Auditoria de Bases de Datos - Copia

8/8/2019 Auditoria de Bases de Datos - Copia

1/22

UNIVERSIDAD TECNOLGICA NACIONAL

Facultad Regional Crdoba

Ingeniera en Sistemas de Informacin

Curso: 5k2

Profesor: Ing. Antonelli Matterson

JTP: Ing. Spesso

Ctedra:AUDITORA DE SISTEMAS DE INFORMACIN

AUDITORA DEBASES DE DATOS

Grupo N:

Crdoba, Mayo de 2008

Leg.

Loza, Patricia A. 41393

Cargnelutti, Pablo R. 45990

Sosa Agero, Paula 33432


2/22

UNIVERSIDAD TECNOLGICA NACIONAL AUDITORA SI/ TI MA YO 2008

2Cargnelutti, Pablo R. Loza, Patricia A. Sosa Agero, Paula

ndice:

Introduccin ...............................................................................................3

La Auditora de BD es importante porque ......................................................4

Qu es la Auditora de BD?.........................................................................4

Objetivos Generales de la Auditora de BD.....................................................4

Aspectos Claves ..........................................................................................5

Mediante la auditora de bases de datos se evaluar ......................................5

Metodologas para la auditora de Base de Datos ...........................................6

Planificacin de la Auditoria de BD................................................................6

Metadatos .......................................................................................................... 7

Consideraciones Generales.........................................................................12

Objetivos de Control en el ciclo de vida de una Base de Datos ...................... 12

Estudio previo y Plan de Trabajo ................................................................ 12

Concepcin de la Base de Datos y Seleccin del Equipo................................14

Diseo y Carga .........................................................................................15

Explotacin y Mantenimiento......................................................................15

Revisin post-implantacin.........................................................................16

Sistema de Gestin de Base de Datos SGBD ................................................ 17


3/22



Introduccin

Las bases de datos son el activo ms importante para las organizaciones, ya queposeen toda la informacin de la empresa, datos confidenciales que en manos ajenas

puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en laseguridad de la misma, conceder privilegios respecto a los usuarios de los datos ytambin denegarlos. Con la auditora de bases de datos se busca monitorear ygarantizar que la informacin est segura, adems de brindar ayuda a la organizacinpara detectar posibles puntos dbiles y as tomar precauciones para resguardar anms los datos.


4/22



Qu es la Auditora de BD?Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar losaccesos a la informacin almacenada en las bases de datos incluyendo la capacidadde determinar:

Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/ aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos

Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a ITpor la organizacin frente a las regulaciones y su entorno de negocios o actividad.

Objetivos Generales de la Auditora de BD

Disponer de mecanismos que permitan tener trazas de auditora completas yautomticas relacionadas con el acceso a las bases de datos incluyendo la capacidadde generar alertas con el objetivo de:

Miti gar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplim iento regulatorio. Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplim iento

La importancia de la auditora del entorno de bases de datos radica en que es elpunto de partida para poder realizar la auditora de las aplicaciones que utiliza estatecnologa.

La Auditora de BD es importante porque:

Toda la informacin financiera de la organizacin reside en bases de datos y debenexistir controles relacionados con el acceso a las mismas.

Se debe poder demostrar la integridad de la informacin almacenada en las basesde datos.

Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a lafuga de informacin.

La informacin confidencial de los clientes, son responsabilidad de lasorganizaciones.

Los datos convertidos en informacin a travs de bases de datos y procesos denegocios representan el negocio.

Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos.Deben monitorearse perfectamente a fin de conocer quin o qu les hizoexactamente qu, cundo y cmo.


5/22



Trminos similares a Auditora de Base de Datos

Auditora de Datos Monitoreo de Datos

La auditora de la bases de datos se realiza en base a una metodologa. Dichametodologa deriva de un marco de buenas prcticas en seguridad de base de datosaplicado sobre la documentacin de la versin de la base de datos auditada.

Mediante la auditora de bases de datos se evaluar:

Definicin de estructuras fsicas y lgicas de las bases de datos

Control de carga y mantenimiento de las bases de datos

Integridad de los datos y proteccin de accesos

Estndares para anlisis y programacin en el uso de bases de datos

Procedimientos de respaldo y de recuperacin de datos.

Aspectos Claves

No se debe comprometer el desempeo de las bases de datos

Soportar diferentes esquemas de auditora

Se debe tomar en cuenta el tamao de las bases de datos a auditar y los posibles SLA establecidos

Segregacin de funciones

El sistema de auditora de base de datos no puede ser administrado por losDBA del rea de IT

Proveer valor a la operacin del negocio

Informacin para auditora y seguridad

Informacin para apoyar la toma de decisiones de la organizacin Informacin para mejorar el desempeo de la organizacin

Auditora completa y extensiva

Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditora


6/22



Planificacin de la Auditoria de BD

1. Identificar todas las bases de datos de la organizacin2. Clasificar los niveles de riesgo de los datos en las bases de datos3. Analizar los permisos de acceso4. Analizar los controles existentes de acceso a las bases de datos5. Establecer los modelos de auditora de BD a utilizar6. Establecer las pruebas a realizar para cada BD, aplicacin y/o usuario

Metodologas para la auditora de Base de Datos

- Metodologa Tradicional

El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que

consta de una serie de cuestiones a verificar, registrando los resultados de suinvestigacin. En esta investigacin se confecciona una lista de control de todos losaspectos a tener en cuenta.

- Metodologa de evaluacin de riesgos

Este tipo de metodologa, conocida tambin por Risk oriented approaches la quepropone la ISACA y empieza fijando los objetivos de control que minimizan losriesgos potenciales a los que est sometido el entorno.

Considerando los riesgos de:

o Dependencia por la concentracin de Datoso Accesos no restringidos en la figura del DBAo Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el

general de instalacino Impactos de los errores en Datos y programaso Rupturas de enlaces o cadenas por fallos del softw.o Impactos por accesos no autorizadoso Dependencias de las personas con alto conocimiento tcnico

Se pueden definir los siguientes Controles:

Objetivo de control: el SGBD deber preservar la confidencialidad de la BD

Tcnicas de Control: se establecen niveles y tipos de usuarios, privilegios para elcontrol de acceso a la base datos


7/22



Metadatos:

Modelos de datos:Un modelo de datos define las reglas generales para la especificacin de la estructurade los datos y el conjunto de operaciones permitidas sobre ellos.

Estructuras:conjunto de conceptos que permiten representar las caractersticas estticas de losdatos. Las estructuras se pueden especificar de dos maneras:

Representacin de los datos e interrelaciones entre ellos: descripcin de empleado,departamento e interrelacin.Restricciones sobre los datos: ningn empleado cobra ms que su jefe.

Metadatos:Metadatos (del griego , meta, encima de y latn datum, lo que se da,dato), literalmente sobre datos, son datos que describen otros datos, metadatosson datos sobre datos.Otro concepto que algunos autores siguen es, que los metadatos son datosestructurados y codificadas que describen caractersticas de instancias (objetos)conteniendo informaciones para ayudar a identificar, descubrir, valorar y administrarlas instancias descritas.Los metadatos pueden describir colecciones de objetos y tambin los procesos en losque estn involucrados, describiendo cada uno de los eventos, sus componentes ycada una de las restricciones que se les aplican.Por ejemplo, una fotografa en la boda de un amigo con nuestra cmara digital. Lafotografa, una vez guardada en el disco duro de nuestro ordenador, es el dato. Si nosfijamos en las propiedades, hay toda una coleccin de datos asociados a la fotografa:el nombre, la fecha, el formato, el propietario, (y algunos de ellos ya son aadidosautomticamente por nuestra cmara). Ese tipo de informacin son metadatos. Esdecir, informacin sobre un objeto que le proporcionan un valor aadido.


8/22



Beneficios de los metadatos:

Los metadatos adhieren contenido, contexto y estructura a los objetos deinformacin, asistiendo de esta forma al proceso de recuperacin deconocimiento desde colecciones de objetos.

Los metadatos permiten generar distintos puntos de vista conceptualespara sus usuarios o sistemas, y liberan a estos ltimos de tener conocimientosavanzados sobre la existencia o caractersticas del objeto que describen.

Los metadatos permiten el intercambio de la informacin sin la necesidadde que implique el intercambio de los propios recursos.

En cada proceso productivo, o en cada etapa del ciclo de vida de un objeto deinformacin, se van generando metadatos para describirlos y metadatos paradescribir dichos metadatos (manual o automticamente), generando de estaforma valor aadido a los recursos.

Los metadatos permiten preservar los objetos de informacin permitiendomigrar (gracias a la informacin estructural) sucesivamente stos, para suposible uso por parte de las futuras generaciones.

Clasificacin:

Contenido. Subdividir metadatos por su contenido es lo ms comn. Se puedeseparar los metadatos que describen el recurso mismo de los que describen elcontenido del recurso. Es posible subdividir estos dos grupos ms veces, por ejemplopara separar los metadatos que describen el sentido del contenido de los que

describen la estructura del contenido o los que describen el recurso mismo de los quedescriben el ciclo vital del recurso.

Variabilidad. Segn la variabilidad se puede distinguir metadatos mutables (voltiles)y inmutables (No voltiles). Los inmutables no cambian. Los mutables difieren departe a parte, por ejemplo el contenido de un vdeo.

Funcin. Los datos pueden ser parte de una de las tres capas de funciones:subsimblicos, simblicos o lgicos. Estos no contienen informacin sobre susignificado. Los simblicos describen datos subsimblicos, es decir aaden sentido.Los datos lgicos describen cmo los datos simblicos pueden ser usados paradeducir conclusiones lgicas, es decir aaden comprensin.


9/22



Ciclo de vida:

El ciclo de vida de los metadatos comprende las fases creacin, manipulacin ydestruccin.

CreacinSe pueden crear metadatos manualmente, semi automticamente oautomticamente. El proceso manual puede ser muy laborioso, dependiente delformato usado y del volumen deseado, hasta un grado en el que los seres humanosno puedan superarlo. Por eso, el desarrollo de utillaje semiautomtico o automticoes ms que deseable.En la produccin automtica el software adquiere las informaciones que necesita sinayuda externa. Aunque el desarrollo de algoritmos tan avanzados est siendo objetode investigacin actualmente, no es probable que la computadora vaya a ser capazde extraer todos los metadatos automticamente. En vez de ello, se considera laproduccin semiautomtica ms realista; aqu un servidor humano sostiene

algoritmos autnomos con la aclaracin de inseguridades o la proposicin deinformaciones que el software no puede extraer sin ayuda.

ManipulacinSi los datos cambian, los metadatos tienen que cambiar tambin. Aqu se hace lapregunta quien va a adaptar los metadatos. Hay modificaciones que pueden sermanejadas sencilla y automticamente, pero hay otras donde la intervencin de unservidor humano es indispensable.La meta produccin, el reciclaje de partes de recursos para crear otros recursos,demanda atencin particular. La fusin de los metadatos afiliados no es trivial,especialmente si se trata de informacin con relevancia jurdica, como por ejemplo lagestin de derechos digitales.

Destruccin

En algunos casos es conveniente eliminar los metadatos juntos con sus recursos, enotros es razonable conservar los metadatos, por ejemplo para supervisar cambios enun documento de texto.

AlmacenamientoHay dos posibilidades para almacenar metadatos: depositarlos internamente, en elmismo documento que los datos, o depositarlos externamente, en su mismo recurso.Inicialmente, los metadatos se almacenaban internamente para facilitar laadministracin.

