Sei sulla pagina 1di 2

UNIDAD DE AUDITORIA INTERNA

NUMERO TRABAJO AUDITORÍA: 123456

NOMBRE AUDITORIA: Seguridad Oracle

TITULO DE ACCION: Asegurar que las contraseñas de todas las cuentas cumplan con la política de seguridad de la información

CONDICION (Lo que se encontró) Problema:

Existen parámetros de contraseñas definidos en los profile de las base de datos XXXX, YYYY y ZZZDESA, que no cumplen con las políticas de contraseñas definidas en las políticas de seguridad de la información. En los profile por defecto, los parámetros de contraseña no tienen asignados los valores requeridos en las políticas de seguridad de la información. Además, se identificó que la contraseña por defecto en la cuenta PERFIL en la Base de Datos XXXX no ha sido cambiada; como se detalla a continuación:

XXXX En la base de datos XXXX, los parámetros definidos en el profile de los usuarios finales (955 cuentas), se encuentran adecuadamente configurados. Sin embargo, en otros profiles definidos para cuentas de administración y cuentas no humanas, existen algunos parámetros que no cumplen con la política de contraseñas (Ej. Profile DEFAULT tiene el parámetro Profile PASSWORD_VERIFY_FUNCTION=null; ORACLE_DBA tiene el parámetro PASSWORD_LIFE_TIME = 180; PROF_PRODUCTO tiene el parámetro PASSWORD_REUSE_MAX= UNLIMITED y el parámetro PASSWORD_REUSE_TIME =30 PROF_DE_BAJA tiene PASSWORD_LOCK_TIME=365 para usuarios dados de baja valor esperado UNLIMITED con la finalidad que sólo el administrador pueda activar la cuenta).

Adicionalmente, existen algunos profiles que se encuentran definidos y no están siendo utilizados. Se identificó que la cuenta Oracle PERFIL, mantiene la contraseña por defecto, además, esta cuenta tiene asignado el profile DEFAULT, que no obliga al cambio de contraseña.

ZZZPROD En base de datos ZZZPROD, los parámetros definidos en profile DEFAULT y PROF_APLICATIVO no cumplen con las políticas de contraseñas, los demás profiles existen algunos parámetros que no cumplen con la política de contraseñas (Ej. El profile ORACLE_DBA tiene el parámetro PASSWORD_LIFE_TIME = 180; el profile PROF_DE_BAJA tiene PASSWORD_LOCK_TIME=365 para usuarios dados de baja valor esperado UNLIMITED con la finalidad que sólo el administrador pueda activar la cuenta . ZZZDESA En base de datos ZZZDESA, sólo existe el profile por default, los parámetros de seguridad definidos para las contraseñas no cumple con los estándares requeridos en las políticas y normas de seguridad de la compañía. (Ej. FAILED_LOGIN_ATTEMPTS = UNLIMITED; PASSWORD_VERIFY_FUNCTION =null )

Evidencia:

Tabla de dba_profiles

Fuente de Información:

Resultado de Querys proporcionados por el DBA

CRITERIOS (¿Contra qué norma, política o procedimiento está usted haciendo la auditoría?) Políticas y Normas de Seguridad de la Información

CAUSA (¿Qué es lo que permitió que ocurriera la condición?) Mantenimiento parcial de profiles y asignación incorrecta de profiles a usuarios y DBAs Reinstalación del producto y no se aplicó el procedimiento de cambio de contraseña.

CONSECUENCIA (Importancia o impacto) Accesos a la base de datos por usuarios definidos en ambiente unix (administradores, servicios y operadores) a través del descubrimiento de cuentas con contraseña débil y/o de cuentas que no requieren cambio de password con la frecuencia definida en la politica de seguridad.

RECOMENDACION (¿Qué es lo que resolverá la condición y evitará su recurrencia?)

La Gerencia de TI, debe implementar para todos los profiles las políticas de contraseña de acuerdo a las políticas y normas de seguridad. Además, las contraseñas por defecto de las cuentas del producto oracle deben ser cambiadas oportunamente.

RESPUESTA DEL CLIENTE (Persona responsable, acción que se emprenderá y fecha objetivo de término)

REFERENCIA DOCUMENTOS DE TRABAJO DE INFORME:

Preparado por:

Fecha:

Revisado por:

Fecha: