Documente Academic
Documente Profesional
Documente Cultură
Contenido
Qu es Auditoria? Qu es Auditoria de Base de Datos? Objetivos Generales Importancia Aspectos Claves Metodologas Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE Auditoria para SQL Server Conclusiones
2
Nro. Pgina: Fecha: /25
03-06-
Qu es auditoria?
/25
03-06-
Qu es auditoria?
/25
03-06-
Qu es auditoria?
Examen organizado de una situacin relativa a un producto, proceso u organizacin, en materia de calidad, realizado en cooperacin con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuacin al objetivo buscado.
Actividad para determinar, por medio de la investigacin, la adecuacin de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estndares u otros requisitos, la afeccin a los mismos y la eficiencia de su implementacin.
Gestin del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf
/25
03-06-
03-06-
Definicin de estructuras fsicas y lgicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y proteccin de accesos Estndares para anlisis y programacin en el uso de bases de datos Procedimientos de respaldo y de recuperacin de datos
7
Nro. Pgina: Fecha: /25
03-06-
Importancia de la Auditoria de BD
Toda la informacin de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial esresponsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo.
/25
03-06-
Aspectos claves
No se debe comprometer el desempeo de las bases de datos
Soportar diferentes esquemas de auditora Se debe tomar en cuenta el tamao de las bases de datos a auditar
Segregacin de funciones
El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de TI
03-06-
NO
N/A
10
/25
03-06-
11
/25
03-06-
Metodologa
Tradicional
ChekList
S (si) - N (no) - NA (no aplicable) Ejemplo: Existe una metodologa de diseo de BD?
/25
El MCV en una BD
Estudio previo y plan de trabajo Concepcin de la BD y le seleccin del equipo Diseo y carga Explotacin y mantenimiento Revisin post-implantacin Otros procesos
/25
/25
/25
/25
Plan de formacin integral Cuidado con los usuarios sin formacin Aseguramiento de la calidad
Ej. Teora de la normalizacin
/25
Auditoria y CI de un entrono de BD
SGBD: kernel, catlogos, etc Software de auditoria: GAS (extraccin de datos, Lotes de prueba) Sistema de monitorizacin y ajuste: SE de optimizacin SO: Relacin independiente o dependiente con el SGBD) Monitor de transacciones Protocolos y sistemas distribuidos: rol de las redes de comunicacin Paquete de seguridad: Privilegios, controles de usuarios externos Diccionario de datos: Integracin de componentes y seguridad de datos Herramientas CASE: Se usan en conjunto con los DD. Grficos, tablas. L4G/4GL o SQL Facilidades de usuario: QBE Conexin con paquetes ofimticos Herramientas de MD: DWH y DM Aplicaciones: las aplicaciones no deben afectar la integridad de los datos de la base.
/25
Cuando el auditor se encuentra con el sistema en Produccin tendr que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios. La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD.
CONFIDEN. PRIVACIDAD
AUDITORIA
L4G
Repositorio
L4G INDEP. CATALOGO NUCLEO
PAQUETES SEGURIDAD
APLICACION ES
MONITOR TRANSAC.
SO
MINERIA DE DATOS
AUDITOR INFORMATICO
21
/25
03-06-
Registros de BD
Preventiva: Detectiva: Correctiva:
En Oracle 9i la auditora viene desactivada por defecto, el valor del parmetro "audit_trail" est a "NONE" En Oracle 11g la auditora viene activada por defecto, el valor del parmetro "audit_trail" est a "DB"
23
/25
03-06-
SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name
24
03-06-
25
/25
03-06-
ACTIVAR:
DESACTIVAR AUDIT_TRAIL
OS: activa , los eventos auditados se guardan en la pista de auditora del SO(dependiendo del SO) DB: activa y los datos se almacenarn en la taba SYS.AUD$ de Oracle. DB, EXTENDED: activa y adems se escribirn los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$. XML: activa los eventos son escritos en archivos XML del SO. XML, EXTENDED: activa y adems se incluyen los valores de SqlText y SqlBind.
26
/25
03-06-
Auditoria de sesin
27
03-06-
Usuario ALONSO
Tabla FACTURA (codigo number primary key, fecha date default sysdate);
audit session by alonso; audit all on facturas by access; select OS_Username Usuario_SO, Username Usuario_Oracle, Terminal ID_Terminal,DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null', 1017, 'Fallo', Returncode) Tipo_Suceso,TO_CHAR(Timestamp, 'DDMM-YY HH24:MI:SS') ora_Inicio_Sesion, TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion
insert into facturas (codigo) values (1); insert into facturas (codigo) values (2); insert into facturas (codigo) values (3); select * from facturas; delete facturas where codigo=2; update facturas set codigo=33 where codigo=2;
28
03-06-
29
/25
03-06-
Nro. Pgina:
/25
03-06-
31
03-06-
Descripcin
Devuelve una fila por cada accin de auditora sobre la que se puede guardar informacin en el registro de auditora y por cada grupo de acciones de auditora que se puede configurar como parte de SQL Server Audit.
sys.dm_server_audit_status
sys.dm_audit_class_type_map
Devuelve una tabla que asigna el campo class_type del registro de auditora al campo class_desc de sys.dm_audit_actions.
fn_get_audit_file
32
/25
03-06-
sys.database_audit_specification_details
Contiene informacin sobre las especificaciones de auditora de base de datos en una auditora de SQL Server de una instancia de servidor para todas las bases de datos.
Contiene una fila para cada auditora de SQL Server de una instancia de servidor. Contiene informacin sobre las especificaciones de auditora de servidor en una auditora de SQL Server de una instancia del servidor. Contiene informacin sobre los detalles de las especificaciones de auditora de servidor (acciones) en una auditora de SQL Server de una instancia de servidor. Contiene informacin adicional sobre el tipo de auditora de archivos en una auditora de SQL Server de una instancia de servidor.
sys.server_audits
sys.server_audit_specifications
sys.server_audit_specifications_details
sys.server_file_audits
33
/25
03-06-
34
/25
03-06-
conclusiones
La gran difusin de los Sistemas de Gestin de Bases de datos (SGBD) junto con la relacin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada da mayor inters Demostrar la integridad de la informacin, mitigar los riesgos asociados, asegurar la confidencial de la informacin, garantizar la seguridad de los datos y conocer quin o qu les hizo exactamente qu, cundo y cmo a los datos, conforman la idea principal de la Auditoria. Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD
35
Nro. Pgina: Fecha: /25
03-06-