You are on page 1of 25

AUDITORIA DE BASE DE DATOS

Elaborado por: Rosa Bravo Josefina Rivas

CONTENIDO
► ► ► ► ► ► ► ► ► ►

¿Qué es Auditoria? ¿Qué es Auditoria de Base de Datos? Objetivos Generales

Importancia
Aspectos Claves Metodologías Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE Auditoria para SQL Server Conclusiones
Nro. Página: 2 Fecha: /25

25/06/2013

¿QUÉ ES AUDITORIA? Nro. Página: 3 Fecha: /25 25/06/2013 .

¿QUÉ ES AUDITORIA? Nro. Página: 4 Fecha: /25 25/06/2013 .

Gestión del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar. instrucciones. en materia de calidad. la adecuación de los procedimientos establecidos.edu.ve/anexos/biblioteca/marc/texto/AAQ5510. realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado.pdf ► ► Nro.¿QUÉ ES AUDITORIA? Examen organizado de una situación relativa a un producto. especificaciones. proceso u organización. Página: 5 Fecha: /25 25/06/2013 . por medio de la investigación. la afección a los mismos y la eficiencia de su implementación.ucab. Ana Karina http://biblioteca2. Actividad para determinar. codificaciones y estándares u otros requisitos.

demostrar.¿QUÉ ES AUDITORIA DE BASE DE DATOS (BD)? Es el proceso que permite medir. Página: 6 Fecha: /25 25/06/2013 . monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: ► ► ► ► ► ► Quién accede a los datos Cuándo se accedió a los datos Desde qué tipo de dispositivo/aplicación Desde que ubicación en la Red Cuál fue la sentencia SQL ejecutada Cuál fue el efecto del acceso a la base de datos Nro. asegurar.

Página: 7 Fecha: /25 25/06/2013 .OBJETIVOS GENERALES DE LA AUDITORIA DE BD ► ► ► ► ► Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento Evaluando ► ► ► ► ► Definición de estructuras físicas y lógicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y protección de accesos Estándares para análisis y programación en el uso de bases de datos Procedimientos de respaldo y de recuperación de datos Nro.

cuándo y cómo. Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio. Página: 8 Fecha: /25 ► ► ► ► 25/06/2013 . La información confidencial esresponsabilidad de las organizaciones.IMPORTANCIA DE LA AUDITORIA DE BD ► Toda la información de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Nro. Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué. Se debe poder demostrar la integridad de la información almacenada en las bases de datos. ► ► Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.

ASPECTOS CLAVES ► No se debe comprometer el desempeño de las bases de datos ► ► Soportar diferentes esquemas de auditoría Se debe tomar en cuenta el tamaño de las bases de datos a auditar El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de TI Información para auditoría y seguridad Información para apoyar la toma de decisiones de la organización Información para mejorar el desempeño de la organización Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditoría Nro. Página: 9 Fecha: /25 ► Segregación de funciones ► ► Proveer valor a la operación del negocio ► ► ► ► Auditoría completa y extensiva ► ► 25/06/2013 .

¿Existe una metodología de Diseño de Base de Datos? 2. que consta de una serie de puntos a verificar. . Nro. Se han configurados los logs para almacenar la información relevante? . ¿Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las bases de datos? 3. . .METODOLOGÍAS PARA LA AUDITORIA DE BD Metodología Tradicional En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist). Por ejemplo: SI 1. Página: 10 /25 NOTA: Debiendo registrar el auditor el resultado de su investigación NO N/A Fecha: 25/06/2013 .

Página: 11 /25 Fecha: 25/06/2013 ► ► ► ► (*) Diseñada por Arthur Andersen ISACA: Information Systems Audit and Control Association .METODOLOGÍAS PARA LA AUDITORIA DE BD Metodología de Evaluación de Riesgos Este tipo de metodología. conocida también por Risk Oriented Approach(*) (Enfoque Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. ► Considerando los riesgos de: ► ► ► Dependencia por la concentración de Datos Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del software Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento técnico Nro.

DISTRIBUIDOS AUDITOR INFORMATICO Nro. PRIVACIDAD ► Cuando el auditor se encuentra con el sistema en Producción tendrá que estudiar el SGBD y su entorno. SO MINERIA DE DATOS PROTOCOLO S Y SIST. como Control.AUDITORIA Y CONTROL INTERNO DE UN ENTORNO DE BASE DE DATOS ENTORNO DE BASE DE DATOS SGBD UTILIDADES DEL DBA DICCIONARI O DE DATOS case L4G Repositorio L4G INDEP. Página: 12 /25 Fecha: 25/06/2013 . Integridad y Seguridad de los Datos compartidos entre usuarios. SOFTWARE AUDITORIA CONFIDEN. FACILIDADES DEL USUARIO APLICACION ES MONITOR TRANSAC. AUDITORIA ► La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD. CATALOGO NUCLEO SISTEMA MONITOR/ AJUSTE PAQUETES SEGURIDAD SEGURIDAD RECUPER.

