Ing.

Ralph Palomino Gutierrez

Auditoria de Base de datos
Fecha:
Contenido
31-05-2013
2
Qu es Auditoria?
Qu es Auditoria de Base de Datos?
Objetivos Generales
Importancia
Aspectos Claves
Metodologas
Auditoria y Control Interno de un entorno de Base de Datos
Auditoria para ORACLE
Auditoria para SQL Server
Conclusiones
Fecha:
Qu es auditoria?
31-05-2013
3
Fecha:
Qu es auditoria?
31-05-2013
4
Fecha:
Qu es auditoria?
31-05-2013
5
Examen organizado de una situacin relativa a un
producto, proceso u organizacin, en materia de calidad,
realizado en cooperacin con los interesados para verificar
la concordancia de la realidad con lo preestablecido y la
adecuacin al objetivo buscado.

Actividad para determinar, por medio de la investigacin, la
adecuacin de los procedimientos establecidos,
instrucciones, especificaciones, codificaciones y
estndares u otros requisitos, la afeccin a los mismos y la
eficiencia de su implementacin.
Gestin del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina
http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf
Fecha:
Qu es auditoria de base de datos (BD)?
31-05-2013
6
Es el proceso que permite medir, asegurar, demostrar, monitorear y
registrar los accesos a la informacin almacenada en las bases de
datos incluyendo la capacidad de determinar:

Quin accede a los datos
Cundo se accedi a los datos
Desde qu tipo de dispositivo/aplicacin
Desde que ubicacin en la Red
Cul fue la sentencia SQL ejecutada
Cul fue el efecto del acceso a la base de datos

Fecha:
Objetivos generales de la auditoria de BD
31-05-2013
7
Mitigar los riesgos asociados con el manejo inadecuado de los datos
Apoyar el cumplimiento regulatorio
Satisfacer los requerimientos de los auditores
Evitar acciones criminales
Evitar multas por incumplimiento


Definicin de estructuras fsicas y lgicas de las bases de datos
Control de carga y mantenimiento de las bases de datos
Integridad de los datos y proteccin de accesos
Estndares para anlisis y programacin en el uso de bases de datos
Procedimientos de respaldo y de recuperacin de datos

Evaluando
Fecha:
Importancia de la Auditoria de BD
31-05-2013
8
Toda la informacin de la organizacin reside en bases de datos y
deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacin almacenada
en las bases de datos.
Las organizaciones deben mitigar los riesgos asociados a la prdida
de datos y a la fuga de informacin.
La informacin confidencial esresponsabilidad de las organizaciones.
Los datos convertidos en informacin a travs de bases de datos y
procesos de negocios representan el negocio.
Las organizaciones deben tomar medidas mucho ms all de asegurar
sus datos.
Deben monitorearse perfectamente a fin de conocer quin o qu les
hizo exactamente qu, cundo y cmo.
Fecha:
Aspectos claves
31-05-2013
9
No se debe comprometer el desempeo de las bases de
datos
Soportar diferentes esquemas de auditora
Se debe tomar en cuenta el tamao de las bases de datos a auditar
Segregacin de funciones
El sistema de auditora de base de datos no puede ser administrado
por los DBA del rea de TI
Proveer valor a la operacin del negocio
Informacin para auditora y seguridad
Informacin para apoyar la toma de decisiones de la organizacin
Informacin para mejorar el desempeo de la organizacin
Auditora completa y extensiva
Cubrir gran cantidad de manejadores de bases de datos
Estandarizar los reportes y reglas de auditora
Fecha:
Metodologas para la auditoria de bd
31-05-2013
10
Metodologa Tradicional
En este tipo de metodologa el auditor revisa el entorno
con la ayuda de una lista de control (checklist), que
consta de una serie de puntos a verificar. Por ejemplo:

SI NO N/A
1. Existe una metodologa de Diseo de Base de Datos?
2. Existen logs que permitan tener pistas sobre las acciones
realizadas sobre los objetos de las bases de datos?
3. Se han configurados los logs para almacenar la informacin
relevante?
.
.
.
.

NOTA:

Debiendo registrar el auditor el resultado de su investigacin
Fecha:
Metodologas para la auditoria de bd
31-05-2013
11
Metodologa de Evaluacin de Riesgos
Este tipo de metodologa, conocida tambin por Risk Oriented Approach
(*)
(Enfoque Orientada a Riesgo) es la que propone la ISACA y fija los
objetivos de control que minimizan los riesgos potenciales a los que est
sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentracin de Datos
Accesos no restringidos en la figura del DBA
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el
general de instalacin
Impactos de los errores en Datos y programas
Rupturas de enlaces o cadenas por fallos del software
Impactos por accesos no autorizados
Dependencias de las personas con alto conocimiento tcnico
(*) Diseada por Arthur Andersen
ISACA: Information Systems Audit and Control Association
Fecha:
Auditoria y Control Interno de un entorno de
Base de Datos
31-05-2013
12
Cuando el auditor se encuentra con el
sistema en Produccin tendr que
estudiar el SGBD y su entorno; como
Control, Integridad y Seguridad de los
Datos compartidos entre usuarios.
La complejidad del entorno de las Bases
de Datos hacen que no se pueda limitar
solo al SGBD.
case
Repositorio
FACILIDADES
DEL
USUARIO
DICCIONARIO
DE DATOS
L4G INDEP.
PAQUETES
SEGURIDAD
CONFIDEN.
PRIVACIDAD
AUDITORIA
L4G
SEGURIDAD
RECUPER.
CATALOGO NUCLEO
SOFTWARE
AUDITORIA
SISTEMA
MONITOR/
AJUSTE
SO
APLICACION
ES
MONITOR
TRANSAC.
MINERIA DE
DATOS
PROTOCOLO
S Y SIST.
DISTRIBUIDO
S
AUDITOR INFORMATICO
SGBD
UTILIDADES DEL DBA
ENTORNO DE BASE DE DATOS
Fecha:
Auditoria para Oracle
31-05-2013
13
Conjunto de caractersticas que permite al DBA y a los
usuarios hacer un seguimiento del uso de la base de datos.
La informacin de las auditoras se almacena en el
diccionario de datos, en la tabla SYS.AUD$ o en la pista de
auditora del sistema operativo (si lo permite). Lo anterior
viene definido en el parmetro audit_trail.
Se pueden auditar tres tipos de acciones:
Intentos de inicio de sesin
Accesos a objetos
Acciones de la base de datos.

En Oracle 9i la auditora viene desactivada por defecto, el valor del parmetro "audit_trail" est a "NONE"

En Oracle 11g la auditora viene activada por defecto, el valor del parmetro "audit_trail" est a "DB"
Fecha:
Auditoria para Oracle
31-05-2013
14


Oracle Database 11g
Vistas de la table SYS.AUD$
ALL_AUDIT_POLICIES KU$_AUDIT_DEFAULT_VIEW
ALL_AUDIT_POLICY_COLUMNS KU$_AUDIT_OBJ_BASE_VIEW
ALL_DEF_AUDIT_OPTS KU$_AUDIT_OBJ_VIEW
ALL_REPAUDIT_ATTRIBUTE KU$_AUDIT_VIEW
ALL_REPAUDIT_COLUMN KU$_PROC_AUDIT_VIEW
APEX_DEVELOPER_AUDIT_LOG KU$_PROCDEPOBJ_AUDIT_VIEW
DBA_AUDIT_EXISTS KU$_PROCOBJ_AUDIT_VIEW
DBA_AUDIT_OBJECT KU$_10_1_AUDIT_VIEW
DBA_AUDIT_POLICIES MGMT$AUDIT_LOG
DBA_AUDIT_POLICY_COLUMNS MGMT$ESA_AUDIT_SYSTEM_REPORT
DBA_AUDIT_SESSION SM$AUDIT_CONFIG
DBA_AUDIT_STATEMENT USER_AUDIT_OBJECT
DBA_AUDIT_TRAIL USER_AUDIT_POLICIES
DBA_COMMON_AUDIT_TRAIL USER_AUDIT_POLICY_COLUMNS
DBA_FGA_AUDIT_TRAIL USER_AUDIT_SESSION
DBA_OBJ_AUDIT_OPTS USER_AUDIT_STATEMENT
DBA_PRIV_AUDIT_OPTS USER_AUDIT_TRAIL
DBA_REPAUDIT_ATTRIBUTE USER_OBJ_AUDIT_OPTS
DBA_REPAUDIT_COLUMN USER_REPAUDIT_ATTRIBUTE
DBA_STMT_AUDIT_OPTS USER_REPAUDIT_COLUMN
GV_$XML_AUDIT_TRAIL V_$XML_AUDIT_TRAIL

