Está en la página 1de 35

Auditoria de Base de datos

Contenido
Qu es Auditoria? Qu es Auditoria de Base de Datos? Objetivos Generales Importancia Aspectos Claves Metodologas Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE Auditoria para SQL Server Conclusiones
2
Nro. Pgina: Fecha: /25

03-06-

Qu es auditoria?

Nro. Pgina: Fecha:

/25

03-06-

Qu es auditoria?

Nro. Pgina: Fecha:

/25

03-06-

Qu es auditoria?
Examen organizado de una situacin relativa a un producto, proceso u organizacin, en materia de calidad, realizado en cooperacin con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuacin al objetivo buscado.

Actividad para determinar, por medio de la investigacin, la adecuacin de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estndares u otros requisitos, la afeccin a los mismos y la eficiencia de su implementacin.
Gestin del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf

Nro. Pgina: Fecha:

/25

03-06-

Qu es auditoria de base de datos (BD)?


Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar:
Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos
6
Nro. Pgina: Fecha: /25

03-06-

Objetivos generales de la auditoria de BD


Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento
Evaluando

Definicin de estructuras fsicas y lgicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y proteccin de accesos Estndares para anlisis y programacin en el uso de bases de datos Procedimientos de respaldo y de recuperacin de datos
7
Nro. Pgina: Fecha: /25

03-06-

Importancia de la Auditoria de BD
Toda la informacin de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial esresponsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo.

Nro. Pgina: Fecha:

/25

03-06-

Aspectos claves
No se debe comprometer el desempeo de las bases de datos
Soportar diferentes esquemas de auditora Se debe tomar en cuenta el tamao de las bases de datos a auditar

Segregacin de funciones
El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de TI

Proveer valor a la operacin del negocio


Informacin para auditora y seguridad Informacin para apoyar la toma de decisiones de la organizacin Informacin para mejorar el desempeo de la organizacin

Auditora completa y extensiva


Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditora
9
Nro. Pgina: Fecha: /25

03-06-

Metodologas para la auditoria de bd


Metodologa Tradicional En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de puntos a verificar. Por ejemplo:
SI
1. Existe una metodologa de Diseo de Base de Datos? 2. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las bases de datos? 3. Se han configurados los logs para almacenar la informacin relevante? . . . .
NOTA: Debiendo registrar el auditor el resultado de su investigacin

NO

N/A

10

Nro. Pgina: Fecha:

/25

03-06-

Metodologas para la auditoria de bd


Metodologa de Evaluacin de Riesgos
Este tipo de metodologa, conocida tambin por Risk Oriented Approach(*) (Enfoque Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno. Considerando los riesgos de:
Dependencia por la concentracin de Datos Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalacin Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del software Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento tcnico
(*) Diseada por Arthur Andersen ISACA: Information Systems Audit and Control Association

11

Nro. Pgina: Fecha:

/25

03-06-

Metodologa
Tradicional
ChekList
S (si) - N (no) - NA (no aplicable) Ejemplo: Existe una metodologa de diseo de BD?

Evaluacin de riesgos (ROA)


Confidencialidad de la BD Tipos de usuarios, perfiles, privilegios Tcnicas que utiliza: preventivas, detectivas o correctivas. Prueba de cumplimiento: privilegios y perfiles del SGBD Prueba sustantiva: comprobar los datos. La IR, VC, MBIF, entre otros en la BD.

Nro. Pgina: Risk Oriented Approach Fecha:

/25

El MCV en una BD
Estudio previo y plan de trabajo Concepcin de la BD y le seleccin del equipo Diseo y carga Explotacin y mantenimiento Revisin post-implantacin Otros procesos

Nro. Pgina: Fecha:

/25

MCV Estudio previo


Identificacin de opciones Anlisis de costo/beneficio Desarrollar o comprar? Analizar los informes de viabilidad por la direccin de la empresa para evitar fracasos de implementacin Llevar a cabo la Gestin de Riesgos (COBIT)
Identificar/Valorar/Medir/Accionar/Aceptar

Plan director de BD concordante con el plan general de sistemas de la organizacin


Nro. Pgina: Fecha: /25

MCV Concepcin de la BD y seleccin del equipo


Se disea la BD acorde a los modelos y tcnicas establecidas por el plan director. Debe especificarse:
Documentacin Control Seguridad Pista de auditoria (triggers) Modelo consistente y concordante al PS de la organizacin Datos y DD corporativo Clasificacin de los datos en cuanto a su seguridad Niveles de seguridad para cada clasificacin

Definir la arquitectura de la informacin:

Seleccin del hardware para la BD


Nro. Pgina: Fecha: /25

MCV Diseo y carga


Diseo lgico y fsico de la BD Carga de datos
Inicial Migracin

Contemplar datos con errores


Lote de prueba

Nro. Pgina: Fecha:

/25

MCV Explotacin y mantenimiento


La explotacin del sistema es posterior a la prueba de aceptacin del usuario Los datos se tratan en forma congruente y exacta Los datos se modifican acorde a una matriz de autorizaciones Tareas de mantenimiento de BD
ndices, compactacin, tuning, entre otros.

Nro. Pgina: Fecha:

/25

MCV Revisin post-implantacin


Revisin posterior que garantiza la conservacin de la BD Se evala:
Resultados esperados Necesidades de los usuarios Costos y beneficios reales vs los previstos

Nro. Pgina: Fecha:

/25

MCV Otros procesos


Capacitacin/formacin a usuarios
Informticos No informticos

Plan de formacin integral Cuidado con los usuarios sin formacin Aseguramiento de la calidad
Ej. Teora de la normalizacin

Nro. Pgina: Fecha:

/25

Auditoria y CI de un entrono de BD
SGBD: kernel, catlogos, etc Software de auditoria: GAS (extraccin de datos, Lotes de prueba) Sistema de monitorizacin y ajuste: SE de optimizacin SO: Relacin independiente o dependiente con el SGBD) Monitor de transacciones Protocolos y sistemas distribuidos: rol de las redes de comunicacin Paquete de seguridad: Privilegios, controles de usuarios externos Diccionario de datos: Integracin de componentes y seguridad de datos Herramientas CASE: Se usan en conjunto con los DD. Grficos, tablas. L4G/4GL o SQL Facilidades de usuario: QBE Conexin con paquetes ofimticos Herramientas de MD: DWH y DM Aplicaciones: las aplicaciones no deben afectar la integridad de los datos de la base.

Nro. Pgina: Fecha:

/25

Auditoria y Control Interno de un entorno de Base de Datos


ENTORNO DE BASE DE DATOS
SGBD UTILIDADES DEL DBA

Cuando el auditor se encuentra con el sistema en Produccin tendr que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios. La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD.

DICCIONARIO DE DATOS case

CONFIDEN. PRIVACIDAD

AUDITORIA

L4G

SEGURIDAD RECUPER. SOFTWARE AUDITORIA

Repositorio
L4G INDEP. CATALOGO NUCLEO

FACILIDADES DEL USUARIO

SISTEMA MONITOR/ AJUSTE

PAQUETES SEGURIDAD

APLICACION ES

MONITOR TRANSAC.

SO

MINERIA DE DATOS

PROTOCOLO S Y SIST. DISTRIBUIDO S

AUDITOR INFORMATICO

21

Nro. Pgina: Fecha:

/25

03-06-

Tcnicas para el control de BD en entornos complejos


Matrices de control
Transacciones de datos
Preventiva: Detectiva: Correctiva: verificacin informe de reconciliacin no tiene cifrado informe de excepcin backup

Registros de BD
Preventiva: Detectiva: Correctiva:

Anlisis de caminos de acceso.


Documenta el flujo, almacenamiento y procesamiento de los datos desde su entrada hasta la escritura en el disco.Nro. Pgina: Fecha: /25

Auditoria para Oracle


Conjunto de caractersticas que permite al DBA y a los usuarios hacer un seguimiento del uso de la base de datos. La informacin de las auditoras se almacena en el diccionario de datos, en la tabla SYS.AUD$ o en la pista de auditora del sistema operativo (si lo permite). Lo anterior viene definido en el parmetro audit_trail. Se pueden auditar tres tipos de acciones:
Intentos de inicio de sesin Accesos a objetos Acciones de la base de datos.

En Oracle 9i la auditora viene desactivada por defecto, el valor del parmetro "audit_trail" est a "NONE" En Oracle 11g la auditora viene activada por defecto, el valor del parmetro "audit_trail" est a "DB"

23

Nro. Pgina: Fecha:

/25

03-06-

Auditoria para Oracle


Vistas de la table SYS.AUD$ ALL_AUDIT_POLICIES ALL_AUDIT_POLICY_COLUMNS ALL_DEF_AUDIT_OPTS ALL_REPAUDIT_ATTRIBUTE ALL_REPAUDIT_COLUMN APEX_DEVELOPER_AUDIT_LOG DBA_AUDIT_EXISTS DBA_AUDIT_OBJECT DBA_AUDIT_POLICIES DBA_AUDIT_POLICY_COLUMNS DBA_AUDIT_SESSION DBA_AUDIT_STATEMENT DBA_AUDIT_TRAIL DBA_COMMON_AUDIT_TRAIL DBA_FGA_AUDIT_TRAIL DBA_OBJ_AUDIT_OPTS DBA_PRIV_AUDIT_OPTS DBA_REPAUDIT_ATTRIBUTE DBA_REPAUDIT_COLUMN DBA_STMT_AUDIT_OPTS GV_$XML_AUDIT_TRAIL KU$_AUDIT_DEFAULT_VIEW KU$_AUDIT_OBJ_BASE_VIEW KU$_AUDIT_OBJ_VIEW KU$_AUDIT_VIEW KU$_PROC_AUDIT_VIEW KU$_PROCDEPOBJ_AUDIT_VIEW KU$_PROCOBJ_AUDIT_VIEW KU$_10_1_AUDIT_VIEW MGMT$AUDIT_LOG MGMT$ESA_AUDIT_SYSTEM_REPORT SM$AUDIT_CONFIG USER_AUDIT_OBJECT USER_AUDIT_POLICIES USER_AUDIT_POLICY_COLUMNS USER_AUDIT_SESSION USER_AUDIT_STATEMENT USER_AUDIT_TRAIL USER_OBJ_AUDIT_OPTS USER_REPAUDIT_ATTRIBUTE USER_REPAUDIT_COLUMN V_$XML_AUDIT_TRAIL
Nro. Pgina: Fecha: /25

SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name

Oracle Database 11g

24

03-06-

Auditoria para Oracle


Intentos de conexin fallidos

Oracle Database 11g

25

Nro. Pgina: Fecha:

/25

03-06-

Auditoria para Oracle


AUDIT TRAIL

ACTIVAR:

ALTER SYSTEM SET audit_trail = "DB" SCOPE=SPFILE;

DESACTIVAR AUDIT_TRAIL

ALTER SYSTEM SET audit_trail = "NONE" SCOPE=SPFILE;


NONE: desactiva la auditora de la base de datos.

select name, value from v$parameter where name like 'audit_trail'

OS: activa , los eventos auditados se guardan en la pista de auditora del SO(dependiendo del SO) DB: activa y los datos se almacenarn en la taba SYS.AUD$ de Oracle. DB, EXTENDED: activa y adems se escribirn los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$. XML: activa los eventos son escritos en archivos XML del SO. XML, EXTENDED: activa y adems se incluyen los valores de SqlText y SqlBind.

Oracle Database 11g

26

Nro. Pgina: Fecha:

/25

03-06-

Auditoria para Oracle


AUDIT Y NOAUDIT
AUDIT { sql_statement_clause | schema_object_clause | NETWORK } [ BY { SESSION | ACCESS } ] [ WHENEVER [ NOT ] SUCCESSFUL ] ; NOAUDIT { sql_statement_clause | schema_object_clause | NETWORK} [ WHENEVER [ NOT ] SUCCESSFUL ] ;
Nro. Pgina: Fecha: /25

Auditoria de sesin

Audit/noaudit session; Audit/noaudit session whenever not successful;


Audit/noaudit role;

Auditoria de accin Auditoria de Objeto


Audit/noaudit update table by nombre_usuario; Audit/noaudit insert on FACTURACION by access;

Oracle Database 11g

Privilegio de sistema AUDIT SYSTEM

27

03-06-

Auditoria para Oracle


Ejemplo

Usuario ALONSO

Tabla FACTURA (codigo number primary key, fecha date default sysdate);
audit session by alonso; audit all on facturas by access; select OS_Username Usuario_SO, Username Usuario_Oracle, Terminal ID_Terminal,DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null', 1017, 'Fallo', Returncode) Tipo_Suceso,TO_CHAR(Timestamp, 'DDMM-YY HH24:MI:SS') ora_Inicio_Sesion, TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion

ACCESOS DEL USUARIO

insert into facturas (codigo) values (1); insert into facturas (codigo) values (2); insert into facturas (codigo) values (3); select * from facturas; delete facturas where codigo=2; update facturas set codigo=33 where codigo=2;

from DBA_AUDIT_SESSION where Username="ALONSO";


Nro. Pgina: Fecha: /25

Oracle Database 11g

Privilegio de sistema AUDIT SYSTEM

28

03-06-

Auditoria para Oracle

Oracle Database 11g

29

Nro. Pgina: Fecha:

/25

03-06-

Auditoria para SQL Server


Implica el seguimiento y registro de los eventos que se producen en Motor de la BD. Especificaciones de auditora de servidor para los eventos de servidor Especificaciones de auditora de base de datos para los eventos de base de datos (limitada a las ediciones Enterprise, Developer y Evaluation) SQL Server Audit proporciona las herramientas y los procesos necesarios para habilitar, almacenar y ver 30 auditoras en varios objetos de servidor y de base de
Fecha:

SQL Server 2012

Nro. Pgina:

/25

03-06-

Auditoria para SQL-server


Proceso general de creacin y uso de una auditora Crear una auditora y definir su destino Crear una especificacin de auditora de servidor o una especificacin de auditora de base de datos Habilitar la auditora Leer los eventos de auditora mediante el Visor de eventos o el Visor de archivos de registro de Windows, o la funcin fn_get_audit_file
Nro. Pgina: Fecha: /25

31

03-06-

Auditoria para SQL-server


Funciones y vistas dinmicas
sys.dm_audit_actions

Descripcin
Devuelve una fila por cada accin de auditora sobre la que se puede guardar informacin en el registro de auditora y por cada grupo de acciones de auditora que se puede configurar como parte de SQL Server Audit.

sys.dm_server_audit_status

Proporciona informacin sobre el estado actual de la auditora.

sys.dm_audit_class_type_map

Devuelve una tabla que asigna el campo class_type del registro de auditora al campo class_desc de sys.dm_audit_actions.

fn_get_audit_file

Devuelve informacin de un archivo de auditora creado por una auditora de servidor.

32

Nro. Pgina: Fecha:

/25

03-06-

Auditoria para SQL-server


Vistas de catlogo Descripcin
sys.database_audit_specifications Contiene informacin sobre las especificaciones de auditora de base de datos en una auditora de SQL Server de una instancia del servidor.

sys.database_audit_specification_details

Contiene informacin sobre las especificaciones de auditora de base de datos en una auditora de SQL Server de una instancia de servidor para todas las bases de datos.
Contiene una fila para cada auditora de SQL Server de una instancia de servidor. Contiene informacin sobre las especificaciones de auditora de servidor en una auditora de SQL Server de una instancia del servidor. Contiene informacin sobre los detalles de las especificaciones de auditora de servidor (acciones) en una auditora de SQL Server de una instancia de servidor. Contiene informacin adicional sobre el tipo de auditora de archivos en una auditora de SQL Server de una instancia de servidor.

sys.server_audits

sys.server_audit_specifications

sys.server_audit_specifications_details

sys.server_file_audits

33

Nro. Pgina: Fecha:

/25

03-06-

Auditoria para SQL-server


Permisos Para poder ver las vistas de catlogo se debe cumplir una de las condiciones siguientes:
Pertenecer al rol sysadmin El permiso CONTROL SERVER El permiso VIEW SERVER STATE El permiso ALTER ANY AUDIT El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catlogo sys.server_audits)

34

Nro. Pgina: Fecha:

/25

03-06-

conclusiones
La gran difusin de los Sistemas de Gestin de Bases de datos (SGBD) junto con la relacin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada da mayor inters Demostrar la integridad de la informacin, mitigar los riesgos asociados, asegurar la confidencial de la informacin, garantizar la seguridad de los datos y conocer quin o qu les hizo exactamente qu, cundo y cmo a los datos, conforman la idea principal de la Auditoria. Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD
35
Nro. Pgina: Fecha: /25

03-06-

También podría gustarte