Hoy, por lo general, se considera mejor opcin la localizacin externa porque haceposible la concentracin de metadatos para optimizar operaciones de busca. Porcontra, existe el problema de cmo se liga un recurso con sus metadatos. La mayorade los estndares usa URIs, la tcnica de localizar documentos en la World WideWeb, pero este mtodo propone otras preguntas, por ejemplo qu hacer condocumentos que no tienen URI.


10/22



CodificacinLos primeros y ms simples formatos de los metadatos usaron texto no cifrado o lacodificacin binaria para almacenar metadatos en ficheros.Hoy, es comn codificar metadatos usando XML. As, son legibles tanto por sereshumanos como por computadoras. Adems este lenguaje tiene muchas

caractersticas a su favor, por ejemplo es muy simple integrarlo en la World WideWeb. Pero tambin hay inconvenientes: los datos necesitan ms espacio de memoriaque en formato binario y no est claro cmo convertir la estructura de rbol en uncorriente de datos.Por eso, muchos estndares incluyen utilidades para convertir XML en codificacinbinaria y viceversa, de forma que se anen las ventajas de los dos.Vocabularios controlados y ontologasPara garantizar la uniformidad y la compatibilidad de los metadatos, muchos sugierenel uso de un vocabulario controlado fijando los trminos de un campo.

Crtica sobre los metadatos:

Algunos expertos critican fuertemente el uso de metadatos. Sus argumentos mssustanciosos son:Los metadatos son costosos y necesitan demasiado tiempo. Las empresas no van aproducir metadatos porque no hay demanda y los usuarios privados no van a invertirtanto tiempo.Los metadatos son demasiado complicados. La gente no acepta los estndaresporque no los comprende y no quiere aprenderlos.Los metadatos dependen del punto de vista y del contexto. No hay dos personas queaadan los mismos metadatos. Adems, los mismos datos pueden ser interpretadosde manera totalmente diferente, dependiendo del contexto. Los metadatos sonilimitados. Es posible adherir ms y ms metadatos tiles y no hay fin.

Los metadatos son superfluos. Ya hay buscadores potentes para textos, y en el futurola tcnica query by example (busqueda basada en un ejemplo) va a mejorarse,tanto para localizar imgenes como para msica y vdeo.Algunos estndares de metadatos estn disponibles pero no se aplican: los crticos loconsideran una prueba de las carencias del concepto de metadatos. Hay que anotarque este efecto tambin puede ser causado por insuficiente compatibilidad de losformatos o por la enorme diversidad que amedrenta a las empresas. Fuera de esohay formatos de metadatos muy populares.


11/22



Monitorizacin

o Registros de auditorao Revisin de uso de sistemaso Proteccin de logso Logsde administradores y operadoreso Logsde fallo del sistemao Sincronizacin de relojes

Control de Acceso

o Requerimientos del negocio para el control de accesoso Poltica de control de accesoso Gestin de accesos de usuarioo Registro de usuarioso Gestin de privilegioso Gestin de contraseas de usuarioo Revisin de los derechos de acceso de los usuarioso Responsabilidades de los usuarioso Uso de contraseaso Equipamiento informtico de usuario desatendidoo Poltica de pantallas y mesas limpiaso Poltica de uso de los servicios de redo Identificacin de equipos en la redo Proteccin a puertos de diagnstico remoto y configuracin

o Control de conexin a las redeso Control de enrutamiento en red

Si existen los controles sobre la BD se pueden disear pruebas de cumplimientoquepermitan verificar la consistencia de los mismos.

Prueba de Cumplimiento: listar privilegios y perfiles existentes en el SGBDSi estas pruebas detectan inconsistencias en los controles, se disean otros tipos depruebas denominadas pruebas sustantivas.

Prueba sustantiva: Comprobar si la informacin ha sido corrompida comparndolacon otra fuente, o revisando, los documentos de entrada de datos y lastransacciones que se han ejecutado. Se valoran los resultados obtenindoseconclusiones que sern comentadas y discutidas con los responsables directosdel rea con el fin de comprobar resultados. En estos comentarios se describe lasituacin, el riesgo existente y la deficiencia a soluciones aportando en su caso laposible solucin.


12/22



Consideraciones Generales

Se deben tomar en cuenta todas las capas de acceso a la informacin Se debe tener importante atencin en los accesos de los usuarios con privilegios deacceso Se debe tratar de tener informacin contextual para determinar como se creo laviolacin al control Se deben tener reglas de auditora uniformes a travs de todas las bases de datos ysistema Se deben segregar las funciones entre los auditores y los usuarios con privilegios deacceso

Objetivos de Control en el ciclo de vida de una Base de Datos

Estudio previo y Plan de Trabajo

En esta primera fase, se elaborara un estudio tecnolgico de la viabilidad, donde secontemplaran distintas alternativas para alcanzar los objetivos del proyectoacompaados de un anlisis coste-beneficio para cada una de las opciones. Se debeconsiderar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (nosiempre est justificada la implantacin de un sistema de bases de datos).

ESTUDIO PREVIO YPLAN DE TRABAJO

CONCEPCION DE LA BD YSELECCI N DEL EQUIPO

DISEO Y CARGA

EXPLOTACION YMANTENIMIENTO

REVISIONPOST-IMPLEMENTACION

F

ORMACION

D

OCUMENTACI

ON

C

ALIDAD


13/22



Se debe comprobar que la alta direccin revisa los informes de los estudios deviabilidad ya que es la que decide seguir adelante o no con el proyecto. Esto esfundamental porque los tcnicos han de tener en cuenta que si no existe una decididavoluntad de la organizacin en un conjunto, impulsada por los directivos, aumentaconsiderablemente el riesgo de fracasar en la implantacin del sistema.

Si se decide llevar a cabo el proyecto es fundamental que se establezca un plandirector, debiendo el auditor verificar que ste plan se emplea para el seguimiento ygestin del proyecto y que cumple con los procedimientos generales de gestin delproyecto y que tenga aprobados la organizacin. Se debe establecer en esta fase deaprobacin la estructura orgnica del proyecto y de la unidad que gestionar elcontrol de la BD.

Se pueden establecer acerca de este tema dos objetivos de control

Asignacin de responsabilidades para la planificacin, organizacin, dotacin de

plantillas y control de los activos de datos de la organizacin (DA)

Algunas tareas son:


14/22



Asignacin de la responsabilidad de administracin de la Base de Datos (DBA)

En resumen, el DBA se encarga de autorizar el acceso a la base de datos, decoordinar y vigilar su empleo, y de adquirir los recursos necesarios de software yhardware. El DBA es la persona responsable cuando surgen problemas comoviolaciones a la seguridad o una respuesta lenta del sistema.

Cuando se establecen las responsabilidades de estas funciones hay que tener encuenta uno de los principios fundamentales del control interno: la separacin defunciones. Se recomienda una separacin de funciones entre:

- El personal de desarrollo de sistemas y el de explotacin.- Explotacin y control de datos.

- Administracin de bases de datos y desarrollo.

Concepcin de la Base de Datos y Seleccin del Equipo

La metodologa de desarrollo de diseo de Base de Datos debera tambin emplearseparaespecificar los documentos fuentes, los mecanismos de control, las caractersticas deseguridad y las pistas de auditora a incluir en el sistema, estos ltimos aspectosgeneralmente se descuidan, lo que produce mayores costes y problemas cuando sequieren incorporar una vez concluida la implementacin de la base de datos y la

programacin de las aplicaciones.

El auditor debe analizar la metodologa de diseo para determinar si es no aceptable,y luego comprobar su correcta utilizacin. Como mnimo una metodologa de diseode BD debera contemplar dos fases de diseo: lgico y fsico. COBIT dedicaimportancia a la definicin, de la arquitectura de la informacin, que contempla cuatroobjetivos de control relativos a:


15/22



- Modelo de arquitectura de informacin, y su actualizacin, que es necesaria paramantener el modelo consistente con las necesidades de los usuarios y con el planestratgico de tecnologa de la informacin.

- Datos y diccionario de datos corporativo.- Esquema de clasificacin de datos en cuanto a su seguridad.- Niveles de seguridad

Respecto de la seleccin de equipos se deber realizar un procedimiento en que seconsideren:

- necesidades de la empresa (ponderadas)- prestaciones que ofrecen los distintos SGBD candidatos- impacto del software en cuanto a medidas de seguridad

Diseo y Carga

Se examinan si los diseos se han realizados correctamente, verificando la estructuray las relaciones entre los datos, se controlan tambin las especificaciones dealmacenamiento de datos, la seguridad de los mismos. El auditor tendr que tomaruna muestra de ciertos elementos (tablas, vistas, ndices) y comprobar que sudefinicin es completa, que ha sido aprobada por el usuario y que el administradorde la base de datos particip en su establecimiento.

Aprobado el diseo de datos se procede a la carga ya sea manualmente, pormigracin o con soporte tcnico, esto merece especial atencin ya que existenriesgos de prdida de informacin por lo que deber estar correctamente planificadala carga de la Base de datos. Se realizan pruebas paralelas, que atienden a los

criterios establecidos por la alta gerencia, y se establecen controles que aseguren laintegridad de los mismos. Se busca minimizar los errores en la carga y de es especialtratamiento a estas entradas errneas.

Explotacin y Mantenimiento

Pasadas las pruebas de Aceptacin se establecen los procedimientos de explotacin ymantenimiento de la BD asegurando la congruencia y exactitud en la aplicacin deestos procedimientos, modificndose solo cuando sea necesario y previa autorizacin.

COBIT establece que el auditor debe llevar a cabo una auditoria sobre el rendimientodel sistema de BD verificando adems de los ajustes y optimizacin en el rediseolgico y fsico, el correcto funcionamiento del SO.


16/22



Clasificacin de los Objetivos de Control para la gestin de Datos ISACA

Revisin post-implantacin

Se debera establecer el desarrollo de un plan para efectuar una revisin post-implantacin de todo sistema nuevo o modificado con el fin de evaluar si:- Se han conseguido los resultados esperados.- Se satisfacen las necesidades de los usuarios.- Los costes y beneficios coinciden con lo previsto

Otros procesos Auxiliares

Capacitar y formar a todo el personal no solo en el producto que se instala como BDsino tambin sobre todo el contexto que hace al SGBD.

El auditor tendr que revisar la documentacin que se produce a lo largo de todo elproceso, para verificar si es suficiente y si se ajusta a los estndares establecidos porla metodologa adoptada en la empresa.


17/22



ADITORA Y CONTROL IN TERNO EN UN ENTORNO DE BASE DE DATOS

Cuando el auditor, se encuentra en el sistema en explotacin, deber estudiar elSGBD y su entorno. Como se seala en Menkus (1991Deberan considerarse elcontrol, la integridad y la seguridad de los datos compartidos por mltiples usuarios.

Entorno de BD

SISTEMA DE GESTION DE BASE DE DATOS SGBD

Entre los componentes del SGBD podemos destacar el ncleo _.El Kernel_, el catlogo(componente fundamental para asegurar la seguridad de la base de datos), lasutilidades para el administrador de la base de datos (entre la que se pueden encontraralgunas para crear usuario, conceder privilegios y resolver otras cuestiones relativas ala confidencialidad); las que se encargan de la recuperacin de la BD: rearranque,copias de respaldo, ficheros diarios _Log_, etc. Y algunas funciones de auditora, ascomo los lenguajes de la cuarta generacin (L4G) que incorpora el propio SGBD.Se debern auditar las ayudas y procedimientos propios del SGBD evaluando sucompletitud.

Tipos de Software

Software de AuditoraSoftware que ayudan a la extraccin de datos, seguimientos de transacciones, datosde prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes desarrolladospropios de la organizacin o comprados por ejemplo: RSA The Security Division ofEMC


18/22



Sistema de monitorizacin y AjustesOfrecen mayor informacin para optimizar el sistema, pudiendo ser en determinadasocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de labase de datos y de ciertos parmetros del SGBD y del SO.

