Auditoria de Bases de Datos

UNIVERSIDAD TECNOLÓGICA NACIONAL Facultad Regional Córdoba

Ingeniería en Sistemas de Información

Curso: 5k2 Profesor: Ing. Antonelli Matterson JTP: Ing. Spesso

Cátedra: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

AUDITORÍA DE

BASES DE DATOS

Grupo Nº:

Córdoba, Mayo de 2008

Leg.

Loza, Patricia A. 41393

Cargnelutti, Pablo R. 45990

Sosa Agüero, Paula 33432

UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

2Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula

Índice:

Introducción ...............................................................................................3

La Auditoría de BD es importante porque ......................................................4

¿Qué es la Auditoría de BD? .........................................................................4

Objetivos Generales de la Auditoría de BD.....................................................4

Aspectos Claves ..........................................................................................5

Mediante la auditoría de bases de datos se evaluará ......................................5

Metodologías para la auditoría de Base de Datos ...........................................6

Planificación de la Auditoria de BD................................................................6

Metadatos .......................................................................................................... 7

Consideraciones Generales.........................................................................12

Objetivos de Control en el ciclo de vida de una Base de Datos ......................12

Estudio previo y Plan de Trabajo ................................................................12

Concepción de la Base de Datos y Selección del Equipo................................14

Diseño y Carga .........................................................................................15

Explotación y Mantenimiento......................................................................15

Revisión post-implantación.........................................................................16

Sistema de Gestión de Base de Datos SGBD ................................................17



Introducción Las bases de datos son el activo más importante para las organizaciones, ya que poseen toda la información de la empresa, datos confidenciales que en manos ajenas puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y también denegarlos. Con la auditoría de bases de datos se busca monitorear y garantizar que la información está segura, además de brindar ayuda a la organización para detectar posibles puntos débiles y así tomar precauciones para resguardar aún más los datos.



¿Qué es la Auditoría de BD? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: – Quién accede a los datos – Cuándo se accedió a los datos – Desde qué tipo de dispositivo/aplicación – Desde que ubicación en la Red – Cuál fue la sentencia SQL ejecutada – Cuál fue el efecto del acceso a la base de datos Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad.

Objetivos Generales de la Auditoría de BD Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de: – Mitigar los riesgos asociados con el manejo inadecuado de los datos – Apoyar el cumplimiento regulatorio. – Satisfacer los requerimientos de los auditores – Evitar acciones criminales – Evitar multas por incumplimiento La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología. La Auditoría de BD es importante porque: – Toda la información financiera de la organización reside en bases de datos y deben

existir controles relacionados con el acceso a las mismas. – Se debe poder demostrar la integridad de la información almacenada en las bases

de datos. – Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la

fuga de información. – La información confidencial de los clientes, son responsabilidad de las

organizaciones. – Los datos convertidos en información a través de bases de datos y procesos de

negocios representan el negocio. – Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.

Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.



Términos similares a Auditoría de Base de Datos – Auditoría de Datos – Monitoreo de Datos La auditoría de la bases de datos se realiza en base a una metodología. Dicha metodología deriva de un marco de buenas prácticas en seguridad de base de datos aplicado sobre la documentación de la versión de la base de datos auditada. Mediante la auditoría de bases de datos se evaluará: – Definición de estructuras físicas y lógicas de las bases de datos – Control de carga y mantenimiento de las bases de datos – Integridad de los datos y protección de accesos – Estándares para análisis y programación en el uso de bases de datos – Procedimientos de respaldo y de recuperación de datos.

Aspectos Claves • No se debe comprometer el desempeño de las bases de datos

– Soportar diferentes esquemas de auditoría – Se debe tomar en cuenta el tamaño de las bases de – datos a auditar y los posibles SLA establecidos

• Segregación de funciones

– El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de IT

• Proveer valor a la operación del negocio

– Información para auditoría y seguridad – Información para apoyar la toma de decisiones de la organización – Información para mejorar el desempeño de la organización

• Auditoría completa y extensiva

– Cubrir gran cantidad de manejadores de bases de datos – Estandarizar los reportes y reglas de auditoría



Planificación de la Auditoria de BD 1. Identificar todas las bases de datos de la organización 2. Clasificar los niveles de riesgo de los datos en las bases de datos 3. Analizar los permisos de acceso 4. Analizar los controles existentes de acceso a las bases de datos 5. Establecer los modelos de auditoría de BD a utilizar 6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario

Metodologías para la auditoría de Base de Datos - Metodología Tradicional El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta. - Metodología de evaluación de riesgos Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. Considerando los riesgos de:

o Dependencia por la concentración de Datos o Accesos no restringidos en la figura del DBA o Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el

general de instalación o Impactos de los errores en Datos y programas o Rupturas de enlaces o cadenas por fallos del softw. o Impactos por accesos no autorizados o Dependencias de las personas con alto conocimiento técnico

Se pueden definir los siguientes Controles: Objetivo de control: el SGBD deberá preservar la confidencialidad de la BD

Técnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el

control de acceso a la base datos



Metadatos: Modelos de datos: Un modelo de datos define las reglas generales para la especificación de la estructura de los datos y el conjunto de operaciones permitidas sobre ellos. Estructuras: conjunto de conceptos que permiten representar las características estáticas de los datos. Las estructuras se pueden especificar de dos maneras: Representación de los datos e interrelaciones entre ellos: descripción de empleado, departamento e interrelación. Restricciones sobre los datos: ningún empleado cobra más que su jefe. Metadatos: Metadatos (del griego µετα, meta, «encima de» y latín datum, «lo que se da», «dato»), literalmente «sobre datos», son datos que describen otros datos, metadatos son «datos sobre datos». Otro concepto que algunos autores siguen es, que los metadatos son datos estructurados y codificadas que describen características de instancias (objetos) conteniendo informaciones para ayudar a identificar, descubrir, valorar y administrar las instancias descritas. Los metadatos pueden describir colecciones de objetos y también los procesos en los que están involucrados, describiendo cada uno de los eventos, sus componentes y cada una de las restricciones que se les aplican. Por ejemplo, una fotografía en la boda de un amigo con nuestra cámara digital. La fotografía, una vez guardada en el disco duro de nuestro ordenador, es el dato. Si nos fijamos en las propiedades, hay toda una colección de datos asociados a la fotografía: el nombre, la fecha, el formato, el propietario,… (y algunos de ellos ya son añadidos automáticamente por nuestra cámara). Ese tipo de información son metadatos. Es decir, información sobre un objeto que le proporcionan un valor añadido.



Beneficios de los metadatos:

Los metadatos adhieren contenido, contexto y estructura a los objetos de información, asistiendo de esta forma al proceso de recuperación de conocimiento desde colecciones de objetos.

Los metadatos permiten generar distintos puntos de vista conceptuales

para sus usuarios o sistemas, y liberan a estos últimos de tener conocimientos avanzados sobre la existencia o características del objeto que describen.

Los metadatos permiten el intercambio de la información sin la necesidad

de que implique el intercambio de los propios recursos.

En cada proceso productivo, o en cada etapa del ciclo de vida de un objeto de información, se van generando metadatos para describirlos y metadatos para describir dichos metadatos (manual o automáticamente), generando de esta forma valor añadido a los recursos.

Los metadatos permiten preservar los objetos de información permitiendo

migrar (gracias a la información estructural) sucesivamente éstos, para su posible uso por parte de las futuras generaciones.

