Monitorear una base de datos?
Ahora lo invitamos a compartir sus respuestas a través del foro “Reflexión Inicial Guía N° 6” y
comentar la participación de dos compañeros retroalimentando desde su experiencia y acciones
de aprendizaje.
3.2 Actividades de contextualización e identificación de conocimientos necesarios
para el aprendizaje.
La actividad de proyecto Efectuar acciones de protección a la Base de Datos, que se
presenta y describe en esta guía, se desarrolla a través de las actividades de aprendizaje: AA11
- Confirmar el cumplimiento de políticas de seguridad, AA12 - Aplicar acciones de
protección a la base de datos y AA13 - Producir documentación técnica de la seguridad
de la información de las bases de datos.
Para el desarrollo de la AA11 – “Confirmar el cumplimiento de políticas de seguridad” se

proporcionan documentos de apoyo, con el fin de realizar un trabajo autónomo que le permita
asociar las temáticas dispuestas en esta actividad de aprendizaje y su aplicación. Así mismo se
plantea la realización de las siguientes acciones:
• Actividad AA11-1: Conceptualizar sobre las características y funciones de seguridad del SGBD.
• Actividad AA11-2: Investigar sobre herramientas de monitoreo de bases de datos.
• Actividad AA11-3: Socialización de Pruebas de Seguridad.
Las cuales están relacionadas con procesos a realizar dentro de la gestión de la seguridad de una
base de datos como lo son:
• Definir los procesos críticos del negocio
• Realizar el proceso de seguimiento y control
• Verificar la presencia de amenazas y vulnerabilidades
La actividad AA12 - Aplicar acciones de protección a la base de datos, en su desarrollo

plantea la realización de las siguientes acciones:
• Actividad AA12-1: Conceptualización sobre sistemas de seguridad
3
• Actividad AA12-2: Elaborar la Matriz de Análisis de Riesgos
• Actividad AA12-3: Definición de las Políticas de Seguridad
• Actividad AA12-4: Socialización y evaluación de las políticas de seguridad definidas
Las cuales están relacionadas con procesos para proteger y mitigar los riesgos de seguridad en
los datos:
• Ajustar políticas de seguridad.
• Clasificar los riesgos de información
• Evaluar los riesgos de información.
• Aplicar políticas de seguridad
Por último, la actividad AA13 - Producir documentación técnica de la seguridad de la

información de las bases de datos, en su desarrollo plantea la realización de las siguientes
acciones:
• Actividad AA13-1: Plan de gestión de riesgos (PGR).
• Actividad AA13-2: Encuentro sincrónico “Protección de la base de datos
Las cuales están relacionadas con la documentación de los procesos realizados para el aseguramiento
de la información como lo son:
• Generar informes de la seguridad de la información
• Documentar planes de mitigación de riesgos
Para el desarrollo de las acciones asociadas a esta actividad de proyecto, se deben tener conceptos
claros sobre:
• Gestión del riesgo: Amenazas, vulnerabilidades, fuentes de riesgos, Identificación, evaluación

(métodos, probabilidad, impacto, exposición), control, matriz para el análisis de riesgos, planes
de mitigación, planes de contingencia.
• Documentación técnica de la seguridad de la información de las bases de datos según

procedimientos de la organización y normas internacionales
Utilice el mapa conceptual con el fin de identificar cuáles son las actividades y evidencias de
aprendizaje a desarrollar, en procura de alcanzar las competencias y resultados de aprendizaje
que le permitan desarrollar en forma exitosa la actividad de proyecto “Efectuar acciones de
protección a la base de datos”.
4
3.3 Actividades de apropiación del conocimiento

Actividad AA11-1: Conceptualizar sobre las características y funciones de seguridad del SGBD.
Para esta actividad se debe realizar una investigación sobre las opciones y herramientas
suministradas por un sistema manejador de base de datos (SMBD) relacionadas con la seguridad
de la información. Dentro de la investigación debe tener presente los siguientes aspectos:
• Características de seguridad configurables.
• Cuentas de Usuario y privilegios sobre los objetos del Sistema.
• Integridad
• Mecanismos de integridad y privacidad
• Funciones de seguridad
5
Para la verificación de esta evidencia, deberá construir un documento donde se presente la

descripción de las utilidades del SMBD sobre el cual está realizando las prácticas de acuerdo
con los ítems relacionados anteriormente y enviarlo a través de la plataforma en la opción
Actividades, en la ruta:
• Carpeta del Proyecto: “Diseño y Administración de una base de datos para una alcaldía”
* Subcarpeta Fase del proyecto: Evaluación
* Subcarpeta de la Actividad de proyecto 6.
* Enlaces para la presentación de evidencia
* AA11 - Evidencia 1: Características y Funciones de Seguridad del SMBD
seleccionado
Actividad AA11-2: Herramientas de monitoreo de bases de datos
Para la realización de esta actividad de exploración de conocimiento deberá investigar sobre el

uso de herramientas de auditoría y protección de bases de datos (DAP), es importante definir el
concepto y forma de aplicación del mismo. Para esto se recomienda la consulta de artículos de
actualidad tecnológica donde podrá encontrar sobre tendencias en el uso de estas herramientas,
de tal forma que pueda responder interrogantes como: ¿Qué tipo de riesgos pueden ocasionar
vulnerabilidades en las bases de datos? ¿Para qué es importante desarrollar una estrategia de
seguridad que ayude a proteger las bases de datos? ¿Qué tipo de consideraciones se deben
tener en cuenta en ese tipo de estrategias?
Para la verificación de esta evidencia, deberá construir un documento donde responda acorde
a la información consultada las preguntas planteadas y además construya un mapa conceptual
que presente los diferentes conceptos y sus relaciones en referencia a las herramientas DAP. El
documento construido deberá enviarse como evidencia del desarrollo de esta actividad, a través
de la plataforma en la opción Actividades, en la ruta:
* Enlaces para la presentación de evidencia
* AA11 - Evidencia 2: Informe herramientas de monitoreo de bases de datos
Actividad AA12-1: Sistemas de Gestión y Normas de seguridad
Para completar con éxito esta actividad es necesario fortalecer los conceptos acerca de Normas
y Políticas de Seguridad, además sobre Sistemas de Gestión de la Seguridad de la información.
Para realizar esta fundamentación sobre los conocimientos mencionados, podrá revisar los
siguientes recursos para el aprendizaje:
• Objeto de Aprendizaje: sistemas de gestión de la seguridad de la información.
• Objeto de Aprendizaje: Normas de Seguridad.
6
Una vez leído y resuelto las inquietudes sobre el material de estudio presentando en la guía, debe
ingresar a la plataforma LMS y dejar evidencia del desarrollo de estas actividades respondiendo
el cuestionario “Sistemas de Seguridad de la Información” que está disponible en la opción del
menú del curso Actividades, en la ruta:
* Enlaces para la presentación de evidencias
* AA12 - Evidencia 1: Cuestionario “Sistemas de Seguridad de la Información”
3.4 Actividades de transferencia de conocimiento

Actividad AA11-3: Socialización de Pruebas de Seguridad
Esta evidencia consiste en interactuar con los demás participantes del proceso formativo,
socializando alrededor de los documentos presentados sobre pruebas de penetración y Hacking
ético, además completamente consultando sobre Hacking database y SQL-Injection. En el foro
“Socialización de pruebas de Seguridad”, cada Aprendiz debe participar haciendo sus aportes de
manera respetuosa, amable y consiente, siguiendo el siguiente procedimiento:
1. Publicar un mensaje donde socialice con sus compañeros la respuesta a las preguntas:
• ¿Qué es ser un hacker ético?
• En Colombia, en los últimos años se han presentado situaciones muy renombradas relacionadas
con el Hacking. ¿Qué opina al respecto?
• ¿Qué es SQL-Injection?
• ¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?
2. Revisar los mensajes de al menos dos de sus compañeros y opinar complementando las
respuestas.
Podrá ingresar al foro a través del enlace disponible en la opción del menú del curso Actividades,
en la ruta:
* AA11 - Evidencia 3: Foro Temático “Pruebas de Seguridad”
7
Actividad AA12-2: Diligenciamiento de la Matriz de Análisis de Riesgo
En el desarrollo de esta actividad deberá construir la Matriz de Análisis de Riesgo en la que se

realiza una aproximación generalizada de los riesgos asociados con el manejo de la información
en la organización (suministrada como materiales del programa como parte de los recursos para
el aprendizaje). Para diligenciar esta matriz tenga en cuenta lo siguiente:
Solo debe diligenciar las celdas en color amarillo, con lo cual se calculara el riesgo basado en la
fórmula:
Riesgo = probabilidad de Amenaza x magnitud del daño.
Analice para cada elemento presentado, la magnitud del daño en caso de presentarse y la
probabilidad de ocurrencia, teniendo como posibles valores:
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta
Las columnas de clasificación se marcan con “x”, su uso no es obligatorio, ni incide en el cálculo
del riesgo, pero puede ser utilizado para soportar la magnitud del daño definido.
La matriz se suministra a partir de una hoja de cálculo y está compuesta por 6 hojas :
Hoja Datos: Aquí se valoran el riesgo para los Elementos de Información “Datos e Informaciones”.
Hoja Sistemas: Se utiliza para valorar el riesgo en la infraestructura de la compañía y el

software utilizado.
Hoja Personal: Permite valorar el riesgo relacionado con el personal o talento humano de la
organización.
Hoja Análisis_Promedio: Esta hoja muestra automáticamente el promedio aritmético de los

diferentes riesgos, permitiendo identificar los grupos con mayores riegos.
Hoja Análisis_Factores: También se actualiza de manera automática presentando una gráfica

para el análisis del riesgo de los diferentes grupos.
Hoja Fuente: En esta hoja se definición los parámetros para los cálculos realizados en la matriz.
Recuerde tomar como antecedentes toda la información de las actividades anteriores incluido el
caso de estudio base. La matriz diligenciada deberá ser enviada como evidencia del desarrollo
de la actividad, esto a través de la ruta:
8
* AA12 - Evidencia 2: Matriz Análisis de Riego
Actividad AA12-3: Definición de las políticas de Seguridad.
Esta actividad consiste en construir la definición de requisitos, que indiquen en términos

generales que está y que no está permitido en el área de seguridad asociada a los datos, durante
la operación general de los sistemas asociados a la Alcaldía. La propuesta debe contemplar:
• Normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para
proteger la seguridad del sistema.
• Delimitación de responsabilidades para las actuaciones técnicas y organizativas.
• Elementos claves como: Integridad, Disponibilidad, Privacidad y aspectos de Control,

Autenticación y Utilidad.
El Documento consolidado de la evidencia, deberá realizarse en equipos de trabajo y enviarse

