Universidad Nacional de Ingeniera

Ingeniera del Software III Grupo 5T1-Co

INFORME EJECUTIVO AUDITORIA DE LA BASE DE DATOS DEL SISTEMA DE ENVIO MASIVO EN LA EMPRESA APLICACIONES JUSTO A LA MEDIDA

Docente: Ing. Mara Lourdes Montes Integrantes Nelson Castro Chavarra Manuel Gutirrez Rojas Jeanneth Mota Lpez Wuelber Castillo Gmez 2008-23111 2008-23295 2008-23337 2008-23189

Jueves 24 de enero de 2013

Auditora de Base de Datos 2013

1. Introduccin Las bases de datos son el activo ms importante para las organizaciones, ya que poseen toda la informacin general de la empresa, datos confidenciales que en manos ajenas puede ser alto riesgo. Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y tambin denegarlos. Con la auditora de bases de datos se busca que la informacin este segura, ayudando a la organizacin a detectar puntos dbiles y poder tomar precauciones para proteger los datos. AJA es una empresa desarrolladora de aplicaciones justo a la medida, en diferentes entornos y plataformas, ofrecemos servicios para implementar herramientas externas. Para el desarrollo y escalamiento tecnolgico de nuestros clientes. Para la elaboracin de esta auditoria de base de datos se utilizaron los dominios establecidos por COBIT para la gestin de datos y entrevistas realizadas al personal para conocer aspectos internos que estn relacionados con los datos: el personal que esta relacionados con ellos, la gestin de la seguridad que utilizan y el auto anlisis de las aplicaciones que estn relacionadas con las bases de datos.

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

2. Resumen En el presente trabajo se contemplan los tem propuestos como gua para aplicar una evaluacin a la Base de Datos del Sistema de envi masivo, usado por la empresa AJA, incluyendo, su administracin, seguridad, acceso y uso de los datos a fin de identificar posibles debilidades en los procesos que se contemplan en el uso de dicha Base de Datos. En base a posibles hallazgos, proponer posibles soluciones a las mismas para su pronta solucin. Los tems evaluados se realizan como cumplimiento del programa de estudios de la materia de Ingeniera de Software III propuesto por la Universidad Nacional de Ingeniera con el objetivo de reforzar los conocimientos tericos de dicha materia en el campo prctico. El presente trabajo se realiza tomando en cuenta la previa autorizacin de la parte involucrada (Empresa Auditada) siguiendo las normas y polticas establecidas por AJA para la realizacin de estos procesos.

3. Nombre de la Empresa: Aplicaciones Justo a la Medida A.J.A

4. Sujeto de la Auditoria: rea de Proyecto.

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

5. Objetivos

General: Realizar una evaluacin de la BD del Sistema de envi masivo, a fin de identificar debilidades y emitir recomendaciones que permitan minimizar los riesgos en la gestin de los datos de la empresa a travs de este sistema.

Especficos: Recopilar informacin relacionada a la gestin de datos con la unidad informtica correspondiente Aplicar las entrevistas propuestas por cada dominio a los responsables de cada rea relacionada a la gestin de bases de datos Realizar un anlisis de los resultados basados en las entrevistas aplicadas Proponer recomendaciones para mitigar los efectos negativos de los hallazgos Verificar que en la empresa cumpla con los estndares propuestos a nivel interno en sus bases de datos

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

6. Alcance de la Auditoria Sistemas utilizados: Gestores de Bases de Datos Gestor Microsoft SQLServer 2008, sobre plataforma Windows Server 2008 R2 x64.

