Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Proyecto 2
08 de Mayo 2023
Índice
Auditoría de Base de datos................................................................................................................2
Objetivos Generales de la Auditoría de BD.......................................................................................2
¿Quién usa la auditoría de la base de datos?....................................................................................2
Reglas de auditoría............................................................................................................................3
¿En qué se basa la auditoria en MySQL?...........................................................................................4
Proceso de auditoria en MySQL.........................................................................................................5
Conclusión.............................................................................................................................................7
Bibliografía.............................................................................................................................................8
1
INTRODUCCIÓN
Auditar las operaciones de la base de datos es una parte esencial para mejorar la
seguridad de esta. Esto involucra la identificación de vulnerabilidades tales como
contraseñas débiles o predeterminadas, excesos de privilegios de usuarios y grupos,
así como bases de datos sin actualizaciones. Las vulnerabilidades son aprovechadas
por hackers para alcanzar sus propios objetivos, tales como la elevación de
privilegios, la inyección SQL, ataques DoS entre otros. Con esta razón de gran peso
además de las regulaciones y cargos judiciales que acarrean según las leyes de cada
país la fuga de información de clientes o información de operatividad de empresas.
Auditar las operaciones críticas de la base de datos nos ayuda a garantizar la
seguridad y el cumplimiento.
2
El proceso que nos permite mediante el empleo de varios controles y contrapesos para encontrar o
determinar cambios no autorizados o fallas que existen en una base de datos, donde tenemos tomar
en cuenta contar con las herramientas de auditoría que nos permitan medir, asegurar, demostrar,
monitorear y registrar los accesos a los datos alojados en las bases de datos determinando lo
siguiente:
Contar con los mecanismos para habilitar un registro de auditoría completo y automatizado
relacionado con el acceso a la base de datos, incluida la capacidad de generar alertas para:
Reglas de auditoría
Auditar una base de datos MySQL conlleva la revisión y análisis de todos los registros y operaciones
realizadas con el fin de asegurar el cumplimiento de los estándares establecidos al igual que las
normas. Con todo esto también se tiene una perspectiva más clara y se logra identificar
vulnerabilidades, mala praxis o problemas encontrados en la base de datos. Podemos crear un
listado de los puntos a revisar como lo son a continuación:
MySQL Enterprise Audit ofrece una solución de examen que es fácil de usar en pautas que
son fáciles de usar, la compañía ayuda a implementar controles de seguridad más estrictos y
cumplir con las regulaciones.
Si está recopilado, los datos guardados y más confidenciales están en línea, la prueba de la
base de datos se convierte en una parte esencial de cada estrategia de seguridad. Para proteger
contra el uso inadecuado de la información, las reglas generales de regulaciones, incluidas
HIPAA, Sarbanes-Oxley y el estándar de seguridad de datos PCI, requieren acceso a la
información.
Implementada por el complemento del servidor llamado audit_log. MySQL Enterprise Audit
utiliza auditorías API Open MySQL para habilitar el monitoreo, el registro y el bloqueo
estándar, en función de la política de conexión y consulta ejecutada en un servidor MySQL
específico.Esto permite que MySQL Server genere archivos de registro que incluyen registros
de auditoría de actividad del servidor.
Esto incluye lo siguiente:
User Defined Custom Audit Log Events: Permite agregar eventos personalizados al
registro de auditoría de MySQL, proporcionando información adicional relacionada
con las llamadas SQL. Por ejemplo, números de seguimiento y referencias de tickets
del helpdesk.
Encryption: Los archivos de auditoría se pueden cifrar utilizando el estándar AES-
256.
Compression: El uso de la compresión puede reducir el almacenamiento de auditoría
hasta 10 veces.
JSON Audit Data Format: Puede decidir entre JSON o XML.
Powerful Filtering to Protect Sensitive Data: Defina lo que audita mediante
plantillas o diseñe filtros altamente personalizados con una definición sencilla de
6
filtro JSON. Filtre por conexiones, usuarios, acceso a tablas, tipo de acceso, estado de
instrucción (éxito/error), contenido de consulta y más.
Meet Regulatory compliance standards: Proporciona los datos que la organización
y los auditores necesitan para cumplir con los requisitos, incluidos PCI, HIPAA,
FERPA, SOX y más.
Achieve Security Goals through Comprehensive Auditing: Verifica la actividad del
DBA, demuestra la validez de sus datos y realiza análisis forenses para investigar o
descubrir violaciones de datos.
Easy Integration with Audit Vaults and Stores: Archiva y analiza externamente
registros de auditoría basados en XML con facilidad utilizando Oracle Audit Vault y
otras soluciones de terceros, incluido Splunk.
Dynamic and Easy to Manage: Habilite/deshabilite dinámicamente el flujo de
auditoría, el filtrado de cambios y mucho más sin tiempo de inactividad. Rota
automáticamente los archivos de registro de auditoría en función del tamaño.
Low Overhead: Recopila datos de auditoría críticos sin un impacto mínimo en el
rendimiento. Utilice el filtrado de grano fino para minimizar el tamaño del registro de
auditoría y el impacto de E/S.
Remove Sensitive Data: Permite la eliminación de datos confidenciales de
instrucciones SQL en el log de auditoría.
7
Niveles de auditoria
8
Conclusión
9
Bibliografía
Deymar, A. (2022). Cómo Crear un Usuario MySQL y Otorgar Privilegios. Cómo Crear Un Usuario
MySQL y Otorgar Privilegios: Una Guía Para Principiantes.
https://www.hostinger.es/tutoriales/como-crear-usuario-mysql
MySQL :: MySQL 8.0 Reference Manual :: 6.2.10 Using Roles. (2023).
https://dev.mysql.com/doc/refman/8.0/en/roles.html