Auditoría de base de datos, de aplicaciones y de sistemas operativos.

Cristian Godoy Vera

Auditoría de Sistema
Instituto IACC
23/mayo/2021
 Desarrollo
I.-
A. Para este caso es perfecto el uso de un sistema de auditoría que permita corroborar los
usuarios y roles que tienen entrada al sistema de control. Es muy habitual en las empresas
que los dependientes que manejan sistemas se compartan sus claves y en particular cuando
algunos de estos tienen un mayor rango de roles para manejar información, motivo por la que
se requiere que únicamente tengan entrada los dependientes que se desempeñan en esa área
del control de inventario, puesto que la manipulación de datos puede dañar y distorsionar los
reportes que se obtienen de forma periódica.
En definitiva, se realizará un análisis de los accesos a los datos almacenados en las bases de
datos con el fin de poder evaluar, monitorear y tener constancia de los accesos a la información
almacenada en las mismas. Si bien el propósito puede cambiar en función del particular, en todos
los casos el fin último que se persigue, de una u otra manera, es la seguridad corporativa.
Una auditoría de base de datos, por lo tanto, entregará instrumentos competentes para conocer
de manera exacta cuál es la relación de los usuarios a la hora de ingresar a las bases de datos,
incluyendo el comportamiento que deriven en una generación, modificación o eliminación de
datos.

B. Este tipo de auditoría aplicada sobre una base de datos requiere que de manera conjunta se
audite el sistema operativo, el motivo principal es que se pueden detectar determinadas
irregularidades que el sistema este presentando, lo que afectará la efectividad de esta base de
datos, igualmente, el nivel de seguridad que se pueda dar por medio del sistema y que puedan
repercutir notoriamente en la manipulación de la base de datos.
Además, un sistema de base de datos debe de tener implementados dispositivos de seguridad
que garanticen la integridad de la información, a pesar de caídas del sistema o intentos de
accesos no permitidos. Los sistemas de bases de datos requieren que la entidad reconozca el
papel importante de la información y comience activamente a administrar y planear la
información como recurso corporativo.
C. Lista de aspectos que serán auditados:
 Claves de accesos: Cada una de las claves permite la entrada ya sea controlada o libre a
la plataforma operativa, por ende, existe el peligro de una incorrecta manipulación de los
datos que puede adulterar la información.
 Usuarios y Roles: Cada usuario tiene un rol especifico que le permite utilizar una base de
datos, la seguridad y la fiabilidad de   los datos son la fuente fundamental   que dan
sustento a la información obtenida. Se deben implementar controles básicos, por ejemplo,
únicamente facultar la entrada a usuarios que tengan una necesidad asociada al negocio, y
eliminar regularmente las cuentas de los trabajadores que ya no son parte de la compañía
y adicionalmente de asegurarse de que este rol únicamente proporciona la entrada
necesaria.
 Privilegios: Qué usuarios tienen privilegios administrativos o especiales, es decir los
privilegios de sistema, que permiten que un usuario de la base de datos realice acciones
específicas en ella, y, en segundo lugar, los privilegios del propósito, que permiten tener
entrada o que se manipulen objetos en la base de datos.
 Los links: Este enlace que une base de datos puede ocasionar    graves distorsiones   y ser
utilizado para fines que no son los verdaderos de la compañía.
 Las cuentas por defecto: Durante el uso de la base de datos se van creando una serie de
usuarios y contraseñas que están deshabilitadas, solo un usuario con el rol de
administrador tiene la capacidad de poder activarlas o desactivarlas, ya que algunos de
estos pueden estar con roles más especiales, y que al ser utilizado con propósitos poco
honestos pueden perjudicar la operatividad del negocio.
 Registro de Auditoría de la base de datos: Podemos obtener información en esta área,
en caso de que, si hay datos faltantes, o si los datos no empiezan cuando el administrador
realizó el último mantenimiento, entonces esta información faltante debe ser explicada
adecuadamente.
 Autenticación SQL: Autentificación de Windows con la seguridad del login y con el
sistema operativo, utilizando las credenciales de seguridad de un usuario de la red para
controlar la entrada. Esto se realiza verificando la cuenta y contraseña en SQL Server
cuando un usuario intenta abrir una sesión.
  Autentificación de ORACLE: Indagar los grupos creados y los nombres asignados
cuando la base de datos fue instalada en el sistema operativo.

II.-
A. ¿Qué pruebas de auditoría podría aplicar a cada área?
Las pruebas de auditoría que podrían aplicarse en cada área, serian:
En el área de Desarrollo, se efectuará una prueba para revisar los primeros parámetros de
funcionamiento en términos de funcionalidad de cada software que se desarrolla, es decir que
cada software que se desarrolla debe encontrarse encuadrado con la finalidad de creación y el
uso que tendrá, de esta manera por medio de la revisión se estará verificando que su uso es
coincidente al propósito de su creación.
En el área de Certificación, se realizará una prueba de accesibilidad por medio de contraseñas
y comprobación de bloqueos frente a fallos de escritura. En este caso se deberán probar las
claves de acceso para contrarrestar si hay vulnerabilidad en el acceso.
En el área de Producción, se probará el sistema para comprobar su funcionamiento y acceso a
la plataforma. Se ingresará al sistema con diferentes claves lo que permitirá que se prueben los
roles que tendrá cada usuario y así tener el control de los diferentes roles que deberán
encontrarse vinculados con cada usuario. Adicionalmente, se aplicará el uso de herramientas de
pruebas de vulnerabilidades, las cuales tienen a menudo la capacidad de evaluar centenares o
miles de vulnerabilidades.

B. ¿Corresponde auditar el uso de las buenas prácticas SSL/TSL?

SSL es la sigla de Secure Sockets Layer (capa de sockets seguros), la tecnología standard
para conservar segura una conexión a Internet, así como para proteger cualquier información
confidencial que se envía entre dos sistemas e impedir que los delincuentes lean y modifiquen
cualquier elemento que se transfiera, incluida información que pudiera considerarse personal. El
primordial beneficio de la seguridad de la capa de transporte es la protección de los datos de la
aplicación web, de la difusión y modificación no autorizada cuando se transmite entre clientes
(navegadores web) y el servidor de aplicaciones web y entre el servidor de aplicaciones web y
otros servidores o componentes empresariales.
 La seguridad de los sistemas informáticos tiene un alto grado de implicancia para cada
empresa, por tal razón, es imperioso que se apliquen las medidas de seguridad junto a las
correspondientes pruebas sobre los sistemas SSL y TTS que sirven como defensas de
protección frente a amenazas que puedan atacar la vulnerabilidad de los sistemas. La
información que viaja debe contar con la protección adecuada frene fugas o ataques que tengan
por propósito robar información.
 Bibliografía
IACC (2016). Principales áreas de la auditoría informática. Parte I. Auditoría Informática.
Semana 7