Universidad Politécnica Salesiana

Ingeniería de Sistemas
Auditoría Informática

Nombre: Andrés Ojeda, Ayleen Reyes

Fecha: 24 de Junio de 2019

AUDITORÍA DE BASES DE DATOS

1. INTRODUCCIÓN

Las bases de datos están bajo ataque. Según los datos mostrados por la
ISACA, en base a los datos de violación de datos del PRC, Privacy Rights
Clearinghouse, desde febrero de 2005 a marzo de 2009, un total de
355,547,925+ clientes se han visto afectados por ataques a base de datos,
literalmente son cientos de incidentes, entre las víctimas se incluyen
instituciones financieras, agencias gubernamentales, minoristas, proveedores
de salud, etc.

Dichas cifras no son las únicas mostradas, empresas de consultoría y

auditoría muestran que casi todos los días se reportan incidentes, las
amenazas a las empresas aumentan, así como los datos que manejan.

Por eso, el panorama de seguridad de la base de datos ha cambiado: la gran
mayoría de los ataquen son dirigidos a las bases de datos de registros, donde
se encuentra la mayoría de las vulnerabilidades como: cuentas y contraseñas
predeterminadas, contraseñas fáciles de adivinar, parches faltantes,
privilegios excesivos, etc. Además, existen amenazas externas como: ataques
de aplicaciones web, controles de auditoría débiles o inexistentes, ingeniería
social.

2. MARCO TEORICO

La auditoría de base de datos es uno de los componentes de

cumplimiento más importantes que se deben configurar en una empresa,
con el fin de cuidar y mantener una correcta gestión del almacenamiento de
datos de los usuarios.

Siguiendo las regulaciones del RGPD, el Reglamento General de Protección
de Datos, es obligatorio que las reglas de protección de datos sean integradas
en la aplicación, el producto o el servicio, desde la fase inicial: siendo pieza
clave para la implementación exitosa de auditorias de bases de datos.
๏ ACTIVIDADES IMPORTANTES PARA LA AUDITORÍA
Cuando se instala y configura una nueva instancia de base de datos, se
crea una base de datos inicial, con una configuración predeterminada que
incluye usuarios y contraseñas. Esto puede crear una vulnerabilidad debido al
hecho de que un usuario de base de datos, puede tener permiso para editar
datos en tablas o cambiar permisos de esquemas predeterminados.

Por eso, se debe revisar algunas de las actividades importantes que deben
auditarse por razones de seguridad y cumplimiento.

๏ ACCESO DE USUARIO Y AUTENTICACIÓN

Un usuario privilegiado puede ser capaz de cambiar o extraer
información financiera de los datos de un cliente o puede intentar acceder al
sistema en un momento en el que no es permitido, siendo posible, que el
acceso se de con malas intenciones.

La auditoría de estas acciones ayuda a las empresas a identificar una
violación de datos antes de que sea muy tarde, para que se ayude a
implementar mejores configuraciones de seguridad para evitar que se
produzcan perdidas.

๏ OBJETOS DE BASE DE DATOS

Los objetos de la base de datos que contienen datos de usuarios o
compañías, así como procedimientos o lógicas que definen la funcionalidad
de un sistema, y las personas con permiso de estos objetos pueden manipular
la estructura y convertirse en una razón para la corrupción de datos o el robo
de datos de forma continua. Nada de esto podría rastrearse si la auditoría no
está habilitada.

La auditoría debe ser implementada para todas las tablas importantes, vistas,
procedimientos, relaciones, flujos lógicos de tiempo, etc.

๏ DATOS
La parte más critica de cualquier organización es la información.
Pueden existir muchos usuarios que puedan tener permiso para manipular
los datos, y es importante que todos los datos confidenciales y restringidos no
sean editados por otros usuarios no autorizados.

Las identificaciones y el seguimiento de detalles como el usuario, la hora, los
datos y el cambio pueden ayudar a las empresas a cumplir con muchas
reglas de cumplimiento de datos.

๏ RED
Los datos de hoy son enormes y móviles. Es posible que guarde algunos
de los datos en las instalaciones de una empresa, así como algunos datos en
la nube publica, por lo que puede exigir una gran cantidad de redes. La
auditoría de una red ayudará a la empresa a comprender los grandes
volúmenes de datos y a identificar los requisitos de recursos de red para una
mejor configuración de su infraestructura de red.

๏ USO GENERAL DE LAS BASES DE DATOS

La auditoria del uso general de las bases de datos pueden darle a la
empresa una excelente idea del costo de ejecutar un servidor, así como
permitirle estar listo para cualquier adición y modificación de recursos antes
de que sean necesarios.

๏ MEJORES SOLUCIONES PARA AUDITORÍAS DE BASES DE DATOS

Diferentes bases de datos proporcionan varias opciones para auditar
datos a diferentes niveles. Éstos son algunos de los principales motores de
bases de datos y sus funciones de auditoría.

๏ BASE DE DATOS ORACLE 12C

Oracle ha combinado sus dos productos de seguridad, Audit Vault y
Database Firewall, en un solo producto para que los usuarios puedan
disfrutar de un registro de datos de auditoria unificado.

Oracle database 12c proporciona una mejor auditoria al proporcionar una
configuración de registro especifica, precisa y basada en el contexto. Esto
mejora el rendimiento mediante la reducción de los gastos generales para el
registro de los datos de auditoria y también mejora el informe de los datos
auditados ya que ya se ha capturado de forma consolidada.

๏ DB2
Cuando está habilitado, db2audit de IBM, genera los registros de
auditoria para un conjunto de operaciones de base de datos. Los registros de
auditoria se pueden encontrar en los archivos de registro generados en el
sistema de archivos y pueden usar la herramienta db2audit para configurar y
monitorear la información relacionada con la auditoria a nivel de instancia o
base de datos.

๏ MYSQL ENTERPRISE AUDIT

Una vez que el complemento de auditoria esta habilitada, los usuarios
pueden definir opciones para lo que necesita ser auditado. Los registros de
auditoria se generan de forma segura en formato XML y se pueden ver con
cualquier herramienta de visualización. Los registros de auditoria pueden ser
encriptados, luego compartidos y desencriptados por otras herramientas de
terceros con la clave para el análisis. Además, la nueva mejora guarda en el
almacenamiento al generar archivos de registro comprimidos.

El éxito de una organización depende en gran parte de la correcta gestión de

la seguridad de su información, el objetivo de dicha gestión es proteger la
información y garantizar su correcto uso, por supuesto, la seguridad de los
sistemas informáticos y los procedimientos juegan un papel muy importante
en la consecución de dicho objetivo.

La auditoría es un arma valiosa en la lucha contra las violaciones potenciales

de los datos. Aplicar auditorías de forma periódica en una base de datos es
una práctica apropiada para identificar actividades sospechosas y supervisar
los movimientos que se realizan en ésta por lo que dicha práctica se
considera un elemento fundamental del sistema de control interno de una
organización y como tal es un medio al servicio de la alta dirección destinado
a salvaguardar los recursos, verificar la exactitud y veracidad de la
información de las operaciones, estimular la observancia de las políticas
previstas y lograr el cumplimiento de las metas y objetivos programados.

En la sociedad de hoy en día toda organización competitiva que actúa en un

entorno de tecnologías de información (TI) debe establecer en sus
procedimientos el uso de estándares de TI y buenas prácticas con el fin de
adaptarse a los requisitos individuales de sus clientes potenciales. La
creciente adopción de mejores prácticas de TI ha sido impulsada para el
establecimiento y cumplimiento de ciertos requisitos en la industria de TI con
la finalidad de mejorar la gestión de la calidad y la fiabilidad de la
información. La metodología que aquí se propone ambiciona que sea el
personal interno a la organización y específicamente el administrador de
base de datos quien conozca y adecúe los procedimientos para abordar cada
escenario de la auditoría con la finalidad de concretarla oportuna y
exitosamente.

Esta metodología utiliza estándares enfocados a la seguridad ISO/IEC, COBIT

e ITIL y basándose en el círculo de Deming permite aplicar a un proceso
cualquiera una acción cíclica con el fin de asegurar la mejora continua de
dichas actividades. El uso de estándares permite cumplir con los requisitos,
especificaciones técnicas y otros criterios precisos que garantizan que los
productos y servicios se ajusten a su propósito, haciendo que la vida sea más
simple y permitiendo un mayor grado de fiabilidad y efectividad de los bienes
y servicios.

La metodología se fundamenta en un modelo de 5 etapas tomando como

referencia el círculo de Deming y adaptado al prototipo de madurez de COBIT
considerando 5 niveles y su correspondiente ponderación. Los objetivos de
control de ISO/IEC 27001-27002 se alinean a COBIT e ITIL y se utilizan como
referente para definir los procesos propios de la auditoría de base de datos.

3. CONCLUSIONES

• La auditoría de la base de datos implica observar una base de datos para

estar al tanto de las acciones de los usuarios. Los administradores de éstas, y
los consultores a menudo configuran la auditoría por motivos de seguridad,
por ejemplo, para garantizar que aquellos sin el permiso para acceder a la
información no tengan acceso a ella.

• La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto

con la consagración de los datos como uno de los recursos fundamentales
de las empresas, ha hecho que los temas relativos a su control interno y
auditoria cobren, cada día, mayor interés.

• El objetivo de la base de datos, no es tan solo contar con los recursos de

información si no también los mecanismos necesarios para poder encontrar
y recuperar esos recursos. De esta forma la base de datos se ha convertido
en un elemento indispensable tanto para el funcionamiento de los grandes
motores de búsqueda y la recuperación de la información como también
para la creación de sedes Web, intranets y otros sistemas de información.
• Toda organización es responsable de asegurar la protección de su
información para garantizar el logro de sus objetivos. El área de
administración de bases de datos tiene por objeto asegurar la integridad de
la información y su correcta utilización, así como la documentación de los
procesos propios del área utilizando lineamientos homogéneos que ayuden
a mejorar el desempeño de los miembros de área.

• La metodología propuesta para auditar bases de datos sirve como marco de

referencia para mejorar las actividades que se desarrollan en el área de
administración de base de datos de una organización al tiempo que
permite conocer el estado actual de dicha área. Al estar fundamentada en
estándares y buenas prácticas la metodología coadyuva a mitigar los
riesgos asociados en el manejo de la información, apoya a la segregación de
las funciones y asegura el correcto entendimiento de los procesos
contribuyendo con ello a una mejor administración de la organización. Para
asegurar el éxito en la implementación de la metodología para auditoría de
base de datos en una organización no basta con imponerla, también es
necesario crear conciencia en los miembros de la organización en lo
referente al uso responsable de la información.

• Es importante señalar que el objetivo de este trabajo se centró en la

descripción de la metodología para auditar bases de datos, dejando para un
siguiente trabajo la exposición de los resultados de la implementación de la
metodología como parte de un caso de estudio.

4. REFERENCIAS

• Barnes, R. (s.f.). Database Auditing: Best Practices . CISA. Disponible en:

http://www.sfisaca.org/images/May09_Slides.pdf?1Q,M3,521fd9a2-f86d-
4991-8428-8e8324b89ecd
• Tang, C. (s.f.). Why You Need a Database Audit Trail . Imperva. Disponible en:
https://www.imperva.com/blog/why-you-need-a-database-audit-trail/

• Yehuda, Y. (s.f.). Database Audits: Why You Need Them and What Tools to
Use. Imperva. Disponible en: https://www3.dbmaestro.com/blog/database-
audits-why-you-need-them-what-tools-to-use