Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Work
No. de ref.
Program
rea Riesgo Oracle DB Actividad de Control Descripcin del plan de prueba
Practice Aid
-BETA 9i y
10g
1 La ausencia de registros 1 Existe un registro de auditora en la base de Verificar con el administrador de la base de datos y los dueos de las
de auditora en la base de datos el cual permite identificar actividades aplicaciones como se han definido las actividades de monitoreo sobre las
datos, aumenta el riesgo de no sospechosas o no autorizadas en el sistema. actividades realizadas directamente en la base de datos, considerar los
detectar acciones no siguientes escenarios:
autorizadas en el sistema, tales
como eliminacin y modificacin - Se utiliza el registro de eventos suministrado por la base de datos
de datos sensibles, o intentos ORACLE:
de acceso no autorizados.G1 1) Revisar que se encuentre configurado el parmetro de "audit_trail" con
alguno de los siguientes valores:
DB or TRUE Los registros de auditoria son registrados en la tabla AUD$
en el schema SYS, con esta configuracin el DBA puede realizar cambios
a las bitcoras de auditora ya que se almacenan en una tabla dentro de la
base de datos.
OS - Los registros de auditoria son almacenados en un archivo del
sistema operativo, por lo que con una adecuada administracin de
accesos a estos archivos, el administrador de base de datos no podra
modificar las bitcoras de auditora.
Este valor se puede obtener ejecutando el siguiente SQL Statement:
SELECT * FROM V$PARAMETER WHERE NAME = AUDIT_TRAIL
2) Verificar que dentro de la tabla DBA_STMT_AUDIT_OPS se estn
auditando la utilizacin de los siguientes SQL statements:
INSERT TABLE (importante que este establecido para el DBA)
DELETE TABLE (importante que este establecido para el DBA)
UPDATE TABLE (importante que este establecido para el DBA)
DROP TABLE
CREATE TABLE
SELECT TABLE
3) Verificar que se haya establecido la auditora sobre la utilizacin de
comandos privilegiados en los objetos crticos de la base de datos (Ej.
Auditoria, ALTER, AUDIT, INSERT, DELETE, GRANT, and LOCK); esta informacin
Logs y es obtenida ejecutando el siguiente comando: SELECT * FROM
monitoreo. DBA_OBJ_AUDIT_OPTS. Antes de realizar esta prueba se deben
identificar los objetos crticos de la base de datos, como pueden ser las
tablas que son utilizadas por la aplicacin para el almacenamiento de
informacin financiera; tablas con las cuentas de usuarios y contraseas
de una aplicacin, etc.
4) Verificar que se audite la utilizacin de los comandos privilegiados
crticos de la base de datos dentro de la tabla DBA_PRIV_AUDIT_OPTS
(Ej. CREATE TABLE, SELECT ANY TABLE).
5) Verificar en la tabla DBA_AUDIT_SESSIONS que se encuentren
registrados los eventos de ingreso al sistema o los eventos fallidos de
ingreso al sistema.
2 Si los usuarios privilegiados, 2 El acceso a las bitcoras de auditoria estn - Si se utiliza el registro de eventos suministrado por la base de datos
como los DBA's que se restringidos a los usuarios privilegiados ORACLE:
autentifican a la base de datos 1) Revisar que se encuentre configurado el parmetro de "audit_trail" con
directamente, puede acceder a alguno de los siguientes valores:
los registros de auditora o DB or TRUE Los registros de auditoria son registrados en la tabla AUD$
cambiar la configuracin de en el schema SYS, con esta configuracin el DBA puede realizar cambios
auditora sin supervisin se a las bitcoras de auditora ya que se almacenan en una tabla dentro de la
puede eludir la auditora y hacer base de datos.
cambios no autorizados sin que OS - Los registros de auditoria son almacenados en un archivo del
sea posible la deteccin de los sistema operativo, por lo que con una adecuada administracin de
responsables. accesos a estos archivos, el administrador de base de datos no podra
modificar las bitcoras de auditora.
Este valor se puede obtener ejecutando el siguiente SQL Statement:
SELECT * FROM V$PARAMETER WHERE NAME = AUDIT_TRAIL
Los privilegios deben estar establecidos de tal forma que solo los
administradores de la base de datos puedan realizar cambios sobre dichos
archivos; el usuario utilizado por la base de datos a nivel sistema operativo
debe ser el owner del directorio y los archivos utilizados por la base de
datos y el dbagroup debe ser el nico grupo con acceso a dichos archivos
y directorios.
4 Acciones no autorizadas sobres 5 Las relaciones de confianza en la base de Confirmar con mediante la tabla SYS.DBA_DB_LINKS si existen
los datos se den como datos se encuentran adecuadamente relaciones de confianza en la base de datos, en caso de existan relaciones
cambiarlos( update), copiarlos , configuradas y han sido autorizadas de confianza se deben ejecutar las siguientes actividades:
insertarlos o removerlos. correctamente. - Verificar con el administrador de la base de datos la razn de las
relaciones de confianza existentes en la base de datos.
- Indagar y verificar el user ID as como los roles y privilegios asignados
para realizar las relaciones de confianza. (Verificar los privilegios de
acuerdo al plan de prueba del control No. 8 de esta matriz)
- Verificar que las relaciones de confianza se hayan autorizado
adecuadamente.
- Verificar que se haya definido adecuadamente la responsabilidad del
resguardo de las contraseas utilizadas para las relaciones de confianza.
Administraci 5 Los administradores del sistema 7 Se cuenta con una adecuada segregacin a) Verificar que la persona que administra la base de datos no comparta
n de operativo y los que administran de funciones entre el personal que las responsabilidades de administracin del sistema operativo.
Usuarios la base de datos podran no administra el sistema operativo y la base de b) Verificar que los usuarios no tienen acceso a mas de una capa de la
estar segregados, eludiendo la datos. infraestructura tecnolgica que soporta los sistemas:
auditora y controles ganando - Sistema operativo (Windows: lista de usuarios, UNIX: /etc/passwd
privilegios para cambiar los - Base de datos: Contenido de la tabla "SYS.DBA_USERS"
datos financieros. - Aplicacin : Solicitar un listado de los usuarios en la aplicacin.
6 Existe un mayor riesgo si 8 Los identificadores de usuario debe ser Verificar las cuentas existentes en la base de datos mediante la tabla
existen UID genricos ya que nicos y personalizados. (SYS.DBA_USERS) y validar que solamente existan las cuentas de
podra provocar el intercambio usuario utilizadas por la aplicacin y las cuentas de usuario
de identificadores de usuario. correspondientes a los usuarios finales de la aplicacin (en caso de que
requieran ser creadas en la base de datos), validar que no existan cuentas
de usuarios genricos; es decir que sea utilizadas para obtener acceso a
la base de datos sin un responsable de su uso.
7 Los passwords de los usuarios 10 Las contraseas de los usuarios por default Verificar que las contraseas de las cuentas de usuario por default en la
por default no han sido han sido cambiadas. base de datos han sido cambiadas:
cambiadas incrementando la a) Obtener el listado de cuentas de usuario existentes en la base de datos
probabilidad de se puedan con la contrasea establecida (SYS.DBA_USERS)
presentar accesos no b) Obtener el listado de contraseas por default en bases de datos Oracle
autorizados a la Base de datos. c) Realizar una comparacin de las contraseas establecidas a los
usuarios contra las contraseas por default.
11 Asignar privilegios al rol PUBLIC 17 No se han definido privilegios para el rol Verificar que el role PUBLIC no cuente con ningn privilegio asignado en la
incrementa el riesgo de se PUBLIC. base de datos:
asignen privilegios no a) Solicitar al DBA que ejecute las siguientes sentencias SQL:
autorizados SELECT OWNER, TABLE_NAME, GRANTOR, PRIVILEGE
FROM SYS.DBA_TAB_PRIVS
WHERE GRANTEE = PUBLIC
AND GRANTOR <>SYS; AND GRANTOR <> SYSTEM;
SELECT GRANTED_ROLE
FROM SYS.DBA_ROLE_PRIVS
WHERE GRANTEE = PUBLIC;