a través de la plataforma tecnológica del ambiente Virtual de Aprendizaje en el vínculo
correspondiente
* AA12 - Evidencia 3: Políticas de Seguridad
Actividad AA12-4: Socialización y evaluación de las Políticas de Seguridad
Esta evidencia consiste en socializar con los demás participantes del proceso formativo, la
propuesta de Políticas de Seguridad construida como evidencia previa y cada participante
deberá comentar al menos dos de las propuestas de los compañeros. Recuerde siempre hacer
los aportes de manera respetuosa, amable y consiente.
Para esta actividad se ha dispuesto el foro temático “Evaluación de las Políticas de seguridad”,
en el cual deberá participar siguiendo el siguiente procedimiento:
1. P
ublicar un mensaje donde socialice con sus compañeros la propuesta construida con su
equipo de trabajo, anexándola al mensaje y respondiendo a la pregunta: ¿Por qué considera
que los elementos de la propuesta construida aportan el cubrimiento necesario para la
protección de la información?
2. R
evisar por lo menos las propuestas de dos equipos de trabajo del proceso formativo y opinar
sobre sus mensajes respondiendo a las preguntas:
9
• ¿Cuáles son las diferencias principales entre la propuesta de su equipo y la planteada por su
compañero?
• ¿Cuáles son los dos elementos más positivos de la propuesta planteada por el otro equipo?
• ¿La propuesta planteada por el otro equipo es pertinente?
Podrá ingresar al foro a través del enlace disponible en la opción del menú del curso Actividades,
en la ruta:
* AA12 - Evidencia 4: Foro Temático “Evaluación de las Políticas de seguridad”
Actividad AA13-1: Elaboración del Plan de gestión de riesgos (PGR).
Elabore el “Plan de gestión de riesgos”, de tal forma que realice la identificación de las posibles
acciones para contrarrestar los riesgos y su impacto sobre los niveles de servicio que se definieron
sobre las bases de datos de la alcaldía y procesos asociados a la administración de esta. El plan
debe estar basado en la información de los casos de estudio de la Alcaldía de San Antonio del
Sena y en la investigación sobre entidades del sector con características similares en su entorno
y contemplar los siguientes puntos:
• Alcance del plan de gestión del riesgo
• Roles y responsabilidades
• Presupuesto
• Periodicidad
• Categorías del riesgo
• Inventario de activos expuestos
Este plan debe realizarse de acuerdo con la “plantilla para la definición del plan de gestión o
tratamiento del riesgo”, la cual detalla los ítems a considerar, también deberá tener en cuenta
la “matriz de probabilidad de impacto” que se desarrolló anteriormente, la plantilla puede
ser consultada a través de los materiales del programa como parte de los recursos para el
aprendizaje.
• La plantilla diligenciada deberá ser enviada como evidencia del desarrollo de la actividad a
través de la ruta:
10
* AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)
Actividad AA13-2: Sustentación de evidencias sobre Protección de los datos
Esta actividad consiste en argumentar, en sustentación con el instructor, sobre los Mecanismos
de protección de los datos, análisis de riesgos, políticas de seguridad, técnicas y herramientas
investigadas, a través del encuentro sincrónico online programado. En el encuentro cada
aprendiz debe interactuar con los demás participantes del proceso formativo, respondiendo a las
preguntas formuladas por el tutor y participando como evidencia de las acciones desarrolladas
durante esta actividad de aprendizaje.
Para el desarrollo del encuentro, el tutor tendrá preparado un cuestionario con diferentes
preguntas inherentes al desarrollo de las evidencias, como también cada uno de los aprendices
debe tener preparadas preguntas a formular a sus compañeros con miras a evaluar los
conocimientos adquiridos en la realización de las actividades. La participación de cada aprendiz
será de acuerdo al orden presentado por el tutor quien tendrá el rol de moderador, haciendo
cumplir los tiempos de cada intervención y el tiempo general de todo el encuentro.
La argumentación técnica y la elocuencia serán los parámetros principales que tendrá en cuenta
el tutor para evaluar el desempeño de cada aprendiz. Podrá conocer los detalles del encuentro
a través del enlace disponible en la opción del menú del curso Actividades, en la ruta:
* AA13 - Evidencia 2: Conversatorio y sustentación de evidencias sobre la
Protección de los Datos
11
3.5 Actividades de evaluación.

Evidencias de Aprendizaje Criterios de Evaluación Técnicas e Instrumentos de
Evaluación
EVIDENCIAS DE CONOCIMIENTO
AA11 - Evidencia 1: • Documenta las características y Lista de chequeo para evaluar
Características y Funciones funcionalidades que proporciona el conocimiento, presentada en el
de Seguridad del SMBD SMBD seleccionado, para asegurar instrumento de evaluación EGBD-
seleccionado los datos desde la perspectiva de P06-AA11-EV01.
usuarios, objetos e integridad sobre
los datos.
AA11 - Evidencia 2: • Reconoce herramientas de monitoreo Lista de chequeo para evaluar
Informe herramientas de de bases de datos como factor de conocimiento, presentada en el
monitoreo de bases de datos análisis de seguridad. instrumento de evaluación EGBD-
P06-AA11-EV02.
AA12 - Evidencia 1: • Conceptualiza los procesos asociados Cuestionario “Sistemas de

Cuestionario “Sistemas de a c Responde apropiadamente a los Seguridad de la Información”
Seguridad de la Información” cuestionamientos presentados y publicado en el LMS.
analiza los conceptos presentados de
manera acertada.
EVIDENCIAS DE DESEMPEÑO
AA11 - Evidencia 3: ●● Argumenta sobre el Hacking ético y Lista de chequeo para evaluar
Foro Temático “Pruebas de pruebas de software como aspectos desempeño, presentada en el
Seguridad” para realizar el análisis de seguridad instrumento de evaluación EGBD-
de una base de datos. P06-AA11-EV03.
●● Asume una actitud crítica

constructiva frente a las propuestas
de los compañeros.
AA12 - Evidencia 4: Foro ●● Argumenta sobre el por qué Lista de chequeo para evaluar
Temático “Evaluación de las considera que los elementos de la desempeño, presentada en el
Políticas de seguridad” propuesta construida aportan a la instrumento de evaluación EGBD-
solución de la situación problema P06-AA12-EV04.
planteada.
●● Asume una actitud crítica

constructiva frente a las propuestas
de los compañeros.
AA13 - Evidencia 2: ●● Expone con claridad los conceptos, Lista de chequeo para evaluar
Conversatorio y sustentación herramientas y acciones a realizar desempeño, presentada en el
de evidencias sobre la para garantizar la seguridad de la instrumento de evaluación EGBD-
Protección de los Datos base de datos. P06-AA13-EV02.
●● Realiza aportes que amplían el

espectro de conocimiento de los
temas tratados en el debate
12
EVIDENCIAS DE PRODUCTO
AA12 - Evidencia 2: Matriz ●● Elabora la matriz para facilitar el Lista de chequeo para evaluar
Análisis de Riego análisis de riesgos de acuerdo con producto, presentada en el
las especificaciones dadas instrumento de evaluación
EGBD-P06-AA12-EV02.
AA12 - Evidencia 3: • Documenta las Políticas de Lista de chequeo para evaluar

Políticas de Seguridad Seguridad sobre la información, producto, presentada en el
presentando los esquemas instrumento de evaluación
de seguridad e integridad a EGBD-P06-AA12-EV03.
implantar sobre las bases de
datos y las aplicaciones del
sistema, aplicando Normas y
Estándares Internacionales y que
cumplan con los requerimientos
de la organización
AA13 - Evidencia 1: Plan ●● Elabora el plan de gestión de riesgo Lista de chequeo para evaluar
de gestión de riesgos (PGR) para la Alcaldía, que presentan los producto, presentada en el
diferentes elementos asociados al instrumento de evaluación
manejo de información, basado en EGBD-P06-AA13-EV01.
las amenazas que pueden causarlos
y las medidas de protección a
implantar.
13
4. RECURSOS PARA EL APRENDIZAJE
TALENTO HUMANO
ACTIVIDADES DEL DURACIÓN (Instructores) AMBIENTE DE
MATERIALES DE FORMACIÓN
PROYECTO (Horas) FORMACIÓN
Especialidad Cantidad
Objetos de aprendizaje:
• Gestión de Incidentes
• Acuerdos de niveles de servicio
• Gestión de Desempeño
• Índices Profesional
en Ingeniería
• Optimización de La estructura de Sistemas
Ambiente Virtual
de la Base de Datos o afines, con
de Aprendizaje
Desarrollar el experiencia
dispuesto en
mantenimiento • Concurrencia, bloqueo, en Bases
el Sistema de
preventivo, correctivo accesos. de Datos,
Gestión de
o proactivo para 180 horas preferible- 1
Aprendizaje
garantizar niveles de Laboratorios: mente con
(LMS) accedido
servicio requeridos Certificación
a través de la
por la organización. • Gestión del rendimiento en Internacional
plataforma SENA
SMBD. en Sistemas
SOFIA PLUS.
Manejadores
de Base de
• Optimización de consultas SQL
Datos.
a través de herramientas del
SMBD.
• Concurrencia y bloqueos en los

SMBD.
Documentos de apoyo:
• Plantilla SLA.
5. GLOSARIO DE TERMINOS
• DIAGNÓSTICO: Una etapa en Ciclo de vida de Incidentes y Problemas. El propósito de
Diagnóstico es identificar un Alternativa (solución temporal) para un Incidente o la Causa Raíz
de un Problema.
• INTEGRIDAD: En contexto de Base de datos se refiere a la Integridad de los datos. Está

relacionada con la completitud y corrección de los datos almacenados en una base de datos.
Pueden modificarse datos existentes tomando valores incorrectos o cambios en la base de
datos que se pierden cuando hay un error del sistema o un fallo de energía.
• ITIL: Del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y

prácticas para la gestión de servicios de tecnologías de la información.
• MONITOREAR: Acción que permite supervisar o controlar las operaciones realizadas utilizando
medios físicos o a través de aplicaciones de software
• SMBD: Sistema Manejador de Bases de Datos.
• TI: Tecnologías de la Información
14
6. BIBLIOGRAFÍA / WEBGRAFÍA
• Estándar Internacional ISO/IEC. (15 de Junio del 2006). Estándar Internacional ISO/IEC 17799
Segunda Edición.
• Alberto G. Alexander. (2007). Diseño de un sistemas de gestión de seguridad de información

(1ra edición). Bogotá, Colombia: Editorial Alfaomega.
• ITIL (Information Technology Infrastructure Library). Open Guide (2012). Consultado en mayo
de 2012 en: http://www.itlibrary.org/index.php?page=ITIL
• ITIL (Information Technology Infrastructure Library). Glosario de Términos ITIL®, Definiciones

y Acrónimos. Consultado en mayo de 2012 en: www.itil-officialsite.com
• Symantec (2014) Glosario de Seguridad. Recuperado de http://www.symantec.com/es/mx/

theme.jsp?themeid=glosario-de-seguridad
• Reyes Plata, Alejandro.(2011). Ethical Hacking. UNAM-CERT. Recuperado de http://www.

seguridad.unam.mx/documento/?id=7
• Tori, Carlos. (2008). Hacking Ético. Rosario Argentina. Recuperado de http://www.tic.udc.

es/~nino/blog/lsi/documentos/hacking-etico.pdf
7. CONTROL DEL DOCUMENTO
Nombre Cargo Fecha
Elaboró Yaqueline Chavarro Instructor - Experto Técnico Mayo de 2015
Revisó Rafael Neftali Lizcano Reyes Instructor – Asesor Pedagógico Mayo de 2015
Aprobó Rafael Neftali Lizcano Reyes Instructor – Asesor Pedagógico Mayo de 2015
15

Guia

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Guia

Diunggah oleh

Hak Cipta:

Format Tersedia

SERVICIO NACIONAL DE APRENDIZAJE SENA Versión: 01

Guía de aprendizaje Nº. 6

Nombre del proyecto: DISEÑO Y ADMINISTRACIÓN DE Código del proyecto:

3. ESTRUCTURACION DIDACTICA DE LAS ACTIVIDADES DE APRENDIZAJE

• Clasificar los riesgos a partir de herramientas para su valoración.

• Identificar las pruebas de seguridad que deben ser aplicadas.

• Reconocer las características y funciones de seguridad que posee el SMBD.

• Analizar el comportamiento obtenido al diligenciar la plantilla de verificación de Norma ISO

• Determinar el esquema de seguridad de acceso a implantar en el SMBD de acuerdo con las

• Elaborar la documentación técnica de la seguridad de la información de las Bases de Datos.

Detengámonos un instante y pensemos en lo siguiente:

• ¿Cómo se deben definir los permisos y niveles de acceso?

• ¿En qué se diferencia la identificación de la autenticación?

• ¿Qué es ethical hacking?

• ¿Qué es la Gestión de Riesgos?

• ¿Por qué es importante Monitorear una base de datos?

Para el desarrollo de la AA11 – “Confirmar el cumplimiento de políticas de seguridad” se

• Actividad AA11-2: Investigar sobre herramientas de monitoreo de bases de datos.

• Actividad AA11-3: Socialización de Pruebas de Seguridad.

• Definir los procesos críticos del negocio

• Realizar el proceso de seguimiento y control

• Verificar la presencia de amenazas y vulnerabilidades

La actividad AA12 - Aplicar acciones de protección a la base de datos, en su desarrollo

• Actividad AA12-1: Conceptualización sobre sistemas de seguridad

• Actividad AA12-2: Elaborar la Matriz de Análisis de Riesgos

• Actividad AA12-3: Definición de las Políticas de Seguridad

• Actividad AA12-4: Socialización y evaluación de las políticas de seguridad definidas

• Ajustar políticas de seguridad.

• Clasificar los riesgos de información

• Evaluar los riesgos de información.

• Aplicar políticas de seguridad

Por último, la actividad AA13 - Producir documentación técnica de la seguridad de la

• Actividad AA13-1: Plan de gestión de riesgos (PGR).

• Actividad AA13-2: Encuentro sincrónico “Protección de la base de datos

• Generar informes de la seguridad de la información

• Documentar planes de mitigación de riesgos

• Gestión del riesgo: Amenazas, vulnerabilidades, fuentes de riesgos, Identificación, evaluación

• Documentación técnica de la seguridad de la información de las bases de datos según

3.3 Actividades de apropiación del conocimiento

• Características de seguridad configurables.

• Cuentas de Usuario y privilegios sobre los objetos del Sistema.

• Mecanismos de integridad y privacidad

Para la verificación de esta evidencia, deberá construir un documento donde se presente la

Actividad AA11-2: Herramientas de monitoreo de bases de datos

Para la realización de esta actividad de exploración de conocimiento deberá investigar sobre el

Actividad AA12-1: Sistemas de Gestión y Normas de seguridad

• Objeto de Aprendizaje: sistemas de gestión de la seguridad de la información.

• Objeto de Aprendizaje: Normas de Seguridad.

3.4 Actividades de transferencia de conocimiento

• ¿Qué es ser un hacker ético?

• ¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

Actividad AA12-2: Diligenciamiento de la Matriz de Análisis de Riesgo

En el desarrollo de esta actividad deberá construir la Matriz de Análisis de Riesgo en la que se

Riesgo = probabilidad de Amenaza x magnitud del daño.

1 = Insignificante (incluido Ninguna)

Hoja Sistemas: Se utiliza para valorar el riesgo en la infraestructura de la compañía y el

Hoja Análisis_Promedio: Esta hoja muestra automáticamente el promedio aritmético de los

Hoja Análisis_Factores: También se actualiza de manera automática presentando una gráfica

Actividad AA12-3: Definición de las políticas de Seguridad.

Esta actividad consiste en construir la definición de requisitos, que indiquen en términos

• Delimitación de responsabilidades para las actuaciones técnicas y organizativas.

• Elementos claves como: Integridad, Disponibilidad, Privacidad y aspectos de Control,

El Documento consolidado de la evidencia, deberá realizarse en equipos de trabajo y enviarse

Actividad AA12-4: Socialización y evaluación de las Políticas de Seguridad