atividad configurar sql server

83
Configurar sistemas manejadores de base de datos - SQL Amenazas Lógicas - Tipos de Ataques Amenazas Lógicas Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación. Existen agujeros de seguridad en los sistemas operativos. Existen agujeros de seguridad en las aplicaciones. Existen errores en las configuraciones de los sistemas. Los usuarios carecen de información respecto al tema. Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático. Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente. Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado. Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos. Acceso - Uso - Autorización La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras. Específicamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo: Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso. Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema. Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado (simulación de usuario).

Upload: leidy

Post on 03-Dec-2015

23 views

Category:

Documents


1 download

DESCRIPTION

como configurar sql server

TRANSCRIPT

Page 1: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Amenazas Lógicas - Tipos de Ataques

Amenazas Lógicas

Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación.

Existen agujeros de seguridad en los sistemas operativos. Existen agujeros de seguridad en las aplicaciones. Existen errores en las configuraciones de los sistemas. Los usuarios carecen de información respecto al tema.

Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático.

Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.

Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.

Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.

Acceso - Uso - Autorización

La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.

Específicamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo:

Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso. Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema. Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado

(simulación de usuario).

Luego un Ataque será un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidente envuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por las características del mismo (grado, similitud, técnicas utilizadas, tiempos, etc.).

John D. Howard(1) en su tesis estudia la cantidad de ataques que puede tener un incidente. Al concluir dicho estudio y basado en su experiencia en los laboratorios del CERT afirma que esta cantidad varía entre 10 y 1.000 y estima que un número razonable para estudios es de 100 ataques por incidentes.

Detección de Intrusos

Page 2: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites orientados al comercio y con contenidos específicos, además de un conjunto de sistemas informáticos aleatorios con los que realizar comparaciones.

El estudio se realizó empleando técnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos (yellow).

Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser explotados. Así por ejemplo, un problema de seguridad del grupo rojo es un equipo que tiene el servicio de FTP anónimo mal configurado. Los problemas de seguridad del grupo amarillo son menos serios pero también reseñables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daños o bien, que es necesario realizar tests más intrusivos para determinar si existe o no un problema del grupo rojo.

La tabla 7.1 resume los sistemas evaluados, el número de equipos en cada categoría y los porcentajes de vulnerabilidad para cada uno. Aunque los resultados son límites superiores, no dejan de ser... escandalosos.

Como puede observarse, cerca de los dos tercios de los sistemas analizados tenían serios problemas de seguridad y Farmer destaca que casi un tercio de ellos podían ser atacados con un mínimo esfuerzo.

Identificación de las Amenazas

La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.

Las consecuencias de los ataques se podrían clasificar en:

Data Corruption: la información que no contenía defectos pasa a tenerlos. Denial of Service (DoS): servicios que deberían estar disponibles no lo están. Leakage: los datos llegan a destinos a los que no deberían llegar.

Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie de estadísticas que demuestran que cada día se registran más ataques informáticos, y estos son cada vez más sofisticados, automáticos y difíciles de rastrear.

La Tabla 7.2 detalla el tipo de atacante, las herramientas utilizadas, en que fase se realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.

Page 3: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Cualquier adolescente de 15 años (Script Kiddies), sin tener grandes conocimientos, pero con una potente y estable herramienta de ataque desarrollada por los Gurús, es capaz de dejar fuera de servicio cualquier servidor de información de cualquier organismo en Internet, simplemente siguiendo las instrucciones que acompañan la herramienta.

Los número que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro Hacker. Evidentemente la información puede ser aprovechada para fines menos lícitos que para los cuales fue pensada, pero esto es algo ciertamente difícil de evitar.

Nota I:  Estos incidentes sólo representan el 30% correspondientes a los Hackers.Nota II: En 1992 el DISA(2) realizó un estudio durante el cual se llevaron a cabo 38.000 ataques a distintas sitios de organizaciones gubernamentales (muchas de ellas militares). El resultado de los ataques desde 1992 a 1995 se resumen en el siguiente cuadro(3):

Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados. Luego, si en el año 2000 se denunciaron 21.756 casos eso arroja 3.064.225 incidentes en ese año.Nota III: Puede observarse que los incidente reportados en 1997 con respecto al año anterior es menor. Esto puede deberse a diversas causas:

Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.

Page 4: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí

mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.

Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.

Tipos de Ataques (leer mas)

A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas.

Ingeniería Social Ingeniería Social Inversa Trashing (Cartoneo) Ataques de Monitorización Ataques de Autenticación Denial of Service (DoS) Ataques de Modificación - Daño

Errores de Diseño, Implementación y Operación

Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informático disponible.

Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows©). La importancia (y ventaja) del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.

Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.

Implementación de las Técnicas

A lo largo de mi investigación he recopilando distinto tipos de programas que son la aplicación de las distintas técnicas enumeradas anteriormente. La mayoría de las mismos son encontrados fácilmente en Internet en versiones ejecutables, y de otros se encuentra el código fuente, generalmente en lenguaje C, Java y Perl.

Cada una de las técnicas explicadas (y más) pueden ser utilizadas por un intruso en un ataque. A continuación se intentarán establecer el orden de utilización de las mismas, pero siempre remarcando que un ataque insume mucha paciencia, imaginación acumulación de conocimientos y experiencia dada (en la mayoría de los casos) por prueba y error.

Page 5: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL 1. Identificación del problema (víctima): en esta etapa se recopila toda la información posible de la víctima. Cuanta más

información se acumule, más exacto y preciso será el ataque, más fácil será eliminar las evidencias y más difícil será su rastreo.

2. Exploración del sistema víctima elegido: en esta etapa se recopila información sobre los sistemas activos de la víctima, cuales son los más vulnerables y cuales se encuentran disponibles. Es importante remarcar que si la victima parece apropiada en la etapa de Identificación, no significa que esto resulte así en esta segunda etapa.

3. Enumeración: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia con las etapas anteriores es que aquí se establece una conexión activa a los sistemas y la realización de consultas dirigidas. Estas intrusiones pueden (y deberían) ser registradas, por el administrador del sistema, o al menos detectadas para luego ser bloqueadas.

4. Intrusión propiamente dicha: en esta etapa el intruso conoce perfectamente el sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses.

Contrariamente a lo que se piensa, los sistemas son difíciles de penetrar si están bien administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los sistemas proporciona un fácil acceso, pero esto puede ser, en la mayoría de los casos, subsanado aplicando las soluciones halladas.

¿Cómo defenderse de estos Ataques?

La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo.

La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos.

Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes:

1. Mantener las máquinas actualizadas y seguras físicamente2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo).3. Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante,

a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección.4. No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como

"multiplicadores" durante un ataque Smurf.5. Filtrar el tráfico IP Spoof.6. Auditorias de seguridad y sistemas de detección.7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para

esto es recomendable estar suscripto a listas que brinden este servicio de información.8. Por último, pero quizás lo más importante, la capacitación continua del usuario.

Page 6: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no esten dañados o alterados por circunstancias o factores externos, es una definición útil para conocer lo que implica el concepto de seguridad informática.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales.

Por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.

Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.

Por vulnerabilidad entendemos la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.

Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la compañía. Con ello, es evidente que los riesgos están en la red, no en la PC.

Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.

Page 7: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.

Las políticas deberán basarse en los siguientes pasos:

Identificar y seleccionar lo que se debe proteger (información sensible) Establecer niveles de prioridad e importancia sobre esta información Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la

pérdida de datos sensibles Identificar las amenazas, así como los niveles de vulnerabilidad de la red Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un

ataque y perderla Implementar respuesta a incidentes y recuperación para disminuir el impacto

Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.

Es importante tomar en consideración, que las amenazas no disminuirán y las vulnerabilidades no desaparecerán en su totalidad, por lo que los niveles de inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la importancia de la información en riesgo.

Así mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad apropiado y la administración del riesgo implica una protección multidimensional (firewalls, autenticación, \ antivirus, controles, políticas, procedimientos, análisis de vulnerabilidad, entre otros), y no únicamente tecnología.

Un esquema de seguridad empresarial contempla la seguridad física y lógica de una compañía. La primera se refiere a la protección contra robo o daño al personal, equipo e instalaciones de la empresa; y la segunda está relacionada con el tema que hoy nos ocupa: la protección a la información, a través de una arquitectura de seguridad eficiente.

Esta última debe ser proactiva, integrar una serie de iniciativas para actuar en forma rápida y eficaz ante incidentes y recuperación de información, así como elementos para generar una cultura de seguridad dentro de la organización.

http://www.gestiopolis.com/recursos/documentos/fulldocs/rrhh/sigselecc.htm

ANTECEDENTES

Para sustentar esta investigación se tomaron como antecedentes diversos estudios previos, tesis de grados y opiniones, de algunas teorías relacionadas con los Sistemas de Información Gerencial.

Los antecedentes que a continuación se citan, proporcionan a la investigación una base teórica que sustenta la problemática planteada.

Page 8: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Propuesta de un Sistema de Información Gerencial para la Toma de Decisiones de la Gerencia de Recursos Humanos, Granados Andrés, Universidad de Carabobo - Valencia Venezuela (2000). El presente trabajo de investigación tenia como principal objetivo proponer un Sistema de Información Gerencial para la Toma de Decisiones en la Gerencia de Recursos Humanos que facilite la integración de los datos, la almacene y la haga disponible para ayudar en la toma de decisiones de los Gerentes de Recursos Humanos, a través de un Sistema de Información Gerencial Integral para la toma de decisiones denominada WAREHOUSE. El diseño de la investigación estaba conformado por 20 personas que laboran como Gerentes de Recursos Humanos, los cuales están involucrados con un uso de los Sistemas de información siendo la muestra censal. La técnica de recolección de datos consistió en la aplicación de una encuesta estructurada en 10 preguntas para respuestas cerradas y abiertas. La técnica de análisis estaba basada en la obtención de porcentajes para cada factor que tiene el instrumento y la complementación de un análisis de preguntas abiertas y reforzado con la construcción de gráficos De los resultados derivan las conclusiones, las cuales permitieron presentar una propuesta de un Sistema de Información Integral de la Gerencia de Recursos Humanos facilitando para ella la integración de la información con la toma de decisiones sobre la base WAREHOUSE Data Sistem.

Diseño de un Sistema Automatizado de Información Gerencial para la Planificaci6n Estratégica de los Recursos Humanos de Mavesa, S.A., Martell Migdalia, Universidad Bicentenaria de Aragua - Valencia Venezuela (1999). El objetivo general de este trabajo fue proponer un Diseño de un Sistema Automatizado de Información Gerencial para la Planificación Estratégica que facilite la Toma de Decisiones en la Administración de Recursos Humanos de Mavesa. Este sistema buscaba evaluar y seleccionar el personal que estaba capacitado para ocupar un cargo determinado, controlar la información referente al entrenamiento y/o especialización del personal de la empresa, mantener un archivo del personal elegible, así como obtener, a través de consultas, reportes y gráficos toda la información necesaria para elaborar un plan estratégico Y realizar una mejor toma de decisiones, permitiendo de esta forma solventar los problemas existentes en el sistema estudiado. El resultado que se obtuvo fue el de minimizar los tiempos de respuestas en la selección del personal, así como un control del entrenamiento que se realizó la medición de las horas hombres utilizadas en entrenamiento entre otros, lo que contribuyó con la obtención de la información precisa y oportuna para una adecuada toma de decisiones En conclusión el sistema propuesto contribuyó con un cambio radical en el desenvolvimiento de las actividades para el logro de una mejor Planeación Estratégica de los recursos humanos; habiendo resultado la propuesta factible económicamente técnicamente y psicosocialmente.

Diseño de un Sistema de Información Gerencial que sirva de apoyo en la Toma de Decisiones a la Alta Gerencia del Grupo Químico, Naranjo A. Yubiry G. Universidad Bicentenaria de Aragua - Valencia Venezuela (1998). En esta investigación se propuso un sistema automatizado que permitiera el manejo de la información en forma gráfica y resumida para dar apoyo a las toma de decisiones por parte de la alta gerencia del grupo químico para mejorar el manejo del negocio, para lograr su objetivo se estudio el funcionamiento del sistema actual que poseían (sus debilidades y fortalezas, los requerimientos de la información por parte de la gerencia, las áreas que formarían parte del sistema de apoyo gerencial). La investigación es de tipo descriptiva dentro de la modalidad de proyecto factible, donde se recomendó al finalizar el diseño del Sistema de Información Gerencial, su implantación con la finalidad de que la alta gerencia cuente con una herramienta poderosa en el manejo de información, la creación de otros modelos por Area del negocio y estudiar la instalación del Sistema de Información Gerencial, a la gerencia media para ayudarles en su trabajo diario.

Sistema de Información Computarizado para la Gestión del Area de Reclutamiento y Selección de Gerencia de Recursos Humanos de la Empresa Elecentro, Orta M. Universidad Bicentenaria de Aragua, 1998; el cual tuvo como finalidad agilizar el proceso de reclutamiento y selección de personal. Esta investigación se desarrolló como proyecto factible con una descripción de campo de carácter descriptivo, utilizando como metodología una recopilación de las usadas por los autores Kendall y Montilva, tomando como población a la empresa Elecentro. Dicho trabajo, dio su aporte a la presente investigación en la manera como automatizaron los procesos involucrados en el estudio, aumentando el rendimiento de las actividades y proporcionando información confiable.

Diseño de un Sistema de Información Automatizado para su uso en los diferentes Departamentos de la Gerencia de Recursos Humanos de la de Desarrollo de la Pequeña y Mediana Industria (Corpoindustria), Villano, Marco, Universidad de Carabobo, 1998; el objetivo principal de la fue diseñar un sistema automatizado que contribuya con la eficiencia de los Recursos Humanos, a través del suministro oportuno y veraz de información referente al personal. En relación al diseño de la investigación estaba concebida bajo la modalidad de proyecto factible, basado en una investigación de campo y de acuerdo a su tipo corresponde a un estudio descriptivo. La población estaba conformada por dieciséis personas que laboran en la Gerencia de Recursos Humanos, la muestra fue censal. La técnica de recolección de datos, consistía en la aplicación de un instrumento contentivo de tres partes. El aporte de dicha investigación para la empresa, fue de acuerdo a los resultados obtenidos y se hizo mediante conclusiones y recomendaciones.

Diseño de un Sistema de Información para Normalizar los Procesos de Reclutamiento, Selección de Personal y Evaluación de Desempeño en la Empresa C.A. Papeles Recubiertos, Mora V., Universidad Bicentenaria de Aragua, 1996; siendo el objetivo general, el desarrollo de

Page 9: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL un sistema para normalizar los procesos de reclutamiento, selección de personal y evaluación del desempeño de la empresa, a fin de integrar el sistema y mantener la confiabilidad en las claves de acceso al sistema automatizado. Esta investigación fue de tipo descriptivo en la modalidad de proyecto factible, utilizando la metodología de Senn, tomando como poblaci6n a la empresa CA. Papeles Recubiertos. De esta manera, el aporte de este trabajo a la investigación en estudio es que pone de manifiesto la importancia de normalizar los procesos administrativos para integrarlos, contribuyendo con ello a mejorar los procesos de forma efectiva Por otra parte, permite visualizar la importancia de controlar el acceso en los sistemas automatizados.

Sistema de Información Gerencial Orientado a Ia Toma de Decisiones en el Sector Financiero de Clover International C.A., Barreto, Ignacio Universidad Bicentenana de Aragua - Valencia Venezuela (1994). Esta investigación planteó como objetivo general desarrollar e implantar un Sistema de Información Gerencial, especialmente dirigido a dar mayor apoyo al proceso de toma de decisiones financieras, que conforman ese sistema de administración total para agilizar dicho proceso con miras a mejorar la calidad de las decisiones en pro de un mejor servicio y aumentar la satisfacción de la clientela. El presente estudio aportó conocimientos relevantes a la investigación en cuanto a las herramientas y técnicas a utilizar sirviendo de base para seleccionar las que serán utilizadas.

ALCANCE

La Dirección de Relaciones de Trabajo, es una de las Direcciones que tiene influencia directa en la calidad de vida de todo el personal que conforma la comunidad universitaria; ya que en ella se realizan todos los trámites relacionados con todos los subsistemas de Recursos Humanos, los cuales incluyen aspectos socioeconómicos del personal que la integra.

La Dirección de Relaciones de Trabajo, mediante sus procesos, comunicaciones, asesorías y sus practicas disciplinarias, maneja y genera mucha información, a través de cada una de sus unidades, departamentos y secciones.

En la Dirección de Relaciones de Trabajo; no existe una administración eficaz de la información, ya que hay en día para subsistir y tomar decisiones es necesario manejar información oportuna de diversas fuentes tanto interna como externa. En la actualidad ésta Dirección no dispone de un Sistema de Información, que le permita generar, procesar, almacenar y más tarde recuperar la información necesaria para su eficiente funcionamiento gerencial. Entonces se plantea que el problemas es que la información que fluye en los subsistemas que la conforman, con frecuencia se pierden, se distorsionan o se retrasan, y los subsistemas no se sirven de ella adecuadamente.

Así, un Sistema de Información Gerencial bien diseñado le permitirá a la Dirección de Relaciones de Trabajo que todos sus subsistemas, se entrelacen a través de la información que se genere en cada uno y además, se podrá ofrecer información rápida, menos costosa y más completa para la toma de decisiones gerenciales; adicionalmente permitirá el aprovechamiento de dos elementos claves: la información oportuna, veraz, y la eficiencia de la toma de decisiones del personal que en ella labora. Por lo que este estudio se limitará al análisis de uno de los procesos que se realiza en la Dirección de Relaciones de Trabajo, específicamente el Proceso de Selección del Personal que ingresará a la Institución, ya que este proceso permite la recolección de la data o información que alimente los subsiguientes procesos.

A través de las múltiples generaciones desde los años 50, Japón había sido el seguidor en términos del adelanto y construcción de las computadoras basadas en los modelos desarrollados en los Estados Unidos y el Reino Unido. Japón, a través de su Ministerio de Economía, Comercio e Industria (MITI) decidió romper con esta naturaleza de seguir a los líderes y a mediados de la década de los 70 comenzó a abrirse camino hacia un futuro en la industria de la informática. El Centro de Desarrollo y Proceso de la Información de Japón (JIPDEC) fue el encargado llevar a cabo un plan para desarrollar el proyecto. En 1979 ofrecieron un contrato de tres años para realizar estudios más profundos con la participación conjunta de empresas de la industria dedicadas a la tecnología e instituciones académicas, a instancias de Hazime Hiroshi. Fue durante este período cuando el término "computadora de quinta generación" comenzó a ser utilizado.

 

En 1981a iniciativa del MITI se celebró una Conferencia Internacional, durante la cual Kazuhiro Fuchi anunció el programa de investigación y el 14 de abrilde1982el gobierno decidió lanzar oficialmente el proyecto, creando elInstitute for New Generation Computer Technology (Instituto para la Nueva Generación de Tecnologías de Computación o ICOT por sus siglas en inglés), bajo la dirección de Fuchi, a quien sucedería en el puesto como director del instituto Tohru Moto-Oka, y con la

Page 10: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL participación de investigadores de diversas empresas japonesas dedicadas al desarrollo de hardware y software, entre ellas Fujitsu,NEC,Matsushita,Oki,Hitachi,ToshibaySharp.[5]

Los campos principales para la investigación de este proyecto inicialmente eran:

Tecnologías para el proceso del conocimiento. Tecnologías para procesar bases de datos y bases de conocimiento masivo. Sitios de trabajo del alto rendimiento. Informáticas funcionales distribuidas. Supercomputadoras para el cálculo científico.

Impacto institucional internacional

Debido a la conmoción suscitada que causó que los japoneses fueran exitosos en el área de los artículos electrónicos durante la década de los 70, y que prácticamente hicieran lo mismo en el área de la automoción durante los 80, el proyecto de la quinta generación tuvo mucha reputación entre los otros países.

Tal fue su impacto que se crearon proyectos paralelos. En Estados Unidos, la Microelectronics and Computer Technology Corporation[6]y laStrategic Computing Initiative; por parte europea, en Reino Unidofue ALVEY[6], y en el resto de Europa su reacción fue conocida como ESPRIT(European Strategic Programme for Research in Information Technology, en español Programa Estratégico Europeo en Investigación de la Tecnología de la Información).

Popularidad internacional

Aparte de las reacciones a nivel institucional, en un plano más popular comenzó a ser conocido en Occidentegracias a la aparición de libros en los que se hablaba del proyecto de manera más o menos directa o era citado[7]pero principalmente por artículos aparecidos en revistas dedicadas a los aficionados a la informática; así por ejemplo, en el número de agosto de 1984 de la estadounidense Creative Computing se publicó un artículo que trataba ampliamente el tema, "The fifth generation: Japan's computer challenge to the world"[8](traducido, La Quinta Generación: El desafío informático japonés al mundo). En el ámbito de habla hispana se puede citar por ejemplo a la revista MicroHobby, que en julio de 1985 publicó[9]una entrevista a Juan Pazos Sierra, Doctorado en Informática y vinculado en aquella época a la Facultad de Informática de la Universidad de Madrid, en la que describía someramente el proyecto como:

...un proyecto japonés que tiene unas características curiosas y especiales; en primer lugar, la pretensión es construir un computador basado en tecnología VLSI, con una arquitectura no Von Neumann y que llevaría como núcleo de software la programación lógica, el lenguaje PROLOG, para construir finalmente sobre todo esto Sistemas Expertos.

College para Adultos no es tarde para lograr tu título College norteamericano, en espanolwww.InnovaCollege.com/Adultos Enlaces patrocinados

Y sobre sus potenciales resultados, expresaba una opinión relativamente optimista, en la línea de lo augurado por los propios promotores del proyecto. Así, ante la pregunta de si se había obtenido algún resultado en el mismo, respondía:

De momento, nada. Se va a desarrollar muchísimo lo que ya existe, aparecerán nuevas tecnologías, nuevos Sistemas Expertos y la investigación se verá enormemente potenciada por la tremenda inyección de dinero que el proyecto quinta generación ha supuesto para la Inteligencia Artificial.

Por su parte,Román Gubern, en su ensayo El simio informatizado de 1987, consideraba que:

...el ordenador de quinta generación es un verdadero intento de duplicación tecnológica del intelecto del Homo sapiens.[10]

Page 11: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

1.1.- Antecedentes de la investigación.

Es el conjunto de hechos, sucesos y acontecimientos ocurridos anteriormente a la formulación del problema, los cuales sirven para aclarar, juzgar e interpretar la situación que investigamos, por lo tanto su propósito es el de ayudar al investigador a definir las estrategias metodológicas que vamos a seguir.

Contenido del antecedente.

Se debe señalar el título del trabajo, autor y año, los objetivos y los hallazgos de la misma, de esta forma estas ubicando el problema en un contexto histórico que permitirá al jurado de la tesis la definición de un marco amplio,

1.2.- Bases teóricas

Es el conjunto de proposiciones y conceptos tendientes a xplicar el fenómeno que planteamos. Sabino en El Proyecto de Investigación Pag. 39 sugiere considerar los siguientes aspectos:

/.- Ubicación del problema en un enfoque teórico determinado.

/.- Relación entre la teoría y el objeto de estudio.

/.- La posición de diferentes autores sobre el problema que investigamos.

/.- Adopción de una postura justificada por parte del investigador.

/.- Definición de los términos relacionados con la variable, aclarando el sentido en que se utilizan las palabras o conceptos.

Uno de los errores más comunes en la elaboración de los trabajos de grado consiste en confundir la conceptualización de la variables, sus explicaciones genéricas y teóricas con la instrumentación y operacionalización de las mismas producto de la recopilación de los datos y la aplicación de los respectivos instrumentos o técnicas lo cual es sin duda materia del marco metodológico, es decir las explicaciones, los conceptos afines o diferentes de los diferentes términos que tienen que ver con las variables corresponden al marco teórico, pero su comportamiento producto de la investigación y los cruces que solemos hacer de ellas en los diferentes instrumentos de representación en unicamente parte del marco metodológico.

1.3 Antecedentes de la empresa.

La empresa constituye el marco espacial donde se realiza la investigación y las características de la misma deben ser expuestas con suficiente claridad de tal manera que el receptor pueda adquirir una dimensión completa del lugar donde se genera el problema, sin que ello signifique atiborrar al trabajo de informaciones innecesarias y de cuadros estadísticos superfluos que no abordan el fondo del organismo. En este sentido es conveniente establecer los siguientes parámetros:

Creación de la empresa: Su origen, ¿Por quienes?, ¿Dónde? El propósito, la fecha, el ramo de industria al cual se dedicaría, su evolución a nivel de algunos cambios de ramos de producción, de directivos.

Actualidad de la empresa: Sus objetivos, su estructura, la funcionalidad, el capital, ubicación de sus agencias, las bases legales, RIF y documentos de registros, los problemas más notorios, como endeudamiento, financiamiento, hipotecas, deudas, gastos en personal e insumos, productos terminados, mercados Etc. Recomendamos a los alumnos solicitar como documento importante el manual de organización y el registro de la empresa; pero a veces el problema se focaliza en una unidad específica de la empresa y entonces debemos determinar las características especificas de ese departamento en cuanto a sus funciones, personal, atribuciones, e interrelación con las otras unidades,

Page 12: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL 1.4.- Bases legales de la investigación.

Está constituida por el conjunto de documentos de naturaleza legal que sirven de testimonio referencial y de soporte a la investigación que realizamos, entre esos documentos tenemos:

Normas

Leyes

Reglamentos

Decretos

Resoluciones

Y las encontramos normalmente en: la Gaceta Oficial a la cual hay que indicarle su número y fecha de edición, las leyes aprobadas por el ente legislativo, en las actas aprobadas por las Juntas Directivas, en los Registros, en las notarías, cuando se trata de empresas es conveniente y necesario disponer del manual de organización por cuanto en él están datos tales como el registro de la empresa: sus objetivos, fines, estructura, antecedentes, el RIF Etc. Otros documentos menores; pero no menos importante los constituyen las resoluciones de los órganos ejecutivos de la organización que estudiamos que en la mayoría de los casos pueden estar reflejados en los memorando, actas e informes.

1.5.- Sistema actual de la investigación.

Resulta del estudio de los antecedentes, se refiere al momento en el cual realizamos la investigación, el cómo se encuentra el problema en la actualidad, sus problemas e inconvenientes, sus obstáculos y logros, es una fotografía actualizada del problema señalando los pormenores que lo caracterizan.

1.6.- Sistema de variables

1.6.- Sistema de Variables:

“Es una propiedad que puede variar y cuya variación es susceptible de medirse” Sampieri P. 75

Las variables son los elementos que vamos a medir, controlar y estudiar dentro del problema formulado, de allí que se requiera la posibilidad real y cierta de que se puedan cuantificar. Ese trabajo de manejarlas, insertarlas en cuadros, manipularlas en los instrumentos del caso se llama operacionalización.

En las variables es importante:

0.- Conocer sus dimensiones

0.- Debe estar planteada en el problema

0.- Tiene una relación directa con los objetivos formulados en el proyecto de investigación.

0.- Implica necesariamente el manejo de los indicadores que aportarán elementos importantes a la hora de las conclusiones.

Dimensiones de las variables: son los grandes bloques estructurales de la variable susceptible de ser descompuesta en los indicadores.

Page 13: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Los indicadores constituyen el conjunto de actividades o características propias de un concepto o enunciado, son elementos específicos y concretos Ej.

Problema. Clasificación de las empresas venezolanas

Variable: empresas venezolanas

Dimensiones: Tecnológicas, químicas, eléctricas, petroleras Etc.

Indicadores: la existencia de cada una de ellas en los diferentes estados.

Variable Dimensiones Indicadores Valores

Clasificación de Químicas Cant. existencia 10

Las empresas ve- Eléctricas

nezolanas

Los indicadores precisan la información, la cuantifican y de alguna manera la detallan y conducen al conocimiento real y exacto de la información, y después ser manejadas en bloque, como un resultado total, a partir de cual se puedan extraer conclusiones parciales que unidas a los otros cuadros pueden dar una información aproximada a la hipótesis formulada.

Al operacionalizar las variables es conveniente tener presente el cuadro que nos trae Tulio Ramírez en el libro Como Hacer un Proyecto de Investigación que nos parece muy práctico y aconsejable:

Variables Dimensiones Indicadores Fuentes Técnica Instrumentos

Capítulo III Marco Metodológico

FORMULACION DE PROBLEMA

Proteger los activos de la empresa frente a posibles amenazas que ofrece permanentemente el medio, es un gran

desafío. Este interés crece aún más cuando la información cobra importancia para sobrevivir frente a la

competencia y permanecer en el mercado; factores como el uso de internet y demás herramientas que facilitan la

comunicación traen consigo innumerables ventajas, pero igualmente enfrentan a la organización a otros

problemas que anteriormente no existían. La materialización de amenazas que alteran o destruyen la información,

crea la necesidad de diseñar e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos

de riesgos que están relacionados con las tecnologías de información.

adriana, 05/05/11,
Describir la Secretaría de Salud de Bucaramanga, que es y a que se dedica. Cuál es la infraestructura tecnológica que posee.
Page 14: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL En la Secretaría de Salud de Bucaramanga se maneja información de gran importancia teniendo en cuenta que

son recursos del estado y requieren la protección de los datos, en la mayoría de los casos la información no

cuenta con los estándares de seguridad necesarios, para el acceso y uso de los archivos, de ahí surge la

necesidad de implementar un sistema que permita disminuir las vulnerabilidades al que está expuesto el sistema

de información.

Con el tiempo el hombre ha venido desarrollando metodologías que le permita, enfrentar las amenazas mediante

el uso racional del conocimiento y tecnologías a su alcance, por medio de la administración de los riesgos

podemos identificar, analizar, evaluar y realizar un control físico, lógico y financiero a los que está expuesta la

Secretaria

Para mejora y garantizar la calidad de los datos la empresa cuenta con normas, estándares y herramientas que

buscan brindar una información veraz, oportuna, confiable con el fin de que la información este protegida y fuera

del alcance de algún intruso, pero estos métodos y técnicas no son suficientes, porque la mayoría del personal

que maneja este sistema no cuenta con los conocimientos necesarios y no sabe la importancia de la protección de

la información para la empresa.

Una de las principales debilidades en los sistemas de información es la falta de aplicabilidad de los estándares, ya

que no cumplen las pautas necesarias para que un sistema esté protegido y esto causa daños los cuales

podemos corregir por medio de unas normas, con el fin de aprovechar todos los recursos.

adriana, 05/05/11,
Se repiten algunas ideas que ya se habían presentado.Finalizar con un párrafo donde se sintetice la propuesta de la monografía.
adriana, 05/05/11,
Quedó cortada la idea. Mejorar la redacción.Ampliar mucho más todos los aspectos negativos o problemas en el manejo de la información que tiene la secretaría.
adriana, 05/05/11,
3ª persona…se puede
adriana, 05/05/11,
Cómo cual, especificar.
Page 15: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

OBJETIVOS

OBJETIVO GENERAL:

Diseñar una política de seguridad de la información para la Secretaria de Salud de Bucaramanga que facilite el

control, protección, disponibilidad, confiabilidad e integridad de la información, con el fin de resolver los problemas

generados por las vulnerabilidades.

OBJETIVOS ESPECIFICOS:

Identificar las principales vulnerabilidades a las que están expuestos los sistemas de información de la

Secretaría de Salud de Bucaramanga, a través de un análisis de la infraestructura actual y sus riesgos

asociados.

Proponer un conjunto de normas y mecanismos necesarios para garantizar la seguridad de la información

en la Secretaría de Salud de Bucaramanga.

Capacitar a los usuarios sobre la importancia de la protección de la información y las políticas de seguridad

propuestas para la Secretaría de Salud de Bucaramanga.

Page 16: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

JUSTIFICACION

Los sistemas de información y los datos almacenados son uno de los recursos más valiosos con los que puede

contar la Secretaria de salud. La necesidad imperante del flujo de información y el traslado de recursos de un sitio

a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de

comunicación y toda la información que contienen sus nodos. Proteger la información y los recursos tecnológicos

informáticos es una tarea continua y de vital importancia que debe darse en la medida en que avanza la

tecnología, ya que las técnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y

como resultado los atacantes son cada vez más numerosos, mejor organizados y con mejores capacidades. Las

amenazas que se pueden presentar provienen tanto de agentes externos como de agentes internos, por eso es

importante para la Secretaria de Salud de Bucaramanga definir una estrategia de seguridad fundamentada en

políticas que estén respaldadas por todos los miembros de la organización, de forma que se reduzca la

probabilidad de pérdida de recursos por causa de los ataques a los que está expuesta.

Se debe considerar que la violación de la seguridad en un sistema podría llegar a afectar gravemente las

operaciones más importantes de la Secretaria y dejarla expuesta a la cualquier vulnerabilidad.

Considerando que la Secretaria de Salud no cuenta con una política clara sobre cómo crear una estrategia de

seguridad, cómo definir las políticas de seguridad, cuáles son los recursos que se deben proteger, qué

procedimientos debe tener la empresa para cumplir los objetivos de seguridad, qué personas deben estar

involucradas en el establecimiento de las políticas y quiénes deben velar por hacerlas cumplir; se ve la necesidad

a través de esta monografía de desarrollar una política que busque cumplir todas estas necesidades.

Antecedentes

hacer uso de los correos electrónicos corporativos así como la conexión permanente hacia el intranet y extranet, pues

estos componentes de la tecnología de la información hacen vulnerables a los sistemas de información de las

organizaciones pudiendo comprometer y caer en otras manos la información estratégica. Los niveles de riesgo son

grandes por esto se debe prever todo tipo de exposición a los piratas de la información así como a los hackers y crakers.

adriana, 05/05/11,
Ampliar todos los aspectos positivos que conlleva el desarrollo de la monografía para la secretaría de educación.
adriana, 05/05/11,
Esto hace parte más bien del problema-
Page 17: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL *Los encriptamientos.

* *Prevención de riesgos en intranet

Es difícil algunos segmentos de las sociedades que no hayan visto afectado, de alguna forma, por el manejo de la información. De hecho, durante la historia se ha tenido la necesidad de usar distintos sistemas de información para ejecutar las labores.

Entre los antecedentes encontrados en esta investigación se tienen los siguientes:

Para Naranjo (1998), en su trabajo de grado titulado Diseño de un Sistema de Información Gerencial que sirva de apoyo en la Toma de Decisiones de la Alta Gerencia del Grupo Químico, planteó como objetivo general proponer un sistema automatizado que permitiera el manejo de la información en forma gráfica y resumida para dar apoyo a la toma de decisiones por parte de la alta gerencia del grupo químico para mejorar el manejo del negocio, el cual para lograr su objetivo estudió el funcionamiento del sistema actual que poseían (sus debilidades y fortalezas, los requerimientos de la información por parte de la gerencia, las áreas que formarían parte del sistema de apoyo gerencial, donde recomendó al finalizar el diseño del sistema de información gerencial, su implantación con la finalidad de que la alta gerencia cuenta con una herramienta poderosa en el manejo de la información, sugerencia que se relaciona con el desarrollo de la investigación planteada, ya que con la implantación de una proceso automatizado, los investigadores pretenden mejorar, el mecanismo del control de la información, a objeto de obtener una verificación rápida de la data, sobre determinadas operaciones que le permitan aplicar oportunamente de controles administrativos en pro de la organización y el servicio al cliente.