SELECT view_name
FROM dba_views
WHERE view_name LIKE '%AUDIT%'
ORDER BY view_name
Fecha:
Auditoria para Oracle
31-05-2013
15
Intentos de conexin fallidos

Oracle Database 11g
Fecha:
Auditoria para Oracle
31-05-2013
16
AUDIT TRAIL
Oracle Database 11g
AUDIT_TRAIL
select name, value
from v$parameter
where name like 'audit_trail'
NONE: desactiva la auditora de la base de datos.

OS: activa , los eventos auditados se guardan en la pista de auditora del SO(dependiendo del SO)

DB: activa y los datos se almacenarn en la taba SYS.AUD$ de Oracle.

DB, EXTENDED: activa y adems se escribirn los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$.

XML: activa los eventos son escritos en archivos XML del SO.

XML, EXTENDED: activa y adems se incluyen los valores de SqlText y SqlBind.
ACTIVAR:
ALTER SYSTEM SET audit_trail = "DB" SCOPE=SPFILE;
DESACTIVAR
ALTER SYSTEM SET audit_trail = "NONE" SCOPE=SPFILE;
Fecha:
Auditoria para Oracle
31-05-2013
17
AUDIT Y NOAUDIT
Oracle Database 11g
Auditoria de sesin
Audit/noaudit session;
Audit/noaudit session whenever not
successful;
Auditoria de accin
Audit/noaudit role;
Auditoria de Objeto
Audit/noaudit update table by nombre_usuario;
Audit/noaudit insert on FACTURACION by
access;
AUDIT
{ sql_statement_clause | schema_object_clause |
NETWORK }
[ BY { SESSION | ACCESS } ]
[ WHENEVER [ NOT ] SUCCESSFUL ] ;

NOAUDIT
{ sql_statement_clause | schema_object_clause |
NETWORK}
[ WHENEVER [ NOT ] SUCCESSFUL ] ;

Privilegio de sistema AUDIT SYSTEM
Fecha:
Auditoria para Oracle
31-05-2013
18
Ejemplo
Oracle Database 11g
audit session by alonso;
audit all on facturas by access;
ACCESOS DEL USUARIO
select OS_Username Usuario_SO,
Username Usuario_Oracle, Terminal
ID_Terminal,DECODE (Returncode, '0',
'Conectado', '1005', 'Fallo - Null', 1017,
'Fallo', Returncode)
Tipo_Suceso,TO_CHAR(Timestamp, 'DD-
MM-YY HH24:MI:SS') ora_Inicio_Sesion,
TO_CHAR(Logoff_Time, 'DD-MM-YY
HH24:MI:SS') Hora_Fin_Sesion
from DBA_AUDIT_SESSION
where Username="ALONSO";
Usuario ALONSO
Tabla FACTURA (codigo number primary key,
fecha date default sysdate);
Privilegio de sistema AUDIT SYSTEM
insert into facturas (codigo) values (1);
insert into facturas (codigo) values (2);
insert into facturas (codigo) values (3);
select * from facturas;
delete facturas where codigo=2;
update facturas set codigo=33 where codigo=2;
Fecha:
Auditoria para Oracle
31-05-2013
19

Oracle Database 11g
Fecha:
Auditoria para SQL Server
31-05-2013
20
Implica el seguimiento y registro de los eventos que se producen en Motor
de la BD.
Especificaciones de auditora de servidor para los eventos de servidor
Especificaciones de auditora de base de datos para los eventos de base
de datos (limitada a las ediciones Enterprise, Developer y Evaluation)
SQL Server Audit proporciona las herramientas y los procesos
necesarios para habilitar, almacenar y ver auditoras en varios objetos de
servidor y de base de datos.
Los inicios de sesin de SQL Server que tengan el permiso CONTROL
SERVER pueden utilizar el Motor de base de datos para tener acceso a
los archivos de auditora

SQL Server 2012
Fecha:
Auditoria para SQL-server
31-05-2013
21
Proceso general de creacin y uso de una auditora
Crear una auditora y definir su destino
Crear una especificacin de auditora de servidor o una
especificacin de auditora de base de datos
Habilitar la auditora
Leer los eventos de auditora mediante el Visor de eventos o
el Visor de archivos de registro de Windows, o la funcin
fn_get_audit_file

Fecha:
Auditoria para SQL-server
31-05-2013
22
Funciones y vistas dinmicas Descripcin
sys.dm_audit_actions Devuelve una fila por cada accin de
auditora sobre la que se puede guardar
informacin en el registro de auditora y
por cada grupo de acciones de
auditora que se puede configurar como
parte de SQL Server Audit.
sys.dm_server_audit_status Proporciona informacin sobre el estado
actual de la auditora.
sys.dm_audit_class_type_map Devuelve una tabla que asigna el campo
class_type del registro de auditora al
campo class_desc de
sys.dm_audit_actions.
fn_get_audit_file Devuelve informacin de un archivo de
auditora creado por una auditora de
servidor.
Fecha:
Auditoria para SQL-server
31-05-2013
23
Vistas de catlogo Descripcin
sys.database_audit_specifications Contiene informacin sobre las especificaciones de
auditora de base de datos en una auditora de SQL
Server de una instancia del servidor.
sys.database_audit_specification_details Contiene informacin sobre las especificaciones de
auditora de base de datos en una auditora de SQL
Server de una instancia de servidor para todas las
bases de datos.
sys.server_audits Contiene una fila para cada auditora de SQL Server
de una instancia de servidor.
sys.server_audit_specifications Contiene informacin sobre las especificaciones de
auditora de servidor en una auditora de SQL Server
de una instancia del servidor.
sys.server_audit_specifications_details Contiene informacin sobre los detalles de las
especificaciones de auditora de servidor (acciones)
en una auditora de SQL Server de una instancia de
servidor.
sys.server_file_audits Contiene informacin adicional sobre el tipo de
auditora de archivos en una auditora de SQL Server
de una instancia de servidor.
Fecha:
Auditoria para SQL-server
31-05-2013
24
Permisos

Para poder ver las vistas de catlogo se debe cumplir una
de las condiciones siguientes:
Pertenecer al rol sysadmin
El permiso CONTROL SERVER
El permiso VIEW SERVER STATE
El permiso ALTER ANY AUDIT
El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catlogo sys.server_audits)

Fecha:
conclusiones
31-05-2013
25
La gran difusin de los Sistemas de Gestin de Bases de datos
(SGBD) junto con la relacin de los datos como uno de los
recursos fundamentales de las empresas, ha hecho que los
temas relacionados a su control interno y auditoria cobren cada
da mayor inters
Demostrar la integridad de la informacin, mitigar los riesgos
asociados, asegurar la confidencial de la informacin, garantizar
la seguridad de los datos y conocer quin o qu les hizo
exactamente qu, cundo y cmo a los datos, conforman la idea
principal de la Auditoria.
Estudiar el SGBD y su entorno es primordial al implementar un
ambiente de auditoria de BD
Oracle Audit Vault y SQL Server Audit son algunos de los
productos que nos ofrecen el mercado para los auditores de BD