UNIDAD DE AUDITORIA INTERNA

NUMERO TRABAJO AUDITORA: 123456 NOMBRE AUDITORIA: Seguridad Oracle TITULO DE ACCION: Asegurar que las contraseas de todas las cuentas cumplan con la poltica de seguridad de la informacin CONDICION (Lo que se encontr) Problema:
Existen parmetros de contraseas definidos en los profile de las base de datos XXXX, YYYY y ZZZDESA, que no cumplen con las polticas de contraseas definidas en las polticas de seguridad de la informacin. En los profile por defecto, los parmetros de contrasea no tienen asignados los valores requeridos en las polticas de seguridad de la informacin. Adems, se identific que la contrasea por defecto en la cuenta PERFIL en la Base de Datos XXXX no ha sido cambiada; como se detalla a continuacin: XXXX En la base de datos XXXX, los parmetros definidos en el profile de los usuarios finales (955 cuentas), se encuentran adecuadamente configurados. Sin embargo, en otros profiles definidos para cuentas de administracin y cuentas no humanas, existen algunos parmetros que no cumplen con la poltica de contraseas (Ej. Profile DEFAULT tiene el parmetro Profile PASSWORD_VERIFY_FUNCTION=null; ORACLE_DBA tiene el parmetro PASSWORD_LIFE_TIME = 180; PROF_PRODUCTO tiene el parmetro PASSWORD_REUSE_MAX= UNLIMITED y el parmetro PASSWORD_REUSE_TIME =30 PROF_DE_BAJA tiene PASSWORD_LOCK_TIME=365 para usuarios dados de baja valor esperado UNLIMITED con la finalidad que slo el administrador pueda activar la cuenta). Adicionalmente, existen algunos profiles que se encuentran definidos y no estn siendo utilizados. Se identific que la cuenta Oracle PERFIL, mantiene la contrasea por defecto, adems, esta cuenta tiene asignado el profile DEFAULT, que no obliga al cambio de contrasea. ZZZPROD En base de datos ZZZPROD, los parmetros definidos en profile DEFAULT y PROF_APLICATIVO no cumplen con las polticas de contraseas, los dems profiles existen algunos parmetros que no cumplen con la poltica de contraseas (Ej. El profile ORACLE_DBA tiene el parmetro PASSWORD_LIFE_TIME = 180; el profile PROF_DE_BAJA tiene PASSWORD_LOCK_TIME=365 para usuarios dados de baja valor esperado UNLIMITED con la finalidad que slo el administrador pueda activar la cuenta . ZZZDESA En base de datos ZZZDESA, slo existe el profile por default, los parmetros de seguridad definidos para las contraseas no cumple con los estndares requeridos en las polticas y normas de seguridad de la compaa. (Ej. FAILED_LOGIN_ATTEMPTS = UNLIMITED; PASSWORD_VERIFY_FUNCTION =null )

Evidencia: Tabla de dba_profiles Fuente de Informacin: Resultado de Querys proporcionados por el DBA

CRITERIOS (Contra qu norma, poltica o procedimiento est usted haciendo la auditora?) Polticas y Normas de Seguridad de la Informacin CAUSA (Qu es lo que permiti que ocurriera la condicin?) Mantenimiento parcial de profiles y asignacin incorrecta de profiles a usuarios y DBAs Reinstalacin del producto y no se aplic el procedimiento de cambio de contrasea. CONSECUENCIA (Importancia o impacto) Accesos a la base de datos por usuarios definidos en ambiente unix (administradores, servicios y operadores) a travs del descubrimiento de cuentas con contrasea dbil y/o de cuentas que no requieren cambio de password con la frecuencia definida en la politica de seguridad. RECOMENDACION (Qu es lo que resolver la condicin y evitar su recurrencia?) La Gerencia de TI, debe implementar para todos los profiles las polticas de contrasea de acuerdo a las polticas y normas de seguridad. Adems, las contraseas por defecto de las cuentas del producto oracle deben ser cambiadas oportunamente. RESPUESTA DEL CLIENTE (Persona responsable, accin que se emprender y fecha objetivo de trmino)

REFERENCIA DOCUMENTOS DE TRABAJO DE INFORME:

Preparado por: Revisado por:

Fecha: Fecha: