Seguridad Bases Datos Oracle

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.
Tema de conferencia:
Buenas Prácticas de Seguridad y
Auditoría en Bases de Datos Oracle
Ing. Alvaro Machaca Tola
ISO 27001 AI, CEH, CCNA
Perfil del expositor
Soy Licenciado en Informática con mención en Ingeniería de Sistemas,
cuento un Diplomado en Seguridad Informática, actualmente soy
certificado internacionalmente como: ISO 27001 Auditor Interno, CEH y
CCNA.
Trabajé en áreas de seguridad de la información, riesgo tecnológico,
auditoria y cumplimiento en entidades financieras y una firma global de
auditoria en Bolivia.
Contactos:
E-mail: alvaro_machaca@Hotmail.com
LinkedIn: https://bo.linkedin.com/in/alvaro-machaca-tola-00785b42
Twitter: @Alvaro_Machaca
Contenido
I. Entendiendo lo que es seguridad
II. Buenas prácticas de seguridad
III. Entendiendo lo que es auditoría
IV. Aspectos a considerar en un proceso de auditoría
V. Auditoría en Bases de Datos
VI. Buenas prácticas de seguridad en Bases de Datos Oracle
VII. Conclusiones
I. Entendiendo lo que es
seguridad
• Es el estado o sensación de bienestar

que percibe el ser humano.
• Lo que busca la seguridad es la gestión

del riesgo y los planes de acción que se
llevan a cabo para tratarlo.
• En el ámbito tecnológico se habla de

seguridad informática, que trata sobre la
gestión de riesgos tecnológicos que
puedan impactar sobre los recursos
tecnológicos.
• Al hablar de recursos tecnológicos nos
referimos a infraestructura como
servidores, equipos de telecomunicación,
estaciones de trabajo, dispositivos
móviles, centros de datos entre otros.
• En el ámbito de la información se habla

de seguridad de la información, que
trata sobre la gestión de riesgos en
general que puedan impactar a los
recursos o activos de información.
• Al hablar de activos de información nos
referimos a hojas de cálculo, informes,
presentaciones, planes de trabajo,
estrategias corporativas entre otros.
II. Buenas prácticas de
seguridad
• Las buenas prácticas son acciones

recomendadas por organizaciones y
expertos de un ámbito específico,
que permite reducir el riesgo de que
una determinada amenaza se
materialice y genere un impacto
sobre algún activo.
• En seguridad informática las

buenas prácticas tienen el
objetivo de fortalecer los activos
tecnológicos y esto se logra a
través de configuraciones seguras
y una adecuada gestión de la
tecnología enfocada en riesgos.
• En seguridad de la información las

buenas prácticas tienen el objetivo de
fortalecer el uso adecuado y seguro de
la información y esto se logra a través
de hábitos de los usuarios para
administrar la información y los medios
que los contienen dentro y fuera del
trabajo en base a una política de
seguridad establecida.
III. Entendiendo lo que es
auditoría
• Auditoría es el proceso de evaluar de

manera independiente a un sistema
o proceso de acuerdo a una
metodología con el objetivo de
emitir una opinión independiente
sobre la evaluación.
• Una auditoría de seguridad de sistemas

de información, es la evaluación de los
activos tecnológicos para identificar
vulnerabilidades o debilidades en los
sistemas o procesos y de esta manera
evidenciar hallazgos que determinen que
los sistemas salvaguardan la información
que se procesa, transmite o almacena.
IV. Aspectos a considerar
en un proceso de
auditoría
IV. Aspectos a considerar en un proceso de
auditoría
a. El auditor no tiene un conocimiento
profundo de todos los procesos de la
empresa.
b. El auditor da una opinión en base a
estándares internacionales y mejores
prácticas de la industria.
c. El auditor debe trabajar bajo un enfoque
de riesgo.
d. El auditor tiene la última palabra al emitir
el informe final, pero la empresa es la que
toma la decisión final.
e. El auditor NO es tu enemigo.
V. Auditoría en Bases de
Datos
V. Auditoría en Bases de Datos
• La auditoría en Bases de Datos es la

actividad que permite evaluar e
identificar debilidades en la gestión de la
Base de Datos. El objetivo principal es
que pueda evidenciarse la alineación con
el logro de los objetivos de la empresa y el
resguardo de la confidencialidad,
integridad y disponibilidad de los datos.
VI. Buenas prácticas de
seguridad en Bases de
Datos Oracle
VI. Buenas prácticas de seguridad en Bases de
Datos Oracle
Actualización de Parches de seguridad
Es fundamental que se instalen las últimas
versiones de parches de seguridad. Además
debe existir una política de actualización de cd $ORACLE_HOME/Opatch
./opatch lsinventory
manera periódica.
Riesgo
Un atacante podría explotar una
determinada vulnerabilidad por la ausencia
de instalación de parches de seguridad.
Datos Oracle
Sitios a consultar
Algunos sitios para consultar sobre
vulnerabilidades son los siguientes:
 https://web.nvd.nist.gov
 https://cve.mitre.org
 https://support.oracle.com
Datos Oracle
Contraseñas por defecto
Es fundamental que las cuentas por defecto
con contraseñas predeterminadas sean
modificadas. SELECT USERNAME
FROM DBA_USERS_WITH_DEFPWD
WHERE USERNAME NOT LIKE
Riesgo '%XS$NULL%';
Un atacante podría utilizar alguna de estas

