Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de Base de Datos
Auditoria de Base de Datos
CONTENIDO
Importancia
Aspectos Claves Metodologas Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE Auditoria para SQL Server Conclusiones
Nro. Pgina: 2 Fecha: /25
16/01/2014
QU ES AUDITORIA?
/25
16/01/2014
QU ES AUDITORIA?
/25
16/01/2014
QU ES AUDITORIA?
Examen organizado de una situacin relativa a un producto, proceso u organizacin, en materia de calidad, realizado en cooperacin con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuacin al objetivo buscado. Actividad para determinar, por medio de la investigacin, la adecuacin de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estndares u otros requisitos, la afeccin a los mismos y la eficiencia de su implementacin.
Gestin del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf
/25
16/01/2014
/25
16/01/2014
Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio Satisfacer los requerimientos de los auditores Evitar acciones criminales
Evaluando
Definicin de estructuras fsicas y lgicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y proteccin de accesos Estndares para anlisis y programacin en el uso de bases de datos Procedimientos de respaldo y de recuperacin de datos
Nro. Pgina: 7 Fecha: /25
16/01/2014
IMPORTANCIA DE LA AUDITORIA DE BD
Toda la informacin de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos.
Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin.
La informacin confidencial esresponsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo.
Nro. Pgina: 8 Fecha: /25
16/01/2014
ASPECTOS CLAVES
Soportar diferentes esquemas de auditora Se debe tomar en cuenta el tamao de las bases de datos a auditar El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de TI Informacin para auditora y seguridad Informacin para apoyar la toma de decisiones de la organizacin Informacin para mejorar el desempeo de la organizacin Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditora
Nro. Pgina: 9 Fecha: /25
Segregacin de funciones
16/01/2014
NO
N/A
Fecha:
16/01/2014
Dependencia por la concentracin de Datos Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalacin Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del software Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento tcnico
Nro. Pgina: 11 /25 Fecha:
16/01/2014
(*) Diseada por Arthur Andersen ISACA: Information Systems Audit and Control Association
Cuando el auditor se encuentra con el sistema en Produccin tendr que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios.
AUDITORIA
La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD.
APLICACION ES
MONITOR TRANSAC.
SO
MINERIA DE DATOS
AUDITOR INFORMATICO
Accesos a objetos
Acciones de la base de datos.
En Oracle 9i la auditora viene desactivada por defecto, el valor del parmetro "audit_trail" est a "NONE" En Oracle 11g la auditora viene activada por defecto, el valor del parmetro "audit_trail" est a "DB"
SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name
ACTIVAR:
DESACTIVAR AUDIT_TRAIL
OS: activa , los eventos auditados se guardan en la pista de auditora del SO(dependiendo del SO) DB: activa y los datos se almacenarn en la taba SYS.AUD$ de Oracle. DB, EXTENDED: activa y adems se escribirn los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$. XML: activa los eventos son escritos en archivos XML del SO.
Auditoria de sesin
[ BY { SESSION | ACCESS } ]
[ WHENEVER [ NOT ] SUCCESSFUL ] ; NOAUDIT { sql_statement_clause | schema_object_clause | NETWORK} [ WHENEVER [ NOT ] SUCCESSFUL ] ;
Usuario ALONSO Tabla FACTURA (codigo number primary key, fecha date default sysdate);
insert into facturas (codigo) values (1); insert into facturas (codigo) values (2); insert into facturas (codigo) values (3); select * from facturas;
from DBA_AUDIT_SESSION
where Username="ALONSO";
Nro. Pgina: 18 /25 Fecha:
16/01/2014
Especificaciones de auditora de servidor para los eventos de servidor Especificaciones de auditora de base de datos para los eventos de base de datos (limitada a las ediciones Enterprise, Developer y Evaluation) SQL Server Audit proporciona las herramientas y los procesos necesarios para habilitar, almacenar y ver auditoras en varios objetos de servidor y de base de datos.
Los inicios de sesin de SQL Server que tengan el permiso CONTROL SERVER pueden utilizar el Motor de base de datos para tener acceso a los archivos de auditora
Nro. Pgina: 20 /25 Fecha:
16/01/2014
Leer los eventos de auditora mediante el Visor de eventos o el Visor de archivos de registro de Windows, o la funcin fn_get_audit_file
sys.dm_server_audit_status
sys.dm_audit_class_type_map
Devuelve una tabla que asigna el campo class_type del registro de auditora al campo class_desc de sys.dm_audit_actions.
fn_get_audit_file
sys.database_audit_specification_details
sys.server_audits
sys.server_audit_specifications
sys.server_audit_specifications_details
sys.server_file_audits
Contiene informacin adicional sobre el tipo de auditora de archivos en una auditora de SQL Server de una instancia de servidor.
Para poder ver las vistas de catlogo se debe cumplir una de las condiciones siguientes:
Pertenecer al rol sysadmin El permiso CONTROL SERVER El permiso VIEW SERVER STATE El permiso ALTER ANY AUDIT El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catlogo sys.server_audits)
CONCLUSIONES
La gran difusin de los Sistemas de Gestin de Bases de datos (SGBD) junto con la relacin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada da mayor inters Demostrar la integridad de la informacin, mitigar los riesgos asociados, asegurar la confidencial de la informacin, garantizar la seguridad de los datos y conocer quin o qu les hizo exactamente qu, cundo y cmo a los datos, conforman la idea principal de la Auditoria. Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD