AUDITORIA DE BASE DE DATOS

Elaborado por: Rosa Bravo Josefina Rivas

CONTENIDO

Qu es Auditoria? Qu es Auditoria de Base de Datos? Objetivos Generales

Importancia
Aspectos Claves Metodologas Auditoria y Control Interno de un entorno de Base de Datos Auditoria para ORACLE Auditoria para SQL Server Conclusiones
Nro. Pgina: 2 Fecha: /25

25/06/2013

QU ES AUDITORIA?

Nro. Pgina: 3 Fecha:

/25

25/06/2013

QU ES AUDITORIA?

Nro. Pgina: 4 Fecha:

/25

25/06/2013

QU ES AUDITORIA?
Examen organizado de una situacin relativa a un producto, proceso u organizacin, en materia de calidad, realizado en cooperacin con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuacin al objetivo buscado. Actividad para determinar, por medio de la investigacin, la adecuacin de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estndares u otros requisitos, la afeccin a los mismos y la eficiencia de su implementacin.
Gestin del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf

Nro. Pgina: 5 Fecha:

/25

25/06/2013

QU ES AUDITORIA DE BASE DE DATOS (BD)?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar:

Quin accede a los datos

Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos

Nro. Pgina: 6 Fecha:

/25

25/06/2013

OBJETIVOS GENERALES DE LA AUDITORIA DE BD

Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio Satisfacer los requerimientos de los auditores Evitar acciones criminales

Evitar multas por incumplimiento

Evaluando

Definicin de estructuras fsicas y lgicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y proteccin de accesos Estndares para anlisis y programacin en el uso de bases de datos Procedimientos de respaldo y de recuperacin de datos
Nro. Pgina: 7 Fecha: /25

25/06/2013

IMPORTANCIA DE LA AUDITORIA DE BD

Toda la informacin de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos.

Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin.
La informacin confidencial esresponsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo.
Nro. Pgina: 8 Fecha: /25

25/06/2013

ASPECTOS CLAVES

No se debe comprometer el desempeo de las bases de datos

Soportar diferentes esquemas de auditora Se debe tomar en cuenta el tamao de las bases de datos a auditar El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de TI Informacin para auditora y seguridad Informacin para apoyar la toma de decisiones de la organizacin Informacin para mejorar el desempeo de la organizacin Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditora
Nro. Pgina: 9 Fecha: /25

Segregacin de funciones

Proveer valor a la operacin del negocio

Auditora completa y extensiva

25/06/2013

METODOLOGAS PARA LA AUDITORIA DE BD

Metodologa Tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de puntos a verificar. Por ejemplo: SI
1. Existe una metodologa de Diseo de Base de Datos? 2. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las bases de datos? 3. Se han configurados los logs para almacenar la informacin relevante? . . . .
Nro. Pgina: 10 /25
NOTA: Debiendo registrar el auditor el resultado de su investigacin

NO

N/A

Fecha:

25/06/2013

METODOLOGAS PARA LA AUDITORIA DE BD

Metodologa de Evaluacin de Riesgos
Este tipo de metodologa, conocida tambin por Risk Oriented Approach(*) (Enfoque Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno.

Considerando los riesgos de:

Dependencia por la concentracin de Datos Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalacin Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del software Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento tcnico
Nro. Pgina: 11 /25 Fecha:
25/06/2013

(*) Diseada por Arthur Andersen ISACA: Information Systems Audit and Control Association

AUDITORIA Y CONTROL INTERNO DE UN ENTORNO DE BASE DE DATOS

ENTORNO DE BASE DE DATOS
SGBD UTILIDADES DEL DBA DICCIONARI O DE DATOS case L4G Repositorio L4G INDEP. CATALOGO NUCLEO SISTEMA MONITOR/ AJUSTE PAQUETES SEGURIDAD SEGURIDAD RECUPER. SOFTWARE AUDITORIA CONFIDEN. PRIVACIDAD

Cuando el auditor se encuentra con el sistema en Produccin tendr que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios.

AUDITORIA

La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD.

FACILIDADES DEL USUARIO

APLICACION ES

MONITOR TRANSAC.

SO

MINERIA DE DATOS

PROTOCOLO S Y SIST. DISTRIBUIDOS

AUDITOR INFORMATICO

Nro. Pgina: 12 /25 Fecha:

25/06/2013

AUDITORIA PARA ORACLE

Conjunto de caractersticas que permite al DBA y a los usuarios hacer un seguimiento del uso de la base de datos. La informacin de las auditoras se almacena en el diccionario de datos, en la tabla SYS.AUD$ o en la pista de auditora del sistema operativo (si lo permite). Lo anterior viene definido en el parmetro audit_trail. Se pueden auditar tres tipos de acciones:

Intentos de inicio de sesin

Accesos a objetos
Acciones de la base de datos.

En Oracle 9i la auditora viene desactivada por defecto, el valor del parmetro "audit_trail" est a "NONE" En Oracle 11g la auditora viene activada por defecto, el valor del parmetro "audit_trail" est a "DB"

Nro. Pgina: 13 /25 Fecha:

25/06/2013

AUDITORIA PARA ORACLE

Vistas de la table SYS.AUD$ ALL_AUDIT_POLICIES ALL_AUDIT_POLICY_COLUMNS ALL_DEF_AUDIT_OPTS ALL_REPAUDIT_ATTRIBUTE ALL_REPAUDIT_COLUMN APEX_DEVELOPER_AUDIT_LOG DBA_AUDIT_EXISTS DBA_AUDIT_OBJECT DBA_AUDIT_POLICIES DBA_AUDIT_POLICY_COLUMNS DBA_AUDIT_SESSION DBA_AUDIT_STATEMENT DBA_AUDIT_TRAIL DBA_COMMON_AUDIT_TRAIL DBA_FGA_AUDIT_TRAIL DBA_OBJ_AUDIT_OPTS DBA_PRIV_AUDIT_OPTS DBA_REPAUDIT_ATTRIBUTE DBA_REPAUDIT_COLUMN DBA_STMT_AUDIT_OPTS GV_$XML_AUDIT_TRAIL KU$_AUDIT_DEFAULT_VIEW KU$_AUDIT_OBJ_BASE_VIEW KU$_AUDIT_OBJ_VIEW KU$_AUDIT_VIEW KU$_PROC_AUDIT_VIEW KU$_PROCDEPOBJ_AUDIT_VIEW KU$_PROCOBJ_AUDIT_VIEW KU$_10_1_AUDIT_VIEW MGMT$AUDIT_LOG MGMT$ESA_AUDIT_SYSTEM_REPORT SM$AUDIT_CONFIG USER_AUDIT_OBJECT USER_AUDIT_POLICIES USER_AUDIT_POLICY_COLUMNS USER_AUDIT_SESSION USER_AUDIT_STATEMENT USER_AUDIT_TRAIL USER_OBJ_AUDIT_OPTS USER_REPAUDIT_ATTRIBUTE USER_REPAUDIT_COLUMN V_$XML_AUDIT_TRAIL
Nro. Pgina: 14 /25 Fecha:
25/06/2013

SELECT view_name FROM dba_views WHERE view_name LIKE '%AUDIT%' ORDER BY view_name

Oracle Database 11g

AUDITORIA PARA ORACLE

Intentos de conexin fallidos

Oracle Database 11g

Nro. Pgina: 15 /25 Fecha:

25/06/2013

AUDITORIA PARA ORACLE

AUDIT TRAIL

ACTIVAR:

ALTER SYSTEM SET audit_trail = "DB" SCOPE=SPFILE;

DESACTIVAR AUDIT_TRAIL

ALTER SYSTEM SET audit_trail = "NONE" SCOPE=SPFILE;

NONE: desactiva la auditora de la base de datos.

select name, value from v$parameter where name like 'audit_trail'

OS: activa , los eventos auditados se guardan en la pista de auditora del SO(dependiendo del SO) DB: activa y los datos se almacenarn en la taba SYS.AUD$ de Oracle. DB, EXTENDED: activa y adems se escribirn los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$. XML: activa los eventos son escritos en archivos XML del SO.

XML, EXTENDED: activa y adems se incluyen los valores de SqlText y SqlBind.

Oracle Database 11g

Nro. Pgina: 16 /25 Fecha:

25/06/2013

AUDITORIA PARA ORACLE

AUDIT Y NOAUDIT
AUDIT { sql_statement_clause | schema_object_clause | NETWORK }

Auditoria de sesin

Audit/noaudit session; Audit/noaudit session whenever not successful;

Audit/noaudit role;

[ BY { SESSION | ACCESS } ]
[ WHENEVER [ NOT ] SUCCESSFUL ] ; NOAUDIT { sql_statement_clause | schema_object_clause | NETWORK} [ WHENEVER [ NOT ] SUCCESSFUL ] ;

Auditoria de accin Auditoria de Objeto

Audit/noaudit update table by nombre_usuario; Audit/noaudit insert on FACTURACION by access;

Oracle Database 11g

Privilegio de sistema AUDIT SYSTEM

Nro. Pgina: 17 /25 Fecha:

25/06/2013

AUDITORIA PARA ORACLE

Ejemplo

Usuario ALONSO Tabla FACTURA (codigo number primary key, fecha date default sysdate);

audit session by alonso;

audit all on facturas by access;

select OS_Username Usuario_SO, Username Usuario_Oracle, Terminal ID_Terminal,DECODE (Returncode, '0', 'Conectado', '1005', 'Fallo - Null', 1017, 'Fallo', Returncode) Tipo_Suceso,TO_CHAR(Timestamp, 'DDMM-YY HH24:MI:SS') ora_Inicio_Sesion, TO_CHAR(Logoff_Time, 'DD-MM-YY HH24:MI:SS') Hora_Fin_Sesion

ACCESOS DEL USUARIO

insert into facturas (codigo) values (1); insert into facturas (codigo) values (2); insert into facturas (codigo) values (3); select * from facturas;

delete facturas where codigo=2;

update facturas set codigo=33 where codigo=2;

from DBA_AUDIT_SESSION
where Username="ALONSO";
Nro. Pgina: 18 /25 Fecha:
25/06/2013

Oracle Database 11g

Privilegio de sistema AUDIT SYSTEM

AUDITORIA PARA ORACLE

Oracle Database 11g

Nro. Pgina: 19 /25 Fecha:

25/06/2013

AUDITORIA PARA SQL SERVER

Implica el seguimiento y registro de los eventos que se producen en Motor de la BD.

Especificaciones de auditora de servidor para los eventos de servidor Especificaciones de auditora de base de datos para los eventos de base de datos (limitada a las ediciones Enterprise, Developer y Evaluation) SQL Server Audit proporciona las herramientas y los procesos necesarios para habilitar, almacenar y ver auditoras en varios objetos de servidor y de base de datos.

Los inicios de sesin de SQL Server que tengan el permiso CONTROL SERVER pueden utilizar el Motor de base de datos para tener acceso a los archivos de auditora
Nro. Pgina: 20 /25 Fecha:
25/06/2013

SQL Server 2012

AUDITORIA PARA SQL-SERVER

Proceso general de creacin y uso de una auditora

Crear una auditora y definir su destino

Crear una especificacin de auditora de servidor o una especificacin de auditora de base de datos Habilitar la auditora

Leer los eventos de auditora mediante el Visor de eventos o el Visor de archivos de registro de Windows, o la funcin fn_get_audit_file

Nro. Pgina: 21 /25 Fecha:

25/06/2013

AUDITORIA PARA SQL-SERVER

Funciones y vistas dinmicas sys.dm_audit_actions Descripcin Devuelve una fila por cada accin de auditora sobre la que se puede guardar informacin en el registro de auditora y por cada grupo de acciones de auditora que se puede configurar como parte de SQL Server Audit.

sys.dm_server_audit_status

Proporciona informacin sobre el estado actual de la auditora.

sys.dm_audit_class_type_map

Devuelve una tabla que asigna el campo class_type del registro de auditora al campo class_desc de sys.dm_audit_actions.

fn_get_audit_file

Devuelve informacin de un archivo de auditora creado por una auditora de servidor.

Nro. Pgina: 22 /25 Fecha:

25/06/2013

AUDITORIA PARA SQL-SERVER

Vistas de catlogo Descripcin sys.database_audit_specifications Contiene informacin sobre las especificaciones de auditora de base de datos en una auditora de SQL Server de una instancia del servidor. Contiene informacin sobre las especificaciones de auditora de base de datos en una auditora de SQL Server de una instancia de servidor para todas las bases de datos. Contiene una fila para cada auditora de SQL Server de una instancia de servidor. Contiene informacin sobre las especificaciones de auditora de servidor en una auditora de SQL Server de una instancia del servidor. Contiene informacin sobre los detalles de las especificaciones de auditora de servidor (acciones) en una auditora de SQL Server de una instancia de servidor.

sys.database_audit_specification_details

sys.server_audits

sys.server_audit_specifications

sys.server_audit_specifications_details

sys.server_file_audits

Contiene informacin adicional sobre el tipo de auditora de archivos en una auditora de SQL Server de una instancia de servidor.

Nro. Pgina: 23 /25 Fecha:

25/06/2013

AUDITORIA PARA SQL-SERVER

Permisos

Para poder ver las vistas de catlogo se debe cumplir una de las condiciones siguientes:

Pertenecer al rol sysadmin El permiso CONTROL SERVER El permiso VIEW SERVER STATE El permiso ALTER ANY AUDIT El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catlogo sys.server_audits)

Nro. Pgina: 24 /25 Fecha:

25/06/2013

CONCLUSIONES

La gran difusin de los Sistemas de Gestin de Bases de datos (SGBD) junto con la relacin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada da mayor inters Demostrar la integridad de la informacin, mitigar los riesgos asociados, asegurar la confidencial de la informacin, garantizar la seguridad de los datos y conocer quin o qu les hizo exactamente qu, cundo y cmo a los datos, conforman la idea principal de la Auditoria. Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD

Nro. Pgina: 25 /25 Fecha:

25/06/2013