Ahora bien, Quintero en el 2001, realizó una investigación titulada "Implantación de un Nuevo Sistema de Control de Inventarios e Investigación Acerca de los Resultados de su Aplicación", planteándose como objetivo general, estudiar y realizar el Sistema de Control de Investigación de la empresa y aplicar ajuste, correcciones y adaptaciones que sean necesarias para garantizar el acuerdo abastecimiento, logran llegar a la siguiente conclusión:

Un sistema de control de inventarios diseñados especialmente paras las necesidades de la empresa constituye un factor esencial en las políticas de producción y venta así como en las proyecciones funcionales, puesto que permite garantizar el adecuado, suficiente y oportuno suministro de materia prima para la producción con el mínimo posible de inversión estática en los inventarios que lo supone y significa ahorro de dinero y racionalidad de la producción.

El software de monitoreo fue desarrollado en el lenguaje Visual Basic 5.0 para realizar una interfaces basadas en Windows 95. la filosofía del proyecto es que el sistema pueda ser utilizado por cualquier persona, tanto en su parte de configuración como en su parte de monitoreo, para no tener necesidad de contratar personas especializadas en los equipos del sistema para su configuración y establecimiento en el nodo; se utilizó una librería llamada Powertcp para el manejo del protocolo SNMP bajo TCP/IP y el Sistema esta en la capacidad de agregar, remover y configurar cada nodo.

De igual manera, Bauza (2002), realizó una investigación titulada Sistema IABN (Instituto Autónomo Biblioteca Nacional), ella fue de tipo estructural o de sistema, en donde se propuso el desarrollo de un modelo operativo factible, además, esto permitió elaborar un instrumento para un sistema operativo viable, con el objetivo de solucionar problemas de procedimientos y normas, así como de tipo practico por medio de la cual se garantizaba un servicio que prestamos con la calidad que (IABN) brinda a toda la nación. Los datos fueron obtenidos a través del cuestionario diagnosticado, estos fueron basados en una matriz de doble entrada y expresados en términos porcentuales por medio de procedimientos estadísticos. Este trabajo proponía una base de datos que fuera dirigida a facilitar el servicio de prestamos centralizados de libros y otros documentos.

También se tiene en la tesis de grado realizado por Ercolino en el año 2001, que llevó por título el diseño y manejo de un sistema de monitoreo y control remoto para los nodos de telecomunicaciones que conforman la red de servicios de Impsat S.A. de la Universidad Metropolitana tiene como objetivo principal, establecer un sistema que sea capaz de monitorear los equipos de potencia del nodo y además algunas variables externas necesarias, para el buen funcionamiento de este. Además se propuso un esquema de potencia robusto a las fallas así como también el diseño del sistema de monitoreo necesario para llevar un control sobre los nodos, tanto en la parte de tipos de potencia tanto en la parte de variables físicas necesarias.

Page 18: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL “A través de la historia se han realizado distintos tipos de auditoría, tanto al comercio como a las finanzas de los

gobiernos. El significado del auditor fue “persona que oye”, y fue apropiado en la época durante la cual los

registros de contabilidad gubernamental eran aprobados solamente después de la lectura pública en la cual las

cuentas eran leídas en voz alta. Desde tiempos medievales, y durante la revolución Industrial, se realizaban

auditorías para determinar si las personas en posiciones de responsabilidad oficial en el gobierno y en el comercio

estaban actuando y presentado información

CAUSAS Y ORIGEN DE LA vulnerabilidades de la información

Page 19: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

MARCO DE REFERENCIA

MARCO HISTÓRICO

El hombre ha resguardado y protegido con esfuerzo sus conocimientos, desde tiempos inmemorables, debido a la

superioridad y poder que éste le producía sobre otros hombres o sociedades. En la antigüedad surgen las

bibliotecas, lugares donde se podía resguardar la información para trasmitirla y evitar que otros la obtuvieran,

siendo esto alguna de las primeras muestras de protección de la información.

La información tiene un papel importante en los diferentes acontecimientos que han sucedido en el transcurso de

los seres humanos, como las guerras ya que con esto se tomaba la mejor decisión y sacaba una mayor ventaja

sobre sus adversarios, se crean las redes de espionaje con el fin de obtener información valiosa e influyente y

surge diferentes formas de protección.

Con el devenir de los años al incrementarse el alcance de la tecnología, el cuidado de la información se ha vuelto

crucial y confidencial, la información está centralizada y puede tener un alto valor, puede ser divulgada, mal

utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo, para los hombres, las

organizaciones y las sociedades.

La información es poder y se le conoce como critica, sensitiva, valiosa, por tanto surge la necesidad de a segurar

la información, identificando los problemas, realizando una análisis de riesgo, la comunicación, la integridad, la

disponibilidad, confidencialidad y recuperación de los riesgos. La seguridad de la Información tiene como fin la

protección de los datos y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción

no autorizada.

MARCO TEORICO

El sistema de información tiene una gran importancia, es un conjunto de elementos orientados al tratamiento y

administración de la información, organizada y lista para su posterior uso, la comunicación o adquisición de

conocimientos permiten ampliar o precisar los que se poseen sobre un dato, con el fin de brindar ayuda y resolver

problemas, la necesidad constante de los seres humanos de aprender e indagar hace que la información juegue

un papel importante en la sociedad.

adriana, 05/05/11,
Este desarrollo corresponde a:-Marco conceptual?-Antecedente?-Marco teórico?-Marco tecnológico?Es necesario colocar un subtítulo que indique lo que se va a redactar.Pareciera que corresponde al Marco teórico en un subtema correspondiente a Sistemas de información.Organizar mejor la presentación el marco de referencia.
Page 20: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Los principales elementos del sistema de Información son las personas, los datos, las actividades o técnicas de

trabajo, los recursos materiales, todos ellos interactúan entre sí para procesar los datos, con el fin de distribuirlo

de la mejor manera posible en una determinada organización en función de sus objetivos.

Un sistema de información efectúa cuatro actividades primordiales: entrada, almacenamiento, procesamiento y

salida de la información, con el fin de cumplir los propósitos básicos de la organización, asegurando la

automatización de los procesos operativos, proporcionando datos que sirven de soporte para el proceso de la

toma de decisiones, esto con el fin de lograr una ventaja a través de su implementación y uso.

El desarrollo tecnológico y el aumento de los medios de información brindan herramientas que facilitan el acceso

al conocimiento y al manejo de los datos, con ello se crean riesgos y diferentes tipos de amenazas a los que se

ven enfrentadas las organizaciones, surge la necesidad de resguardar los datos, por lo tanto se cuenta con

normas y mecanismos los cuales buscan identificar las debilidades, los peligros e intrusos que acceden a los

archivos, con el fin de que el sistema de información cumpla las características necesarias para garantizar su

seguridad, confidencialidad, disponibilidad e integridad de los datos, ya que es de vital importancia para la

organización.

El recurso humano es uno de los elementos más importantes ya que interactúan con el Sistema de Información,

el cual está formado por las personas que utilizan el sistema y estas a sus vez son las principales amenazas

internas ya que por la falta de seguridad y controles pueden hacer un mala administración y uso de los datos.

metodologías para la identificación de riesgos informáticos

MARCO CONCEPTUAL

Sistema de información: Es un sistema automatizado o manual que involucra personas, maquinas y/o

métodos organizados de recolección, proceso, transmisión y clasificación de datos. El objetivo del sistema

de información es proporcionar datos necesarios para un determinado ámbito de la organización, con el fin

de conducir, controlar y apoyar la estrategia corporativa.

Page 21: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Entrada de información: Proceso mediante el cual el sistema de información toma los datos que requiere

para procesar la información, esto pueden ser manuales o automáticos.

Proceso de información: La capacidad que tiene el sistema para realizar las  operaciones de cálculo o

funciones suministradas por el sistema, esto puede realizarse  con datos adquiridos por el sistema

recientemente o datos almacenados dentro del sistema permitiendo así la transformación de los datos o el

cambio que queramos realizar en ellos.

Almacenamiento de información: Es una de las actividades más importantes ya que este opera cuando la

información ya está lista para salir del sistema este proceso se puede realizar mediante  los dispositivos de

almacenamiento internos o externos.

Salida de información: Proceso en donde  el sistema tiene la capacidad de sacar la información que ingreso

al sistema y luego fue procesada, esta función  se lleva con éxito por los periféricos de salida, y de

almacenamiento según lo que requiera el usuario.

Riesgo: La explotación de una vulnerabilidad por parte de una amenaza.

Amenaza: Cualquier acción o evento que puede ocasionar consecuencias adversas.

Amenazas internas: Estas amenazas pueden ser más serias que las externas, ya que los usuarios conocen

la red y saben cómo es su funcionamiento, tienen algún nivel de acceso a la red por las mismas

necesidades de su trabajo.

Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener información

certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella

y buscar la manera de atacarla.

Confidencialidad: Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se

intercambian.

Integridad: Determinar si se han alterado los datos durante la transmisión (accidental o intencionalmente).

Disponibilidad: Garantizar el acceso a un servicio o a los recursos.

Page 22: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Normas: Establece los límites permisibles de acciones y procesos para cumplir con las políticas.

Intruso: Persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, etc.).

Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo.

FORMULACION DE PROBLEMA

Proteger los activos de la empresa frente a posibles amenazas que ofrece permanentemente el medio, es un gran

desafío. Este interés crece aún más cuando la información cobra importancia para sobrevivir frente a la

competencia y permanecer en el mercado; factores como el uso de internet y demás herramientas que facilitan la

comunicación traen consigo innumerables ventajas, pero igualmente enfrentan a la organización a otros

problemas que anteriormente no existían. La materialización de amenazas que alteran o destruyen la información,

crea la necesidad de diseñar e implementar otras estrategias que permitan gerenciar y controlar los nuevos tipos

de riesgos que están relacionados con las tecnologías de información.

En la Secretaría de Salud de Bucaramanga se maneja información de gran importancia teniendo en cuenta que

son recursos del estado y requieren la protección de los datos, en la mayoría de los casos la información no

cuenta con los estándares de seguridad necesarios, para el acceso y uso de los archivos, de ahí surge la

necesidad de implementar un sistema que permita disminuir las vulnerabilidades al que está expuesto el sistema

de información.

Con el tiempo el hombre ha venido desarrollando metodologías que le permita, enfrentar las amenazas mediante

el uso racional del conocimiento y tecnologías a su alcance, por medio de la administración de los riesgos

podemos identificar, analizar, evaluar y realizar un control físico, lógico y financiero a los que está expuesta la

Secretaria

Para mejora y garantizar la calidad de los datos la empresa cuenta con normas, estándares y herramientas que

buscan brindar una información veraz, oportuna, confiable con el fin de que la información este protegida y fuera

del alcance de algún intruso, pero estos métodos y técnicas no son suficientes, porque la mayoría del personal

adriana, 05/05/11,
Quedó cortada la idea. Mejorar la redacción.Ampliar mucho más todos los aspectos negativos o problemas en el manejo de la información que tiene la secretaría.
adriana, 05/05/11,
3ª persona…se puede
adriana, 05/05/11,
Cómo cual, especificar.
adriana, 05/05/11,
Describir la Secretaría de Salud de Bucaramanga, que es y a que se dedica. Cuál es la infraestructura tecnológica que posee.
Page 23: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL que maneja este sistema no cuenta con los conocimientos necesarios y no sabe la importancia de la protección de

la información para la empresa.

Una de las principales debilidades en los sistemas de información es la falta de aplicabilidad de los estándares, ya

que no cumplen las pautas necesarias para que un sistema esté protegido y esto causa daños los cuales

podemos corregir por medio de unas normas, con el fin de aprovechar todos los recursos.

