auditoria de base de datos re formula do
TRANSCRIPT
REPÚBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN SUPERIOR
COLEGIO UNIVERSITARIO “FRANCISCO DE MIRANDA”DIVISIÓN DE INVESTIGACIÓN, EXTENSIÓN Y POSTGRADO
CONSEJO DE ESTUDIOS DE POSTGRADOESPECIALIZACIÓN EN AUDITORÍA DE SISTEMAS FINANCIEROS
Y SEGURIDAD DE DATOS
Auditoría de Base de Datos
Profesor: Luis Castillo AUTOR(ES): GRATEROL, NORKA GUZMAN ERCILIA DIAZ VALERIO RODRIGUEZ YANELLI
Caracas, 5 de Mayo de 2010
Indice
INTRODUCCIÓN....................................................................................................................................5
1. DEFINICIONES............................................................................................................................7
1.1. AUDITORÍA INFORMÁTICA....................................................................................................................71.2. AUDITORÍA DE BASE DE DATOS...........................................................................................................81.3. PUNTOS A LOS QUE SE ENFOCA EL AUDITOR.......................................................................................8
1.3.1. Control y Seguridad de la Base de Datos.........................................................................81.3.2. Diseño................................................................................................................................91.3.3. La investigación de la arquitectura..................................................................................9
1.4. OBJETIVOS GENERALES DE AUDITORÍA DE BASE DE DATOS.............................................................91.5. PLANIFICACIÓN DE LA AUDITORÍA DE BASES DE DATOS.................................................................101.6. IMPORTANCIA DE LA AUDITORÍA DE BASE DE DATOS.......................................................................111.7. AUDITORÍA ORACLE...........................................................................................................................11
2. NIVELES DE AUDITORÍA.......................................................................................................13
2.1. NIVEL BÁSICO......................................................................................................................................132.2. NIVEL MEDIO......................................................................................................................................142.3. NIVEL ALTO.........................................................................................................................................152.4. CUADRO COMPARATIVO ENTRE LOS NIVELES DE AUDITORÍA........................................................16
3. TIPOS DE AUDITORÍA............................................................................................................17
3.1. AUDITORÍA DEL CLIENTE...................................................................................................................173.1.1. Auditoría de aplicativo....................................................................................................183.1.2. Auditoría de Disparadores..............................................................................................19
3.2. AUDITORÍA EN EL MOTOR DE LA BASE DE DATOS.............................................................................193.2.1. Agregada:........................................................................................................................203.2.1.1. Censal:........................................................................................................................203.2.1.2. Muestral:....................................................................................................................213.2.2. Detallada:........................................................................................................................213.2.2.1. Cambios......................................................................................................................213.2.2.2. Accesos.......................................................................................................................213.2.3. –Otros..............................................................................................................................21
4. POLÍTICAS DE AUDITORÍA..................................................................................................22
5. IMPLEMENTACIÓN DE AUDITORÍA..................................................................................26
5.1. DEFINIR QUE SE QUIERE AUDITAR.....................................................................................................265.2. PASOS PARA HABILITAR LA AUDITORÍA:............................................................................................275.3. ADMINISTRAR PISTA DE AUDITORIA...................................................................................................275.4. ANÁLISIS DE LA INFORMACIÓN RECOLECTADA................................................................................285.5. MONITOREAR EL CRECIMIENTO DE LA PISTA DE AUDITORÍA..........................................................285.6. PROTEGER LA PISTA DE ACCESOS NO AUTORIZADOS.......................................................................29
6. RECOLECCIÓN DE DATOS EN ORACLE 11G...................................................................29
6.1. AUDITORÍA GENÉRICA........................................................................................................................306.1.1. Tabla de Comandos para Auditoria Genérica................................................................32
6.2. AUDITORÍA DE GRANO FINO..............................................................................................................336.2.1. Tabla de Comandos para Auditoria Genérica................................................................34
7. PRODUCTOS ORACLE ESPECIALIZADOS EN SEGURIDAD DE BASES DE DATOS36
7.1. ORACLE DATABASE VAULT................................................................................................................367.2. ORACLE ADVANCED SECURITY..........................................................................................................367.3. ORACLE DATABASE FIREWALL..........................................................................................................377.4. ORACLE AUDIT VAULT.......................................................................................................................38
8. CHECK LIST E INFORMES DE AUDITORIA.....................................................................39
CONCLUSIONES.................................................................................................................................53
Bibliografía..............................................................................................................................................54
Introducción
Considerando la importancia del manejo y datos e información en la
actualidad, se cuenta con eficientes recursos como los sistemas de gestión
de base de Datos (SGBD). Una de las herramientas más poderosas e
integrales es Oracle en el ámbito de las Bases de Datos relacionales, debido
a que poseen una serie de características que las hacen sólidas frente a gran
volumen de datos e incluso diversificación de los mismos.
Justamente esta posibilidad de manejar de almacenamiento masivo
de la información que nos brinda ORACLE, trae consigo la necesidad
ineludible de establecer controles que permitan prevenir, detectar, corregir y
hast0061 mitigar los riesgos asociados con acceso y uso de la base de datos
a nivel de objetos (tablas, vistas usuarios), incluyendo creación, modificación
y eliminación, también lo que son tiempos de conexión, crecimiento
controlado de la BD, privilegios de usuarios, roles y un sin fin de aspectos
que puedan representar cambios en mayor o menor magnitud al repositorio
de datos. Una de las funcionalidades que permite al administrador y a los
usuarios autorizados abordar estos elementos de control es la herramienta
de Auditoría que posee ORACLE, permitiendo establecer un monitoreo y
seguimiento del uso de la base de datos en conjunto con una gama de
posibilidades y niveles para auditar las acciones, según las necesidades de
la empresa o usuarios de la BD.
El siguiente Informe tiene como objetivo conocer y reseñar los
elementos básicos del módulo de auditoría que ofrece ORACLE, partiendo
desde los conceptos básicos de auditoría en base datos hasta los objetivos,
planificación, comandos, tipos de auditoría, rendimiento, importancia
beneficios y hasta la referencia de la norma COBIT con respecto a la
Auditoría de Base de Datos.
Mediante la investigación documental se ha realizo el contacto y
reseña del tema, analizando y contrastando la información obtenida, con el
fin de obtener una visión completa y clara de los elementos a considerar y la
forma de ejecución.
1. Definiciones
1.1. Auditoría Informática
La auditoría informática es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un Sistema de Información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los
recursos y cumple con las leyes y regulaciones establecidas.
También permite detectar de forma sistemática el uso de los recursos y
los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costos, valor y barreras, que
obstaculizan flujos de información eficientes.
Básicamente, Auditar consiste principalmente en estudiar los
mecanismos de control que están implantados en una empresa u
organización, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de
control pueden ser directivos, preventivos, de detección, correctivos o de
recuperación ante una contingencia.
1.2. Auditoría de Base de Datos
Es el proceso que permite medir, asegurar, demostrar monitorear y
registrar los accesos a la información almacenada en las bases de datos
incluyendo la capacidad de determinar:
Quién accede a los datos
Cuando se accedió a los datos
Desde que dispositivo / aplicación
Desde que ubicación en la Red
Cuál fue la sentencia SQL ejecutada
Cuál fue el efecto del acceso a la base de datos
La auditoría de base de datos es uno de los procesos fundamentales para
apoyar la responsabilidad delegada a la IT frente a las regulaciones y su
entorno de negocios o actividad.
1.3. Puntos a los que se enfoca el auditor
1.3.1. Control y Seguridad de la Base de Datos
Que se tenga siempre una lista de los usuarios así como también
diferentes perfiles, tipos de usuarios, documentación sobre cambios,
accesos limitados, buscar e identificar que cada uno este en su puesto,
que administradores tienen acceso, los programadores no deben tener
acceso a la base real, que usuarios tienen acceso a toda la base de datos,
en caso de que no tenga los perfiles el auditor debe de identificarlos e
identificar que cada persona este en su puesto.
1.3.2. Diseño
Identificar que realmente se deje una trayectoria o documentación sobre la
base de datos, que tenga diccionario de base de datos y cada uno tenga los
datos adecuados, lista de los objetos.
1.3.3. La investigación de la arquitectura
Se refiere al sistema operativo y el software para crear una base de datos,
además de que deban ser compatible, chequear estudios previos para
escoger el software adecuado, verificar que los componentes que se
compren sean los adecuados para la compatibilidad) el ciclo de vida de una
base de datos (cuanto tiempo durará el sistema o base de datos que se
diseño), estudio de la información este realmente de acuerdo con la empresa
que esta utilizando en este momento, si se cuenta con la documentación de
la reingeniería aplicada, tener almacenados ciertos archivos que se
modifican, verificar que exista un oficio para poder hacer la modificación con
las autorizaciones necesarias, verificar que exista registro de todo.
Dentro de la auditoría de base de datos tenemos dos formas de auditoría,
éstas son auditoría del cliente y auditoría en el motor de base de datos.
1.4. Objetivos Generales de Auditoría de Base de datos
Disponer de mecanismos que permitan tener trazas de auditorías
completas y automáticas relacionadas con el acceso a las bases de datos,
incluyendo la capacidad de generar alertas con el objetivo de:
Mitigar los riesgos asociados con el manejo inadecuado de los
datos.
Apoyar el cumplimiento regulatorio.
Satisfacer los requerimientos de los auditores.
Evitar las acciones criminales.
Evitar las multas por incumplimiento.
La importancia de la auditoría del entorno de base de datos radica en que
es el punto de partida para poder realizar la auditoría de las aplicaciones
que utiliza esta tecnología.
1.5. Planificación de la Auditoría de Bases de Datos
Cuando se habla de planificación, generalmente no enfocamos a un plan,
metódicamente organizado y frecuentemente de gran amplitud, para obtener
un objetivo determinado. En este sentido, la planificación de la auditoría de
base de datos, se va a referir a la serie de pasos que debemos cubrir para
determinar los aspectos e identificar los recursos y así establecer el plan de
trabajo, para lograr el alcance esperado. Por lo tanto, el auditor de base de
datos debe:
Identificar todas las bases de datos de la Organización.
Clasificar los niveles de riesgos de los datos en las bases de datos.
Analizar los permisos de acceso.
Analizar los controles de acceso existentes a las bases de datos.
Establecer los modelos de auditoría de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación
y/o usuario.
Todo esto con la finalidad de preparar un buen programa de auditoría.
1.6. Importancia de la Auditoría de base de datos
Con la auditoría de base de datos se busca monitorear y garantizar que la
información está segura, además de brindar ayuda a la organización para
detectar posibles puntos débiles y así tomar precauciones para resguardar
aún más los datos.
La auditoría de base de datos es importante porque:
Toda la información financiera reside en base de datos y deben
existir controles relacionados con el acceso a las mismas.
Se debe poder mostrar la integridad de la información almacenada
en las bases de datos.
Las organizaciones deben mitigar los riesgos asociados a la
pérdida de datos y a la fuga de información.
La información confidencial de los clientes, son responsabilidad de
las organizaciones.
Los datos convertidos en información a través de bases de datos y
procesos de negocio, representan el negocio.
Las organizaciones deben tomar medidas mucho más allá de
asegurar sus datos. Deben monitorearse perfectamente, a fin de
conocer quién o qué les hizo exactamente qué, cuándo y cómo.
1.7. Auditoría Oracle
En el caso de Oracle Database, la auditoría es un conjunto de
características que permite al administrador de la base de datos y a los
usuarios hacer un seguimiento del uso de la base de datos. El administrador
de base de datos puede definir la actividad de auditoría predeterminada,
obteniendo el registro a detalle del usuario que ejecutó la operación la fecha
y hora. La información de las auditorías se almacena en el diccionario de
datos, en la tabla SYS.AUD$ o en la pista de auditoría del sistema operativo
llamado con una pista de auditoría del sistema operativo
Se pueden auditar tres tipos de acciones:
Intentos de inicio de sesión.
Accesos a objetos
Acciones de la base de datos.
Cuando se realizan auditorías, la funcionalidad de la base de datos, es
dejar constancia de los comandos correctos e incorrectos. Esto puede
modificarse cuando se configura cada tipo de auditoría.
Por ejemplo, se pueden registrar todos los intentos de actualizar los datos
de una tabla o sólo los intentos fallidos, también se pueden registrar todos
los inicios de sesión en Oracle o sólo los intentos fallidos.
La auditoría de bases de datos se realiza en base a una metodología.
Dicha metodología deriva de un marco de buenas prácticas en seguridad de
bases de datos aplicado sobre la documentación de la versión de la base de
datos auditada.
2. Niveles de Auditoría
2.1. Nivel básico
Este nivel contempla o corresponde al nivel de seguridad mas bajo. Es
por esto recomendable que cualquier base de datos tenga este nivel como
mínimo, ya que así se cubren los aspectos de seguridad básica.
Es por esto recomendable que la organización tenga registrado en un
documento de seguridad ya sea de tipo electrónico o papel, los elementos de
la base de datos y las operaciones que se pueden ejecutar sobre dichos
elementos, detalle de usuarios y sus roles según como lo requiera la
organización.
Se requiere indudablemente definir la restricción de acceso a los datos a
los usuarios según las operaciones que se realicen mediante diversos
mecanismos y registrarlas en dicho documento de seguridad.
Debe existir un administrador de la gestión de seguridad que pueda
controlar los aspectos de auditoria y acceso al sistemas por medio de
auditoria genérica, auditando dicho acceso y controlando el número de
intentos. Es la auditoría mínima que se debería hacer para controlar el
acceso del personal. Con esta información y los horarios de trabajo de los
usuarios se pueden investigar las anomalías mediante alertas y
procedimientos almacenados.
Otro aspecto importante es contar con un repositorio activado donde que
el registro de la auditoria y paralelamente establecer un tiempo prudencial
que va a estar almacenados dichos datos en consenso con la gerencia de la
organización.
2.2. Nivel Medio
Aquí se habla de un nivel de seguridad mayor si se quiere para
empresas medianas grandes que se manejen datos de mucha importancia y
requieren de herramientas de control a mayor escala.
Es necesario que exista un responsable distinto del administrador que se
encargue de evolucionar las políticas de auditoria y que aplique criterios de
investigación ante los hechos excepcionales y datos de auditoria, apoyados
en las diversas herramientas que ofrezca el manejador en cual tengan su
base de datos.
Adicionalmente es preciso contar con un esquema de respaldo de la base
de datos en donde se ejecuten las debidas copias de seguridad y limpieza de
las tablas de auditoría.
Se debe auditar y vigilar los intentos de realización de operaciones,
autorizadas o no, sobre objetos de la base de datos personales con el
objetivo de limitar dichos intentos por parte de un usuario.
Se debe auditar los intentos fallidos de conexión del usuario auditor,
único usuario que puede ver el contenido de las tablas de auditoría, usando
el envío de mensajes tanto al propio auditor como al administrador de la base
de datos cada vez que esto ocurra.
Separar el archivo de transacciones o de log en otro disco dentro del
servidor de base de datos para obtener mayor eficiencia, en el caso de ser
una base de datos muy concurrente.
2.3. Nivel Alto
Este corresponde al mayor nivel de seguridad, especial para las
grandes empresas que requieren resguardar su valor más importante,
incluyendo no solo datos de la organización sino datos personales, de
mercado, tendencias económicas, etc., por lo que se requiere una correcta
categorización de los datos sensibles para la empresa.
Se deben auditar los intentos de actualización y borrado de los datos
sensibles para la organización por parte de los usuarios, ya sean autorizados
o no autorizados. Cada vez que se actualicen dichos datos, sin frecuencia
límite, el auditor deberá investigar este hecho sobre quién ha realizado las
modificaciones, desde qué máquina y cuándo, por medio de procedimientos
almacenados, con el objetivo de detectar irregularidades dentro de la plantilla
de la organización.
Manejar herramientas de auditoria como la de grano fino que recoge la
información mediante trazas y que va a permitir vigilar los movimientos
susceptibles de ser investigado y vigilados, utilidades que coloquen alertas
con frecuencia de actualización de datos o detección de procedimientos
almacenados, con el objetivo de detectar irregularidades dentro de la plantilla
de la organización.
Se deben tener copias de seguridad en ubicaciones diferentes,
repositorio de tablas de auditoría en servidor externo al de la base de datos.
2.4. Cuadro Comparativo entre los Niveles de Auditoría
NIVELES DE
AUDITORIA VENTAJAS DESVENTAJAS
Bajo
Se cuenta con documentación
que facilita detección de
errores, permisos, cambios
La Gestión de Privilegios
mediante roles para filtrar
acceso a los objetos y
estructuras de la BD
El control de acceso a la BD
permite controlar las conexiones
a la BD, para investigación de
errores o vulnerabilidad
El control de acceso
a la BD se puede
descontrolar si sube
el nivel de
conexiones y
desconexiones
Los Logs y registros
de auditoria deben
ser constantemente
revisados por si
ocurren fallas de
espacio.
Medio
Control casi absoluto de las
operaciones de los usuarios.
Cada operación que el auditor
considera importante es
auditada
Permite detectar y configurar
infracciones
Mejora el rendimiento del
servidor debido a que se
separan los archivos de
transacciones en discos
diferentes
Alto nivel de gasto
económico en
personal e
infraestructura de
auditoría, por esto la
organizaciones debe
ser rentable con un
nivel medio o alto del
flujo de información.
AltoRápida recuperación de los
datos en virtud del esquema de
respaldo
El costo en
infraestructura es
mayor.
con el que se cuenta
Mejora del rendimiento de la BD
por tener externos los logs de
auditoría
Detección Rápida de
operaciones que pueden hacer
vulnerable el sistema son
detectadas gracias a los
elementos de auditoría como
políticas de auditoría y
procedimientos almacenados.
Mejora de la seguridad debido al
uso de múltiples alertas, que
permiten la detección inmediata
en caso de ataques.
Configuración de
alertas de forma
manual, representa
altos costos en
tiempo y personal; y
la creación de
alertas usando
herramientas de
auditoría, con un
coste económico
relativamente alto
3. Tipos de Auditoría
Dentro de la auditoría de base de datos tenemos varias formas de ejecutar
la auditoría, entre estas tenemos:
3.1. Auditoría del Cliente
La auditoría de cliente es la que no pertenece al motor de la base de
datos. Es aquella cuyo desarrollo es realizado por el programador de la
aplicación o de la base de datos, no por el administrador o auditor de la
base de datos. Podemos distinguir dos subtipos de auditoría de cliente:
auditoría de aplicativo y auditoría de disparadores.
3.1.1. Auditoría de aplicativo
La auditoría de aplicativo es el servicio que permite analizar las
aplicaciones forma independiente a la base de datos, y su ámbito estará
delimitado al trabajo diario de la aplicación y los procesos en los que
participe.
Ofrece la ventaja de la independencia, puesto que se puede
desarrollar en el ámbito de nuestra aplicación informática los controles
necesarios y adecuados a nuestras necesidades de auditoría sin necesidad
de tener que acceder al motor de la base de datos; esta manera de auditar
permite crear procesos de control más concretos y por tanto más eficaces.
Si se hablan de desventajas se tendrán aplicaciones menos flexibles
dado que el desarrollo de soluciones de control para la auditoria de bases de
datos será más laborioso y tendremos más problemas para el mantenimiento
y actualización de la aplicación.
Las instituciones normalmente incluyen en sus gestores de información
pequeñas aplicaciones (Applets, CGIs, ActiveX, etc.) que ayudan a
gestionar los datos (datos personales, pedidos, pagos online, control de
acceso, etc.). Existen otras instituciones que utilizan aplicaciones para
realizar una gran variedad de operaciones complejas y que requieren alta
seguridad (portales corporativos, banca por Internet o brokers, comercio
electrónico o e-commerce, redes privadas virtuales o extranets, etc.) y
esto implica la utilización de una compleja aplicación que gestiona todas
estas operaciones. Por ello es necesario un servicio para poder analizar
todas estas aplicaciones, de forma independiente y exhaustiva.
3.1.2. Auditoría de Disparadores
Los disparadores son rutinas o procedimientos que se activan cuando
se producen un evento en la base de datos y que se usan para añadir lógica
o restricciones a la misma.
Pueden ser utilizados para establecer reglas de integridad como base
de datos externas como por ejemplo (no grabar un pedido si el cliente no se
encuentra registrado en la base de datos de pedido).
Para el caso de auditoría, va a ser de utilidad para la programación de
disparadores que nos permitan registrar en una tabla de auditoría los
cambios que ejecutan los usuarios como inserción, actualización o
eliminación de datos, la identidad de quien los llevó a cabo y otros datos de
interés: cómo?, cuándo se realizaron?, desde dónde?, etc., para que
posteriormente el auditor pueda analizar las operaciones
Usar este recurso nos aporta grandes ventajas, ya que de una manera
muy sencilla y directa va quedando un registro de estas operaciones tan
frecuentes en una base de datos.
3.2. Auditoría en el motor de la base de datos
La auditoría del entorno de base de datos corresponde al punto de partida
de para realizar la auditoria de aplicaciones. Es por esto que muchos
auditores dentro de las organizaciones están tomando cada vez mayor
interés con respeto a las operaciones que se ejecutan sobre los objetos de la
base de datos. Es por esto que este tipo de auditoría esta basada en
políticas diseñadas de tal forma que sea posible auditar un objeto de la base
de datos en unas determinadas circunstancias: bajo el uso de una o varias
operaciones definidas por el auditor.
