4.4.3. Seguridad del Sistema

La seguridad constituye un elemento imprescindible en el sistema de Información, es aplicado con la finalidad de proteger la información y mantener la continuidad de los procesos académicos que el sistema ejecuta.

El análisis de la seguridad del sistema, nos permite Identificar los daños producidos por la no puesta en práctica de acciones preventivas que garanticen la seguridad del sistema, estos daños constituyen:

 Pérdida de disponibilidad, confidencialidad, autenticidad y protección de la información.

 Destrucción del sistema.

 Lectura de la información por personas no autorizadas.

 Pérdida de datos (eliminación o corrupción de la información).

 Pérdida de datos originados por: virus informático, fallas en el equipo físico o falta de dispositivos eléctricos que permitan proteger al equipo de las anomalías del suministro eléctrico.

En este aspecto, la seguridad del sistema se garantiza mediante los siguientes mecanismos:

a) Autenticación y contraseñas

Para garantizar que solo los usuarios autorizados accedan al sistema, ellos deben identificarse a través de un nombre de usuario, contraseña y función a la cual pertenecen. Esta información es enviada por la aplicación (cliente) al servidor SQL Server para ser validado, en el cual la autentificación se realiza de dos formas:

i. Modo de autenticación de Windows NT.

ii. Modo Mixto.

i. Modo de autenticación de Windows NT.

SQL Server integra la seguridad de los inicios de sesión con la seguridad de Windows NT. Los usuarios solo se registran en el momento de entrar en Windows NT (autenticación de Windows NT).

Cuando un usuario se conecta mediante una cuenta de Windows NT, SQL Server lee la información acerca de los grupos a los que pertenece el usuario de red.

La autenticación de SQL Server se integra con la seguridad de Windows NT ofreciendo ventajas tales como: la validación segura y el cifrado de las contraseñas, auditorias, caducidad de contraseñas y bloqueo de la cuenta tras varios intentos de inicio de sesión no válidos.

ii. Modo Mixto.

Permite a los usuarios conectarse mediante la autenticación de Windows NT o la autenticación de SQL Server.

En el modo de autenticación de SQL Server, el servidor solicita un registro adicional para verificar si el usuario tiene definido una cuenta, para ello comprueba si la cuenta y la contraseña proporcionada coinciden con las registradas en el servidor SQL Server. Si SQL Server no tiene configurada la cuenta la autenticación falla.

Los procedimientos almacenados: usp_MostrarFuncionesBD y usp_MostrarUsFuncBD verifican si la autenticación proporcionada es correcta y se basan en los procedimientos almacenados del sistema: sp_helprole (devuelve información acerca de las funciones de la base de datos) y sp_helpuser (presenta información acerca de usuarios y funciones de la base de datos).

b) Mecanismos de Acceso

En el servidor SQL se han creado seis funciones, en donde se especifican que acciones realizaran los usuarios tras su autenticación. En la aplicación se concede o prohíbe al usuario utilizar las opciones del Menú principal (según la función a la cual pertenece).

c) Mantenimiento

Se autoriza a una persona encargada del mantenimiento tanto de la base de datos como del sistema. Esta persona puede ser el ABD, el personal técnico en sistemas u otra persona asignada por la Escuela Tecnológica.

d) Información de soporte

Se les informa a los usuarios del sistema a quien dirigirse cuando se detecten problemas relativos a la integridad del sistema.