Funciones organizativas incluidas en la revisin: Entorno de Produccin Entorno de Desarrollo

7. Anlisis de los resultados

Anlisis en base a las entrevistas realizadas Las funciones del personal se asignan dependiendo de las capacidades y experiencia del colaborador. Cada funcin es asignada por el superior. Se establece un plan operativo a corto y largo plazo pero no hay plan de capacitacin continua al personal. Los datos de las bases de datos son accedidos por medio de interfaces tanto web como de escritorio en cada terminal de cada empleado. Los datos son cargados correctamente la mayora del tiempo. Estos datos no pueden ser accedidos por empleados en diferentes departamentos. Cada colaborador tiene permisos determinados que son regulados por un mdulo de navegacin del sistema que configura los perfiles y usuarios. Cada personal tiene contraseas asignadas por el rea de sistema y estas son cambiadas cada 3 meses. En caso de fallo con las aplicaciones, se notifica al coordinador de dicho proyecto para analizar la situacin y planificar la solucin. Los lugares donde se almacena fsicamente los datos solo pueden estar disponibles por el personal autorizado. El gestor de base de datos utilizado es SQL Server 2008 R2. La empresa tiene la licencia de dicho gestor desde hace 2 aos y esta licencia cubre los costos de actualizacin. La empresa migro de un gestor diferente debido a requerimientos especiales y peticiones de los clientes. El almacenamiento de las bases de datos es en un servidor dedicado a esa tarea donde los programadores son los encargados de disear la base de datos
Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

utilizando el modelo Entidad-Relacin. Existentes procedimientos formales para la operacin del SGBD aunque no estn actualizados. Las operaciones que realiza la BD no son suficientemente claras y no procesan las operaciones dentro del departamento de cmputo. Los operadores no cuentan con una documentacin donde se guarden instrucciones actualizadas para el manejo de restauraciones. No existe un control estricto de copias de estos archivos y no se borran los archivos del disco duro cuando se desechan lo cual pone en peligro la integridad de datos almacenados en el dispositivo ya sean datos del sistema, clientes o la propia empresa. El mantenimiento realizado para los dispositivos del SGBD consiste en el respaldo diario de la informacin. En caso de fallo del SGBD se detiene la produccin administrativa lo cual causa retrasos en dichas actividades. Estos retrasos pueden dilatar como mximo medio da. No existe un procedimiento alterno para estos problemas lo cual genera un gran riesgo para la continuidad del desarrollo de la aplicacin y por eso el problema tiene que ser resuelto a la mayor brevedad posible. Otro fallo en cuanto a aspecto fsico es la inexistencia de procedimientos de recuperacin de informacin cuando esta se perdi debido al dao del dispositivo fsico. El guardado fsico de los dispositivos es por medio de muebles con cerraduras y bvedas para proteger dichos dispositivos. Las copias de seguridad realizadas a diario son guardadas en data centers que brindan medidas de seguridad contra cualquier fenmeno de la naturaleza que atente contra los datos. En caso de prdida o extravo de algn dispositivo de almacenamiento, se procede a la verificacin de logs de acceso a las instalaciones y data center as como la revisin de cmaras de seguridad. Cumplimiento de estndares en las base de datos El diccionario de datos y nomenclatura de las tablas cumple con los estndares establecidos por la empresa para el diseo de las mismas. Los nombres de tablas, columnas e ndices de la base de datos concuerdan con la notacin estndar que se aplica en la empresa que sera la notacin Pascal, los nombres son en ingls y se usa singular para nombrar las tablas. La nomenclatura de los ndices se cumple su estndar asociando el nombre con el de la tabla incluyendo el sufijo ID. Las columnas no reflejan el nombre de la columna, se respeta el no uso de las palabras reservadas para los nombres y el lmite de caracteres.

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

Hallazgos detectados: Manejo de Seguridad de la Base de Datos
Pregunta N 9 (Evaluacin de Seguridad) Hallazgos Detectados Causas

Periodo de cambio demasiado extenso.

de

contraseas Las contraseas son cambiadas cada tres meses.

PO2 * Dominio: Planificacin y Organizacin

Pregunta N 3.1 Hallazgos Detectados Causas

No se ha establecido un esquema de clasificacin (publica, confidencial, ultra secreta) para el acceso a la informacin gestionada en la base de datos.

3.3

Los datos estn guardados en un solo repositorio y el acceso se gestiona mediante roles y permisos de usuarios al momento de consultar esta informacin. La aplicacin de controles tales como acceso Solamente se aplica el control y encriptacin de archivos se aplica de de acceso a los datos. manera incompleta.

DS11 * Administracin de Datos

Pregunta N 2.6 Hallazgos Detectados Causas

No se ha definido un proceso que evite la recuperacin no autorizada de informacin cuando esta ha sido dada de baja de manera lgica.

