Professional Documents
Culture Documents
AUDITORÍA DE SISTEMAS
Curso: 5K3
GRUPO N° 4
Integrantes:
Índice
Introducción ..................................................................................................................... 3
Objetivos.......................................................................................................................... 3
Límite................................................................................................................................ 3
Alcances........................................................................................................................... 3
Herramientas a utilizar...................................................................................................... 4
Desarrollo del trabajo........................................................................................................4
AUDITORÍA DE DATOS....................................................................................... 4
¿Cómo se pueden eliminar los errores de los datos? .......................................... 4
Componentes a tener en cuenta en una Auditoría de Datos................................ 5
Controles en el Ciclo de Vida de los Datos............................................................ 5
Control de datos fuente (entrada).......................................................................... 5
Controles de procesamiento................................................................................. 6
Controles de salida............................................................................................... 6
Control de almacenamiento masivo...................................................................... 7
Fraude Informático................................................................................................ 7
AUDITORÍA DE BASES DE DATOS.................................................................... 7
¿Qué es una Base de Datos? ...............................................................................8
Tipo de Base de Datos .................................................................................. 8
Bases de Datos Planas................................................................................... 8
Bases de Datos Relacionales......................................................................... 9
Bases de Datos Orientadas a Objetos............................................................ 9
Riesgos en un Ambiente de Base de Datos............................... ......................... 9
Objetivos de la Auditoría de Base de Datos............................... ........................ 10
Metodología para Auditar ........................................................... ......................... 11
Metodología tradicional.................................................................................. 11
Metodología de evaluación de riesgos.......................................................... 11
El Administrador de la Base de Datos................................................................. 12
Niveles de Acceso............................................................................................... 14
La protección y la confidencialidad de los Datos................................................. 15
Medidas de prevención ....................................................................................... 15
Identificación del individuo recurrente.............................................................. 16
Identificación del terminal recurrente............................................................... 17
Forma de los datos y su soporte de almacenamiento...................................... 18
DATAWARE HOUSE............................................................................................ 18
Auditoría en Bases de Datos comerciales ............................................................ 20
La auditoría en ORACLE ..................................................................................... 21
La auditoría en SYBASE SQL SERVER .............................................................. 23
Descripción del software de auditoría - WizRule .................................................. 26
Aplicación práctica: Auditoría de Base de Datos en AVEIT ................................. 28
Conclusiones................................................................................................................... 30
Bibliografía....................................................................................................................... 31
Glosario........................................................................................................................... 32
2
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Introducción
La importancia de la auditoría de bases de datos radica en que actualmente los
datos constituyen uno de los activos más críticos en una organización.
Los sistemas de gestión de bases de datos (DBMS) son las herramientas primarias
para la automatización del almacenamiento de datos. Son usados para guardar y
mantener un registro de todas las transacciones de negocio, y también crear y mantener
datos que derivan de ese conjunto de transacciones.
Límites
Alcances
3
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Herramientas a utilizar
Bibliografía
Páginas web
AUDITORÍA DE DATOS
Los datos y la información pueden llegar a constituir el activo más crítico para la
entidad. Estos datos, además de alfanuméricos, pueden consistir en imágenes de planos,
en otros diseños u objetos, gráficos, acústicos, y otros, y estar almacenados en medios y
soportes diversos.
La mayoría de las personas que trabajan con grandes volúmenes de datos, desde
usuarios finales hasta administradores de bases de datos, no se percatan de
inconsistencias o errores que puedan tener los mismos. Estos errores se pueden producir
por diferentes factores, por ejemplo: una falla del data-entry, por el mal funcionamiento de
hardware y software, y fraude entre otros.
Estos errores que pueden causar daños considerables y no son fáciles de corregir
generalmente se traducen en pérdidas para una empresa.
Existen distintos métodos para eliminar los errores en los datos. Generalmente se utilizan
los siguientes:
4
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Lo que ha de revisarse en la auditoría son los diferentes puntos del ciclo de vida de
los datos:
5
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
2) Controles de procesamiento
3) Controles de salida
6
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
El auditor deberá tener en cuenta las condiciones de los medios físicos que
soportan las bases de datos. Debe controlar que aquellos soportes que contengan datos
más críticos estén especialmente protegidos, incluso cifrados. Verificará que el ordenador
este en un lugar donde no pueda golpearse, donde no haya acumulación de calor. Estas
son unas de las causas más frecuentes de las fallas de los discos duros.
En la auditoria se analizará la destrucción de la información clasificada, y
especialmente donde se almacena hasta su destrucción, que suele ser un punto débil.
Es importante incorporar dispositivos de seguridad durante el diseño del sistema,
en vez de añadirlos después.
Fraude informático
Características
7
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Métodos de fraude
Los auditores deben contemplar las posibilidades de error de mapeo (si se traslada
la base relacional a una orientada a objetos), la complejidad y las reglas generadas. Con
la aparición de las bases de datos orientadas a objetos se produce un quiebre del
paradigma anterior en donde las aplicaciones estaban guiadas por el modelo de datos.
Los auditores de sistemas se ven obligados a conocer y dominar estas metodologías y
todas sus reglas. A su vez, la arquitectura de las aplicaciones se complica en grados
nunca sospechados hace algunos años.
En cada capa de la aplicación se encuentran nuevas formas de dejar pistas de
auditoría. Dejar pistas de auditoría al nivel de use-case permite capturar mucho mejor la
intencionalidad del usuario que dejarlas alrededor de las transacciones de conjunto de
tablas.
3. Fraude y desfalco
Estos riesgos atentan contra los activos de la base de datos, especialmente por el uso
y/o retiro no autorizado de los mismos, por parte del personal de confianza de la
organización
Pero evidentemente el riesgo también puede tener origen en el personal extraño o que
no esté relacionado directamente con la entidad.
4. Violación de la privacidad
9
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Administrador de la BD
Software de la BD
Logs y reportes
Estándares operativos de la BD
Diccionario de datos
Recursos humanos
Reconstrucción de la BD
Enmascaramiento-Encriptamiento
Plan de contingencia
Predictibilidad
Niveles de Acceso
3. LOGs y reportes:
Son los registros históricos que normalmente operan en las bases de datos y que
pueden utilizarse para controlar o rastrear lo que ha sido introducido o retirado de la
10
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
base de datos. Esto incluye también aquellos reportes de salida que muestren
cualquier cambio hecho a la base de datos, al diccionario, al software y otros aspectos
asociados.
Es necesario tener un LOG de seguridad, por lo menos sobre los siguientes aspectos:
5. Diccionario de datos:
Este sistema comprende un paquete que ayuda al administrador a controlar el sistema
de la base de datos.
Es la lista de los elementos dentro de la base de datos, en la cual se explican
detalladamente y en forma ordenada, todos los campos que ésta contiene. El
diccionario de datos describe las relaciones entre los diversos campos, indicando el
nombre, membrete de encabezamiento, la extensión, el tipo de dato y otros detalles.
6. Recursos Humanos:
Comprende los usuarios de la base de datos, las personas responsables de las
operaciones de proceso de datos, la programación, el desarrollo de sistemas y todas
las personas que de una u otra forma tienen relación con la base de datos.
Tablas de autorización
Características del usuario
11
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
8. Enmascaramiento-Encriptamiento:
Es una técnica de control que protege los datos durante la comunicación o mientras
estén almacenados, dentro de un sistema o red de computadores.
9. Plan de contingencia:
EL ABD deberá diseñar un plan de contingencia para proteger la BD como parte del
plan general de desastres y si es posible, deberá probarse en todas sus fases.
10. Predictibilidad:
Debe hacerse una prueba de predictibilidad mediante la cual se puede predecir la
respuesta de sí el sistema se ejecuta apropiadamente o tiene fallas. Por ejemplo, un
programa tiene integridad si la respuesta a todos sus ingresos anticipados es la salida
esperada. Para ingresos no anticipados, el ingreso deberá permanecer predicho
(mensajes de error o códigos de retorno). Si el programa no da siempre la misma
salida para entradas dadas, o si la salida para entradas no previstas no es predicha,
entonces ésta carece de integridad.
Metodología tradicional
En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista
de control (checklist), que consta de una serie de cuestiones a verificar.
Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de
datos, especificándose en la lista de control todos los aspectos a tener en cuenta.
De esta manera, si el auditor no cuenta con la asistencia de un experto en un
producto en particular, puede comprobar por lo menos los aspectos más importantes de
su instalación.
Este tipo de metodología conocida también por Risk Oriented Approach, es la que
propone la ISACA, y empieza fijando los objetivos de control que minimizan los riesgos
potenciales a los que está sometido el entorno. Una vez establecidos los objetivos de
control, se especifican las técnicas específicas correspondientes a dichos objetivos. Estas
técnicas pueden ser preventivas, detectivas o correctivas (por ejemplo, una copia de
respaldo).
En caso de que los controles existan, se diseñan unas pruebas (denominadas
pruebas de cumplimiento) que permiten verificar la consistencia de los mismos. Si estas
pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se
pasa a diseñar otro tipo de pruebas – denominadas pruebas sustantivas – que permitan
dimensionar el impacto de estas deficiencias.
Una vez valorados los resultados de las pruebas se obtienen unas conclusiones
que serán comentadas y discutidas con los responsables directos de las áreas afectadas
12
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie de
comentarios donde se describa la situación, el riesgo existente y la deficiencia a
solucionar y en su caso sugerirá la posible solución, y presentará un informe.
El ABD deberá facilitar a los auditores y diseñadores del sistema todos los detalles
necesarios, concernientes a la seguridad y control de los archivos de la base de datos. El
auditor debe conocer las funciones del ABD, y verificar que estás se realicen
correctamente, algunas de ellas son las siguientes:
13
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Pistas de auditoría
Niveles de acceso
Las distinciones que existen en los niveles de acceso están referidas a la lectura, o
modificación en sus diferentes formas.
De acuerdo a ello se tienen los siguientes niveles de acceso a la información:
1. Todo proceso debe tener un bloqueo compartido del elemento antes de leerlo.
2. Todo proceso debe tener un bloqueo exclusivo del elemento antes de grabarlo.
3. No deben existir bloqueos compartidos sobre elementos con bloqueo exclusivo.
4. No deben existir bloqueos sobre elementos con bloqueo de cualquier tipo.
5. Todo proceso debe mantener el bloqueo compartido sobre un elemento, hasta finalizar
por completo su lectura.
6. Todo proceso debe mantener el bloqueo exclusivo hasta completar sus operaciones y
haber grabado todas las modificaciones en la base datos.
Medidas de prevención
Modos de identificación:
A) La identificación lógica por contraseña
B) La identificación por cualquier medio físico
15
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
¿Se ha educado a los usuarios de los riesgos que pueden originar el préstamo
de sus contraseñas?
Es necesario que el auditor haga un relevamiento de la importancia que los usuarios
le dan a la confidencialidad de su contraseña. Por ejemplo probarlos diciéndole:
“necesito que me dé su contraseña para hacer unas verificaciones”, un número
elevado de usuarios accederá al pedido, esto demuestra que no hay conciencia de la
importancia de guardar en privado la contraseña. Muchos usuarios creen que deben
facilitarle su contraseña a su jefe. Por esto es importante enseñarles a los usuarios
que su acceso a las bases de datos debe ser responsable, por lo tanto ceder su
contraseña, es ceder a otro el permiso en su nombre a los datos, y constituye un acto
de irresponsabilidad, o mejor dicho, de responsabilidad por el daño que otros pueden
hacer.
B) La identificación física del individuo que opera. Estas técnicas sustituyen el uso de
contraseñas, salvo en aplicaciones de altísima seguridad que las usan como
complemento.
16
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Cada vez más, las aplicaciones informáticas utilizan las conexiones a la unidad
central desde terminales no identificados nominativamente por el sistema. :
El ingeniero de sistema se conecta desde su terminal personal para asegurar un
mantenimiento urgente.
El fabricante se conecta con el sistema central para asegurar el telemantenimiento, o
sea el mantenimiento a distancia.
La aplicación administración de ventas prevé una conexión de los vendedores durante
sus viajes desde una computadora portátil
Los clientes se conectan desde puestos miniterminal para obtener informaciones
comerciales.
DataWare House
Para comenzar, podemos establecer las diferencias entre dos clases de sistemas:
Función Operaciones diarias, a tiempo real, Soporte a la decisión a tiempo real, estudio
transacciones. analítico.
18
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
El Server OLAP (On line analytic processing: procesamiento analítico en línea) que se ve en el gráfico, es un software
de DataWare que permite saber qué esta sucediendo en mi empresa. Se usa para analizar datos externos de mercado
y datos internos de movimientos de productos.
19
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
El Banco de Santiago (segundo Banco privado de Chile), asistido por Pampa Bytes
de Argentina, montó un DataWare para sus áreas comercial y de auditoría, para que los
ejecutivos de Marketing y Control Financiero contaran con información para la toma de
decisión respecto de sus clientes productos y servicios.
Medicus (Medicina Prepaga), asistida por Deloitte & Touche, montó un DataWare
sobre Oracle. Se pueden programar prestaciones o determinar si es necesario reforzar
maternidad o pediatría, consultar enfermedades por edad, etc.
Conclusión
Uno de los aspectos más interesantes de las nuevas bases de datos, es el inmenso
potencial para dejar rastros o pistas de auditoría. La principal herramienta para llevar a
cabo esta tarea son los manipuladores de eventos o triggers.
Un trigger es un pequeño programa que se ejecuta cuando se intenta realizar una
operación contra la base de datos. De esta manera, se pueden generar registros de las
acciones que efectúan los usuarios a través de los programas o directamente sobre la
base de datos.
Vale la pena mencionar que resulta de suma utilidad que estos pequeños
programas registren incluso las acciones directas sobre la base de datos. Con
anterioridad a estos recursos tecnológicos, sólo se podían registrar las acciones desde los
programas, en tanto que los usuarios que tenían algún tipo de contacto directo con la
base de datos tenían abiertas posibilidades de cometer fraudes sin ser detectados, ya que
"salteaban" los mecanismos de auditoría que proporcionaban los programas.
Esta característica es muy importante desde el punto de vista de que permite
realizar un análisis de esos registros que delate tendencias y actitudes sospechosas,
tanto de los operadores como de los usuarios.
20
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
La auditoría en ORACLE
Sin duda, Oracle es una de las bases de datos que más atención ha prestado, en
su constitución y diseño interno, a los detalles de auditoría. A continuación se resume su
funcionalidad.
Tipos de auditoría
Foco de la auditoría
Las pistas de auditoría del sistema operativo son codificadas y por lo tanto no
pueden ser leídas, pero estas son decodificadas en archivos del diccionario de datos y
mensajes de error de la siguiente forma:
Código de acción: describe la operación realizada o intentada. Estos códigos y
sus descripciones se encuentran almacenados en una tabla denominada
AUDIT_ACTIONS.
Privilegios utilizados: describe cualquier privilegio de sistema utilizado para
realizar la acción. Sus códigos y descripciones están almacenados en la tabla
SYSTEM_PRIVILEGE_MAP.
Código de conclusión: describe el resultado de la operación intentada. Las
operaciones exitosas retornan un valor de cero y las fallidas retornan un código
de error de Oracle describiendo por qué falló la operación.
Mecanismos de auditoría
La auditoría es autónoma del sitio, una instancia audita sólo las sentencias emitidas
por los usuarios conectados directamente. Un nodo local de Oracle no puede auditar
acciones que toman lugar en una base de datos remota. Debido a que las conexiones
remotas son establecidas a través de la cuenta de usuario de un vínculo a la base de
datos, el nodo remoto de Oracle audita las sentencias emitidas a través de dicho vínculo.
SQL Server puede ser configurado para proveer pistas de auditoría sobre ciertos
eventos, tales como:
Logins y logouts del servidor.
Uso de muchas sentencias que requieren un rol especial.
Uso de sentencias que hacen referencia a objetos específicos o bases de datos.
Eliminación de objetos.
Ejecución de procedimientos almacenados y triggers.
Cualquier acción realizada por un usuario específico
El sistema de auditoría
Esta es creada como parte del proceso de instalación de auditoría. Contiene todas
las tablas de sistema encontradas en el modelo de base de datos y dos tablas de sistema
adicionales:
Sysaudits: las pistas de auditoría.
Sysauditoptions: contiene las opciones globales de auditoría.
3. La cola de auditoría
Estableciendo la auditoría
A nivel del servidor, el oficial de seguridad del sistema puede establecer la auditoría
para cualquier combinación de los siguientes eventos:
Logins y Logouts
Acciones realizadas por cuentas en todas las bases de datos del servidor,
incluyendo accesos exitosos o fallidos sobre vistas y tablas y el texto de las
sentencias de usuario.
Boots del servidor.
Llamadas a procedimientos remotos.
Sentencias que requieren roles del servidor especiales, tales como System
Administrator role, System Security role, o Operator role.
Errores fatales.
Uso de las sentencias DROP DATABASE y USE sobre la base de datos.
Ejecución de sentencias SQL desde adentro de otra base de datos que
referencia a la base de datos auditada.
Dentro de una base de datos específica, también se puede:
Activar la auditoría de accesos a tablas o vistas específicas.
Establecer opciones por defecto que serán aplicadas a todas las futuras tablas y
vistas en la base de datos.
Auditar intentos exitosos o fallidos de acceder a un objeto, o ambos.
Especificar que clase de sentencias auditar: SELECT, INSERT, UPDATE,
DELETE, en cualquier combinación.
Establecer auditoría para procedimientos almacenados y triggers.
Ejemplo
Ahora una consulta que retorna información de auditoría acerca del procedimiento desde
sysaudits:
Triggers
25
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Un trigger puede ser creado para ejecutar por cualquiera o todas las sentencias
INSERT, UPDATE y DELETE, los cuales modifican datos. Actualmente, Sybase SQL
Server no ofrece triggers sobre la sentencia SELECT, dado que la misma no modifica los
datos. Además, los triggers pueden existir sólo sobre tablas base, no sobre vistas (por
supuesto, los datos modificados a través de una vista disparan un trigger sobre la tabla
base subyacente).
Un trigger es ejecutado una vez por cada sentencia INSERT, UPDATE y DELETE,
sin tener en cuenta la cantidad de filas que esta afecta.
Ejemplo:
26
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Estas reglas revelan posible palabras mal escritas. Una palabra es considerada mal
escrita si una palabra A es similar a otra palabra B, y la frecuencia de A es baja mientras
que la de B es alta.
Las reglas no son fijas, se pueden ajustar sus probabilidades y márgenes de error,
y de esta manera hacer una auditoría más o menos fina sobre los datos. Además el
WizRule determina el grado de veracidad de la regla, indicándole al auditor la relevancia
de los casos encontrados.
El descubrimiento de este tipo reglas y de sus excepciones facilita la tarea no sólo
del auditor, también ayuda notablemente al mantenimiento de una base de datos ¨sana¨,
requisito vital en una organización donde los datos conforman la base de su negocio.
Resultado de la evaluación
WizRule es un producto:
27
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
28
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
4- ¿Se establecieron personas autorizadas por medio de permisos, que puedan modificar
las BD?
No se establecieron.
6- ¿Son suficientes los controles sobre seguridades físicas para proteger la BD?
No existen controles sobre los accesos y controles de la BD. Cualquier persona del
centro de cómputos puede ingresar a la base y realizar modificaciones sin que queden
registradas.
29
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
11- ¿El ABD es responsable del desarrollo, mantenimiento y control del DD?
No existe ningún tipo de Diccionario de Datos, presentándose diferentes problemas a
la hora de interpretar los mismos.
15-¿Se han instruido a estas personas sobre que medidas tomar en caso de que alguien
pretenda entrar sin autorización?
No, el personal ante una situación de este tipo actúa según como crea necesario.
30
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Conclusiones
Vemos así que la auditoría de base de datos es una tarea imprescindible que se
debe realizar en toda organización, ya que es el recurso que le permitirá a la misma poder
competir en un mercado cambiante y globalizado y tomar medidas estratégicas en pos de
cumplir con los fines de la empresa.
31
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Bibliografía
Sitios en Internet
http://www.ctsnet.org/doc/790
http://www.history.routledge.com/routledge/journal/ac/ac070103.abs.html
http://www.isaca.org/cobit.htm
http://www.tpc.org
http://www.nan.shh.fi/anders/Papers/Autr92/autrtoc.htm
http://www.Inei.gob.pe/cpi/bancopub/libfree/lib611/0300.htn
http://ntserver.umanizales.edu.co/uvirtual/auditoria/capi4/ca46.html
http://www.aranzadi.es/online/publicaciones/aia/aia1_98/doctrin2.html
Libros:
Guía de SQL LAN TIMES, James R. Groof y Paul N. Weinberg, Editorial Osborne
Mc Graw-Hill, 1998.
Auditoría informática - Un enfoque práctico, Mario Piattini Velthius y Emilio del Peso
Navarro, Ed. Ra-Ma, 1997.
YANN, Darrien. Técnicas de auditoría Informática
32
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4
Glosario
LOGs y reportes: son los registros históricos que normalmente operan en las bases de
datos y que pueden utilizarse para controlar o rastrear lo que ha sido introducido o
retirado de la base de datos.
33