Clasificación: Contenido. Subdividir metadatos por su contenido es lo más común. Se puede separar los metadatos que describen el recurso mismo de los que describen el contenido del recurso. Es posible subdividir estos dos grupos más veces, por ejemplo para separar los metadatos que describen el sentido del contenido de los que describen la estructura del contenido o los que describen el recurso mismo de los que describen el ciclo vital del recurso. Variabilidad. Según la variabilidad se puede distinguir metadatos mutables (volátiles) y inmutables (No volátiles). Los inmutables no cambian. Los mutables difieren de parte a parte, por ejemplo el contenido de un vídeo. Función. Los datos pueden ser parte de una de las tres capas de funciones: subsimbólicos, simbólicos o lógicos. Estos no contienen información sobre su significado. Los simbólicos describen datos subsimbólicos, es decir añaden sentido. Los datos lógicos describen cómo los datos simbólicos pueden ser usados para deducir conclusiones lógicas, es decir añaden comprensión.



Ciclo de vida: El ciclo de vida de los metadatos comprende las fases creación, manipulación y destrucción. Creación Se pueden crear metadatos manualmente, semi automáticamente o automáticamente. El proceso manual puede ser muy laborioso, dependiente del formato usado y del volumen deseado, hasta un grado en el que los seres humanos no puedan superarlo. Por eso, el desarrollo de utillaje semiautomático o automático es más que deseable. En la producción automática el software adquiere las informaciones que necesita sin ayuda externa. Aunque el desarrollo de algoritmos tan avanzados está siendo objeto de investigación actualmente, no es probable que la computadora vaya a ser capaz de extraer todos los metadatos automáticamente. En vez de ello, se considera la producción semiautomática más realista; aquí un servidor humano sostiene algoritmos autónomos con la aclaración de inseguridades o la proposición de informaciones que el software no puede extraer sin ayuda. Manipulación Si los datos cambian, los metadatos tienen que cambiar también. Aquí se hace la pregunta quien va a adaptar los metadatos. Hay modificaciones que pueden ser manejadas sencilla y automáticamente, pero hay otras donde la intervención de un servidor humano es indispensable. La meta producción, el reciclaje de partes de recursos para crear otros recursos, demanda atención particular. La fusión de los metadatos afiliados no es trivial, especialmente si se trata de información con relevancia jurídica, como por ejemplo la gestión de derechos digitales.

Destrucción En algunos casos es conveniente eliminar los metadatos juntos con sus recursos, en otros es razonable conservar los metadatos, por ejemplo para supervisar cambios en un documento de texto. Almacenamiento Hay dos posibilidades para almacenar metadatos: depositarlos internamente, en el mismo documento que los datos, o depositarlos externamente, en su mismo recurso. Inicialmente, los metadatos se almacenaban internamente para facilitar la administración. Hoy, por lo general, se considera mejor opción la localización externa porque hace posible la concentración de metadatos para optimizar operaciones de busca. Por contra, existe el problema de cómo se liga un recurso con sus metadatos. La mayoría de los estándares usa URIs, la técnica de localizar documentos en la World Wide Web, pero este método propone otras preguntas, por ejemplo qué hacer con documentos que no tienen URI.



Codificación Los primeros y más simples formatos de los metadatos usaron texto no cifrado o la codificación binaria para almacenar metadatos en ficheros. Hoy, es común codificar metadatos usando XML. Así, son legibles tanto por seres humanos como por computadoras. Además este lenguaje tiene muchas características a su favor, por ejemplo es muy simple integrarlo en la World Wide Web. Pero también hay inconvenientes: los datos necesitan más espacio de memoria que en formato binario y no está claro cómo convertir la estructura de árbol en un corriente de datos. Por eso, muchos estándares incluyen utilidades para convertir XML en codificación binaria y viceversa, de forma que se aúnen las ventajas de los dos. Vocabularios controlados y ontologías Para garantizar la uniformidad y la compatibilidad de los metadatos, muchos sugieren el uso de un vocabulario controlado fijando los términos de un campo.

Crítica sobre los metadatos: Algunos expertos critican fuertemente el uso de metadatos. Sus argumentos más sustanciosos son: Los metadatos son costosos y necesitan demasiado tiempo. Las empresas no van a producir metadatos porque no hay demanda y los usuarios privados no van a invertir tanto tiempo. Los metadatos son demasiado complicados. La gente no acepta los estándares porque no los comprende y no quiere aprenderlos. Los metadatos dependen del punto de vista y del contexto. No hay dos personas que añadan los mismos metadatos. Además, los mismos datos pueden ser interpretados de manera totalmente diferente, dependiendo del contexto. Los metadatos son ilimitados. Es posible adherir más y más metadatos útiles y no hay fin. Los metadatos son superfluos. Ya hay buscadores potentes para textos, y en el futuro la técnica query by example («busqueda basada en un ejemplo») va a mejorarse, tanto para localizar imágenes como para música y vídeo. Algunos estándares de metadatos están disponibles pero no se aplican: los críticos lo consideran una prueba de las carencias del concepto de metadatos. Hay que anotar que este efecto también puede ser causado por insuficiente compatibilidad de los formatos o por la enorme diversidad que amedrenta a las empresas. Fuera de eso hay formatos de metadatos muy populares.



Monitorización

o Registros de auditoría o Revisión de uso de sistemas o Protección de logs o Logs de administradores y operadores o Logs de fallo del sistema o Sincronización de relojes

Control de Acceso

o Requerimientos del negocio para el control de accesos o Política de control de accesos o Gestión de accesos de usuario o Registro de usuarios o Gestión de privilegios o Gestión de contraseñas de usuario o Revisión de los derechos de acceso de los usuarios o Responsabilidades de los usuarios o Uso de contraseñas o Equipamiento informático de usuario desatendido o Política de pantallas y mesas limpias o Política de uso de los servicios de red o Identificación de equipos en la red o Protección a puertos de diagnóstico remoto y configuración o Control de conexión a las redes o Control de enrutamiento en red

Si existen los controles sobre la BD se pueden diseñar pruebas de cumplimiento que permitan verificar la consistencia de los mismos. Prueba de Cumplimiento: listar privilegios y perfiles existentes en el SGBD

Si estas pruebas detectan inconsistencias en los controles, se diseñan otros tipos de pruebas denominadas pruebas sustantivas. Prueba sustantiva: Comprobar si la información ha sido corrompida comparándola

con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado. Se valoran los resultados obteniéndose conclusiones que serán comentadas y discutidas con los responsables directos del área con el fin de comprobar resultados. En estos comentarios se describe la situación, el riesgo existente y la deficiencia a soluciones aportando en su caso la posible solución.



Consideraciones Generales

• Se deben tomar en cuenta todas las capas de acceso a la información • Se debe tener importante atención en los accesos de los usuarios con privilegios de acceso • Se debe tratar de tener información contextual para determinar como se creo la violación al control • Se deben tener reglas de auditoría uniformes a través de todas las bases de datos y sistema • Se deben segregar las funciones entre los auditores y los usuarios con privilegios de acceso

Objetivos de Control en el ciclo de vida de una Base de Datos

Estudio previo y Plan de Trabajo En esta primera fase, se elaborara un estudio tecnológico de la viabilidad, donde se contemplaran distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre está justificada la implantación de un sistema de bases de datos).

ESTUDIO PREVIO Y PLAN DE TRABAJO

CONCEPCION DE LA BD Y SELECCIÓN DEL EQUIPO

DISEÑO Y CARGA

EXPLOTACION Y MANTENIMIENTO

REVISION POST-IMPLEMENTACION

F O R M A C I O N

DOCUMENTACI ON

CALI DAD



Se debe comprobar que la alta dirección revisa los informes de los estudios de viabilidad ya que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los técnicos han de tener en cuenta que si no existe una decidida voluntad de la organización en un conjunto, impulsada por los directivos, aumenta considerablemente el riesgo de fracasar en la implantación del sistema. Si se decide llevar a cabo el proyecto es fundamental que se establezca un plan director, debiendo el auditor verificar que éste plan se emplea para el seguimiento y gestión del proyecto y que cumple con los procedimientos generales de gestión del proyecto y que tenga aprobados la organización. Se debe establecer en esta fase de aprobación la estructura orgánica del proyecto y de la unidad que gestionará el control de la BD. Se pueden establecer acerca de este tema dos objetivos de control Asignación de responsabilidades para la planificación, organización, dotación de

plantillas y control de los activos de datos de la organización (DA) Algunas tareas son:



Asignación de la responsabilidad de administración de la Base de Datos (DBA)

En resumen, el DBA se encarga de autorizar el acceso a la base de datos, de coordinar y vigilar su empleo, y de adquirir los recursos necesarios de software y hardware. El DBA es la persona responsable cuando surgen problemas como violaciones a la seguridad o una respuesta lenta del sistema. Cuando se establecen las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno: la separación de funciones. Se recomienda una separación de funciones entre: - El personal de desarrollo de sistemas y el de explotación. - Explotación y control de datos. - Administración de bases de datos y desarrollo.

Concepción de la Base de Datos y Selección del Equipo La metodología de desarrollo de diseño de Base de Datos debería también emplearse para especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoría a incluir en el sistema, estos últimos aspectos generalmente se descuidan, lo que produce mayores costes y problemas cuando se quieren incorporar una vez concluida la implementación de la base de datos y la programación de las aplicaciones. El auditor debe analizar la metodología de diseño para determinar si es no aceptable, y luego comprobar su correcta utilización. Como mínimo una metodología de diseño de BD debería contemplar dos fases de diseño: lógico y físico. COBIT dedica importancia a la definición, de la arquitectura de la información, que contempla cuatro objetivos de control relativos a:



- Modelo de arquitectura de información, y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnología de la información.

- Datos y diccionario de datos corporativo. - Esquema de clasificación de datos en cuanto a su seguridad. - Niveles de seguridad

Respecto de la selección de equipos se deberá realizar un procedimiento en que se consideren: - necesidades de la empresa (ponderadas) - prestaciones que ofrecen los distintos SGBD candidatos - impacto del software en cuanto a medidas de seguridad

Diseño y Carga Se examinan si los diseños se han realizados correctamente, verificando la estructura y las relaciones entre los datos, se controlan también las especificaciones de almacenamiento de datos, la seguridad de los mismos. El auditor tendrá que tomar una muestra de ciertos elementos (tablas, vistas, índices) y comprobar que su definición es completa, que ha sido aprobada por el usuario y que el administrador de la base de datos participó en su establecimiento. Aprobado el diseño de datos se procede a la carga ya sea manualmente, por migración o con soporte técnico, esto merece especial atención ya que existen riesgos de pérdida de información por lo que deberá estar correctamente planificada la carga de la Base de datos. Se realizan pruebas paralelas, que atienden a los criterios establecidos por la alta gerencia, y se establecen controles que aseguren la integridad de los mismos. Se busca minimizar los errores en la carga y de es especial tratamiento a estas entradas erróneas.

Explotación y Mantenimiento Pasadas las pruebas de Aceptación se establecen los procedimientos de explotación y mantenimiento de la BD asegurando la congruencia y exactitud en la aplicación de estos procedimientos, modificándose solo cuando sea necesario y previa autorización. COBIT establece que el auditor debe llevar a cabo una auditoria sobre el rendimiento del sistema de BD verificando además de los ajustes y optimización en el rediseño lógico y físico, el correcto funcionamiento del SO.



Clasificación de los Objetivos de Control para la gestión de Datos ISACA

Revisión post-implantación Se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si: - Se han conseguido los resultados esperados. - Se satisfacen las necesidades de los usuarios. - Los costes y beneficios coinciden con lo previsto Otros procesos Auxiliares Capacitar y formar a todo el personal no solo en el producto que se instala como BD sino también sobre todo el contexto que hace al SGBD. El auditor tendrá que revisar la documentación que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por la metodología adoptada en la empresa.



ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS Cuando el auditor, se encuentra en el sistema en explotación, deberá estudiar el SGBD y su entorno. Como se señala en Menkus (1991Deberían considerarse el control, la integridad y la seguridad de los datos compartidos por múltiples usuarios. Entorno de BD

SISTEMA DE GESTION DE BASE DE DATOS SGBD Entre los componentes del SGBD podemos destacar el núcleo _.El Kernel_, el catálogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidades para el administrador de la base de datos (entre la que se pueden encontrar algunas para crear usuario, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad); las que se encargan de la recuperación de la BD: rearranque, copias de respaldo, ficheros diarios _Log_, etc. Y algunas funciones de auditoría, así como los lenguajes de la cuarta generación (L4G) que incorpora el propio SGBD. Se deberán auditar las ayudas y procedimientos propios del SGBD evaluando su completitud. Tipos de Software Software de Auditoría Software que ayudan a la extracción de datos, seguimientos de transacciones, datos de prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes desarrollados propios de la organización o comprados por ejemplo: RSA The Security Division of EMC



Sistema de monitorización y Ajustes Ofrecen mayor información para optimizar el sistema, pudiendo ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y del SO. Sistema Operativo El SO es de suma importancia ya que el SGBD se apoyará en él, en mayor o menor medida (según se trate de un SGBD dependiente o independiente) en los servicios que le ofrezca; eso en cuanto a control de memoria, gestión de áreas de almacenamiento intermedio (Buffers), manejo de errores, control de confidencialidad, mecanismo de interbloqueo, etc. Control de Transacciones Es un elemento más del entorno del SGBD con responsabilidades de confidencialidad y rendimiento. Existen controles de (además de los antes mencionados):

Control de accesos al sistema operativo Procedimientos de log-on seguro Identificación y autenticación de los usuarios Sistema de gestión de contraseñas Utilización de utilidades del sistema Timeout de sesiones Limitación del tiempo de conexión Control de acceso a la información y aplicaciones Restricción de acceso a la información Aislamiento de sistemas sensibles

Protocolos y Sistemas Distribuidos Algunos objetivos de control a la hora de revisar la distribución de datos – El sistema de proceso distribuido debe tener en función de administración de datos

centralizada, que establezca estándares generales para la distribución de datos a través de aplicaciones.

– -Deben establecerse unas funciones de administración de datos y de base de datos fuertes, para que puedan controlar la distribución de los datos.

– -Deben de existir pistas de auditoría para todas las actividades realizadas por las aplicaciones contra sus propias bases de datos y otras compartidas.

– -Deben existir controles software para prevenir interferencias de actualización sobre las bases de datos en sistemas distribuidos.

– -Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuidos.

Paquetes de Seguridad Existen en el mercado varios productos que permiten la implantación Efectiva de de una política de seguridad, puesto que centralizan el Control de accesos, la definición de privilegios, perfiles de usuarios etc.



Diccionario de Datos

• Juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de datos.

• Los diccionarios de datos se pueden auditar de manera análoga a las bases de

datos, ya que, después de todo, son bases de datos de metadatos.

• Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo más peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difíciles de detectar.

Herramientas CASE (Compuer Aided System/Software Engineering). IPSE (Integrated Project Support Environments)

• Constituyen una herramienta clave para que el auditor pueda revisar el diseño de la DB, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.

Lenguajes de Generación de Cuarta generación (L4G) independientes Son elementos a considerar en el entrono del SGBD De los objetivos de control para los L4G, destacan los siguientes: – El L4G debe ser capaz de operar en el entorno de proceso de datos con controles

adecuados. – Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de

automatización y petición que los proyectos de desarrollo convencionales. – Las aplicaciones desarrolladas con L4G deben sacar ventajas de las características

incluidas en el mismo. – Uno de los peligros más graves de los L4G es que no se aplican controles con el

mismo rigor que a los programas desarrollados con lenguajes de tercera generación.