el valor del parámetro "audit_trail" está a "NONE" En Oracle 11g la auditoría viene activada por defecto. La información de las auditorías se almacena en el diccionario de datos. el valor del parámetro "audit_trail" está a "DB" Nro. en la tabla SYS. Página: 13 /25 Fecha: 25/06/2013 .AUD$ o en la pista de auditoría del sistema operativo (si lo permite). • • En Oracle 9i la auditoría viene desactivada por defecto. Lo anterior viene definido en el parámetro audit_trail.AUDITORIA PARA ORACLE Conjunto de características que permite al DBA y a los usuarios hacer un seguimiento del uso de la base de datos. Se pueden auditar tres tipos de acciones: ► ► ► Intentos de inicio de sesión Accesos a objetos Acciones de la base de datos.

AUDITORIA PARA ORACLE Vistas de la table SYS. Página: 14 /25 Fecha: 25/06/2013 SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name Oracle Database 11g .AUD$ ALL_AUDIT_POLICIES ALL_AUDIT_POLICY_COLUMNS ALL_DEF_AUDIT_OPTS ALL_REPAUDIT_ATTRIBUTE ALL_REPAUDIT_COLUMN APEX_DEVELOPER_AUDIT_LOG DBA_AUDIT_EXISTS DBA_AUDIT_OBJECT DBA_AUDIT_POLICIES DBA_AUDIT_POLICY_COLUMNS DBA_AUDIT_SESSION DBA_AUDIT_STATEMENT DBA_AUDIT_TRAIL DBA_COMMON_AUDIT_TRAIL DBA_FGA_AUDIT_TRAIL DBA_OBJ_AUDIT_OPTS DBA_PRIV_AUDIT_OPTS DBA_REPAUDIT_ATTRIBUTE DBA_REPAUDIT_COLUMN DBA_STMT_AUDIT_OPTS GV_$XML_AUDIT_TRAIL KU$_AUDIT_DEFAULT_VIEW KU$_AUDIT_OBJ_BASE_VIEW KU$_AUDIT_OBJ_VIEW KU$_AUDIT_VIEW KU$_PROC_AUDIT_VIEW KU$_PROCDEPOBJ_AUDIT_VIEW KU$_PROCOBJ_AUDIT_VIEW KU$_10_1_AUDIT_VIEW MGMT$AUDIT_LOG MGMT$ESA_AUDIT_SYSTEM_REPORT SM$AUDIT_CONFIG USER_AUDIT_OBJECT USER_AUDIT_POLICIES USER_AUDIT_POLICY_COLUMNS USER_AUDIT_SESSION USER_AUDIT_STATEMENT USER_AUDIT_TRAIL USER_OBJ_AUDIT_OPTS USER_REPAUDIT_ATTRIBUTE USER_REPAUDIT_COLUMN V_$XML_AUDIT_TRAIL Nro.

Página: 15 /25 Fecha: 25/06/2013 .AUDITORIA PARA ORACLE Intentos de conexión fallidos Oracle Database 11g Nro.

NONE: desactiva la auditoría de la base de datos. XML: activa los eventos son escritos en archivos XML del SO.AUD$.AUD$ de Oracle. ► DESACTIVAR AUDIT_TRAIL ALTER SYSTEM SET audit_trail = "NONE" SCOPE=SPFILE. DB. value from v$parameter where name like 'audit_trail' OS: activa . Página: 16 /25 Fecha: 25/06/2013 . los eventos auditados se guardan en la pista de auditoría del SO(dependiendo del SO) DB: activa y los datos se almacenarán en la taba SYS. select name.AUDITORIA PARA ORACLE AUDIT TRAIL ► ACTIVAR: ALTER SYSTEM SET audit_trail = "DB" SCOPE=SPFILE. EXTENDED: activa y además se incluyen los valores de SqlText y SqlBind. Oracle Database 11g Nro. XML. EXTENDED: activa y además se escribirán los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.

NOAUDIT { sql_statement_clause | schema_object_clause | NETWORK} [ WHENEVER [ NOT ] SUCCESSFUL ] . Audit/noaudit role. Audit/noaudit session whenever not successful. ► ► Auditoria de acción Auditoria de Objeto ► ► ► Audit/noaudit update table by nombre_usuario. [ BY { SESSION | ACCESS } ] [ WHENEVER [ NOT ] SUCCESSFUL ] . Página: 17 /25 Fecha: 25/06/2013 . Audit/noaudit insert on FACTURACION by access.AUDITORIA PARA ORACLE AUDIT Y NOAUDIT AUDIT { sql_statement_clause | schema_object_clause | NETWORK } ► Auditoria de sesión ► ► Audit/noaudit session. Oracle Database 11g Privilegio de sistema AUDIT SYSTEM Nro.

TO_CHAR(Logoff_Time. select OS_Username Usuario_SO. ► ► from DBA_AUDIT_SESSION where Username="ALONSO". 'Fallo . fecha date default sysdate). insert into facturas (codigo) values (2). update facturas set codigo=33 where codigo=2. select * from facturas. ► audit all on facturas by access. 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion ► ► ► ► ACCESOS DEL USUARIO ► insert into facturas (codigo) values (1). 'DDMM-YY HH24:MI:SS') ora_Inicio_Sesion.DECODE (Returncode. Username Usuario_Oracle. Página: 18 /25 Fecha: 25/06/2013 Oracle Database 11g Privilegio de sistema AUDIT SYSTEM . audit session by alonso. 1017. Returncode) Tipo_Suceso. 'Conectado'.Null'.TO_CHAR(Timestamp. '1005'. ► ► delete facturas where codigo=2. '0'. 'Fallo'. Nro. Terminal ID_Terminal.AUDITORIA PARA ORACLE Ejemplo ► Usuario ALONSO Tabla FACTURA (codigo number primary key. insert into facturas (codigo) values (3).

Página: 19 /25 Fecha: 25/06/2013 .AUDITORIA PARA ORACLE Oracle Database 11g Nro.

► Los inicios de sesión de SQL Server que tengan el permiso CONTROL SERVER pueden utilizar el Motor de base de datos para tener acceso a los archivos de auditoría Nro. Developer y Evaluation) SQL Server Audit proporciona las herramientas y los procesos necesarios para habilitar. ► ► Especificaciones de auditoría de servidor para los eventos de servidor Especificaciones de auditoría de base de datos para los eventos de base de datos (limitada a las ediciones Enterprise.AUDITORIA PARA SQL SERVER Implica el seguimiento y registro de los eventos que se producen en Motor de la BD. almacenar y ver auditorías en varios objetos de servidor y de base de datos. Página: 20 /25 Fecha: 25/06/2013 SQL Server 2012 .

AUDITORIA PARA SQL-SERVER Proceso general de creación y uso de una auditoría ► ► Crear una auditoría y definir su destino Crear una especificación de auditoría de servidor o una especificación de auditoría de base de datos Habilitar la auditoría ► Leer los eventos de auditoría mediante el Visor de eventos o el Visor de archivos de registro de Windows. Página: 21 /25 Fecha: 25/06/2013 . o la función fn_get_audit_file Nro.

fn_get_audit_file Devuelve información de un archivo de auditoría creado por una auditoría de servidor. sys.dm_audit_actions Descripción Devuelve una fila por cada acción de auditoría sobre la que se puede guardar información en el registro de auditoría y por cada grupo de acciones de auditoría que se puede configurar como parte de SQL Server Audit.dm_audit_class_type_map Devuelve una tabla que asigna el campo class_type del registro de auditoría al campo class_desc de sys. Página: 22 /25 Fecha: 25/06/2013 . Nro.dm_audit_actions. sys.AUDITORIA PARA SQL-SERVER Funciones y vistas dinámicas sys.dm_server_audit_status Proporciona información sobre el estado actual de la auditoría.

Página: 23 /25 Fecha: 25/06/2013 .AUDITORIA PARA SQL-SERVER Vistas de catálogo Descripción sys. sys. Contiene información sobre las especificaciones de auditoría de base de datos en una auditoría de SQL Server de una instancia de servidor para todas las bases de datos. Nro.database_audit_specifications Contiene información sobre las especificaciones de auditoría de base de datos en una auditoría de SQL Server de una instancia del servidor.server_audit_specifications sys.database_audit_specification_details sys.server_file_audits Contiene información adicional sobre el tipo de auditoría de archivos en una auditoría de SQL Server de una instancia de servidor.server_audit_specifications_details sys. Contiene una fila para cada auditoría de SQL Server de una instancia de servidor. Contiene información sobre los detalles de las especificaciones de auditoría de servidor (acciones) en una auditoría de SQL Server de una instancia de servidor.server_audits sys. Contiene información sobre las especificaciones de auditoría de servidor en una auditoría de SQL Server de una instancia del servidor.

server_audits) Nro.AUDITORIA PARA SQL-SERVER Permisos ► Para poder ver las vistas de catálogo se debe cumplir una de las condiciones siguientes: ► ► ► ► ► Pertenecer al rol sysadmin El permiso CONTROL SERVER El permiso VIEW SERVER STATE El permiso ALTER ANY AUDIT El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catálogo sys. Página: 24 /25 Fecha: 25/06/2013 .

garantizar la seguridad de los datos y conocer quién o qué les hizo exactamente qué. asegurar la confidencial de la información. mitigar los riesgos asociados. ha hecho que los temas relacionados a su control interno y auditoria cobren cada día mayor interés Demostrar la integridad de la información. Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD ► ► ► Nro.CONCLUSIONES ► La gran difusión de los Sistemas de Gestión de Bases de datos (SGBD) junto con la relación de los datos como uno de los recursos fundamentales de las empresas. Página: 25 /25 Fecha: 25/06/2013 . conforman la idea principal de la Auditoria. cuándo y cómo a los datos.