Documente Academic
Documente Profesional
Documente Cultură
RICARDO SILVA
AUDITORÍA DE BASE DE DATOS OSCAR LOPEZ
CAMILO ANDRES
XABITH MORA
AUDITORÍA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar
los accesos a la información almacenada en las bases de datos incluyendo la
capacidad de determinar:
Quien accede a los datos
Cuando se accedió a los datos
Desde que tipo de dispositivo/aplicación
Desde que ubicación en la Red
Cual fue la sentencia SQL ejecutada
Cual fue el efecto del acceso a la base de datos
OBJETIVOS
Recopilar información acerca de actividades específicas de la base de
datos
Recopilar estadísticas sobre qué tablas actualizadas, E/S lógicas, cantidad
de usuarios conectados concurrentemente
Recopilar inverosimilitudes en los datos(detección de errores)
Recopilar los errores por pérdida de información
Mitigar los riesgos asociados con el manejo inadecuado de los datos
IMPORTANCIA
Toda la información financiera reside en base de datos y deben existir
controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la información
Las organizaciones deben mitigar los riesgos asociados a la perdida de
datos y a la fuga de información
La información confidencial de los clientes, son responsabilidad de las
organizaciones.
Los datos convertidos en información a través de base de datos.
Los riesgos hacen que las vulnerabilidades dentro de un sistema de
información sean una puerta para que las amenazas sean una fuente de
peligro.
ACCIONES AUDITABLES
Se pueden auditar tres tipos de acciones:
Intentos de inicio de sesión
Accesos a objetos
Acciones de la base de datos
Cuando se realizan auditorías, la funcionalidad de la base de datos es dejar
constancia de los comandos correctos e incorrectos. Esto puede modificarse
cuando se configura cada tipo de auditoría.
Por ejemplo, se pueden registrar todos los intentos de actualizar los datos de una tabla o sólo los
intentos fallidos, también se pueden registrar todos los inicios de sesión en Oracle o sólo los
intentos fallidos.
RECOLECCIÓN DE DATOS
Sentencias SQL: Registro de los intentos de conexión con la base d datos
Privilegios: Recopila las operaciones que se han efectuado sobre la base
de datos y los usuarios
Objetos: Se pueden recoger operaciones realizadas sobre determinados
objetos de la base de datos
La recolección de datos se basa en un conjunto de vistas que actúan sobre la tabla
donde se guardan los registros de auditoría. Ésta tabla es AUD$ para la auditoría
normales y FGA_LOG$ para la auditoría de grano fino.
Cada vista ofrece distintos tipos de información de forma más clara para el auditor
o administrador de la base de datos.
EVALUACIÓN DE LA AUDITORÍA
Definición de estructuras físicas y lógicas de las bases de datos
Control de carga y mantenimiento de las bases de datos
Integridad de los datos y protección de accesos
Estándares para análisis y programación en el uso de bases de datos
Procedimientos de respaldo y de recuperación de datos
PLANIFICACIÓN
1. Identificar todas las bases de datos de la organización
2. Clasificar los niveles de riesgo de los datos en las bases de datos
3. Analizar los permisos de acceso
4. Analizar los controles existentes de acceso a las bases de datos
5. Establecer los modelos de auditoria de BD a utilizar
6. Establecer las pruebas a realizar para cada BD, aplicación Y/O usuarios
7. Evaluación de resultados: Los datos recopilados se someten a un riguroso análisis, de tal
manera que se pueda concluir si hay controles, si son suficientes y eficientes y si cumplen
con los objetivos para los cuales fueron diseñados.
8. Elaboración del Informe: El auditor considera que en su opinión el sistema es confiable,
porque tiene los mecanismos de seguridad necesarios, o por el contrario considere que no
es seguro ni confiable y que amerita una revisión e implantación de controles.
MÉTODOLOGIAS PARA AUDITAR
BASES DE DATOS
METODOLOGÍA TRADICIONAL
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que
consta de una serie de cuestiones a verificar, registrando los resultados de su
investigación. La evaluación consiste en identificar la existencia de controles
establecidos.
METODOLOGÍA ROA (RISK ORIENTED APPROACH)
El análisis de riesgos es la consideración del daño probable que puede causar en el
negocio un fallo en la seguridad de la información, con las consecuencias
potenciales de pérdida de confidencialidad, integridad y disponibilidad de la
información.
Fija los objetivos de control que minimizan los riesgos potenciales a los que esta
sometido el entrono.
Considerando los riesgos de:
Dependencia por la concentración de Datos.
Accesos no restringidos en la figura del DBA
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el
general de instalación
Impactos de los errores en Datos y programas
Rupturas por accesos no autorizados
PISTAS DE AUDITORÍA
PISTAS DE AUDITORÍA
Las Pistas de Auditoría o “Audit Trail” son un conjunto de transacciones que reflejan los
cambios hechos a una base de datos.
A partir del análisis de esta información se puede llegar a determinar la forma en la que los
datos o elementos obtuvieron su valor actual. Son un componente fundamental para la
implementación del “accountability” o rendición de cuentas.
En una base de datos de una aplicación estándar de una organización, se pueden generar
pistas de auditoría para:
Conexiones a la base de datos.
Modificaciones al modelo de datos.
Modificaciones a los datos.