OBJETIVOS

OBJETIVO GENERAL:

Diseñar una política de seguridad de la información para la Secretaria de Salud de Bucaramanga que facilite el

control, protección, disponibilidad, confiabilidad e integridad de la información, con el fin de resolver los problemas

generados por las vulnerabilidades.

OBJETIVOS ESPECIFICOS:

Identificar las principales vulnerabilidades a las que están expuestos los sistemas de información de la

Secretaría de Salud de Bucaramanga, a través de un análisis de la infraestructura actual y sus riesgos

asociados.

adriana, 05/05/11,
Se repiten algunas ideas que ya se habían presentado.Finalizar con un párrafo donde se sintetice la propuesta de la monografía.
Page 24: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Proponer un conjunto de normas y mecanismos necesarios para garantizar la seguridad de la información

en la Secretaría de Salud de Bucaramanga.

Capacitar a los usuarios sobre la importancia de la protección de la información y las políticas de seguridad

propuestas para la Secretaría de Salud de Bucaramanga.

Page 25: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

JUSTIFICACION

Los sistemas de información y los datos almacenados son uno de los recursos más valiosos con los que puede

contar la Secretaria de salud. La necesidad imperante del flujo de información y el traslado de recursos de un sitio

a otro hace que aparezcan vulnerabilidades que ponen en riesgo la seguridad de la infraestructura de

comunicación y toda la información que contienen sus nodos. Proteger la información y los recursos tecnológicos

informáticos es una tarea continua y de vital importancia que debe darse en la medida en que avanza la

tecnología, ya que las técnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y

como resultado los atacantes son cada vez más numerosos, mejor organizados y con mejores capacidades. Las

amenazas que se pueden presentar provienen tanto de agentes externos como de agentes internos, por eso es

importante para la Secretaria de Salud de Bucaramanga definir una estrategia de seguridad fundamentada en

políticas que estén respaldadas por todos los miembros de la organización, de forma que se reduzca la

probabilidad de pérdida de recursos por causa de los ataques a los que está expuesta.

Se debe considerar que la violación de la seguridad en un sistema podría llegar a afectar gravemente las

operaciones más importantes de la Secretaria y dejarla expuesta a la cualquier vulnerabilidad.

Considerando que la Secretaria de Salud no cuenta con una política clara sobre cómo crear una estrategia de

seguridad, cómo definir las políticas de seguridad, cuáles son los recursos que se deben proteger, qué

procedimientos debe tener la empresa para cumplir los objetivos de seguridad, qué personas deben estar

involucradas en el establecimiento de las políticas y quiénes deben velar por hacerlas cumplir; se ve la necesidad

a través de esta monografía de desarrollar una política que busque cumplir todas estas necesidades.

Antecedentes

hacer uso de los correos electrónicos corporativos así como la conexión permanente hacia el intranet y extranet, pues

estos componentes de la tecnología de la información hacen vulnerables a los sistemas de información de las

organizaciones pudiendo comprometer y caer en otras manos la información estratégica. Los niveles de riesgo son

grandes por esto se debe prever todo tipo de exposición a los piratas de la información así como a los hackers y crakers.

adriana, 05/05/11,
Ampliar todos los aspectos positivos que conlleva el desarrollo de la monografía para la secretaría de educación.
adriana, 05/05/11,
Esto hace parte más bien del problema-
Page 26: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL *Los encriptamientos.

* *Prevención de riesgos en intranet

Es difícil algunos segmentos de las sociedades que no hayan visto afectado, de alguna forma, por el manejo de la información. De hecho, durante la historia se ha tenido la necesidad de usar distintos sistemas de información para ejecutar las labores.

Entre los antecedentes encontrados en esta investigación se tienen los siguientes:

Para Naranjo (1998), en su trabajo de grado titulado Diseño de un Sistema de Información Gerencial que sirva de apoyo en la Toma de Decisiones de la Alta Gerencia del Grupo Químico, planteó como objetivo general proponer un sistema automatizado que permitiera el manejo de la información en forma gráfica y resumida para dar apoyo a la toma de decisiones por parte de la alta gerencia del grupo químico para mejorar el manejo del negocio, el cual para lograr su objetivo estudió el funcionamiento del sistema actual que poseían (sus debilidades y fortalezas, los requerimientos de la información por parte de la gerencia, las áreas que formarían parte del sistema de apoyo gerencial, donde recomendó al finalizar el diseño del sistema de información gerencial, su implantación con la finalidad de que la alta gerencia cuenta con una herramienta poderosa en el manejo de la información, sugerencia que se relaciona con el desarrollo de la investigación planteada, ya que con la implantación de una proceso automatizado, los investigadores pretenden mejorar, el mecanismo del control de la información, a objeto de obtener una verificación rápida de la data, sobre determinadas operaciones que le permitan aplicar oportunamente de controles administrativos en pro de la organización y el servicio al cliente.

Ahora bien, Quintero en el 2001, realizó una investigación titulada "Implantación de un Nuevo Sistema de Control de Inventarios e Investigación Acerca de los Resultados de su Aplicación", planteándose como objetivo general, estudiar y realizar el Sistema de Control de Investigación de la empresa y aplicar ajuste, correcciones y adaptaciones que sean necesarias para garantizar el acuerdo abastecimiento, logran llegar a la siguiente conclusión:

Un sistema de control de inventarios diseñados especialmente paras las necesidades de la empresa constituye un factor esencial en las políticas de producción y venta así como en las proyecciones funcionales, puesto que permite garantizar el adecuado, suficiente y oportuno suministro de materia prima para la producción con el mínimo posible de inversión estática en los inventarios que lo supone y significa ahorro de dinero y racionalidad de la producción.

El software de monitoreo fue desarrollado en el lenguaje Visual Basic 5.0 para realizar una interfaces basadas en Windows 95. la filosofía del proyecto es que el sistema pueda ser utilizado por cualquier persona, tanto en su parte de configuración como en su parte de monitoreo, para no tener necesidad de contratar personas especializadas en los equipos del sistema para su configuración y establecimiento en el nodo; se utilizó una librería llamada Powertcp para el manejo del protocolo SNMP bajo TCP/IP y el Sistema esta en la capacidad de agregar, remover y configurar cada nodo.

De igual manera, Bauza (2002), realizó una investigación titulada Sistema IABN (Instituto Autónomo Biblioteca Nacional), ella fue de tipo estructural o de sistema, en donde se propuso el desarrollo de un modelo operativo factible, además, esto permitió elaborar un instrumento para un sistema operativo viable, con el objetivo de solucionar problemas de procedimientos y normas, así como de tipo practico por medio de la cual se garantizaba un servicio que prestamos con la calidad que (IABN) brinda a toda la nación. Los datos fueron obtenidos a través del cuestionario diagnosticado, estos fueron basados en una matriz de doble entrada y expresados en términos porcentuales por medio de procedimientos estadísticos. Este trabajo proponía una base de datos que fuera dirigida a facilitar el servicio de prestamos centralizados de libros y otros documentos.

También se tiene en la tesis de grado realizado por Ercolino en el año 2001, que llevó por título el diseño y manejo de un sistema de monitoreo y control remoto para los nodos de telecomunicaciones que conforman la red de servicios de Impsat S.A. de la Universidad Metropolitana tiene como objetivo principal, establecer un sistema que sea capaz de monitorear los equipos de potencia del nodo y además algunas variables externas necesarias, para el buen funcionamiento de este. Además se propuso un esquema de potencia robusto a las fallas así como también el diseño del sistema de monitoreo necesario para llevar un control sobre los nodos, tanto en la parte de tipos de potencia tanto en la parte de variables físicas necesarias.

Page 27: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL “A través de la historia se han realizado distintos tipos de auditoría, tanto al comercio como a las finanzas de los

gobiernos. El significado del auditor fue “persona que oye”, y fue apropiado en la época durante la cual los

registros de contabilidad gubernamental eran aprobados solamente después de la lectura pública en la cual las

cuentas eran leídas en voz alta. Desde tiempos medievales, y durante la revolución Industrial, se realizaban

auditorías para determinar si las personas en posiciones de responsabilidad oficial en el gobierno y en el comercio

estaban actuando y presentado información

CAUSAS Y ORIGEN DE LA vulnerabilidades de la información

Page 28: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

MARCO DE REFERENCIA

MARCO HISTÓRICO

El hombre ha resguardado y protegido con esfuerzo sus conocimientos, desde tiempos inmemorables, debido a la

superioridad y poder que éste le producía sobre otros hombres o sociedades. En la antigüedad surgen las

bibliotecas, lugares donde se podía resguardar la información para trasmitirla y evitar que otros la obtuvieran,

siendo esto alguna de las primeras muestras de protección de la información.

La información tiene un papel importante en los diferentes acontecimientos que han sucedido en el transcurso de

los seres humanos, como las guerras ya que con esto se tomaba la mejor decisión y sacaba una mayor ventaja

sobre sus adversarios, se crean las redes de espionaje con el fin de obtener información valiosa e influyente y

surge diferentes formas de protección.

Con el devenir de los años al incrementarse el alcance de la tecnología, el cuidado de la información se ha vuelto

crucial y confidencial, la información está centralizada y puede tener un alto valor, puede ser divulgada, mal

utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo, para los hombres, las

organizaciones y las sociedades.

La información es poder y se le conoce como critica, sensitiva, valiosa, por tanto surge la necesidad de a segurar

la información, identificando los problemas, realizando una análisis de riesgo, la comunicación, la integridad, la

disponibilidad, confidencialidad y recuperación de los riesgos. La seguridad de la Información tiene como fin la

protección de los datos y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción

no autorizada.

MARCO TEORICO

El sistema de información tiene una gran importancia, es un conjunto de elementos orientados al tratamiento y

administración de la información, organizada y lista para su posterior uso, la comunicación o adquisición de

conocimientos permiten ampliar o precisar los que se poseen sobre un dato, con el fin de brindar ayuda y resolver

problemas, la necesidad constante de los seres humanos de aprender e indagar hace que la información juegue

un papel importante en la sociedad.

adriana, 05/05/11,
Este desarrollo corresponde a:-Marco conceptual?-Antecedente?-Marco teórico?-Marco tecnológico?Es necesario colocar un subtítulo que indique lo que se va a redactar.Pareciera que corresponde al Marco teórico en un subtema correspondiente a Sistemas de información.Organizar mejor la presentación el marco de referencia.
Page 29: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Los principales elementos del sistema de Información son las personas, los datos, las actividades o técnicas de

trabajo, los recursos materiales, todos ellos interactúan entre sí para procesar los datos, con el fin de distribuirlo

de la mejor manera posible en una determinada organización en función de sus objetivos.

Un sistema de información efectúa cuatro actividades primordiales: entrada, almacenamiento, procesamiento y

salida de la información, con el fin de cumplir los propósitos básicos de la organización, asegurando la

automatización de los procesos operativos, proporcionando datos que sirven de soporte para el proceso de la

toma de decisiones, esto con el fin de lograr una ventaja a través de su implementación y uso.

El desarrollo tecnológico y el aumento de los medios de información brindan herramientas que facilitan el acceso

al conocimiento y al manejo de los datos, con ello se crean riesgos y diferentes tipos de amenazas a los que se

ven enfrentadas las organizaciones, surge la necesidad de resguardar los datos, por lo tanto se cuenta con

normas y mecanismos los cuales buscan identificar las debilidades, los peligros e intrusos que acceden a los

archivos, con el fin de que el sistema de información cumpla las características necesarias para garantizar su

seguridad, confidencialidad, disponibilidad e integridad de los datos, ya que es de vital importancia para la

organización.

El recurso humano es uno de los elementos más importantes ya que interactúan con el Sistema de Información,

el cual está formado por las personas que utilizan el sistema y estas a sus vez son las principales amenazas

internas ya que por la falta de seguridad y controles pueden hacer un mala administración y uso de los datos.

metodologías para la identificación de riesgos informáticos

MARCO CONCEPTUAL

Sistema de información: Es un sistema automatizado o manual que involucra personas, maquinas y/o

métodos organizados de recolección, proceso, transmisión y clasificación de datos. El objetivo del sistema

de información es proporcionar datos necesarios para un determinado ámbito de la organización, con el fin

de conducir, controlar y apoyar la estrategia corporativa.

Page 30: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Entrada de información: Proceso mediante el cual el sistema de información toma los datos que requiere

para procesar la información, esto pueden ser manuales o automáticos.

Proceso de información: La capacidad que tiene el sistema para realizar las  operaciones de cálculo o

funciones suministradas por el sistema, esto puede realizarse  con datos adquiridos por el sistema

recientemente o datos almacenados dentro del sistema permitiendo así la transformación de los datos o el

cambio que queramos realizar en ellos.

Almacenamiento de información: Es una de las actividades más importantes ya que este opera cuando la

información ya está lista para salir del sistema este proceso se puede realizar mediante  los dispositivos de

almacenamiento internos o externos.

Salida de información: Proceso en donde  el sistema tiene la capacidad de sacar la información que ingreso

al sistema y luego fue procesada, esta función  se lleva con éxito por los periféricos de salida, y de

almacenamiento según lo que requiera el usuario.

Riesgo: La explotación de una vulnerabilidad por parte de una amenaza.

Amenaza: Cualquier acción o evento que puede ocasionar consecuencias adversas.

Amenazas internas: Estas amenazas pueden ser más serias que las externas, ya que los usuarios conocen

la red y saben cómo es su funcionamiento, tienen algún nivel de acceso a la red por las mismas

necesidades de su trabajo.

Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener información

certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella

y buscar la manera de atacarla.

Confidencialidad: Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se

intercambian.

Integridad: Determinar si se han alterado los datos durante la transmisión (accidental o intencionalmente).

Disponibilidad: Garantizar el acceso a un servicio o a los recursos.

Page 31: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Normas: Establece los límites permisibles de acciones y procesos para cumplir con las políticas.

Intruso: Persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, etc.).

Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo.

Page 32: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Los motores de Bases de DatosLos SGBD son aplicaciones autónomas que implementan las Bases de datos y gestionan sus recursos (memoria y espacio en disco) de forma independiente del sistema operativo.

Los SGBD proporcionan una serie de beneficios al tratar grandes volúmenes de datos:

Eliminan la redundancia de datos . Se evita tener almacenados datos repetidos o datos calculados. Con ello se consigue un almacenamiento eficiente y asegurar la consistencia de los datos.

Proporciona una visión abstracta de los datos . Ocultando los detalles del almacenamiento físico y permite un acceso a los datos de forma independiente a su localización y organización física.

Proporcionan lenguajes de alto nivel que facilitan el manejo de los datos. Generalmente SQL.

Flexibilidad respecto a los cambios. Facilita los cambios en la organización lógica de los datos ( P.ej: Modificar la estructura de una tabla). Permite cambiar la organización física de los datos sin modificar la lógica. Independencia de los datos respecto a las aplicaciones.

Permite el acceso concurrente de usuarios a los datos. La gestiona a través de transacciones y bloqueos.

Establece medidas de seguridad sobre los datos:

o Asegura la integridad de los datos respecto a accidentes ( backups, sistemas de recuperación contra fallos...)

o Garantiza la confidencialidad de los datos: Gestiona el control de acceso y de actividades de los usuarios.

La arquitectura de un SGBD se compone de cinco niveles y tres procesos transversales:

Nivel 5- Compilador y optimizador de sentencias DML y DQL que recibe de los clientes. Crea el plan de ejecución.

Nivel 4- Ejecución del plan de ejecución de las sentencias. (Realizar las operaciones relacionales que componen el plan).

Nivel 3- Soporte a los conceptos de ficheros e índices.

Nivel 2- Gestión de la memoria. El SGBD gestiona de forma independiente el espacio de memoria que tenga asignado.

Nivel 1- Gestión de disco. El SGBD implementa su propio sistema de ficheros en el espacio de disco que tenga asignado.

Los tres procesos transversales de soporte son:

La gestión de transacciones La gestión de bloqueos La gestión de recuperación contra errores.

Gestión del almacenamientoLa arquitectura de los datos dentro del SGBD se compone de tres niveles:

El nivel interno : Corresponde a la organización física de los datos: Tamaños, formatos, ficheros...

El nivel conceptual : Contiene la organización lógica de los datos: Tablas, vínculos, restricciones...

El nivel externo : Es un subconjunto del nivel conceptual, con una organización lógica diferente adaptada para una aplicación en concreto. Se utilizan las vistas.

El uso de tres niveles a la hora de gestionar los datos está motivado con el objeto de conseguir:

La independencia física de los datos: Se puede variar la organización física de los datos sin que se vean afectados los niveles superiores. Por ejemplo: Variar el tamaño de los sectores en disco.

La independencia lógica de los datos: Reduce el impacto de modificar la organización conceptual de los datos. Permite actualizar las vistas para que la organización externa no se vea afectada y los cambios sean transparentes a las aplicaciones.

Gestión del espacio físico

El SGBD gestiona su espacio de disco de forma independiente del SO.

El SGBD divide el espacio disponible en unidades lógicas denominadas “tablespace”, que tiene un nombre identificativo, espacio reservado y contiene elementos de una BD. Una BD puede estar dividida en uno o más ‘tablespace’.

A cada “tablespace” se le asocian uno o más ‘datafiles’, que son los ficheros donde se almacenan los datos de los elementos de la BD (Tablas, índices...). Cada datafile contiene el espacio necesario para almacenar los datos actuales más el que se prevea

Page 33: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL que tendrá. Cuando se agota el espacio del datafile, hay gestores que aumentan su tamaño asignado y otros que crean otro datafile.

Físicamente dentro del “tablespace”, los datos se organizan en bloques, extensiones y segmentos.Los bloques: Es la unidad mínima de E/S del SGBD. Es un número específico de bytes en un dispositivo de almacenamiento. El tamaño del bloque no tiene porque ser igual que los bloques de E/S del SO pero conviene que sea múltiplo. Normalmente, un bloque almacena datos de un mismo elemento. Los parámetros que se pueden configurar de los bloques son:

El tamaño: Oscila entre 2Kbits y 32Kbits. En entornos OLTP, donde se efectúan muchas operaciones ligeras, conviene tener tamaños pequeños para que quepan en memoria principal el mayor número de bloques. En entornos OLAP, donde se efectúan pocas operaciones pesadas, conviene bloques grandes para mover muchos datos en cada operación de E/S.

Los parámetros PCT Free y PCT Used: El PCTFree es el porcentaje de espacio del bloque destinado a almacenar los posible aumentos del tamaño de las filas almacenadas en el bloque. Una vez que sólo queda el PCTFree libre, no se puede insertar nuevas filas en el bloque. El PCTUsed es el porcentaje de utilización que se debe volver a alcanzar para poder volver a insertar filas tras alcanzar el PCTFree. El objeto de esta restricción es evitar tener datos de una misma fila en varios bloques, porque resta rendimiento a las operaciones. Cuanto mayor es la variabilidad del tamaño de las filas de una tabla, mayor debe ser el PCTFree

Extensiones. Es la unidad compuesta por un grupo de bloques consecutivos en disco. Si todas los datos de un tablas están almacenados de forma consecutiva, las lecturas son eficientes, en cambio, tener los bloques repartidos por el disco unidos por punteros, mejora las operaciones de inserción, borrado y modificación. Los SGBD adoptan una solución intermedia, tienen grupos de bloques consecutivos (extensiones) unidos por punteros.

Segmentos. Es una colección de extensiones que pertenecen a un tablespace y están contenidos en uno o más ‘datafiles’.Existen 4 tipos de segmentos: de datos, de índices, temporales y de rollback.

Tareas del DBA respecto al almacenamiento de un BD:

Asesoramiento a los analistas y diseñadores, para que tengan en cuenta las peculiaridades del SGBD a la hora de realizar el diseño final de la BD y asegurar su eficiencia: Ayudar a decidir los parámetros del almacenamiento y la ubicación de los datafiles. Los datafiles que se acceden de forma simultánea conviene que estén en dispositivos de almacenamiento diferentes para permitir el acceso concurrente.

Monitorización de la BD durante su explotación con objeto de:

o Planificar el crecimiento del espacio almacenamiento . Tanto el previsto por los analistas, como el imprevisto. Decidir como se realizará este crecimiento.

o Reorganizar los elementos de la bd . Durante la explotación de la BD se puede evidenciar que la organización física de los elementos no es la más eficiente. El DBA debe detectar este hecho y tomar decisiones.

o Desfragmentar el espacio de disco . Durante la eliminación y modificación de filas

SeguridadLos SGBD tienen como finalidad facilitar el acceso a los datos por parte de los usuarios, esta cualidad conlleva riesgos, pues también facilita el acceso a los datos por parte de usuarios no autorizados. Es por ello, que los SGBD disponen de servicios de seguridad para minimizar estos riesgos. Es función del DBA establecer y gestionar los sistemas de seguridad del SGBD.

Los principios básicos de seguridad son:

1. Identificación y autenticación: el usuario se identificará y autenticará con el procedimiento de introducir un usuario/contraseña (logon) con la finalidad de confirmar su identidad. Normalmente, el SO obliga a identificar al usuario, se

Page 34: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL pueden establecer mecanismos que permitan que esta identificación sea utilizada también por la base de datos (single-sign-on), aunque siempre será más seguro obligar a volver a identificarse al acceder al SGBD.

2. Autorización y controles de acceso: una vez identificado el usuario, el DBMS controla las operaciones que pueden hacer sobre los elementos de la base de datos.

3. Integridad y Consistencia: el DBMS será el encargado de mantener la integridad y la consistencia de los datos, siguiendo las especificaciones definidas al modelo de datos (constraints). Para asegurar la consistencia, además, se usan las transacciones.

4. Auditoría: Es la seguridad a posteriori. Los SGBD almacenan en ficheros “logs”, todas las operaciones realizadas en la base de datos. Si hay agujeros de seguridad, en la auditoría del fichero “log” pueden ser descubiertos y eliminarlos. Las auditorías pueden hacerse de forma periódica o cuando se sospecha que ha habido una violación de la seguridad. Hay SGBD generan ficheros “logs” específicos para las auditorías, denominadas “audit trail”. Un SGBD que facilite las auditorias, hace que sea más seguro

5. Disponibilidad: se trata de asegurar que los datos están disponibles y son accesibles para los usuarios durante unos horarios determinados. Si la disponibilidad es de 24 horas, la administración del SGBD es más compleja: los backups deben hacerse en caliente, el hardware debe ser de alta disponibilidad (hot-swap...) y también la conexión de red Extranet/Intranet. Para sistemas críticos, se pueden incorporar sistemas de redundancia a nivel de SO (RAID, Cluster, etc.) o del SGBD (BD Replicadas).

Gestión del control de acceso a las bases de datos

Una de las tareas del DBA es organizar los permisos de acceso a los datos por parte de los usuarios, de acuerdo a la política de la organización. El lenguaje SQL incorpora las sentencias necesarias para administrar la seguridad.

Las tareas a realizar son:

Crear cuentas de usuario : Utilizando la sentencia “CREATE USER nom_usuari IDENTIFIED BY contraseña” o “... IDENTIFY EXTERNALLY” si queremos aprovechar la identificación del SO. La administración de las contraseñas debe contemplar: Las contraseñas deben almacenarse de forma cifrada, los usuarios deben cambiar periódicamente de contraseñas, se puede establecer vías permitidas de acceso como número de intentos máximo de acceso.

Grupos de usuario (roles) : El uso de roles facilita la administración en bases de datos con multitud de usuarios. El rol actúa de contenedor de permisos, en vez de asignarlos a los usuarios, se asignan a los roles. Para cada base de datos contenida en el SGBD, se crea un rol para cada tipo de usuario posible, ej: ADMINISTRADOR, OPERADOR, CONSULTA... Un usuario puede tener varios roles.

Asignar y quitar permisos a los usuarios y roles. Los permisos son autorizaciones para poder realizar operaciones sobre determinados objetos de la base de datos. A mayor granularidad a la hora de otorgar los permisos, mayor control de la seguridad. Hay dos tipos de permisos:- A nivel de objeto: Permitir o restringir el acceso a los datos y cambios sobre éstos. La sentencia SQL sería “GRANT ( SELECT | UPDATE | DELETE | INSERT ) ON nombre_tabla_o_vista TO user [WITH GRANT OPTION]”. Y se elimina con la operación “REVOKE”.- A nivel de sistema: Permitir realizar funciones de administración del SGBD, poder cambiar el esquema de las BD (crear, modifiar,borrar tablas, vistas...) o administrar los mismos permisos.

Clasificar los datos y usuarios en niveles de seguridad. (No todos los SGBD)

Otro método de seguridad es el uso de vistas. Con las vistas se pueden crear tablas virtuales a partir de tablas con información confidencial. La vista sólo muestra la información autorizada. El usuario tiene acceso a la vista pero no a la tabla.

En una base de datos podemos encontrar tres tipos de seguridad, que se pueden combinar:

Control de acceso discrecional . Es el sistema tradicional de seguridad. Los usuarios tienen permisos sobre los elementos de la BD, cuando el usuario quiere realizar una acción, el SGBD comprueba que tenga los permisos necesarios para realizar la acción.

Control de acceso “mandatory” . Utilizado en sistemas de alta seguridad. Tanto los datos como los usuarios están clasificados en niveles de seguridad: p.ej: secreto, confidencial y no clasificado. Los usuarios sólo pueden interactuar con los datos con nivel de seguridad menor o igual al suyo.

Page 35: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Seguridad en sistema estadísticos . Utilizado en SGBD con datos personales confidenciales. Se permite a los usuarios obtener datos estadísticos sobre ellos, pero no acceder a los datos individualmente.

El Real Decreto que desarrolla la Ley Orgánica de Protección de Datos establece unos requisitos mínimos de seguridad a aplicar a los datos almacenados en la BD, en caso de contener datos de carácter personal.

Page 36: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL RendimientoEl DBA debe asegurar que el rendimiento del SGBD sea el apropiado para satisfacer los requisitos de los usuarios.

El rendimiento del SGBD se puede medir utilizando tres indicadores:

La velocidad de respuesta de las transacciones . Es el rendimiento percibido por los usuarios.

La productividad del SGBD . El número de transacciones por segundo ejecutadas por el SGBD.

La utilización de los recursos. Especialmente la capacidad de almacenamiento de los discos.

El primer factor en el rendimiento de una BD es su diseño. Un buen diseño de la BD y de las aplicaciones permite obtener un buen rendimiento del SGBD. Ahorrar esfuerzo (= dinero y dedicación) a la hora de analizar, diseñar e implementar una aplicación, provoca problemas de rendimiento, entre otros.

Por esto es muy importante que a la hora de diseñar un nuevo sistema se tengan en cuenta los siguientes criterios:

- Definir las necesidades de servicio que tendrán las aplicaciones.

- Hacer un análisis correcto de los datos y como serán accedidos.

- Desarrollar un código de acceso a la BD eficiente.

La optimización de los elementos de un SGBD es un factor prioritario en su rendimiento. La optimización se puede conseguir:

El uso de índices . La consulta a las tablas puede acelerarse utilizando índices para las columnas utilizadas en las operaciones selecciones y “join”. El uso de los índices acelera las operaciones de “consulta”, pero no perjudica la velocidad de las operaciones de “modificación” y “borrado”. No se deben indexar columnas muy volátiles o con poca variedad de valores ni tablas con pocas filas.

El diseño de las consultas pueden invalidar el uso del índice. Por ejemplo, los optimizadores no utilizan los índices en columnas usadas en operaciones aritméticas, con operaciones con null o en consultas anidadas.

La organización física de los datos . Se pueden configurar el tamaño de los bloques en disco o reubicar los segmentos. Los elementos que se acceden de forma simultánea deben estar en dispositivos separados, para permitir la simultaneidad.

La red de comunicaciones . En la actualidad, con las bases de datos distribuidas y con la arquitectura de aplicaciones de dos y tres capas, el rendimiento de las comunicaciones afectan directamente al rendimiento del SGBD.

El modelo de datos físico . Hay casos que conviene “desnormalizar” el diseño de las bases de datos para ganar en rendimiento. Por ejemplo: Guardando datos calculados, cuando su cálculo supone mucho tiempo.

Page 37: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Código cliente

Net8 Código estándar

Net8 Adaptador Protocolo X

Interfaz Protocolo X

Controlador dispositivo

Interfaz OS - Red

Código Servidor

Net8 Código estándar

Net8 Adaptador Protocolo X

Interfaz Protocolo X

Controlador dispositivo

Interfaz OS - Red

Red

Proceso Servidor

SO

Proceso Cliente

SO

Hardware Hardware

Servicios de redActualmente, el servicio informático de las organizaciones está distribuido y se comunica a través de las redes de comunicaciones. La arquitectura de aplicaciones que impera es la de cliente-servidor de tres capas y quedan todavía muchas aplicaciones de dos capas. Los SGBD han de incorporar en sus productos los protocolos y elementos que permiten la comunicación a través de red.

Ejemplos de servicios de red de los DBMS son SQL*Net de Oracle (net8 a partir de Oracle8) o OpenClient de Sybase.

Objetivos

Los servicios de red de los SGBD permiten:

1. la comunicación entre los procesos en las máquinas clientes y los procesos del SGBD en los servidores.

2. También permiten la comunicación servidor-servidor, para bases de datos distribuidas o cooperativas.

Se utilizan protocolos preparados para intercambiar a través de la red sentencias SQL y datos.

Es deseable que estos protocolos incorporen las siguientes funcionalidades:

- Transparencia respecto a las características de la red (topología, medios de transmisión…).

- Independencia de los protocolos de red utilizados.

- Transparencia respecto de las localizaciones de las máquinas.

- Seguridad y confiabilidad en las transacciones remotas.

Veamos un ejemplo de las capas de interfaz de red de Oracle (SQL*net):

Page 38: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Backup y recuperación de datosEl administrador es el responsable que se realice la copia de seguridad de datos de las BD, para asegurar la integridad de los datos en caso de accidente.

En la mayoría de accidentes no catastróficos, como el fallo de una instancia del SGBD, el propio SGBD puede recuperar la integridad de los datos de forma automática. Para conseguirlo, el SGBD almacena todas las operaciones que se realicen en unos ficheros denominados “RedoLogs”, y para poder deshacer las operaciones de las transacciones no confirmadas.

Los accidentes más graves, como averías de discos, necesitan la intervención del administrador y tener una copia de seguridad de los datos.

Tipos de backups

Backups físicos: consisten en hacer una copia de los archivos de datos y otros tipos de archivos del DBMS (de control, de configuración, etc.) a nivel físico. Normalmente comporta una recuperación de la base de datos completa, a no ser que esta disponga de mecanismos especiales por asegurar la consistencia de una recuperación física parcial. Se permite hacer este tipo de backup de dos formas.

- Backup físico en frío (off-line). Consiste en parar la base de datos y hacer una copia completa de todos los archivos de datos (y configuración, control, etc.).

Es un buen sistema porque implica una recuperación fiable y rápida (sólo se tienen que transferir ficheros y levantar la base de datos, no se tiene que hacer recuperación lógica posterior).

Sólo se podrá hacer si lo permiten las necesidades del servicio.

- Backup físico en caliente (on-line). Se hace mediante mecanismos de checkpoint . Los datos que se copian son inconsistentes. A la hora de hacer una recuperación, a partir del último checkpoint se tiene que hacer una recuperación lógica aplicando el commit o el rollback de las transacciones que estaban pendientes de validar en el momento de empezar la copia. Será necesario en entornos en qué se tenga que dar servicio ininterrumpido, o sin tiempo necesario para hacer los Backups en frio.

Backups lógicos: Las exportaciones generan unos ficheros dónde se guarda toda la información, en forma de definición de objetos más los datos que contienen, que permiten recrear las estructuras y los datos si se importan estos ficheros, ya sea sobre la misma u otra base de datos. Se pueden hacer a nivel de base de datos completa, o parcial. Pueden ser incrementales o acumulativos. Se tienen que hacer en caliente (la base de datos on-line), puesto que las utilidades de exportación van leyendo de la base de datos y escribiendo al fichero resultante. Muchas veces son necesarios por hacer backups selectivos (sólo de una parte de la BD), o por transferir datos de una base de datos a otra).

El tipo de backup más adecuado dependerá de los requerimientos de nuestro sistema, del tamaño de la BD, del tiempo disponible por hacer la recuperación, etc. El ideal es hacer copias tanto físicas como lógicas periódicamente, y en caso de pérdida de datos, poder aplicar el tipo de recuperación más adecuado.

Journaling

Esta técnica será necesaria si no es aceptable perder ningún dato de nuestro sistema en caso de fallo de algún fichero de datos.

Consiste en guardar todas las transacciones que se ejecutan a la base de datos copiándolas a archivos, sobre otro disco. Esto es una redundancia que puede resultar costosa, pero en caso de fallo del disco, se puede reconstruir todo el trabajo perdido. La recuperación consistiría en recuperar primero la última copia de la base de datos disponible, y aplicar después todos los cambios que se han hecho desde entonces, que se conocen gracias a estos ficheros.

Recuperación

El plan de backup se tiene que hacer siempre pensando en las necesidades que tendremos a la hora de hacer una recuperación. Habremos de considerar:

- Si tenemos que recuperar los datos totalmente o no son tan críticas y es suficiente restaurar la última copia.

- De qué tiempo se dispondrá por hacer la recuperación.

Page 39: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL - Complejidad de la recuperación.

Es imprescindible que los mecanismos de recuperación se prueben habitualmente por comprobar el correcto funcionamiento. No sirve de nada tener todas las copias periódicamente realizadas y almacenadas si cuando se produce una pérdida, la recuperación no funciona.

El anteproyecto constituye el plan de trabajo que orientará el desarrollo de su monografía. Está conformado por las siguientes secciones:

1. HOJA DE PRESENTACIÓN DE ANTEPROYECTO

Número máximo de páginas: 1

(Anexo 3)

Esta página tiene como objetivo la fácil identificación del trabajo y de los autores. Tenga en cuenta que la Escuela correspondiente es la de Posgrados y el Programa es el de Especialización en Seguridad Informática. El Director corresponde a la firma del Docente del Módulo de Seminario de Grado 1.

2. FICHA TECNICA PARA ANTEPROYECTO DE GRADO

Número máximo de páginas: 1

(Anexo 2)

Diligencie los datos especificados, teniendo en cuenta los siguientes elementos:

Ciclo: Postgrado

Tipo de Proyecto: Trabajo de Desarrollo

Línea de Investigación: Línea de investigación: Aseguramiento de la información

Área temática: Seguridad Informática

3. FORMULACION DEL PROBLEMA

Número máximo de páginas : 3

El propósito de esta sección es presentar la idea de la monografía, mostrando las necesidades que hacen factible su implementación. La formulación del problema ayuda a delimitar el trabajo, pues permite identificar los focos sobre los cuales actuará la monografía.

Para formular correctamente el problema es necesario adelantar una investigación preliminar que permita conocer los inconvenientes que se presentan y que requieren solución por parte del especialista.

4. OBJETIVOS

Número máximo de páginas : 2

Presentan las metas o logros planteados para la monografía, por lo tanto debe ser posible alcanzarlos dentro del plazo estipulado para el desarrollo.

