# 3.4 Seguridad B√°sica en SQL Server

**Resumen Ejecutivo**: Este m√≥dulo introduce los principios fundamentales de seguridad en bases de datos relacionales, con √©nfasis en el modelo de **privilegios m√≠nimos** y la gesti√≥n de **roles de usuario**. La seguridad no es un "add-on" opcional: es un pilar cr√≠tico para la protecci√≥n de informaci√≥n sensible, el cumplimiento regulatorio (GDPR, HIPAA, SOX) y la prevenci√≥n de accesos no autorizados que pueden resultar en p√©rdidas financieras o da√±o reputacional.

---

## üìö Objetivos de Aprendizaje

Al finalizar este m√≥dulo ser√°s capaz de:

1. **Comprender** la diferencia entre autenticaci√≥n (identificaci√≥n) y autorizaci√≥n (permisos)
2. **Aplicar** el principio de privilegios m√≠nimos para minimizar superficie de ataque
3. **Crear** usuarios y asignar permisos granulares seg√∫n necesidades del negocio
4. **Dise√±ar** roles personalizados para diferentes perfiles de usuario (analista, desarrollador, administrador)
5. **Auditar** permisos existentes e identificar riesgos de seguridad

---

## üîê Prerequisitos

Antes de comenzar, debes estar familiarizado con:

- **Conceptos de SQL Server**: instancias, bases de datos, esquemas
- **Comandos DDL b√°sicos**: `CREATE`, `ALTER`, `DROP`
- **Nociones de arquitectura empresarial**: separaci√≥n de ambientes (dev, test, prod)
- **Conocimiento del modelo de objetos**: tablas, vistas, procedimientos almacenados

---

## üîë Conceptos Fundamentales de Seguridad

### üîµ Autenticaci√≥n vs Autorizaci√≥n

| Concepto | Pregunta | Ejemplo |
|----------|----------|---------|
| **Autenticaci√≥n** | *¬øQui√©n eres?* | Login con credenciales (`CREATE LOGIN`) |
| **Autorizaci√≥n** | *¬øQu√© puedes hacer?* | Permisos sobre objetos (`GRANT SELECT`) |

### üîµ Jerarqu√≠a de Seguridad en SQL Server

```
Instancia SQL Server
‚îú‚îÄ‚îÄ Logins (nivel servidor)
‚îÇ   ‚îî‚îÄ‚îÄ Server Roles (sysadmin, dbcreator, etc.)
‚îî‚îÄ‚îÄ Bases de Datos
    ‚îú‚îÄ‚îÄ Usuarios (mapeados a logins)
    ‚îÇ   ‚îî‚îÄ‚îÄ Database Roles (db_owner, db_datareader, etc.)
    ‚îî‚îÄ‚îÄ Permisos directos sobre objetos
```

### üîµ Principio de Privilegios M√≠nimos

> **Regla de Oro**: Otorgar **solo** los permisos estrictamente necesarios para completar las tareas asignadas.

**Consecuencias de violar este principio**:
- ‚ùå Superficie de ataque ampliada (mayor vulnerabilidad ante SQL injection)
- ‚ùå Riesgo de eliminaci√≥n accidental de datos cr√≠ticos
- ‚ùå Dificultad para rastrear responsabilidades en auditor√≠as
- ‚ùå Incumplimiento de normativas de protecci√≥n de datos

---

## üìä Caso de Uso Pr√°ctico: Usuario Analista de Reportes

### üéØ Escenario Real

Tu empresa contrata a un analista de BI que necesita generar reportes de ventas trimestrales. Este usuario debe:

‚úÖ **Leer** datos de tablas `dim_clientes`, `dim_productos`, `fact_ventas`  
‚úÖ **Ejecutar** vistas preexistentes (`vw_ventas_mensuales`)  
‚ùå **NO modificar** datos (sin `INSERT`, `UPDATE`, `DELETE`)  
‚ùå **NO crear** objetos nuevos (sin `CREATE TABLE`, `ALTER SCHEMA`)

### üõ†Ô∏è Implementaci√≥n Step-by-Step

#### **Paso 1: Crear el Login (Nivel Servidor)**

Primero creamos la identidad en el servidor SQL Server. En entornos corporativos se prefiere autenticaci√≥n de Windows (Active Directory), pero para laboratorios usamos SQL Authentication:

In [None]:
-- Crear login con pol√≠tica de contrase√±as robustas
CREATE LOGIN analista_reportes 
WITH PASSWORD = 'P@ssw0rd#2024!',
     CHECK_POLICY = ON,        -- Obliga a cumplir pol√≠tica de complejidad
     CHECK_EXPIRATION = ON;    -- Contrase√±a expira seg√∫n configuraci√≥n del servidor

-- Nota: En producci√≥n, usar CHECK_EXPIRATION = ON es cr√≠tico para seguridad

#### **Paso 2: Mapear Login a Usuario en la Base de Datos**

El login solo identifica al usuario en el servidor. Para acceder a una base de datos espec√≠fica, necesitamos crear un usuario mapeado:

In [None]:
USE DataWarehouse;  -- Cambiar al contexto de la base de datos
GO

CREATE USER analista_reportes 
FOR LOGIN analista_reportes;

-- En este punto el usuario existe pero NO tiene permisos a√∫n (acceso bloqueado por defecto)

#### **Paso 3: Asignar Rol de Solo Lectura**

SQL Server incluye roles predefinidos. Para lectura usamos `db_datareader` (acceso `SELECT` a todas las tablas):

In [None]:
-- Asignar rol de solo lectura
ALTER ROLE db_datareader ADD MEMBER analista_reportes;

-- Verificar permisos asignados
SELECT 
    USER_NAME(member_principal_id) AS Usuario,
    USER_NAME(role_principal_id) AS Rol
FROM sys.database_role_members
WHERE USER_NAME(member_principal_id) = 'analista_reportes';

#### **Paso 4 (Opcional): Permisos Granulares con Rol Personalizado**

Si `db_datareader` otorga demasiados permisos (acceso a **todas** las tablas), creamos un rol personalizado:

In [None]:
-- Crear rol personalizado para reportes de ventas
CREATE ROLE rol_reportes_ventas;

-- Otorgar permisos SELECT solo en tablas espec√≠ficas
GRANT SELECT ON dbo.dim_clientes TO rol_reportes_ventas;
GRANT SELECT ON dbo.dim_productos TO rol_reportes_ventas;
GRANT SELECT ON dbo.fact_ventas TO rol_reportes_ventas;

-- Asignar usuario al rol personalizado
ALTER ROLE rol_reportes_ventas ADD MEMBER analista_reportes;

-- Ventaja: Control granular. Si se agregan nuevas tablas sensibles, NO se accede autom√°ticamente.

#### **Paso 5: Auditor√≠a de Permisos Efectivos**

Despu√©s de configurar seguridad, **siempre** verificar permisos reales del usuario:

In [None]:
-- Simular contexto de ejecuci√≥n del usuario (requiere permisos de administrador)
EXECUTE AS USER = 'analista_reportes';

-- Listar permisos efectivos del usuario actual
SELECT 
    OBJECT_SCHEMA_NAME(major_id) AS Esquema,
    OBJECT_NAME(major_id) AS Objeto,
    permission_name AS Permiso,
    state_desc AS Estado
FROM sys.database_permissions
WHERE grantee_principal_id = USER_ID();

-- Volver al contexto administrativo
REVERT;

---

## üéØ Ejercicios Guiados

### üü¢ Ejercicio 1: Permisos M√≠nimos para Usuario Analista

**Objetivo**: Identificar los permisos estrictamente necesarios para un usuario que solo genera reportes.

**Instrucciones**:
1. Crear un login `usuario_lectura` con contrase√±a robusta
2. Mapear el login a un usuario en la base de datos `DataWarehouse`
3. Otorgar **solo** permisos `SELECT` en las tablas `dim_clientes`, `fact_ventas`
4. Verificar que NO puede ejecutar `INSERT`, `UPDATE` ni `DELETE`

**Criterio de √©xito**: El usuario puede ejecutar `SELECT * FROM fact_ventas` pero recibe error al intentar `DELETE FROM fact_ventas`.

---

### üü† Ejercicio 2: Dise√±o de Roles Granulares

**Objetivo**: Crear 3 roles con diferentes niveles de acceso.

**Roles a implementar**:

| Rol | Permisos | Usuarios T√≠picos |
|-----|----------|------------------|
| `rol_lectura` | `SELECT` en todas las tablas | Analistas, auditores |
| `rol_escritura` | `SELECT`, `INSERT`, `UPDATE` (sin `DELETE`) | Aplicaciones de ingesta |
| `rol_admin` | Control total (`db_owner`) | DBAs, desarrolladores senior |

**Instrucciones**:
1. Crear los 3 roles con `CREATE ROLE`
2. Asignar permisos usando `GRANT`
3. Crear 3 usuarios de prueba y asignarlos a roles diferentes
4. Probar con `EXECUTE AS USER` que cada rol tiene permisos correctos

---

### üî¥ Reto: Auditor√≠a Trimestral de Permisos

**Objetivo**: Dise√±ar un proceso de auditor√≠a de seguridad que identifique permisos no utilizados.

**Requerimientos**:
1. Consultar vistas del sistema `sys.database_permissions`, `sys.database_role_members`
2. Cruzar con logs de actividad (tabla de auditor√≠a o Extended Events)
3. Identificar usuarios que NO han ejecutado consultas en 90 d√≠as
4. Generar recomendaci√≥n de permisos a revocar

**Entregable**: Script SQL que retorne lista de usuarios candidatos a revisi√≥n con justificaci√≥n.

---

## üìà Perspectiva de Negocio: ROI de la Seguridad

### üí∞ Impacto Financiero de Brechas de Seguridad

**Costos promedio por incidente (industria 2024)**:

| Tipo de Incidente | Costo Promedio | Tiempo Recuperaci√≥n |
|-------------------|----------------|---------------------|
| Filtraci√≥n de datos (PII) | USD $4.45M | 287 d√≠as |
| Ransomware | USD $1.85M | 49 d√≠as |
| Acceso no autorizado (insider) | USD $648K | 91 d√≠as |

*Fuente: IBM Cost of Data Breach Report 2024*

### üìä Costo/Beneficio de Implementar Seguridad Robusta

**Inversi√≥n inicial** (empresa mediana 50-200 empleados):
- **Consultor√≠a de seguridad**: USD $15K-$30K (dise√±o de arquitectura de permisos)
- **Herramientas de auditor√≠a**: USD $5K-$10K/a√±o (Extended Events, alertas autom√°ticas)
- **Capacitaci√≥n de equipo**: USD $3K-$5K (certificaciones en SQL Server Security)
- **TOTAL**: USD $23K-$45K primer a√±o

**Beneficios tangibles**:
- **Prevenci√≥n de multas regulatorias**: GDPR hasta ‚Ç¨20M (4% facturaci√≥n anual)
- **Reducci√≥n de riesgo de fraude**: 67% menor probabilidad de incidentes internos
- **Auditor√≠as m√°s r√°pidas**: 40% reducci√≥n en tiempo de auditor√≠a SOX/HIPAA
- **Seguro cibern√©tico m√°s econ√≥mico**: 25% descuento con controles certificados

### üéØ ROI Proyectado (5 a√±os)

Para empresa mediana con base de datos de clientes (500K registros):

| A√±o | Inversi√≥n | Incidentes Evitados | Ahorro Estimado | ROI Acumulado |
|-----|-----------|---------------------|-----------------|---------------|
| 1 | -$40K | 1 breach menor | +$150K | **+275%** |
| 2 | -$10K | 2 intentos de acceso no autorizado | +$80K | **+625%** |
| 3-5 | -$10K/a√±o | Multas GDPR evitadas | +$200K/a√±o | **+1,800%** |