cuentas debido a que no se modificó la
contraseña por defecto.
Datos Oracle
Sitios a consultar
Algunos sitios donde encontrar herramientas
de auditoria y creación de contraseñas
seguras son los siguientes:
 https://www.secure-bytes.com
 https://identitysafe.norton.com/password
-generator
 http://passwordsgenerator.net/
Datos Oracle
AUDIT_SYS_OPERATIONS
Es fundamental que esta opción sea activada
para registrar las pistas de auditoría emitidas
por los usuarios bajo las cuentas SYSOPER y
SELECT UPPER(VALUE)
SYSDBA.
FROM V$PARAMETER
WHERE UPPER(NAME) =
Riesgo 'AUDIT_SYS_OPERATIONS';
No sería posible tener trazabilidad sobre las
acciones realizadas por usuarios con privilegios
de SYSDBA y SYSOPER.
Nota: En Oracle 12c esta opción viene por defecto en TRUE
Datos Oracle
AUDIT_TRAIL
Es fundamental que esta opción se encuentre
configurada con alguna de las siguientes
SELECT UPPER(VALUE)
opciones OS, DB, DB EXTENDED, XML O XML FROM V$PARAMETER
EXTENDED. WHERE
UPPER(NAME)='AUDIT_TRAIL';
Riesgo
No contaríamos con registros de auditoría de
la base de datos.
Datos Oracle
FAILED_LOGIN_ATTEMPTS SELECT PROFILE,
RESOURCE_NAME, LIMIT
Es importante que el valor de este parámetro FROM DBA_PROFILES
sea menor o igual a cinco intentos. WHERE
RESOURCE_NAME='FAILED_LOG
IN_ATTEMPTS'
Riesgo AND
(
Podrían generarse ataques de fuerza bruta en LIMIT = 'DEFAULT'
el proceso de login. OR LIMIT = 'UNLIMITED'
OR LIMIT > 5
);
Datos Oracle
PASSWORD_LIFE_TIME SELECT PROFILE,
RESOURCE_NAME, LIMIT
Es importante que el valor de este parámetro FROM DBA_PROFILES
sea menor o igual a 90 días. WHERE
RESOURCE_NAME='PASSWORD_L
IFE_TIME'
Riesgo AND
(
Podrían generarse ataques de fuerza bruta LIMIT = 'DEFAULT'
sobre las cuentas de usuarios. OR LIMIT = 'UNLIMITED'
OR LIMIT > 90
);
Datos Oracle
Privilegios y cuentas de usuarios
Es importante que la empresa defina los
perfiles y privilegios que se otorgaran a los Tablas importantes a revisar:
usuarios. Esto debe ser aprobado por la alta DBA_USERS
dirección y ser monitoreado periódicamente.
DBA_ROLE_PRIVS
Riesgo DBA_SYS_PRIVS
Usuarios no autorizados podrían tener
acceso a información crítica.
VII. Conclusiones
VII. Conclusiones
1. Realice una administración de Bases de Datos con un enfoque en Riesgos.

2. Utilice Security Benchmarks para lineamientos y buenas prácticas de
seguridad actuales.
3. Consulte sitios oficiales de normas y estándares de seguridad.
4. Consulte sitios oficiales para realizar una gestión adecuada de
vulnerabilidades.
5. Piense de forma segura tanto en el trabajo como en la vida real.
VII. Conclusiones
 https://benchmarks.cisecurity.org/
 http://www.iso.org/iso/iso27001
 http://www.iso27000.es/
 https://www.pcisecuritystandards.org/pci_security/
 https://www.owasp.org/index.php/OWASP_Backen
d_Security_Project_Oracle_Hardening
Gracias

Seguridad Bases Datos Oracle

Încărcat de

Informații document

Descriere originală:

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad Bases Datos Oracle

Încărcat de

Drepturi de autor:

Formate disponibile

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

• Es el estado o sensación de bienestar

• Lo que busca la seguridad es la gestión

• En el ámbito tecnológico se habla de

• En el ámbito de la información se habla

• Las buenas prácticas son acciones

• En seguridad informática las

• En seguridad de la información las

• Auditoría es el proceso de evaluar de

• Una auditoría de seguridad de sistemas

• La auditoría en Bases de Datos es la

Un atacante podría utilizar alguna de estas

1. Realice una administración de Bases de Datos con un enfoque en Riesgos.

S-ar putea să vă placă și