970 likes | 2.47k Views
Auditoria de Base de datos. Elaborado por: Rosa Bravo Josefina Rivas. Contenido. ¿Qué es Auditoria? ¿Qué es Auditoria de Base de Datos? Objetivos Generales Importancia Aspectos Claves Metodologías Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE
E N D
Auditoria de Base de datos Elaborado por: Rosa Bravo Josefina Rivas
Contenido • ¿Qué es Auditoria? • ¿Qué es Auditoria de Base de Datos? • Objetivos Generales • Importancia • Aspectos Claves • Metodologías • Auditoria y Control Interno de un entorno de Base de Datos • Auditoria para ORACLE • Auditoria para SQL Server • Conclusiones
¿Qué es auditoria? • Examen organizado de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado. • Actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la afección a los mismos y la eficiencia de su implementación. Gestión del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf
¿Qué es auditoria de base de datos (BD)? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: • Quién accede a los datos • Cuándo se accedió a los datos • Desde qué tipo de dispositivo/aplicación • Desde que ubicación en la Red • Cuál fue la sentencia SQL ejecutada • Cuál fue el efecto del acceso a la base de datos
Objetivos generales de la auditoria de BD • Mitigar los riesgos asociados con el manejo inadecuado de los datos • Apoyar el cumplimiento regulatorio • Satisfacer los requerimientos de los auditores • Evitar acciones criminales • Evitar multas por incumplimiento • Definición de estructuras físicas y lógicas de las bases de datos • Control de carga y mantenimiento de las bases de datos • Integridad de los datos y protección de accesos • Estándares para análisis y programación en el uso de bases de datos • Procedimientos de respaldo y de recuperación de datos Evaluando
Importancia de la Auditoria de BD • Toda la información de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. • Se debe poder demostrar la integridad de la información almacenada en las bases de datos. • Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información. • La información confidencialesresponsabilidadde las organizaciones. • Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio. • Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. • Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.
Aspectos claves • No se debe comprometer el desempeño de las bases de datos • Soportar diferentes esquemas de auditoría • Se debe tomar en cuenta el tamaño de las bases de datos a auditar • Segregación de funciones • El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de TI • Proveer valor a la operación del negocio • Información para auditoría y seguridad • Información para apoyar la toma de decisiones de la organización • Información para mejorar el desempeño de la organización • Auditoría completa y extensiva • Cubrir gran cantidad de manejadores de bases de datos • Estandarizar los reportes y reglas de auditoría
Metodologías para la auditoria de bd Metodología Tradicional En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de puntos a verificar. Por ejemplo: SINON/A ¿Existe una metodología de Diseño de Base de Datos? ¿Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las bases de datos? Se han configurados los logs para almacenar la información relevante? . . . . NOTA:Debiendo registrar el auditor el resultado de su investigación
Metodologías para la auditoria de bd Metodología de Evaluación de Riesgos Este tipo de metodología, conocida también por RiskOrientedApproach(*) (Enfoque Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. • Considerando los riesgos de: • Dependencia por la concentración de Datos • Accesos no restringidos en la figura del DBA • Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación • Impactos de los errores en Datos y programas • Rupturas de enlaces o cadenas por fallos del software • Impactos por accesos no autorizados • Dependencias de las personas con alto conocimiento técnico (*) Diseñada por Arthur Andersen ISACA: Information Systems Audit and Control Association
SGBD UTILIDADES DEL DBA Auditoria y Control Interno de un entorno de Base de Datos DICCIONARIO DE DATOS CONFIDEN. PRIVACIDAD AUDITORIA case L4G SEGURIDAD RECUPER. ENTORNO DE BASE DE DATOS • Cuando el auditor se encuentra con el sistema en Producción tendrá que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios. • La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD. Repositorio SOFTWARE AUDITORIA L4G INDEP. CATALOGO NUCLEO SISTEMA MONITOR/ AJUSTE FACILIDADES DEL USUARIO PAQUETES SEGURIDAD SO APLICACIONES MONITOR TRANSAC. MINERIA DE DATOS PROTOCOLOS Y SIST. DISTRIBUIDOS AUDITOR INFORMATICO
Auditoria para Oracle Conjunto de características que permite al DBA y a los usuarios hacer un seguimiento del uso de la base de datos. La información de las auditorías se almacena en el diccionario de datos, en la tabla SYS.AUD$ o en la pista de auditoría del sistema operativo (si lo permite). Lo anterior viene definido en el parámetro audit_trail. Se pueden auditar tres tipos de acciones: • Intentos de inicio de sesión • Accesos a objetos • Acciones de la base de datos. • En Oracle 9i la auditoría viene desactivada por defecto, el valor del parámetro "audit_trail" está a "NONE" • En Oracle 11g la auditoría viene activada por defecto, el valor del parámetro "audit_trail" está a "DB"
Auditoria para Oracle SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name Oracle Database 11g
Auditoria para Oracle Intentos de conexión fallidos Oracle Database 11g
Auditoria para Oracle AUDIT TRAIL • ACTIVAR: ALTER SYSTEM SET audit_trail = "DB" SCOPE=SPFILE; • DESACTIVAR ALTER SYSTEM SET audit_trail = "NONE" SCOPE=SPFILE; AUDIT_TRAIL select name, value from v$parameter where name like 'audit_trail' NONE: desactiva la auditoría de la base de datos. OS: activa , los eventos auditados se guardan en la pista de auditoría del SO(dependiendo del SO) DB: activa y los datos se almacenarán en la taba SYS.AUD$ de Oracle. DB, EXTENDED: activa y además se escribirán los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$. XML: activa los eventos son escritos en archivos XML del SO. XML, EXTENDED: activa y además se incluyen los valores de SqlText y SqlBind. Oracle Database 11g
Auditoria para Oracle AUDIT Y NOAUDIT AUDIT { sql_statement_clause | schema_object_clause | NETWORK } [ BY { SESSION | ACCESS } ] [ WHENEVER [ NOT ] SUCCESSFUL ] ; NOAUDIT { sql_statement_clause | schema_object_clause | NETWORK} [ WHENEVER [ NOT ] SUCCESSFUL ] ; • Auditoria de sesión • Audit/noauditsession; • Audit/noauditsession whenever not successful; • Auditoria de acción • Audit/noauditrole; • Auditoria de Objeto • Audit/noauditupdate table by nombre_usuario; • Audit/noauditinsert on FACTURACION by access; Privilegio de sistema AUDIT SYSTEM Oracle Database 11g
Auditoria para Oracle Usuario ALONSO Tabla FACTURA (codigo number primary key, fecha date default sysdate); Ejemplo • audit session by alonso; • audit all on facturas by access; ACCESOS DEL USUARIO • selectOS_UsernameUsuario_SO, UsernameUsuario_Oracle, Terminal ID_Terminal,DECODE(Returncode, '0', 'Conectado', '1005', 'Fallo - Null', 1017, 'Fallo', Returncode) Tipo_Suceso,TO_CHAR(Timestamp, 'DD-MM-YY HH24:MI:SS') ora_Inicio_Sesion, TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion • from DBA_AUDIT_SESSION • where Username="ALONSO"; • insert into facturas (codigo) values (1); • insert into facturas (codigo) values (2); • insert into facturas (codigo) values (3); • select * from facturas; • delete facturas wherecodigo=2; • update facturas set codigo=33 wherecodigo=2; Privilegio de sistema AUDIT SYSTEM Oracle Database 11g
Auditoria para Oracle Oracle Database 11g
Auditoria para SQL Server Implica el seguimiento y registro de los eventos que se producen en Motor de la BD. • Especificaciones de auditoría de servidor para los eventos de servidor • Especificaciones de auditoría de base de datos para los eventos de base de datos (limitada a las ediciones Enterprise, Developer y Evaluation) • SQL Server Audit proporciona las herramientas y los procesos necesarios para habilitar, almacenar y ver auditorías en varios objetos de servidor y de base de datos. Los inicios de sesión de SQL Server que tengan el permiso CONTROL SERVER pueden utilizar el Motor de base de datos para tener acceso a los archivos de auditoría SQL Server 2012
Auditoria para SQL-server Proceso general de creación y uso de una auditoría • Crear una auditoría y definir su destino • Crear una especificación de auditoría de servidor o una especificación de auditoría de base de datos • Habilitar la auditoría Leer los eventos de auditoría mediante el Visor de eventos o el Visor de archivos de registro de Windows, o la función fn_get_audit_file
Auditoria para SQL-server Permisos • Para poder ver las vistas de catálogo se debe cumplir una de las condiciones siguientes: • Pertenecer al rol sysadmin • El permiso CONTROL SERVER • El permiso VIEW SERVER STATE • El permiso ALTER ANY AUDIT • El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catálogo sys.server_audits)
conclusiones • La gran difusión de los Sistemas de Gestión de Bases de datos (SGBD) junto con la relación de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada día mayor interés • Demostrar la integridad de la información, mitigar los riesgos asociados, asegurar la confidencial de la información, garantizar la seguridad delos datos y conocer quién o qué les hizo exactamente qué, cuándo y cómo a los datos, conforman la idea principal de la Auditoria. • Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD • Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD