Auditoria de Base de datos Elaborado por: Rosa Bravo Josefina Rivas

Contenido ¿Qué es Auditoria? ¿Qué es Auditoria de Base de Datos? Objetivos Generales Importancia Aspectos Claves Metodologías Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE Auditoria para SQL Server Conclusiones 31/03/2017

¿Qué es auditoria? 31/03/2017

¿Qué es auditoria? 31/03/2017

¿Qué es auditoria? Examen organizado de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado. Actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la afección a los mismos y la eficiencia de su implementación. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia. Gestión del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf 31/03/2017

¿Qué es auditoria de base de datos (BD)? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: Quién accede a los datos Cuándo se accedió a los datos Desde qué tipo de dispositivo/aplicación Desde que ubicación en la Red Cuál fue la sentencia SQL ejecutada Cuál fue el efecto del acceso a la base de datos 31/03/2017

Objetivos generales de la auditoria de BD Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento Definición de estructuras físicas y lógicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y protección de accesos Estándares para análisis y programación en el uso de bases de datos Procedimientos de respaldo y de recuperación de datos Evaluando Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de: Mediante la auditoría de bases de datos se evaluará 31/03/2017

Importancia de la Auditoria de BD Toda la información de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la información almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información. La información confidencial esresponsabilidad de las organizaciones. Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología. 31/03/2017

Aspectos claves No se debe comprometer el desempeño de las bases de datos Soportar diferentes esquemas de auditoría Se debe tomar en cuenta el tamaño de las bases de datos a auditar Segregación de funciones El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de TI Proveer valor a la operación del negocio Información para auditoría y seguridad Información para apoyar la toma de decisiones de la organización Información para mejorar el desempeño de la organización Auditoría completa y extensiva Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditoría 31/03/2017

Metodologías para la auditoria de bd Metodología Tradicional En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de puntos a verificar. Por ejemplo: SI NO N/A ¿Existe una metodología de Diseño de Base de Datos? ¿Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las bases de datos? Se han configurados los logs para almacenar la información relevante? . Aunque existen distintas metodologías que se aplican en auditoria informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases: NOTA: Debiendo registrar el auditor el resultado de su investigación 31/03/2017

Metodologías para la auditoria de bd Metodología de Evaluación de Riesgos Este tipo de metodología, conocida también por Risk Oriented Approach(*) (Enfoque Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. Considerando los riesgos de: Dependencia por la concentración de Datos Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del software Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento técnico Aunque existen distintas metodologías que se aplican en auditoria informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases: Existen básicamente 2 metodologías las cuales están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento. (*) Diseñada por Arthur Andersen ISACA: Information Systems Audit and Control Association 31/03/2017

Auditoria y Control Interno de un entorno de Base de Datos case Repositorio FACILIDADES DEL USUARIO DICCIONARIO DE DATOS L4G INDEP. PAQUETES SEGURIDAD CONFIDEN. PRIVACIDAD AUDITORIA L4G SEGURIDAD RECUPER. CATALOGO NUCLEO SOFTWARE AUDITORIA SISTEMA MONITOR/ AJUSTE SO APLICACIONES MONITOR TRANSAC. MINERIA DE DATOS PROTOCOLOS Y SIST. DISTRIBUIDOS AUDITOR INFORMATICO SGBD UTILIDADES DEL DBA Cuando el auditor se encuentra con el sistema en Producción tendrá que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios. La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD. Aunque existen distintas metodologías que se aplican en auditoria informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases: Existen básicamente 2 metodologías las cuales están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento. 31/03/2017

Auditoria para Oracle Conjunto de características que permite al DBA y a los usuarios hacer un seguimiento del uso de la base de datos. La información de las auditorías se almacena en el diccionario de datos, en la tabla SYS.AUD$ o en la pista de auditoría del sistema operativo (si lo permite). Lo anterior viene definido en el parámetro audit_trail. Se pueden auditar tres tipos de acciones: Intentos de inicio de sesión Accesos a objetos Acciones de la base de datos. Cuando se realizan auditorías, la funcionalidad de la base de datos es dejar constancia de los comandos correctos e incorrectos. En Oracle 9i la auditoría viene desactivada por defecto, el valor del parámetro "audit_trail" está a "NONE" En Oracle 11g la auditoría viene activada por defecto, el valor del parámetro "audit_trail" está a "DB" 31/03/2017

Auditoria para Oracle SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name Vistas de tabla SYS.AUD$ para mostrar distintos resultados: DBA_AUDIT_OBJECT: guarda la información relativa a la auditoría de DBA_AUDIT_SESSION: guarda la información relativa a la auditoría de los inicios de sesión de los usuarios. DBA_AUDIT_TRAIL: muestra la auditoría estándar (de la tabla AUD$). USER_AUDIT_TRAIL: muestra la auditoría estándar (de la tabla AUD$) relativa al usuario actual. DBA_FGA_AUDIT_TRAIL: muestra información de auditoría de grano fino (obtenida de FGA_LOG$). La auditoría de grano fino (FGA) extiende la auditoría estándar y, además, captura la sentencia SQL que ha sido ejecutada. Oracle Database 11g 31/03/2017

Auditoria para Oracle Intentos de conexión fallidos Oracle Database 11g 31/03/2017

Auditoria para Oracle AUDIT TRAIL select name, value from v$parameter ACTIVAR:  ALTER SYSTEM SET audit_trail = "DB" SCOPE=SPFILE;  DESACTIVAR  ALTER SYSTEM SET audit_trail = "NONE" SCOPE=SPFILE; select name, value from v$parameter where name like 'audit_trail' AUDIT_TRAIL NONE: desactiva la auditoría de la base de datos. OS: activa , los eventos auditados se guardan en la pista de auditoría del SO(dependiendo del SO) DB: activa y los datos se almacenarán en la taba SYS.AUD$ de Oracle. DB, EXTENDED: activa y además se escribirán los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$. XML: activa los eventos son escritos en archivos XML del SO. XML, EXTENDED: activa y además se incluyen los valores de SqlText y SqlBind. Oracle Database 11g 31/03/2017

Auditoria para Oracle AUDIT Y NOAUDIT AUDIT { sql_statement_clause | schema_object_clause | NETWORK } [ BY { SESSION | ACCESS } ] [ WHENEVER [ NOT ] SUCCESSFUL ] ; NOAUDIT { sql_statement_clause | schema_object_clause | NETWORK} Auditoria de sesión Audit/noaudit session; Audit/noaudit session whenever not successful; Auditoria de acción   Audit/noaudit role; Auditoria de Objeto Audit/noaudit update table by nombre_usuario; Audit/noaudit insert on FACTURACION by access; Oracle Database 11g Privilegio de sistema AUDIT SYSTEM 31/03/2017

Auditoria para Oracle Ejemplo Usuario ALONSO Tabla FACTURA (codigo number primary key, fecha date default sysdate); audit session by alonso; audit all on facturas by access; ACCESOS DEL USUARIO select OS_Username Usuario_SO, Username Usuario_Oracle, Terminal ID_Terminal,DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null', 1017, 'Fallo', Returncode) Tipo_Suceso,TO_CHAR(Timestamp, 'DD- MM-YY HH24:MI:SS') ora_Inicio_Sesion, TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion from DBA_AUDIT_SESSION where Username="ALONSO"; insert into facturas (codigo) values (1); insert into facturas (codigo) values (2); insert into facturas (codigo) values (3); select * from facturas; delete facturas where codigo=2; update facturas set codigo=33 where codigo=2; Oracle Database 11g Privilegio de sistema AUDIT SYSTEM 31/03/2017

Auditoria para Oracle Oracle Database 11g Fusión entre Audit Vault y Oracle Database Firewall ? No, más que una integración es un nuevo producto!!! Tal y como lo habíamos mencionado en la segunda semana del mes de diciembre, Oracle hizo una reorganización de productos, reuniendo en uno sólo el Audit Vault Server y el Oracle Database Firewall; dos productos con múltiples características sobresalientes, pero que por distintas razones, entre ellas tal vez la misma importante, el "COSTO", no habían obtenido el protagonismo que se merecen. Desde este 18 de diciembre, ambos productos aparecen como uno sólo en la lista de precios de Oracle. La gran novedad, es que por primera vez, en más de 20 años de conocer y estar metido con tecnología Oracle, el nuevo producto, cuesta un poco más del5% del costo original de ambos productos. Si, así como usted lo escucha. Hasta el 03 de diciembre, figuraba en la lista de precios, el Audit Vault Server y el Database Firewall Management Server, ambos con un valor de $57.500 por procesador, con métrica de licenciamiento "Enterprise", o sea, tomando en cuenta los core´s asociados al procesador en sí, para determinar la cantidad de licencias requeridas. Para la nueva lista de precios, el "Audit Vault and Database Firewall", figura en la lista de precios en lugar de Audit Vault Server, Audit Vault Collection Agent, Database Firewall Management Server y Database Firewall, a un precio de $6.000,00 USApor procesador, con las mismas restricciones anteriores para la determinación de la cantidad de licencias. El nuevo producto, establece 3 grandes áreas de acción: Database Activity Monitoring and Firewall, componente para darle seguimiento al tráfico de SQL de todas las versiones de base de datos Oracle y de fabricantes terceros, como SQL Server, SyBASE SAP, IBM DB2 y MySQL, logrando a través de un enfoque único realizar el análisis gramatical de los SQLs, permitiendo agrupar en "CLUSTER" millones de instrucciones, para permitir escalabilidad  y  exactitud en el análisis de las sentencias, facilitando la creación de listas blancas, negras y excepciones, para detectar actividades no autorizadas en la base de datos, incluyendo ataques de inyección de código. Auditoría Ampliada Empresarial: Capacidades para recoger, consolidar y administrar la auditoría nativa y de registro de sucesos en la base de datos Oracle y de terceros como Microsoft Windows, Microsoft Active Directory, Oracle Solaris Cluster y ASM Cluster File System, así como soporte para XML o a tablas de recolección de auditoría basada en plugins de XML. Consolidación de informes y alertas: El nuevo producto, utiliza un repositorio unificado y centralizado, para todos los registros de auditoría y eventos, que permite analizar en tiempo real contra las políticas predefinidas. Cuenta con un conjunto de informes integrados, que le permite satisfacer los requisitos de cumplimiento y poderosas capacidades de alerta, incluyendo multi-eventos y administración de umbrales de las mismas. Tal vez es importante resaltar como lo afirma Vipin Samar, Vicepresidente de Database Security Product Development en Oracle, que esté, "es más que una integración de dos productos existentes,  un nuevo producto que provee una unificación de la plataforma de auditoría y monitoreo, para ambientes de base de datos. Los clientes ya no tendrán que elegir entre seguridad y cumplimiento, ahora pueden tener un producto que les permite obtener a la vez de una forma más simple ambas características a un precio inferior." Oracle Database 11g 31/03/2017

Auditoria para SQL Server Implica el seguimiento y registro de los eventos que se producen en Motor de la BD. Especificaciones de auditoría de servidor para los eventos de servidor Especificaciones de auditoría de base de datos para los eventos de base de datos (limitada a las ediciones Enterprise, Developer y Evaluation) SQL Server Audit proporciona las herramientas y los procesos necesarios para habilitar, almacenar y ver auditorías en varios objetos de servidor y de base de datos. Los inicios de sesión de SQL Server que tengan el permiso CONTROL SERVER pueden utilizar el Motor de base de datos para tener acceso a los archivos de auditoría SQL Server 2012 31/03/2017

Auditoria para SQL-server Proceso general de creación y uso de una auditoría Crear una auditoría y definir su destino Crear una especificación de auditoría de servidor o una especificación de auditoría de base de datos Habilitar la auditoría Leer los eventos de auditoría mediante el Visor de eventos o el Visor de archivos de registro de Windows, o la función fn_get_audit_file 31/03/2017

Auditoria para SQL-server Funciones y vistas dinámicas Descripción sys.dm_audit_actions Devuelve una fila por cada acción de auditoría sobre la que se puede guardar información en el registro de auditoría y por cada grupo de acciones de auditoría que se puede configurar como parte de SQL Server Audit. sys.dm_server_audit_status Proporciona información sobre el estado actual de la auditoría. sys.dm_audit_class_type_map Devuelve una tabla que asigna el campo class_type del registro de auditoría al campo class_desc de sys.dm_audit_actions. fn_get_audit_file Devuelve información de un archivo de auditoría creado por una auditoría de servidor. 31/03/2017

Auditoria para SQL-server Vistas de catálogo Descripción sys.database_audit_specifications Contiene información sobre las especificaciones de auditoría de base de datos en una auditoría de SQL Server de una instancia del servidor. sys.database_audit_specification_details Contiene información sobre las especificaciones de auditoría de base de datos en una auditoría de SQL Server de una instancia de servidor para todas las bases de datos. sys.server_audits Contiene una fila para cada auditoría de SQL Server de una instancia de servidor. sys.server_audit_specifications Contiene información sobre las especificaciones de auditoría de servidor en una auditoría de SQL Server de una instancia del servidor. sys.server_audit_specifications_details Contiene información sobre los detalles de las especificaciones de auditoría de servidor (acciones) en una auditoría de SQL Server de una instancia de servidor. sys.server_file_audits Contiene información adicional sobre el tipo de auditoría de archivos en una auditoría de SQL Server de una instancia de servidor. 31/03/2017

Auditoria para SQL-server Permisos Para poder ver las vistas de catálogo se debe cumplir una de las condiciones siguientes: Pertenecer al rol sysadmin El permiso CONTROL SERVER El permiso VIEW SERVER STATE El permiso ALTER ANY AUDIT El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catálogo sys.server_audits) 31/03/2017

conclusiones La gran difusión de los Sistemas de Gestión de Bases de datos (SGBD) junto con la relación de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada día mayor interés Demostrar la integridad de la información, mitigar los riesgos asociados, asegurar la confidencial de la información, garantizar la seguridad de los datos y conocer quién o qué les hizo exactamente qué, cuándo y cómo a los datos, conforman la idea principal de la Auditoria. Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD 31/03/2017