De esta forma, se puede definir la política de auditoría como la información
que necesita el motor de la base de datos para auditar. Indica qué hay que
auditar, cómo y cuándo.
De lo que se deriva el inexorable vínculo entre auditoría y seguridad de la
información ya que se crean controles de acceso a los sistemas que después
nos proveen de información auditable en términos de seguridad.
El proceso de auditoría de bases de datos debe ser independiente de las
aplicaciones que hacen uso de la información contenida en ella, así que a la
hora de evaluar los costos de la realización de la auditoría sólo tendremos
que tener en cuenta el coste que se genera en el proceso de recogida de la
información y el costo del procesamiento de la información que sirve de
base para el análisis y estudio del auditor.
Existen niveles diferentes para este tipo de auditoría dependiendo de la
forma que se recopile los datos, distinguiendo de esta forma:
3.2.1. Agregada:
Estadísticas sobre el número de operaciones realizadas sobre un objeto
de Base de Datos, por cada usuario. Como cualquier estadística, su medida
puede hacerse con técnicas censales muestrales.
3.2.1.1. Censal:
El gestor toma datos de todas las operaciones que recibe, según el gestor,
esto se ejecutará en paralelo a las operaciones auditadas.
3.2.1.2. Muestral:
Periódicamente se toman una muestra de datos.
3.2.2. Detallada:
Incluye todas las operaciones realizadas sobre cada objeto.
3.2.2.1. Cambios:
El contenido de los datos. Debe contener la imagen de los datos
anteriores y posteriores a la operación del cambio.
La estructura de los objetos que componen la aplicación.
3.2.2.2. Accesos:
Limitada a las operaciones de acceso al contenido de los datos y tiene
dos niveles de detalle:
Operación (sentencia SQL que se ejecutó) y resultado (los datos que se
vieron en la sentencia SQL ejecutada).
3.2.3. Otros:
Copias de seguridad y recuperaciones.
Reconstrucción de un estado de los datos.
4. Políticas de Auditoría
Las políticas de auditoría son el conjunto de normas, reglas,
procedimientos y prácticas que van a regular la protección de la información
de la base de datos, contra la perdida de confidencialidad, integridad o
disponibilidad, tanto de forma intencional como accidental, por lo tanto
corresponde a los mecanismos que permitan resguardar todos estos
elementos, por lo cual se diseñaran los aplicativos necesarios, haciendo la
salvedad que no corresponde de forma estricta a un conjunto de
validaciones, sino que evoluciona según los riesgos detectados por lo tanto
también existe la posibilidad de ejecución de actividades de auditoría
producto de la detección de actividades de origen sospechosos a través de
una auditoría más específica con respecto a los eventos que se quieran
controlar.
Por lo tanto existen diversos elementos que pueden establecerse como
políticas para la protección de la información como:
Control de Acceso : Mediante estas políticas se establece el control sobre
la autenticación e identificación los usuarios que conectan a la base de
datos, con el fin de otorgar los accesos solos a los usuarios que estén
autorizados, se registran los inicios de o cierres de sesión de un usuario
desde otro equipo. Cuando se decide tener activa esta opción se puede
especificar si se quiere auditar:
Aciertos: Generan un entrada cuando el usuario intenta iniciar la
sesión y tiene éxito, lo que ofrece información útil para establecer la
responsabilidad y para la investigación tras el incidente, de forma
que se pueda determinar quién consiguió iniciar sesión y en qué
equipo
Errores: Generan una entrada de auditoría cuando en un intento de
inicio de sesión de cuenta se produce un error, lo que resulta útil
para la detección de intrusos, intentos de violación de seguridad,
también se tiene la posibilidad de configurar una condición de
negación de servicio que limite las veces de intento de conexión y
las entradas de registro de sucesos de seguridad.
Niveles de Acceso a la BD: Revisión del tipo de acceso a de los usuarios, si
el acceso es temporal, si esta permanentemente conectado en cualquier
momento o rangos de horas en días autorizados. De acuerdo al espacio:
desde cualquier maquina de la red, cualquier máquina registrada, máquinas
explícitamente autorizadas, hora y usuario
Uso de Privilegios Aquí se revisaría y regularía el tipo de operaciones que
se pueden ejecutar sobre la base de datos como (insertar, crear, modificar,
actualizar, eliminar) sobre los datos o las estructuras de datos, de acuerdo al
usuario que ejecuta la operación. De esta forma se estarían bloqueando las
funciones que no son inherentes al usuario con respecto a estructuras y
datos de la BD
Roles: Cuando se habla de roles se refiere a la configuración del conjunto de
privilegios para un usuario que son agrupadas mediante una sola función
denominada rol con el fin de delimitar las acciones que el mismo puede
ejecutar sobre la BD.
Acceso a Objetos: Registro de las operaciones realizadas sobre objetos de
las Base de Datos como tablas, vistas, procedimientos etc., con detalle de
operaciones como borrado
Aplicaciones de Usuario: Auditoría sobre las medidas de seguridad o
validaciones que se utilizan en las herramientas de interfaz gráficas de
usuario con el fin de proteger la carga de datos errónea provocada por los
usuarios
Diccionario de Datos: Corresponde a los procesos de auditoría que
resguardan la integridad de los datos del repositorio.
Otros procedimientos que respaldarían y otorgarían consistencia a los
procesos definidos como auditables son los siguientes:
Ejecución de Copias de Seguridad de las Estructuras de datos
Procedimientos de recuperación de datos que aseguren la
disponibilidad
Políticas de control de los accesos concurrentes según el numero de
usuarios que tiene la BD
Políticas de control de cambio para ejecutar actualizaciones,
corrección de errores y diversos cambios a la BD con la aprobación de
su respectivo comité.
Es de suma importancia que también la organización maneje mediante la
redacción de procedimientos es instrucciones la operación de programas y
aplicaciones que acceden a las estructuras y base de datos, así como sus
procesos de respaldo y recuperación.
Para el caso de Oracle se cuenta con herramientas que potencian las
capacidades de auditoría standard con la detallada. Permitiendo generar
informes de cumplimiento regulatorio en donde se recopilan y consolidan los
datos productos de la detección de forma automática las actividades
sospechosas o amenazas sobre la BD e incluye el monitoreo de dichas
actividades.
Cabe mencionar que también se tiene también opciones por defecto que
auditan eventos de manera automática por ejemplo: inicio, lugar de cierre, y
los intentos de conexión a la base de datos con privilegios administrativos.
Estos se pueden visualizar utilizando el comando show parameter audit, para
lo cual debemos estar logeados con un usuario que tenga los suficientes
privilegios, utilizamos el usuario sysdba. SHOW PARAMETER AUDIT.
Una vez que se toma la decisión de que se va auditar, se configura el
parámetro de inicialización AUDIT_TRAIL que se encuentra en el archivo
init.ora, para habilitar la auditoria. Este parámetro indica si la pista de
auditoria se esta escribiendo a la tabla SYS.AUD$ de la base de datos en la
pista de auditoria del sistema operativo.
