La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORIA DE BASE DE DATOS Elaborado por: Rosa Bravo Josefina Rivas.

Presentaciones similares


Presentación del tema: "AUDITORIA DE BASE DE DATOS Elaborado por: Rosa Bravo Josefina Rivas."— Transcripción de la presentación:

1 AUDITORIA DE BASE DE DATOS Elaborado por: Rosa Bravo Josefina Rivas

2 Nro. Página: Fecha: /25 CONTENIDO ¿Qué es Auditoria? ¿Qué es Auditoria de Base de Datos? Objetivos Generales Importancia Aspectos Claves Metodologías Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE Auditoria para SQL Server Conclusiones 29/05/2014 2

3 Nro. Página: Fecha: /25 ¿QUÉ ES AUDITORIA? 29/05/2014 3

4 Nro. Página: Fecha: /25 ¿QUÉ ES AUDITORIA? 29/05/2014 4

5 Nro. Página: Fecha: /25 ¿QUÉ ES AUDITORIA? Examen organizado de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado. Actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la afección a los mismos y la eficiencia de su implementación. 29/05/ Gestión del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina

6 Nro. Página: Fecha: /25 ¿QUÉ ES AUDITORIA DE BASE DE DATOS (BD)? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: Quién accede a los datos Cuándo se accedió a los datos Desde qué tipo de dispositivo/aplicación Desde que ubicación en la Red Cuál fue la sentencia SQL ejecutada Cuál fue el efecto del acceso a la base de datos 29/05/2014 6

7 Nro. Página: Fecha: /25 OBJETIVOS GENERALES DE LA AUDITORIA DE BD Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento Definición de estructuras físicas y lógicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y protección de accesos Estándares para análisis y programación en el uso de bases de datos Procedimientos de respaldo y de recuperación de datos 29/05/ Evaluando

8 Nro. Página: Fecha: /25 IMPORTANCIA DE LA AUDITORIA DE BD Toda la información de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la información almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información. La información confidencial esresponsabilidad de las organizaciones. Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo. 29/05/2014 8

9 Nro. Página: Fecha: /25 ASPECTOS CLAVES 29/05/ No se debe comprometer el desempeño de las bases de datos Soportar diferentes esquemas de auditoría Se debe tomar en cuenta el tamaño de las bases de datos a auditar Segregación de funciones El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de TI Proveer valor a la operación del negocio Información para auditoría y seguridad Información para apoyar la toma de decisiones de la organización Información para mejorar el desempeño de la organización Auditoría completa y extensiva Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditoría

10 Nro. Página: Fecha: /25 METODOLOGÍAS PARA LA AUDITORIA DE BD Metodología Tradicional En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de puntos a verificar. Por ejemplo: 29/05/ SI NO N/A 1.¿Existe una metodología de Diseño de Base de Datos? 2.¿Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las bases de datos? 3.Se han configurados los logs para almacenar la información relevante?. NOTA: Debiendo registrar el auditor el resultado de su investigación

11 Nro. Página: Fecha: /25 METODOLOGÍAS PARA LA AUDITORIA DE BD Metodología de Evaluación de Riesgos Este tipo de metodología, conocida también por Risk Oriented Approach (*) (Enfoque Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. Considerando los riesgos de: Dependencia por la concentración de Datos Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del software Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento técnico 29/05/ (*) Diseñada por Arthur Andersen ISACA: Information Systems Audit and Control Association

12 Nro. Página: Fecha: /25 AUDITORIA Y CONTROL INTERNO DE UN ENTORNO DE BASE DE DATOS Cuando el auditor se encuentra con el sistema en Producción tendrá que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios. La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD. 29/05/ case Repositorio FACILIDADES DEL USUARIO DICCIONARI O DE DATOS L4G INDEP. PAQUETES SEGURIDAD CONFIDEN. PRIVACIDAD AUDITORIA L4G SEGURIDAD RECUPER. CATALOGO NUCLEO SOFTWARE AUDITORIA SISTEMA MONITOR/ AJUSTE SISTEMA MONITOR/ AJUSTE SO APLICACION ES MONITOR TRANSAC. MINERIA DE DATOS PROTOCOLO S Y SIST. DISTRIBUIDOS AUDITOR INFORMATICO SGBD UTILIDADES DEL DBA ENTORNO DE BASE DE DATOS

13 Nro. Página: Fecha: /25 AUDITORIA PARA ORACLE Conjunto de características que permite al DBA y a los usuarios hacer un seguimiento del uso de la base de datos. La información de las auditorías se almacena en el diccionario de datos, en la tabla SYS.AUD$ o en la pista de auditoría del sistema operativo (si lo permite). Lo anterior viene definido en el parámetro audit_trail. Se pueden auditar tres tipos de acciones: Intentos de inicio de sesión Accesos a objetos Acciones de la base de datos. 29/05/ En Oracle 9i la auditoría viene desactivada por defecto, el valor del parámetro "audit_trail" está a "NONE" En Oracle 11g la auditoría viene activada por defecto, el valor del parámetro "audit_trail" está a "DB"

14 Nro. Página: Fecha: /25 AUDITORIA PARA ORACLE 29/05/ Oracle Database 11g SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name

15 Nro. Página: Fecha: /25 AUDITORIA PARA ORACLE Intentos de conexión fallidos 29/05/ Oracle Database 11g

16 Nro. Página: Fecha: /25 AUDITORIA PARA ORACLE AUDIT TRAIL 29/05/ Oracle Database 11g AUDIT_TRAIL select name, value from v$parameter where name like 'audit_trail' NONE: desactiva la auditoría de la base de datos. OS: activa, los eventos auditados se guardan en la pista de auditoría del SO(dependiendo del SO) DB: activa y los datos se almacenarán en la taba SYS.AUD$ de Oracle. DB, EXTENDED: activa y además se escribirán los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$. XML: activa los eventos son escritos en archivos XML del SO. XML, EXTENDED: activa y además se incluyen los valores de SqlText y SqlBind. ACTIVAR: ALTER SYSTEM SET audit_trail = "DB" SCOPE=SPFILE; DESACTIVAR ALTER SYSTEM SET audit_trail = "NONE" SCOPE=SPFILE;

17 Nro. Página: Fecha: /25 AUDITORIA PARA ORACLE AUDIT Y NOAUDIT 29/05/ Oracle Database 11g Auditoria de sesión Audit/noaudit session; Audit/noaudit session whenever not successful; Auditoria de acción Audit/noaudit role; Auditoria de Objeto Audit/noaudit update table by nombre_usuario; Audit/noaudit insert on FACTURACION by access; Auditoria de sesión Audit/noaudit session; Audit/noaudit session whenever not successful; Auditoria de acción Audit/noaudit role; Auditoria de Objeto Audit/noaudit update table by nombre_usuario; Audit/noaudit insert on FACTURACION by access; AUDIT { sql_statement_clause | schema_object_clause | NETWORK } [ BY { SESSION | ACCESS } ] [ WHENEVER [ NOT ] SUCCESSFUL ] ; NOAUDIT { sql_statement_clause | schema_object_clause | NETWORK} [ WHENEVER [ NOT ] SUCCESSFUL ] ; Privilegio de sistema AUDIT SYSTEM

18 Nro. Página: Fecha: /25 AUDITORIA PARA ORACLE Ejemplo 29/05/ Oracle Database 11g audit session by alonso; audit all on facturas by access; ACCESOS DEL USUARIO select OS_Username Usuario_SO, Username Usuario_Oracle, Terminal ID_Terminal,DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null', 1017, 'Fallo', Returncode) Tipo_Suceso,TO_CHAR(Timestamp, 'DD- MM-YY HH24:MI:SS') ora_Inicio_Sesion, TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion from DBA_AUDIT_SESSION where Username="ALONSO"; audit session by alonso; audit all on facturas by access; ACCESOS DEL USUARIO select OS_Username Usuario_SO, Username Usuario_Oracle, Terminal ID_Terminal,DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null', 1017, 'Fallo', Returncode) Tipo_Suceso,TO_CHAR(Timestamp, 'DD- MM-YY HH24:MI:SS') ora_Inicio_Sesion, TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion from DBA_AUDIT_SESSION where Username="ALONSO"; Usuario ALONSO Tabla FACTURA (codigo number primary key, fecha date default sysdate); Privilegio de sistema AUDIT SYSTEM insert into facturas (codigo) values (1); insert into facturas (codigo) values (2); insert into facturas (codigo) values (3); select * from facturas; delete facturas where codigo=2; update facturas set codigo=33 where codigo=2;

19 Nro. Página: Fecha: /25 AUDITORIA PARA ORACLE 29/05/ Oracle Database 11g

20 Nro. Página: Fecha: /25 AUDITORIA PARA SQL SERVER Implica el seguimiento y registro de los eventos que se producen en Motor de la BD. Especificaciones de auditoría de servidor para los eventos de servidor Especificaciones de auditoría de base de datos para los eventos de base de datos (limitada a las ediciones Enterprise, Developer y Evaluation) SQL Server Audit proporciona las herramientas y los procesos necesarios para habilitar, almacenar y ver auditorías en varios objetos de servidor y de base de datos. Los inicios de sesión de SQL Server que tengan el permiso CONTROL SERVER pueden utilizar el Motor de base de datos para tener acceso a los archivos de auditoría 29/05/ SQL Server 2012

21 Nro. Página: Fecha: /25 AUDITORIA PARA SQL-SERVER Proceso general de creación y uso de una auditoría Crear una auditoría y definir su destino Crear una especificación de auditoría de servidor o una especificación de auditoría de base de datos Habilitar la auditoría Leer los eventos de auditoría mediante el Visor de eventos o el Visor de archivos de registro de Windows, o la función fn_get_audit_file 29/05/

22 Nro. Página: Fecha: /25 AUDITORIA PARA SQL-SERVER Funciones y vistas dinámicasDescripción sys.dm_audit_actions Devuelve una fila por cada acción de auditoría sobre la que se puede guardar información en el registro de auditoría y por cada grupo de acciones de auditoría que se puede configurar como parte de SQL Server Audit. sys.dm_server_audit_status Proporciona información sobre el estado actual de la auditoría. sys.dm_audit_class_type_map Devuelve una tabla que asigna el campo class_type del registro de auditoría al campo class_desc de sys.dm_audit_actions. fn_get_audit_file Devuelve información de un archivo de auditoría creado por una auditoría de servidor. 29/05/

23 Nro. Página: Fecha: /25 AUDITORIA PARA SQL-SERVER 29/05/ Vistas de catálogoDescripción sys.database_audit_specifications Contiene información sobre las especificaciones de auditoría de base de datos en una auditoría de SQL Server de una instancia del servidor. sys.database_audit_specification_details Contiene información sobre las especificaciones de auditoría de base de datos en una auditoría de SQL Server de una instancia de servidor para todas las bases de datos. sys.server_audits Contiene una fila para cada auditoría de SQL Server de una instancia de servidor. sys.server_audit_specifications Contiene información sobre las especificaciones de auditoría de servidor en una auditoría de SQL Server de una instancia del servidor. sys.server_audit_specifications_details Contiene información sobre los detalles de las especificaciones de auditoría de servidor (acciones) en una auditoría de SQL Server de una instancia de servidor. sys.server_file_audits Contiene información adicional sobre el tipo de auditoría de archivos en una auditoría de SQL Server de una instancia de servidor.

24 Nro. Página: Fecha: /25 AUDITORIA PARA SQL-SERVER 29/05/ Permisos Para poder ver las vistas de catálogo se debe cumplir una de las condiciones siguientes: Pertenecer al rol sysadmin El permiso CONTROL SERVER El permiso VIEW SERVER STATE El permiso ALTER ANY AUDIT El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catálogo sys.server_audits)

25 Nro. Página: Fecha: /25 CONCLUSIONES La gran difusión de los Sistemas de Gestión de Bases de datos (SGBD) junto con la relación de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada día mayor interés Demostrar la integridad de la información, mitigar los riesgos asociados, asegurar la confidencial de la información, garantizar la seguridad de los datos y conocer quién o qué les hizo exactamente qué, cuándo y cómo a los datos, conforman la idea principal de la Auditoria. Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD 29/05/


Descargar ppt "AUDITORIA DE BASE DE DATOS Elaborado por: Rosa Bravo Josefina Rivas."

Presentaciones similares


Anuncios Google