4.8

5.7

Solamente personal autorizado tiene acceso a esta informacin y para manipularla se necesita el permiso del DBA y su jefe inmediato, as como los motivos de la recuperacin de dichos datos. No existe seguimiento continuo en la El personal es llamado a documentacin que el personal maneja al mantener la confidencialidad momento en que estos (datos) deben ser de la informacin sensible. eliminados de forma lgica y fsica para evitar que sea legible para terceros. No se realizan pruebas de recuperacin de La red cuenta con un sistema los sistemas y archivos de datos desde los automtico que realiza una respaldos. copia de seguridad. En caso de recuperacin se accede a este sistema.
Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

6.35

Los medios que almacenan el respaldo de los Polticas de seguridad lgica datos de produccin se encuentran en la y control de acceso. misma ubicacin.

8. Recomendaciones

Nombre de la gua: Dominio DS (Entrega y dar soporte)/ DS11: Administracin de los Datos. Recomendacin (es) Realizar documentacin tcnica para la restauracin de los datos para futuras implementaciones

23. Cuentan los No operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? 25. Se borran los No archivos de los dispositivos de almacenamiento, cuando se desechan estos?

Borrar de manera segura los archivos de los dispositivos de almacenamiento cuando se desechan

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

Nombre de la gua: Planificacin y Organizacin PO2: Definicin de la arquitectura de la informacin Recomendacin (es) Malo (No se diferencia Categorizar los archivos en el segn la categora de repositorio en el cual se los documentos) encuentran almacenados. Una posible solucin seria el uso de perfiles para el acceso a este repositorio.

PO2.3.1 Est establecido un esquema de clasificacin que se aplica en toda la empresa, basado en la criticidad y sensibilidad de los datos empresariales?

Nombre de la gua: Dominio DS (Entrega y dar soporte)/ DS11: Administracin de los Datos. Recomendacin (es) No Aplicable Una posible solucin seria crear una poltica de duracin de los archivos, tanto pblicos, como los de cada uno de los usuarios del repositorio de archivos, separndolos adems por prioridad, para saber cuales pueden ser eliminados y cuales no.

2.3 Se establecen planes de almacenamiento y vigencia administrativa para satisfacer los requerimientos legales, regulatorios y de negocio para todos los documentos, datos, archivos, programas, informes y mensajes as como para los datos usados para la encriptacin y autenticacin de los mismos?

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

2.6)Existen procedimientos para evitar la recuperacin no autorizada de informacin dada de baja lgicamente (que puedan ocasionar perjuicios a la organizacin), pero que permanece fsicamente en el medio magntico en cuestin? 3.1) Se definen e implementan procedimientos para mantener un inventario de soportes in situ, y se garantiza su utilidad e integridad? 3.3) Existe un conjunto apropiado de procedimientos para el marcado y tratamiento de la informacin de acuerdo con el esquema de clasificacin adoptado por la organizacin? 3.4) Biblioteca de Cintas Malo, no se cuenta con dichos procedimientos completamente, solo al formatear una computadora por completo. Dado que las computadoras son reutilizadas al ingresar un nuevo empleado en la empresa. La mejor manera de proteger la informacin vital eliminada de una PC seria formatearla a bajo nivel.

No Aplicable

Todos los equipos de la empresa estn inventariados, pero no se verifica constantemente si falta algo, por ende se debera tomar una medida de revisin de los activos al menos una vez al mes

Malo

Dividir la informacin por rea, aunque estn en el mismo repositorio y poner perfiles de acceso para los diferentes tipos de archivo.

No Aplicable (No Crear un espacio fsico para existe una biblioteca almacenar los respaldos antiguos de cintas) Se pueden recuperar por las mismas polticas de la empresa. No se recomienda aplicar ningn cambio.

4.2) Tales Malo procedimientos garantizan que los datos marcados como eliminados no puedan ser recuperados?

10

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

4.5) Los medios que No Aplicable no son requeridos son eliminados de una manera segura? No se recomienda aplicar ningn cambio, dado que afectara las polticas de la empresa.

4.6) Al dar de baja los listados u otros medios cuya informacin se clasifica como confidencial o sensible, son debidamente destruidos? 4.8) Existe control sobre el cumplimiento de la obligacin que tienen los empleados de no tirar a la basura informacin confidencial que puedan resultar legible para terceros? 4.9) En caso que la informacin manejada (o parte de ella) crtica, se utilizan mtodos de borrado seguro a la hora de eliminar los archivos que la contienen? 6.3) Es considerada la seguridad de los medios mientras son transportados?

Malo

No, no se destruyen fsicamente, podra adoptarse una poltica para destruir los medios luego de cierta cantidad de formateos.

Malo

Capacitar a los empleados en el aspecto de la seguridad informtica al hacer el proceso de induccin.

Malo

Creacin de polticas de borrado seguro por parte del rea de soporte.

Malo

Guardar los nuevos equipos en cajas seguras al momento de transportarlos.

6.6) Existen polticas, Malo procedimientos o controles para proteger el intercambio de informacin por medio del uso de la voz, del

Se deberan implementar filtros por los correos electrnicos para evitar enviar cdigos fuente fuera del dominio de la empresa.

11

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

facsmil comunicacin medio de video? y por

6.21) Se verifica peridicamente que las rutinas de adquisicin de datos para incorporarlos al data Warehouse funcionan correctamente? 6.24) En caso de cambios en los formatos de los datos fuentes, se mantiene informacin dentro de los metadatas que permita compatibilizar en los resmenes e informaciones, sobre el mismo dato pero que histricamente pasa a tener distinto formato? 6.25) Existen controles tradicionales y software de correccin de errores para evitar errores de comunicaciones por fallas en la transmisin? 6.28) Se define un nivel de tolerancia en la cantidad total de errores en los atributos de datos considerados crticos, por perodo o por proceso?

Malo

No se contempla dado que la informacin que ingresa al data Warehouse lo hace solamente desde las aplicaciones, y queda bajo responsabilidad de terceros.

Malo

Esta medida se implementa con los cdigos de las aplicaciones pero no con los archivos, por lo que se recomienda implementarlo en el repositorio de archivos.

No Aplicable

Implementar procedimientos para corregir los errores en el envo de archivos, dejar respaldo de lo que se enve hasta que se compruebe que fue recibido correctamente.

No Aplicable

Implementar polticas para verificar la integridad de archivos.

12

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

6.33) Existe una Malo poltica para proteger la divulgacin, modificacin o destruccin de datos y han sido los empleados informados en cuanto a la necesidad de la misma y las acciones que se tomar contra violaciones en ese punto? 6.35) Hay por lo Malo menos un respaldo sistemtico almacenado en locales de adecuada seguridad y ubicado en un edificio diferente al del Centro de Computacin? Si existe pero no se le capacita a los empleados. Por ende , en el proceso de induccin a la empresa se deben tomar en cuenta estos aspectos.

Utilizar otro local fsico para guardar los respaldos, o subir a la nube los respaldos, obviamente un servidor seguro y lo menos ajeno a la empresa posible.

13

Proyecto Final de Ingeniera de Software III

Auditora de Base de Datos 2013

9. Conclusin La empresa cumple con muchos requerimientos de diseo y seguridad de COBIT, sin embargo, falla en algunos que son de vital importancia tomarlos en cuenta para mejorar la seguridad de la integridad de los datos que se manejan. No solo se falla en la seguridad de los datos sino en el personal que los usa. Las capacitaciones para el plan operativo que se hace son inexistentes, el perodo de contraseas es muy largo y todas las mejoras recomendadas deben de implementarse para que el uso de los datos por parte de los empleados de la empresa sea el adecuado. Adems los planes de contingencia de los datos en caso de prdida o fallo del SGBD deben de crearse, esto con el fin de que la imagen de la empresa no sea afectada por perdidas de datos de sus clientes o sistemas. Para terminar, Las reas donde se not ms debilidad de seguridad fue en la parte fsica ms que en la lgica, por lo que las recomendaciones de mejoras en esta rea se deben de implementar con mayor nivel de importancia.

14

Proyecto Final de Ingeniera de Software III