**Conclusi√≥n**: Cada d√≥lar invertido en seguridad proactiva retorna $18 en 5 a√±os (vs costos reactivos de brechas).

---

## üíº Aplicaci√≥n Pr√°ctica en el Mundo Real

### üè• Caso: Sistema Hospitalario (HIPAA Compliance)

**Contexto**: Un hospital necesita proteger historiales m√©dicos electr√≥nicos (EHR) bajo regulaci√≥n HIPAA.

**Implementaci√≥n de seguridad**:

| Usuario | Rol | Permisos | Justificaci√≥n |
|---------|-----|----------|---------------|
| M√©dicos | `rol_medicos` | `SELECT`, `UPDATE` en `pacientes`, `diagnosticos` | Necesitan leer y actualizar historiales |
| Enfermeras | `rol_enfermeria` | `SELECT` en `pacientes`, `INSERT` en `signos_vitales` | Solo registran mediciones |
| Facturaci√≥n | `rol_facturacion` | `SELECT` en `pacientes.id`, `pacientes.nombre` (sin datos cl√≠nicos) | Solo necesitan datos demogr√°ficos |
| Auditor√≠a | `rol_auditoria` | `SELECT` en todas las tablas (solo lectura) | Investigaciones de incidentes |

**M√©tricas de cumplimiento**:
- ‚úÖ 100% usuarios con credenciales individuales (no compartidas)
- ‚úÖ Auditor√≠a habilitada (log de cada acceso a datos sensibles)
- ‚úÖ Segregaci√≥n de funciones (m√©dicos NO pueden modificar facturaci√≥n)

---

### üè¶ Caso: Plataforma Financiera (SOX Compliance)

**Contexto**: Banco necesita prevenir fraude interno y cumplir Sarbanes-Oxley (SOX).

**Arquitectura de seguridad**:

```
Producci√≥n (solo lectura)
‚îú‚îÄ‚îÄ Aplicaci√≥n Web ‚Üí usuario_app (SELECT en vistas, EXECUTE en SPs)
‚îî‚îÄ‚îÄ Analistas BI ‚Üí usuario_reporting (SELECT en tablas agregadas)

Desarrollo/Test
‚îú‚îÄ‚îÄ Desarrolladores ‚Üí db_owner (control total en ambiente no productivo)
‚îî‚îÄ‚îÄ QA ‚Üí db_datareader + db_datawriter (pruebas de carga)
```

**Controles SOX implementados**:
1. **Segregaci√≥n de ambientes**: Desarrolladores SIN acceso a producci√≥n
2. **Cambios auditados**: Todo cambio en producci√≥n requiere ticket aprobado
3. **Revisi√≥n de accesos**: Trimestral, eliminaci√≥n de cuentas inactivas
4. **Principio de 4 ojos**: Cambios de permisos requieren aprobaci√≥n dual

**Resultado**: Auditor√≠as SOX pasadas con 0 observaciones en √∫ltimos 3 a√±os.

---

## üìå Conclusiones Clave

### üéì Conceptos Fundamentales

1. **Seguridad en capas**: Defensa en profundidad (firewall + autenticaci√≥n + permisos + cifrado)
2. **Principio de m√≠nimos privilegios**: Base para reducir superficie de ataque
3. **Roles > Permisos directos**: Escalabilidad y mantenibilidad a largo plazo
4. **Auditor√≠a continua**: La seguridad no es "set and forget", requiere revisi√≥n peri√≥dica

### üîë Aprendizajes Cr√≠ticos

- **Autenticaci√≥n** responde "¬øQui√©n?" ‚Üí **Autorizaci√≥n** responde "¬øQu√© puede hacer?"
- **Login** (nivel servidor) ‚â† **Usuario** (nivel base de datos) ‚Üí Mapeo obligatorio
- **Roles predefinidos** (`db_datareader`) son punto de partida, roles personalizados para control fino
- **`EXECUTE AS USER`** es herramienta esencial para pruebas de seguridad

### üöÄ Siguientes Pasos

Tras dominar seguridad b√°sica, los siguientes temas l√≥gicos son:

1. **Seguridad avanzada**: Row-Level Security (RLS), Dynamic Data Masking, Transparent Data Encryption (TDE)
2. **Auditor√≠a con Extended Events**: Captura de todas las operaciones de modificaci√≥n de datos
3. **Gesti√≥n de secretos**: Azure Key Vault, Credential Manager para conexiones seguras

---

## ‚ö†Ô∏è Buenas Pr√°cticas y Errores Comunes

### ‚úÖ Mejores Pr√°cticas

| Pr√°ctica | Justificaci√≥n |
|----------|---------------|
| **Usar roles en lugar de permisos directos** | Facilita mantenimiento (cambias el rol, no cada usuario) |
| **Autenticaci√≥n de Windows en producci√≥n** | Integraci√≥n con Active Directory, pol√≠ticas centralizadas |
| **Habilitar auditor√≠a de login** | Detecta intentos de acceso no autorizado |
| **Rotar contrase√±as regularmente** | Mitigar riesgo de credenciales comprometidas |
| **Esquemas segregados por funci√≥n** | `ventas.fact_ventas` vs `finanzas.transacciones` (aislamiento l√≥gico) |
| **Revisi√≥n trimestral de permisos** | Eliminar "role creep" (acumulaci√≥n de privilegios) |

### ‚ùå Errores Cr√≠ticos a Evitar

| Error | Impacto | Remediaci√≥n |
|-------|---------|-------------|
| **Otorgar `db_owner` por defecto** | Usuario puede eliminar base completa | Usar roles granulares (`db_datareader`, `db_datawriter`) |
| **Usar contrase√±as d√©biles** | Vulnerable a ataques de fuerza bruta | `CHECK_POLICY = ON`, m√≠nimo 12 caracteres |
| **No documentar permisos** | Imposible auditar en caso de incidente | Mantener tabla de asignaci√≥n de roles |
| **Permisos en cuenta de servicio compartida** | No se puede rastrear qui√©n ejecut√≥ qu√© | Usuario individual por persona, cuenta servicio solo para aplicaciones |
| **Olvidar revocar permisos al cambio de rol** | Ex-empleados con acceso activo | Proceso de offboarding automatizado |

### üîí Checklist de Seguridad Pre-Producci√≥n

Antes de promover cambios a producci√≥n, verificar:

- [ ] **Todos** los usuarios tienen contrase√±a con `CHECK_POLICY = ON`
- [ ] **Ning√∫n** usuario tiene `sysadmin` o `db_owner` sin justificaci√≥n
- [ ] **Todas** las cuentas de aplicaci√≥n usan Windows Authentication
- [ ] **Existe** bit√°cora de cambios de permisos (tabla de auditor√≠a)
- [ ] **Se prob√≥** que usuarios NO pueden acceder a datos sensibles fuera de su alcance

---

## üìö Recursos Complementarios

### üìñ Documentaci√≥n Oficial

- [SQL Server Security Best Practices](https://learn.microsoft.com/sql/relational-databases/security/security-center-for-sql-server-database-engine) - Microsoft Learn
- [Database-Level Roles](https://learn.microsoft.com/sql/relational-databases/security/authentication-access/database-level-roles) - Roles predefinidos y personalizados
- [Permissions Hierarchy](https://learn.microsoft.com/sql/relational-databases/security/permissions-database-engine) - Modelo de herencia de permisos

### üé• Tutoriales Recomendados

- *SQL Server Security Fundamentals* (Pluralsight) - 4.5 horas
- *Database Security for Developers* (LinkedIn Learning) - 2 horas

### üèÜ Certificaciones Profesionales

- **Microsoft Certified: Azure Database Administrator Associate** - Incluye m√≥dulo de seguridad avanzada
- **Certified Information Systems Security Professional (CISSP)** - Dominio 8: Software Development Security

---

## üîñ Pie Editorial

**Curso**: Fundamentos de SQL Server - Nivel Intermedio  
**M√≥dulo**: 3.4 Seguridad B√°sica en Bases de Datos  
**Versi√≥n**: 2.0 (Actualizado Enero 2025)  
**Autor**: lraigosov / LuisRai  
**Licencia**: Uso educativo - Atribuci√≥n requerida

> üí° **Nota sobre IA**: Este material fue estructurado y enriquecido con asistencia de modelos de lenguaje (OpenAI GPT-4, Anthropic Claude), pero todo el contenido t√©cnico fue validado, las decisiones pedag√≥gicas fueron tomadas y las aplicaciones de negocio fueron dise√±adas por humanos con experiencia en administraci√≥n de bases de datos empresariales.

---
## Navegaci√≥n
[‚¨ÖÔ∏è Anterior](03_particiones_basico.ipynb) | [Siguiente ‚û°Ô∏è](05_transacciones_bloqueos.ipynb)
---