– Otros problemas pueden ser la ineficacia y elevado consumo de recursos – El Auditor deberá estudiar los controles disponibles el los L4G, en caso negativo,

recomendar su construcción con lenguajes de tercera generación.



Facilidades de Usuario

• El auditor deberá investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz gráfica de usuario) y bajo que condiciones han sido instaladas; las herramientas de este tipo deberían proteger a los usuarios de sus propios errores.

Herramientas de Minería de Datos

• Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos

• Se deberá controlar la política de refresco y carga de los datos en el almacén a

partir de las bases de datos operacionales existentes, así como la existencia de mecanismos de retroalimentación que modifican las bases de datos operacionales a partir de los datos del almacén.

Aplicaciones El auditor deberá controlar que las aplicaciones no atentan contra la integridad de los datos de la base. Técnicas para el Control de Base de Datos en un entorno complejo

• Existen muchos elementos del entorno del SGDB que influyen el la seguridad e integridad de los datos, en los que cada uno de apoya en la operación correcta y predecidle de otra.

• El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo la

fiabilidad e introduciendo un conjunto de controles descoordinados y solapados, difíciles de gestionar”.

Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear, entre otras, dos técnicas de control:



Matrices de Control

Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos.

CONTROLES DE SEGURIDAD

DATOS PREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONES DE ENTRADA Verificación Informe de

Reconciliación

REGISTRO DE BASE DE DATOS Cifrado Informe de

excepción Copia de seguridad

Los controles se clasifican como se puede observar en detectivos, preventivos y correctivos

Análisis de los Caminos de Acceso

Con esta técnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hw como Sw) y los controles asociados

DATO

MONITOR DE

MULTIPROC

PAQUETE

DE

PROGRAMA

SGBD

S O

OORRDDEENNAADDOORR

UUSSUUAARRIIOO

CCoonnttrrooll ddee AAcccceessoo ** CCiiffrraaddoo ** CCoonnttrrooll ddee IInntteeggrriiddaadd

CCoonnttrrooll ddee AAcccceessoo ** RReeggiissttrroo ddee TTrraannssaacccciioonneess

CCooppiiaass ddee SSeegguurriiddaadd FFiicchheerroo ddiiaarriioo ddee IInntteeggrriiddaadd ddee DDaattooss

CCoonnttrroolleess

SSeegguurriiddaadd CCiiffrraaddoo

FFoorrmmaacciióónn ** CCoonnttrroolleess ** PPrroocceeddiimmiieennttooss

CCoonnttrrooll ddee AAcccceessoo ** RReeggiissttrroo ddee AAcccceessoo ** IInnffoorrmmee ddee EExxcceeppcciioonneess

CCoonnttrrooll ddee AAcccceessoo ** CCoonnttrrooll ddee IInntteeggrriiddaadd DDee ddaattooss

ORDENADOR PERSONAL



Glosario de Términos Base de datos: Es un conjunto de datos relacionados entre sí. Por datos entendemos hechos conocidos que pueden registrarse y que tienen un significado implícito. Sistema de gestión de bases de datos (SGBD): Es un conjunto de programas que permite a los usuarios crear y mantener una base de datos. Diccionario de Datos o Repositorio de una aplicación, proyecto, etc. Consiste en una Base de Datos o Catálogo de los propios datos de la aplicación a la que pertenece. Por tanto guarda información imprescindible para el funcionamiento de dicha aplicación y para su uso, o en el caso de un proyecto para el desarrollo del mismo, de ésta forma damos la importancia que se merece al Repositorio y así en los objetivos destacaremos los aspectos fundamentales de la seguridad.

Auditoria de Bases de Datos

Documents

Transcript of Auditoria de Bases de Datos