Cuando se decide utilizar la tabla SYS.AUD$ esta debe revisarse
periódicamente, por si hiciera falta truncarla debido a que su aumento de
tamaño puede causar problemas de espacio en el tablespace system.
Los Posibles valores del parámetro audit_trail:
none: desactiva la auditoría de la base de datos.
os: activa la auditoría de la base de datos. Los sucesos auditados
se escribirán en la pista de auditoría del sistema operativo, no se
auditará en Oracle sino en el sistema operativo anfitrión. Esta
opción funcionará dependiendo del sistema operativo.
db: activa la auditoría y los datos se almacenarán en la taba
SYS.AUD$ de Oracle.
db, extended: activa la auditoría y los datos se almacenarán en la
tabla SYS.AUD$ de Oracle. Además se escribirán los valores
correspondientes en las columnas SQLBIND y SQLTEXT de la
tabla SYS.AUD$.
xml: activa la auditoría de la base de datos, los sucesos será
escritos en ficheros XML del sistema operativo.
xml, extended: activa la auditoría de la base de datos, los sucesos
serán escritos en el formato XML del sistema operativo, además se
incluirán los valores de SqlText y SqlBind.
5. Implementación de Auditoría
5.1. Definir que se quiere auditar
En una base de datos hay distintas actividades que se pueden auditar
según las necesidades propias del negocio y el análisis previo realizado.
Justamente para la configuración de los distintos tipos de auditoría, es
oportuno y correcto el uso del comando audit que permite configurar
distintos tipos de Auditoría. Este comando puede utilizarse aunque no esté
activada la auditoría de base de datos, aunque para obtener los resultados
de dicha auditoría hay que definir correctamente el parámetro ya explicado
de inicialización audit_trail.
5.2. Pasos para habilitar la auditoría:
1. Identificar los objetos u estructuras de datos que deben ser auditadas
con el fin de satisfacer los requerimientos de información necesarios
para su posterior análisis.
2. Determinar que elementos y acciones sobre dichos elementos se
desea registrar.
3. Utilizar el módulo de auditoría para registrar la información definida en
los puntos anteriores y de esta manera habilitar la auditoría sobre
dichos objetos
4. Verificar que las pistas de auditoría definidas sirvan para el análisis
que se desea realizar mediante pruebas.
5. Repetir los pasos anteriores hasta lograr que se genere la
información deseada en el repositorio de auditoría.
5.3. Administrar pista de auditoria
La generación de las pista de Auditoría nos permite mantener el historial
de los cambios que se realizan de los datos e identificar que se cambio,
quién y cuando se ejecuto el cambio. Este es el punto de partida para el
análisis de la información con respecto a como se obtuvo el valor actual de
cualquier elemento.
5.4. Análisis de la información Recolectada
Consiste en cotejar y razonar la información obtenida mediante el acceso a
al repositorio de la auditoria con herramientas de consulta como el
Discoverer que viene a ser una herramienta que permite generar información
propia a partir de los datos existentes o para solventar problemas específicos
con un fin preciso (ad hoc), esto para el análisis del negocio, crear
escenarios, observar tendencias, etc.
Es muy posible que la información que se requiera no se tenga en línea o
con la exactitud que se requiere ya que es necesario depurar la información
almacenada en el repositorio por restricciones de espacio. Es por esto que
cuando se requiere investigar algún elemento en específico se puede
solicitar al administrador o al operador la recuperación de la información.
5.5. Monitorear el crecimiento de la pista de Auditoría
El uso del proceso auditoría a la base datos se tiene falsamente percibido
como complejo y lento y la razón de esto suele ser por desconocimiento,
debido a que es lógico que si se tienen activadas múltiples opciones a
auditar, la pista resultante de dicha auditoría pueden ser grande y compleja
para descifrar y administrar. Por otra parte, si se utiliza auditoría en todas las
tablas y vistas de la BD seguramente se va a ver afectado el rendimiento, ya
que por cada operación se escribe un registro en la tablas de auditoría, lo
que sigue contribuyendo a la ralentización de las operaciones que se
ejecuten dentro de la BD.
Por lo tanto es vital que cuando se utilicen los recursos de la herramienta
de auditoría se planifique y ejecute de manera sencilla y prudencial, basados
en el seguimiento de objetos y objetos críticos de la BD, por esto se
requieren una análisis previo de posibles abusos que se pueden realizar y
de las acciones que se van a dictaminar, de forma tal que esto genere un
informe que permita filtrar las pista de auditoría para estas acciones.
5.6. Proteger la pista de Accesos no autorizados
Es necesaria la aplicación de mecanismos adecuados para proteger
datos sensitivos no solo en este caso de las pistas de auditoría, sino de
los datos e información almacenados y transmitidos a través de las
tecnologías de información, que están sujetos a las amenazas
provenientes de accesos, usos, apropiación y alteración no autorizados,
transmisiones fraudulentas, caída o destrucción del servicio, y requieren
de mecanismos adecuados para salvaguardarlos;
6. Recolección de Datos en Oracle 11g
Cuando el Sistema Gestor de Base de Datos Oracle tiene que auditar
ciertas acciones, incrementa la cantidad de trabajo que el sistema tiene que
realizar. Sin embargo, es posible enfocarla para que solo los eventos que
sean interesantes sean capturados. La auditoría mal enfocada afecta
significativamente el rendimiento computacional y al espacio de
almacenamiento, y por ello, el Auditor de la base de datos debe elegir qué
auditar con buen criterio.
Para hacer más o menos personalizada la auditoría, Oracle ofrece dos
enfoques de auditoría: auditoría genérica y auditoría de grano fino. La
auditoría genérica fue la primera en implementarse, siendo en la versión 8i;
mientras que la auditoría de grano fino fue implementada en la versión 9i
para consulta, y en la versión 10g para modificación y borrado.
La auditoría genérica es usada para capturar eventos de usuarios sobre
cambios y accesos a información de la base de datos. Puede auditar
inserciones, modificaciones, borrados y consultas de dicha información,
conexiones y desconexiones a la base de datos, etc. Lo hace siempre de
forma general. Sin embargo, a veces es necesario auditar bajo
circunstancias específicas. La auditoría de grano fino sí permite esto,
además de poder capturar eventos sobre qué se ha visto o qué se ha
modificado.
6.1. Auditoría Genérica
La auditoría trabaja guardando y recopilando trazas sobre las acciones
de usuarios de la base de datos para poder reconstruir, en un futuro, lo que
dichos usuarios han hecho. No tiene que ver con lo que el usuario puede o
haya podido hacer, ya que de eso se encargan los Administradores de la
base de datos en la concesión de permisos. De hecho, ciertos usuarios
pueden tener acceso a información privilegiada gracias a los permisos antes
citados; y la auditoría nos permite saber qué usuarios han utilizado esa
información.
La auditoría genérica engloba toda auditoría que es capaz de controlar
comandos SQL, recogiendo todas las operaciones posibles desde el
Lenguaje de Definición de Datos al Lenguaje de Manipulación de Datos (sus
siglas en inglés, DDL y DML respectivamente).
Dichas operaciones se hacen sobre objetos de la base de datos, y se
refiere a operaciones de inserción, borrado, modificación y consulta sobre los
datos de dichos objetos, creación y borrado de los objetos, tanto si estas
operaciones han tenido éxito como si no. Hay que considerar que las
operaciones de consulta, borrado y actualización siempre, tanto si se
generan datos en la consulta, se borran datos y se actualizan
respectivamente como si no, generarán un dato de auditoría, siempre que
está auditado.
A continuación se muestra una tabla que puede ayudar a visualizar
algunos comandos que nos mostraran más claramente la forma de manejar
la auditoria genérica en Oracle.
6.1.1. Tabla de Comandos para Auditoria Genérica
DBA_OBJ_AUDIT_OPTS Describe las políticas de auditoría genérica activadas sobre
objetos, incluyendo las opciones de auditoría de todos ellos
(operaciones que se auditan sobre los objetos) e información
relevante: propietario del objeto, nombre del objeto y tipo de
objeto.
USER_OBJ_AUDIT_OPTS Esta vista no es única ni exclusiva del administrador. Cada
usuario tienen en su esquema esta vista, llamada de la misma
manera, y que muestra las políticas de auditoría genérica
creadas sobre objetos de su esquema. Es similar a
DBA_OBJ_AUDIT_OPTS sólo que no lleva la columna del
propietario del objeto, pues es implícito que el propietario sea
el mismo que la vista.
DBA_PRIV_AUDIT_OPTS Describe las políticas de auditoría sobre privilegios del
sistema que están activas en un momento dado.
DBA_STMT_AUDIT_OPTS Describe las políticas de auditoría sobre privilegios del
sistema que están activas en un momento dado. Se diferencia
de DBA_PRIV_AUDIT_OPTS en que, en lugar de mostrar
sólo el privilegio que se audita, muestra sus opciones.
DBA_AUDIT_EXISTS Contiene los registros de los eventos sobre la existencia o no
existencia de los objetos, incluyendo en dichos eventos todas
las políticas producidas por audit exists y audit not exists.
DBA_AUDIT_OBJECT Muestra los registros de auditoría producidos por políticas de
auditoría genérica que están relacionadas con objetos (tablas,
vistas, índices, secuencias, enlaces, disparadores, espacios
de tablas, etc.)
USER_AUDIT_OBJECT Muestra los registros de auditoría producidos por políticas de
auditoría genérica que están relacionadas con objetos (tablas,
vistas, índices, secuencias, enlaces, disparadores, espacios
de tablas, etc.) y que has sido producidas por el usuario
propietario de la vista. Esta vista no es única, y la tienen todos
los usuarios en su esquema.
DBA_AUDIT_SESSION Muestra los registros de auditoría producidos por políticas de
auditoría genérica que están relacionadas con inicio y fin de
sesión (CONNECT y DISCONNECT).
6.2. Auditoría de Grano Fino
En la auditoría genérica, se guarda qué usuarios realizaron qué
operación sobre un objeto de la base de datos. Sin embargo, a veces esto no
es suficiente. Muchas veces es necesario saber, qué consulta ejecutó un
usuario sobre una tabla en un momento determinado o qué datos fueron
borrados, modificados o insertados por parte del usuario.
Este tipo de auditoría se llama Auditoría de grano fino, y está disponible
en Oracle desde su versión 9i. Es capaz de auditar no sólo qué objeto fue
consultado por un usuario, sino que también puede auditar qué información
obtuvo, en el caso de haber hecho consulta y qué información introdujo,
borró o modificó en el caso de haber hecho una modificación. Nótese que la
información capturada es muy extensa.
La Auditoría de grano fino surgió por la necesidad de capturar acciones
fruto del uso indebido de un privilegio por parte de un usuario [5]. Éste tipo de
auditoría podría ser simulada mediante auditoría basada en disparadores
unida con el Log Miner mejorando el hecho de que, al deshacer la acción
mediante la orden rollback, se anula la transacción y se elimina la
información guardada por el disparador. El Log Miner nos permite recuperar
la información de los ficheros de Log, y uniendo sus fuerzas con la Auditoría
general, podríamos recopilar la información de las inserciones, borrado o
modificaciones.
Al igual que hicimos en la sección de Auditoria Genérica, aquí les
mostraremos una serie de comandos utilizados en la Auditoria de Grano
Fino, que nos ayudaran a visualizar mejor como se maneja este tipo de
auditoría.
6.2.1. Tabla de Comandos para Auditoria Genérica
ALL_AUDIT_POLICY_COLUMNS Describe las políticas de auditoría de grano fino
para una operación sobre una o varias columna
específica de ciertas tablas.
AUDIT_ACTIONS Contiene códigos de las acciones que pueden
ser auditadas. Es una especie de catálogo para
la optimización de la auditoría de grano fino.
DBA_AUDIT_POLICIES Muestra exactamente los mismos datos que la
vista ALL_AUDIT_POLICIES
STMT_AUDIT_OPTION_MAP Es un mapa de opciones de auditoría que
contiene códigos de las opciones que pueden
tener las políticas de auditoría. Es una especie
de catálogo para la optimización de la auditoría
de grano fino por parte de Oracle.
DBA_FGA_AUDIT_TRAIL Muestra todos los registros de auditoría
realizados con políticas de auditoría de grano
fino.
V$XML_AUDIT_TRAIL Contiene todos los registros de auditoría, tanto
genérica como de grano fino, auditoría de SYS
y registros en XML. Cuando los registros de
auditoría se traducen a un formato XML OS, se
pueden leer con un editor de texto o a través de
esta vista, que contiene información similar a la
vista DBA_AUDIT_TRAIL.
También podemos segmentar la auditoria por área de interés en la base
de datos como se muestra en el próximo cuadro.
Sentencia Detalle de la sentencia
BY usuario
Indica que se quieren auditar las
sentencias SQL requeridas para el
usuario/s indicados. Si se omite, la
auditoría se realiza para todos los
usuarios de la B.D.
BY SESSION Provoca que Oracle inserte un único
registro resumen en la tabla de auditoría
aunque la sentencia se ejecute varias
veces en la misma sesión.
BY ACCESS Provoca la escritura de un registro en las
tablas de auditoría cada vez que la
sentencia se ejecuta. Cuando se
especifican
Auditorías de sentencias DDL o de
privilegios del sistema, la auditoría por
defecto es por accesos. Cuando se
auditan sobre objetos o sentencias DML,
la auditoría por defecto es por sesión
WHENEVER SUCCESSFULSe realiza la auditoría cuando la
sentencia auditada haya concluido
satisfactoriamente
WHENEVER NOT SUCCESSFUL Se realiza la auditoría cuando la
sentencia auditada NO concluya
satisfactoriamente.
7. Productos Oracle Especializados en Seguridad de Bases
de Datos
7.1. Oracle Database Vault
Es una herramienta que ayuda a las organizaciones a proteger de forma
proactiva los datos de aplicaciones almacenadas en base de datos Oracle.
Los datos de aplicación puede ser más protegidos mediante políticas de
Oracle Database Vault de múltiples factores que controlan el acceso, basado
en factores como la hora del día, la dirección IP, nombre de la aplicación y el
método de autenticación, prevención de autorización de anuncios de acceso
especial y la aplicación de by-pass .
7.2. Oracle Advanced Security
Es una herramienta que ayuda a las organizaciones a cumplir la
reglamentación de mandatos de privacidad, tales como Sarbanes-Oxley,
Payment Card Industry (PCI) Estándar de Seguridad Informática (DSS),
Health Insurance Portability and Accountability Act (HIPAA), así como
numerosas leyes sobre notificación de infracciones. Con Oracle Advanced
Security, los clientes de forma transparente se pueden cifrar todos los datos
de aplicación específica o columnas sensibles, tales como tarjetas de crédito,
números de seguro social o información de identificación personal (PII).
Mediante la encriptación de datos en reposo en la base de datos, así como
cada vez que sale de la base de datos por la red o a través de copias de
seguridad, Oracle Advanced Security proporciona la solución más rentable
para la protección de datos completa.
7.3. Oracle Database Firewall
Es una herramienta que permite monitorear la actividad de base de datos
en la red para ayudar a prevenir el acceso no autorizado, las inyecciones de
SQL, el privilegio o la escalada papel, y otros ataques externos e internos
todo en tiempo real. Basado en la innovadora tecnología de gramática SQL
que puede reducir millones de instrucción SQL en un pequeño número de
características de SQL, Oracle Database Firewall ofrece una precisión
inigualable, escalabilidad y rendimiento. Aplicación de los resultados
positivos (listas blancas) y negativas (listas de negro) los modelos de
seguridad proporciona protección frente a amenazas sin falsos positivos
tiempo y dinero. Oracle Database Firewall también permite a las
organizaciones para hacer frente a SOX, PCI, HIPAA / HiTech, y otros
requisitos reglamentarios, sin cambios en las aplicaciones o bases de datos
existentes, y demostrar que cumple con una función de informes
personalizados.
7.4. Oracle Audit Vault
Es una herramienta que permite automatizar la recolección de datos de
auditoría, monitorizar y generar informes, volcando dicha información en un
esquema propio.
Básicamente, recolecta datos de auditoría de una base de datos, ya sea
Oracle o MS SQLServer, y, además de guardar los datos en un esquema
propio en forma de DataWarehouse, estudia dichos datos para detectar
cualquier anomalía.
Oracle Audit Vault consta de un servidor y un agente. El servidor, que en la
versión más reciente de Audit Vault no está desarrollado para usarlo en
entorno Windows, debe ser configurado por el administrador, y se encargará
de recolectar todos los datos de auditoría que genera la base de datos,
organizarla y generar los informes. El agente se encarga de ofrecer sus
servicios al auditor de la base de datos. Desde el agente, el auditor podrá
crear políticas de auditoría (sólo para bases de datos Oracle), crear alertas y
obtener informes. El agente puede estar instalado en la misma máquina
donde está la base de datos Oracle o en otra máquina.
8. Check List e Informes de Auditoria
Empresa: __________________________________________________
Fecha: ____________________
Encargado de la Auditoria: __________________________________
1) ¿Existe una persona designada para la administración de Base de Datos?
Si ( ) No ( )
En caso de la respuesta ser negativa explique por qué?
___________________________________________________________________
___________________________________________________________________
¿Cuáles son sus funciones?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
2) ¿Cuales personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de base de datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
3) ¿Existen restricciones para el ingreso o inclusión de los datos en las
estructuras de Base de Datos? SI ( ) NO ( )
4) ¿Cuáles son las restricciones?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
5) ¿Cumplen con los lineamientos (documentación, justificación y
autorización)?
SI ( ) NO ( )
6) Se cuenta con procedimientos escritos para la recuperación de base y
estructura de datos en caso de una destrucción total o parcial. ¿Cuáles?
SI ( ) NO ( )
Detalle:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
7) ¿Se dispone de mecanismos de seguridad que garanticen la protección
contra la destrucción accidental o deliberada?
SI ( ) NO ( )
¿Cuáles?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
8) ¿Se dispone de mecanismos de seguridad que garanticen la protección
contra los accesos no autorizados? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
__________________________
9) ¿Están estos mecanismos avalados por el personal de Auditoría de
Sistemas y Seguridad de Activos de Información?
SI ( ) NO ( )
10) ¿Existen mecanismos de custodia?
SI ( ) NO ( )
11) ¿Existe una persona designada para la administración de Base de Datos?
SI ( ) NO ( )
12) ¿Cuáles son sus funciones?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
13) ¿Cuales personas tienen acceso para hacer cambios a la biblioteca del
sistema administrativo de base de datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
14) ¿Existen restricciones para el ingreso o inclusión de los datos en las
estructuras de Base de Datos?
SI ( ) NO ( )
15) ¿Cuáles son las restricciones?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
16) ¿Cumplen con los lineamientos (documentación, justificación y
autorización)?
SI ( ) NO ( )
17) ¿Se cuenta con procedimientos escritos para la recuperación de base y
estructura de datos en caso de una destrucción total o parcial? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
18) ¿Se dispone de mecanismos de seguridad que garanticen la protección
contra la destrucción accidental o deliberada? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
19) ¿Se dispone de mecanismos de seguridad que garanticen la protección
contra los accesos no autorizados? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
20) ¿Están estos mecanismos avalados por el personal de Auditoría de
Sistemas y Seguridad de Activos de Información?
SI ( ) NO ( )
21) ¿Existen mecanismos de custodia?
SI ( ) NO ( )
22) ¿Se aprueban los cambios, modificaciones de los programas e incorporación
de nuevas versiones mediante controles de cambio aprobado por los
administradores y su respectivo comité de cambios?
SI ( ) NO ( )
23) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la base
de datos?
SI ( ) NO ( )
Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
24) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la
biblioteca de la base de datos? ¿Cuáles?
SI ( ) NO ( )
Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
25) ¿Se cuenta con controles y procedimientos para prevenir el acceso
programas de la base de datos? ¿Cuáles?
SI ( ) NO ( )
Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
26) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las
aplicaciones de los usuarios de la base de datos? ¿Cuáles?
SI ( ) NO ( )
Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
27) ¿Se cuentan con normas para la definición, control, actualización y
monitoreo de las bases y estructuras de datos?
SI ( ) NO ( )
28) ¿Cuáles son los mecanismos que aseguran el cumplimiento de las normas
de definición, control, actualización y monitoreo de las bases estructuras de
datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
29) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de
las estructuras y base de datos?
Diarias: ___ Semanales: ___
Trimestrales: ___ Semestrales: ___
Anules: ___
30) ¿Existen procedimientos de recuperación que aseguren la disponibilidad de
la base de datos? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
31) ¿Cuáles son los niveles de control de acceso a la información?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
32) ¿Quiénes son las personas autorizadas de actualizar la base de datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
33) ¿Cuales personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de base de datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
34) ¿Existen restricciones para el ingreso o inclusión de los datos en las
estructuras de Base de Datos?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
35) ¿Se cumplen con los lineamientos (documentación, justificación y
autorización)?
SI ( ) NO ( )
36) ¿Se cuenta con procedimientos escritos para la recuperación de base y
estructura de datos en caso de una destrucción total o parcial? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
37) ¿Se dispone de mecanismos de seguridad que garanticen la protección
contra la destrucción accidental o deliberada? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
38) ¿Se dispone de mecanismos de seguridad que garanticen la protección
contra los accesos no autorizados? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
39) ¿Están estos mecanismos avalados por el personal de Auditoría de
Sistemas y Seguridad de Activos de Información?
SI ( ) NO ( )
40) ¿Existen mecanismos de custodia?
SI ( ) NO ( )
41) ¿Se aprueban los cambios, modificaciones de los programas e incorporación
de nuevas versiones mediante controles de cambio aprobado por los
administradores y su respectivo comité de cambios?
SI ( ) NO ( )
42) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la base
de datos? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
43) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la
biblioteca de la base de datos? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
44) ¿Se cuenta con controles y procedimientos para prevenir el acceso
programas de la base de datos? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
45) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las
aplicaciones de los usuarios de la base de datos? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
46) ¿Se cuentan con normas para la definición, control, actualización y
monitoreo de las bases y estructuras de datos?
SI ( ) NO ( )
47) ¿Cuáles son los mecanismos que aseguran el cumplimiento de las normas
de definición, control, actualización y monitoreo de las bases estructuras de
datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
48) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de
las estructuras y base de datos?
Diaria___ Semanal___
Mensual___ Trimestral___
Semestral___ Anual___
49) ¿Existen procedimientos de recuperación que aseguren la disponibilidad de
la base de datos? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
50) ¿Existen mecanismos que garanticen la corrección, integridad y consistencia
de las relaciones en la base de datos?
SI ( ) NO ( )
51) ¿Existe un checklist que ayude a la reactivación del servicio luego de una
falla mayor?
SI ( ) NO ( )
52) ¿Se realiza mantenimiento a las bases de datos donde, se realicen
organización de la estructura y así administrar mejor el espacio en disco y
las relaciones de las relaciones de las tablas?
SI ( ) NO ( )
53) ¿Existencia de un procedimiento que garantice el cumplimiento de los
procedimientos definidos para los mantenimientos de de las bases de datos?
SI ( ) NO ( )
54) ¿Existe una herramienta de monitoreo que ayude al desempeño optimo de la
base de datos?
SI ( ) NO ( )
55) La herramienta de monitoreo se encarga de:
o Manejos de accesos y estructura de la base de datos Si ___ No___
o Limitación de acceso por usuario. Si ___ No___
o Limitación de los cambios y actualización de archivos. Si ___ No___
o Registrar las transacciones de accesos y cambios para control,
auditoria y recuperación. Si ___ No___
o Limitación de usuarios a las bases de datos de pruebas. Si ___
No___
56) ¿Se posee una bitácora de acciones en la base de datos y sus estructuras?
SI ( ) NO ( )
57) La bitácora cuenta con registro de:
o Todos los datos borrados de las bases de datos. Si ___ No___
o Origen (interno o externo) de todas las transacciones. Si ___ No___
o Utilización de la base de datos por personas distintas a los usuarios
que tienen accesos autorizados a la aplicación. Si ___ No___
o Violaciones de seguridad con respecto a las bases de datos. Si ___
No___
o Reorganizaciones o sintonizaciones de las bases de datos. Si ___
No___
o Uso de las utilerías de las bases de datos. Si ___ No___
o Estado del sistema que pueda ser requerido para reinicio o cambio
de datos erróneos. Si ___ No___
58) ¿Existen manuales de procedimientos para todas las aplicaciones del
manejo de los programas que acceden a las estructuras y bases de datos.?
SI ( ) NO ( )
59) ¿Se encuentran estandarizados toda la documentación de todos los
programas y aplicaciones desarrolladas internas como externas, antes de
que las mismas entren en producción?
SI ( ) NO ( )
60) ¿Existe documentación de los estándares de prueba de programas que
especifiquen los criterios para generar, revisar y resguardar datos de
pruebas?
SI ( ) NO ( )
61) ¿Se utiliza el diccionario de datos para mantener el rastreo de los datos a
través de las aplicaciones que lo emplean?
SI ( ) NO ( )
62) ¿Existe control de acceso al lugar en el cual se encuentran almacenados los
archivos de las bases de datos.?
SI ( ) NO ( )
63) Las personas autorizadas, ¿tienen dicha autorización por escrito, manual de
descripción de cargos y funciones, otro documento?
SI ( ) NO ( )
64) Mostrar la documentación que certifique los procedimientos de respaldo y
recuperación que se utilizaran en caso de falla en las bases de datos, o de
destrucción parcial o total.
SI ( ) NO ( )
65) Solicitar documentación donde se verifique que los procesos de respaldo,
recuperación y restauración de la información de las bases de datos fueron
probadas incluso antes de entrar en producción?
SI ( ) NO ( )
Conclusiones
La auditoria es la herramienta que ayuda a mantener el control sobre todas
la áreas del negocio, cualquiera que sea su naturaleza, es una forma de
actualizarse y mantenerse al corriente de la situación actual de la empresa y
las áreas que la conforman.
En las bases de datos también es vital el establecimiento de controles
efectivos, debido a que es ahí donde reposa toda la información sensible de
la organización e incluso de entes externos a la organización como es el
caso de los clientes. La importancia de las bases de datos fueron mostradas
a través de todo el informe y lo sensible de esta herramienta tecnológica nos
obliga a no descuidarlas.
Las Bases de Datos Oracle, mostraron lo robustas que son para el manejo
de pequeñas empresas como para grandes corporaciones, y la gama de
productos en el ámbito de seguridad que mantienen totalmente actualizados
para mitigar los riesgos que las bases de datos puedan estar expuestas. Las
herramientas, como utilizarlas, en que área específica utilizarlas fue
mostrado y explicado, dejando al lector con buena información y motivándolo
a investigar más sobre cualquier punto que desee desarrollar.
Bibliografía
Auditoria Informática, Disponible:http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=415#comoejecutarcomandossql[Consulta: 26 de Abril, 2011]
Base de Datos Cobit, Disponiblehttp://www.bluecoreresearch.com/papers/cobit.pdf[Consulta: 29 de Abril, 2011]
Introducción a la Auditoría Simple, Dsiponiblehttp://www.petefinnigan.com/papers/audit.sql[Consulta: 29 de Abril, 2011]
Gestión de Seguridad de Base de Datoshttp://www.desarrolloweb.com/articulos/gestion-seguridad-oracle-I.html[Consulta: 01 de Mayo, 2011]
Access Control on Tables, Views, Synonyms, or Rowshttp://download.oracle.com/docs/cd/B19306_01/network.102/b14266/accessre.htm#CHDDGEJG[Consulta: 02 de Mayo, 2011]
12 configuring and administering auditinghttp://download.oracle.com/docs/cd/B19306_01/network.102/b14266/cfgaudit.htm#BABCFIHB[Consulta: 28 de Abril, 2011]
Análisis, desarrollo e implementación de auditoría en la base de datoshttp://e-archivo.uc3m.es/bitstream/10016/10588/1/pfc_memoriaV6_Clemente_Fernandez_Puerto.pdf[Consulta: 20 de Abril, 2011]
Seguridad de la Informaciónhttp://www.worktec.com.ar/consetic2005/consecri/pdf/Consecri%2027-09-01/Sal%F3n%20Multimedia/Exposiciones/29-Seg%20de%20la%20Inf%20y%20sus%20requerimientos.pdf[Consulta: 2 de Mayo, 2011]