Sistema Operativo

El SO es de suma importancia ya que el SGBD se apoyar en l, en mayor o menormedida (segn se trate de un SGBD dependiente o independiente) en los serviciosque le ofrezca; eso en cuanto a control de memoria, gestin de reas dealmacenamiento intermedio (Buffers), manejo de errores, control de confidencialidad,mecanismo de interbloqueo, etc.

Control de Transacciones

Es un elemento ms del entorno del SGBD con responsabilidades de confidencialidady rendimiento. Existen controles de (adems de los antes mencionados):

Control de accesos al sistema operativo Procedimientos de log-on seguro Identificacin y autenticacin de los usuarios Sistema de gestin de contraseas Utilizacin de utilidades del sistema Timeoutde sesiones Limitacin del tiempo de conexin Control de acceso a la informacin y aplicaciones Restriccin de acceso a la informacin Aislamiento de sistemas sensibles

Protocolos y Sistemas Distribuidos

Algunos objetivos de control a la hora de revisar la distribucin de datos

El sistema de proceso distribuido debe tener en funcin de administracin de datoscentralizada, que establezca estndares generales para la distribucin de datos atravs de aplicaciones.

-Deben establecerse unas funciones de administracin de datos y de base de datosfuertes, para que puedan controlar la distribucin de los datos.

-Deben de existir pistas de auditora para todas las actividades realizadas por lasaplicaciones contra sus propias bases de datos y otras compartidas.

-Deben existir controles software para prevenir interferencias de actualizacinsobre las bases de datos en sistemas distribuidos. -Deben realizarse las consideraciones adecuadas de costes y beneficios en el

diseo de entornos distribuidos.

Paquetes de Seguridad

Existen en el mercado varios productos que permiten la implantacinEfectiva de de una poltica de seguridad, puesto que centralizan elControl de accesos, la definicin de privilegios, perfiles de usuarios etc.


19/22



Diccionario de Datos Juegan un papel primordial en el entorno de los SGBD en cuanto a la

integracin de componentes y al cumplimiento de la seguridad de datos.

Los diccionarios de datos se pueden auditar de manera anloga a las bases de

datos, ya que, despus de todo, son bases de datos de metadatos.

Un fallo en la BD puede atentar contra la integridad de los datos y producirun mayor riesgo financiero, mientras que un fallo en un diccionario (orepositorios), suele llevar consigo un perdida de integridad de los procesos;siendo ms peligrosos los fallos en los diccionarios puesto que puedenintroducir errores de forma repetitiva a lo largo del tiempo y son mas difcilesde detectar.

Herramient as CASE (Compuer Aided System/ Software Engineering).IPSE (Integrated Project Support Environments)

Constituyen una herramienta clave para que el auditor pueda revisar el diseode la DB, comprobar si se ha empleado correctamente la metodologa yasegurar un nivel mnimo de calidad.

Lenguajes de Generacin de Cuarta generacin (L4G) independientes

Son elementos a considerar en el entrono del SGBD

De los objetivos de control para los L4G, destacan los siguientes:

El L4G debe ser capaz de operar en el entorno de proceso de datos con controlesadecuados.

Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos deautomatizacin y peticin que los proyectos de desarrollo convencionales.

Las aplicaciones desarrolladas con L4G deben sacar ventajas de las caractersticasincluidas en el mismo.

Uno de los peligros ms graves de los L4G es que no se aplican controles con elmismo rigor que a los programas desarrollados con lenguajes de tercerageneracin.

Otros problemas pueden ser la ineficacia y elevado consumo de recursos

El Auditor deber estudiar los controles disponibles el los L4G, en caso negativo,recomendar su construccin con lenguajes de tercera generacin.


20/22



Facilidades de Usuario

El auditor deber investigar las medidas de seguridad que ofrecen estasherramientas (Interfaz grfica de usuario) y bajo que condiciones han sidoinstaladas; las herramientas de este tipo deberan proteger a los usuarios de

sus propios errores.

Herramient as de Minera de Datos

Estas herramientas ofrecen soporte a la toma de decisiones sobre datos decalidad integrados en el almacn de datos

Se deber controlar la poltica de refresco y carga de los datos en el almacn apartir de las bases de datos operacionales existentes, as como la existencia demecanismos de retroalimentacin que modifican las bases de datosoperacionales a partir de los datos del almacn.

Aplicaciones

El auditor deber controlar que las aplicaciones no atentan contra la integridad de losdatos de la base.

Tcnicas para el Control de Base de Datos en un entorno complejo

Existen muchos elementos del entorno del SGDB que influyen el la seguridad eintegridad de los datos, en los que cada uno de apoya en la operacin correctay predecidle de otra.

El efecto de esto es: debilitar la seguridad global del sistema, reduciendo lafiabilidad e introduciendo un conjunto de controles descoordinados ysolapados, difciles de gestionar.

Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear, entre otras,dos tcnicas de control:


21/22



Matrices de Control

Sirven para identificar los conjuntos de datos del SI juntos con los controles deseguridad o integridad implementados sobre los mismos.

CONTROLES DE SEGURIDAD

DATOSPREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONESDE ENTRADA

VerificacinInforme de

Reconciliacin

REGISTRO DEBASE DE DATOS

CifradoInforme deexcepcin

Copia deseguridad

Los controles se clasifican como se puede observar en detectivos, preventivos y

correctivos

Anlisis de los Caminos de Acceso

Con esta tcnica se documentan el flujo, almacenamiento y procesamiento de losdatos en todas las fases por las que pasan desde el mismo momento en que seintroducen, identificando los componentes del sistema que atraviesan (tanto Hw comoSw) y los controles asociados

DA

TO

MONITOR

DE

MULTIPROC

PAQUET

E

DE

PROGRA

MA

SGB

D

S O

ORDENADOR

CCoonnttrrooll ddee AAcccceessoo** CCiiffrraaddoo** CCoonnttrrooll ddee IInntteeggrriiddaadd

CCoonnttrrooll ddee AAcccceessoo** RReeggiissttrroo ddeeTTrraannssaacccciioonneess

CCooppiiaass ddee SSeegguurriiddaaddFFiicchheerroo ddiiaarriioo ddee IInntteeggrriiddaadd ddeeDDaattooss

CCoonnttrroolleess

SSeegguurriiddaaddCCiiffrraaddoo

FFoorrmmaacciinn** CCoonnttrroolleess** PPrroocceeddiimmiieennttooss

CCoonnttrrooll ddee AAcccceessoo** RReeggiissttrroo ddee AAcccceessoo** IInnffoorrmmee ddee EExxcceeppcciioonneess

CCoonnttrrooll ddee AAcccceessoo** CCoonnttrrooll ddee IInntteeggrriiddaaddDDee ddaattooss

ORDENADORPERSONA


22/22


Glosario de Trminos

Base de datos: Es un conjunto de datos relacionados entre s. Por datosentendemos hechos conocidos que pueden registrarse y que tienen un significadoimplcito.

Sistema de gestin de bases de datos (SGBD): Es un conjunto de programas quepermite a los usuarios crear y mantener una base de datos.

Diccionario de Datos o Repositorio de una aplicacin, proyecto, etc. Consisteen una Base de Datos o Catlogo de los propios datos de la aplicacin a la quepertenece. Por tanto guarda informacin imprescindible para el funcionamiento dedicha aplicacin y para su uso, o en el caso de un proyecto para el desarrollo delmismo, de sta forma damos la importancia que se merece al Repositorio y as en losobjetivos destacaremos los aspectos fundamentales de la seguridad.

Date post:	10-Apr-2018
Category:	Documents
Upload:	carlos-gonzalez-lopez
View:	221 times
Download:	0 times

Auditoria de Bases de Datos - Copia

Documents