Algunas recomendaciones para la formulación de objetivos son: Los objetivos se redactan con verbo en infinitivo, es decir, con verbos no conjugados. Éstos pueden ser: Diseñar,

Construir, Estudiar, Evaluar, etcétera. Los objetivos no son preguntas, son metas por alcanzar no dudas por resolver. Los objetivos no son afirmaciones. Los objetivos no son hipótesis. No se puede plantear como objetivo de la monografía un supuesto que todavía no está

comprobado. Un objetivo es algo que se quiere cubrir, algo que se quiere lograr. Es una meta que la investigación debe alcanzar.

Los objetivos no son los pasos a realizar durante el proyecto. Estos pasos constituyen la metodología y hacen parte del ¿cómo se va a realizar el proyecto?, no del ¿qué se va a realizar?

Se debe estipular un objetivo general y varios objetivos específicos (máximo 5). El objetivo general debe contener a los objetivos específicos, los cuales detallan una o varias características que será posible observar en la monografía, o los subproductos que se irán alcanzado en el desarrollo de la misma. Recuerde que los objetivos deben ser fácilmente identificables dentro del proyecto.

5. JUSTIFICACIÓN

Page 40: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL Número máximo de páginas : 3

En la justificación se exponen las razones para realizar la monografía. La mayoría de las investigaciones se efectúan con un propósito definido, no se hacen simplemente por capricho de una persona; y ese propósito debe ser lo suficientemente fuerte para que se justifique su realización. Además, en muchos casos se tiene que explicar por qué es conveniente llevar a cabo la investigación y cuáles son los beneficios que se derivarán de ella.1

Por lo tanto en esta sección se debe aclarar los alcances del proyecto y el aporte que el mismo realizará para solucionar la problemática planteada en el numeral anterior. Además se deberán presentar los beneficios que dicho desarrollo proporcionará a las entidades y personas involucradas.

6. MARCO DE REFERENCIA

El propósito de la realización del marco de referencia se refiere a la necesidad que tiene el investigador de familiarizarse con el conocimiento existente dentro del campo en el que va a realizar la investigación. Si el estudio realmente tiene la intención de contribuir de alguna manera a incrementar el conocimiento existente, para ello la revisión de lo compilado al respecto ha de ser cuidadosa y metódica2.

El capítulo del marco de referencia se subdivide en antecedentes, marco conceptual, marco teórico, marco normativo (legal o jurídico), marco histórico, marco tecnológico, marco económico, marco ambiental, marco sicológico, marco cultural, estudio similares y estudio básicos, dependiendo de las características del proyecto que se va a realizar (Ver ANEXO A). En una monografía típica se deben incluir como mínimo: Marco Conceptual, Antecedentes, Marco Teórico y Marco Tecnológico. Los Antecedentes contienen la sistematización de la información recopilada sobre el tema objeto de la monografía, organizando los casos consultados sobre problemáticas similares o en el mismo ámbito de la monografía propuesta.

7. METODOLOGÍA APLICADA

Número máximo de páginas: 5

Esta sección indicará la metodología a utilizar (referenciando al autor y el libro donde se podría consultar). Esta consta de las diferentes fases a realizar especificando las actividades y tareas que se realizarán en la ejecución del proyecto, para cada una de las fases.

8. CRONOGRAMA

Número máximo de páginas: 1

Una vez identificadas las actividades, se deberá estimar el tiempo que se dedicará para cada una de ellas y se organizará esta información en un cuadro de cronograma (Ver Anexo B).

El cronograma se estipula en semanas, sin necesidad de especificar el mes, sólo se indica como Mes1, Mes2, etc. La fecha de inicio en la cual empieza a ejecutarse el cronograma corresponde a la fecha en que comienza la realización de la fase 1 contemplada en la metodología.

9. PRESUPUESTO

Número máximo de páginas: 1

Corresponde al costeo del proyecto de acuerdo con el tiempo de desarrollo, identificando los diferentes rubros que harán parte del desarrollo. Los rubros más comunes son Recursos Humanos, Recursos Tecnológicos (Software, Hardware), Papelería. (Ver Anexo C)

10. BIBLIOGRAFÍA

Número máximo de páginas: 4

Incluye las fuentes documentales consultadas para la construcción del anteproyecto y referenciadas en las diferentes secciones, siguiendo la normativa ICONTEC.

NORMAS DE PRESENTACIÓN

1 REZA BECERRIL, Fernando. Ciencia, metodología e investigación. Alhambra Mexicana Editorial. 1997. Cap 8.

2 HERNÁNDEZ SAMPIERI Roberto, FERNÁNDEZ COLLADO Carlos y BAPTISTA LUCIO Pilar. Metodología de la investigación. Segunda Edición - Editorial Mc Graw - Hill. Capítulo 3 – Pág 21.

Page 41: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Para la elaboración de este documento se deberá tener en cuenta las siguientes normas:

Debe redactarse de manera impersonal. (No deberán utilizarse expresiones como: Construiremos, investigaremos, realizaremos, etc.) Debe usarse papel bond tamaño carta blanco. Se deberá transcribir en un procesador de palabras e imprimir por una sola cara en letra de tamaño 12 puntos. Todos los párrafos deberán comenzar contra el margen izquierdo y sin dejar sangría, exceptuando la cita directa extensa (ver las normas ICONTEC). El espacio interlineal será de uno y medio. Los márgenes, puntuación y numeración de títulos se realizará según la norma ICONTEC, teniendo en cuenta que cada sección anteriormente descrita hace

las veces de capítulo y su nombre será usado como título respectivo. La numeración de las páginas es voluntaria, si se hace se debe omitir escribir la numeración en la página de presentación y en la primera página de cada

capítulo. No se debe incluir ninguna portada diferente a la Hoja de Presentación, ni páginas en blanco adicionales.

BIBLIOGRAFÍA RECOMENDADA

BERNAL, César Augusto. Metodología de la Investigación para Administración y Economía.

HERNANDEZ SAMPIERI, Roberto y otros. "Metodología de la investigación". 2 ed. Mc Graw Hill. México 1998.

REZA BECERRIL, Fernando. "Ciencia, metodología e investigación. Alhambra Mexicana, 1997.

SABINO, Carlos. "El proceso de investigación". Editorial Cometa de papel. Medellín, 1996.

• Inicio.

• Todos los programas.

• Microsoft SQL Server 2008 r2.

• Herramientas de configuración.

• Administrador de SQL Server 2008 R2.

Page 42: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

b. Administrar los servicio de SQL Server 2008 R2:

• Consultar el estado del servicio de SQL Server.

• Cambiar Estado del servicio (Detener, iniciar, pausar, reiniciar).

Page 43: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 44: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 45: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 46: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 47: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• Cambiar el tipo de Inicio (automático, manual, desactivado).

Page 48: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• Iniciar y detener una instancia de SQL Server 2012.

• Habilite y deshabilite la configuración de red de SQL Server.

Page 49: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 50: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• ¿Para qué sirve la configuración de SQL Server Native?.

Esta sección contiene los temas de la Ayuda F1 para los cuadros de diálogo de Configuración de SQL Server Native Client del Administrador de configuración de Microsoft SQL Server. SQL ServerSQL Native Client es la biblioteca de red que los equipos cliente utilizan para conectarse a SQL Server, y se inicia con Microsoft SQL Server.Las opciones establecidas en SQL Server Configuración de SQL Native Client se utilizan en el equipo que ejecuta el programa cliente. Si se establecen en el equipo que ejecuta SQL Server, sólo afectan a los programas cliente que se ejecutan en el servidor.

Estas opciones no afectan a los clientes que se conectan a versiones anteriores de SQL Server, salvo que utilicen las herramientas de cliente que se inician con SQL Server, como SQL Server Management Studio. En esta sección:

* Crear una cadena de conexión válida con el protocolo VIA

* Protocolos de cliente (Administrador de configuración de SQL Server)

* Alias (Administrador de configuración de SQL Server)

Tomar imagen de la configuración predeterminada de los servicios de

SQL Server 2008 R2:

Page 51: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• Servicios.

• Configuración de Red.

Page 52: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• SQL Server Native.

Tomar imagen a la pantalla donde todos los servicios de SQL Server 2008

R2 estén detenidos y con configuración Manual.

Page 53: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Las imágenes presentarlas en el manual de configuración paso a paso de

SQL Server 2008 R2.

c. Formateo de NTFS a bloques de 64kb.

Para formatear los disco a bloques de 64kb:

• Abrir maquina virtual.

• Configuración winserver2003sena.

• Almacenamiento.

• Clic derecho en controlador IDE.

• Agregar un disco.

Page 54: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 55: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• Crear nuevo disco - Crear 3 discos en total.

Nota: Solo se puede crear 2 discos por la capacidad de memoria de la maquina virtual

Page 56: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL • Iniciar la maquina virtual con Windows Server 2003 y SQL Server 2008

R2.

• Inicio.

• Clic de derecho en mi pc.• Administrar.

• Administración de discos.

Page 57: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• Automáticamente aparece el asistente para inicializar y convertir discos.

• Al terminar el proceso.

Page 58: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 59: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• Clic derecho a cada disco y formatear en bloques de 64 kb.

• Clic derecho nuevo volumen.

• En el asistente para volumen nuevo en la ventada donde aparece la formatear este volumen con la siguiente configuración escoger el Tamaño de asignación a 64 kb.

• Repetir este proceso para los 3 discos creados en la maquina virtual.

c. Tomar Imágenes de todo el proceso y anexarlo en el documento de evidencia.

Page 60: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 61: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Page 62: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

4.4.Conexión al Sistema Manejador de Base de Datos SQL Server

2008 r2.

a. La ruta para iniciar una instancia de SQL Server 2008 R2 con Management

Studio:

• Iniciar la maquina virtual con Windows Server 2003 y SQL Server 2008

R2.

• Inicio.

• Todos los programas.

• Microsoft SQL Server 2008 r2.

• SQL Server Management Studio.

En la ventana conectar con el servidor escoger la autenticación por

Windows o SQL Server y clic en conectar.

Como evidencia anexé la impresión de pantalla a su documento del laboratorio.

Page 63: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

b. Establecer conexiones de usuario.

Para establecer conexiones de usuario:

• Iniciar la maquina virtual con Windows Server 2003 y SQL Server 2008

R2.

• Inicio.

• Todos los programas.

• Microsoft SQL server 2008 r2.

• SQL Server Management Studio.

• Conectar con el server.

• En el explorador de objetos clic derecho sobre el servidor y propiedades.

Page 64: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL • Seleccionar una pagina – Conexiones.

Hacer una consulta de las variables de configuración a través de la ejecución del procedimiento del sistema “sp_configure” antes y después de los cambios y adicione las imágenes al documento.

Page 65: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Tomar pantallazo de la configuración predeterminada de SQL Server y especificar cuantos usuarios concurrentes están activos en este momento para esa instancia.

Modifique la cantidad de usuario para una instancia a 100 usuarios y especifique que más se puede modificar en configuración de usuarios.

¿Cuánto es lo máximo en usuarios concurrentes que soporta SQL Server?

El máximo de de usuarios concurrentes es de 32767

Page 66: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Anexe estos documentos a su manual

R2.

c. Administrar la memoria.

Ruta para la configuración de la memoria SQL Server 2008 R2:

• Iniciar la maquina virtual con Windows server 2003 y SQL Server 2008

R2.

• Inicio.

• Todos los programas.

• Microsoft SQL server 2008 r2.

Page 67: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

• SQL Server Management Studio.

• Conectar con el server.

• En el explorador de objetos clic derecho sobre el servidor y propiedades.

• Seleccionar una pagina - Memoria.

Page 68: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL

Tomar pantallazo y especificar que se puede modificar en la configuración de la memoria para SQL Server 2008 R2.

¿Qué se debe habilitar para trabajar con memoria mayor a 4 gb en sistemas de 32 bits?

Las opción max server memory. 

Ejemplo:

sp_configure 'show advanced options', 1;GORECONFIGURE;

Page 69: Atividad Configurar SQL Server

Configurar sistemas manejadores de base de datos - SQL GOsp_configure 'max server memory', 4096;GORECONFIGURE;GO