Curso: Control y Auditoria de Tic.

Universidad Catlica los

ngeles de Chimbote
Escuela Profesional de Ingeniera de
Sistemas
CONTROL Y AUDITORIA DE TICS

Estudiante: Lpez Morales, Bety

Haydee
Docente:
Villanueva

Ing.Beder

Alumna : Bety Haydee, Lpez Morales.AUTOR]

Meza

Curso: Control y Auditoria de Tic.

Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

Dedicatoria
Primero que todo, dedico este trabajo a Dios por darme vida y salud
todos los das para lograr cada una de las metas que me propongo y
permitirme cumplir este logro, el cual es muy importante para m, ya que
representa el gran esfuerzo que mis padres que han hecho para formarme y
prepararme, es por esto quiero dedicarles este proyecto y llenarlos de
satisfaccin por cada cosa que han hecho porque yo llegue hasta donde hoy
he llegado, para ustedes con mucho orgullo.

Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

ndice

Dedicatoria.................................................................................................................... 2
Indice............................................................................................................................ 3
Presentacin.................................................................................................................. 4
Introduccion.................................................................Error! Marcador no definido.
La Auditoria de Base de Datos.......................................................................................... 6
Participantes en esta auditora...................................................................................... 6
Objetivos principales.................................................................................................... 6
Evaluar el estado de control existente............................................................................6
Con esta auditoria se busca:......................................................................................... 6
Pasos para realizar una auditora..................................................................................7
Donde se debe aplicar esta auditoria?............................................................................7
Importancia de la auditora de base de datos......................................................................7
Puntos importantes:..................................................................................................... 8
Metodologas Para La Auditoria De Base De Dato...............................................................8
Metodologa de evaluacin de riesgos............................................................................9
Auditora y control en un entorno de base de datos.............................................................9
La auditora en ORACLE 11G..................................................................................... 11
Tipos de auditora...................................................................................................... 11
Registros y pistas de auditora.................................................................................... 12
Opciones de auditora a nivel del servidor.....................................................................13
Opciones de auditora al nivel de base de datos............................................................13
Conclusiones............................................................................................................ 14

Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

Presentacin
El presente trabajo de investigacin Auditoria de base de datos, se ha
investigado con la finalidad de obtener nuevos conocimientos para ejecutar
en nuestra carrera profesional, as mismo ser replicado a los alumnos que
llevan este curso.

Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

Introduccin
La gran difusin de los Sistemas de Gestin de Bases de Datos (SGBD), junto con
la consagracin de los datos como uno de los recursos fundamentales de las empresas,
ha hecho que los temas relativos a su control interno y auditora cobren, cada da, mayor
inters. Como ya se ha comentado, normalmente la auditora informtica se aplica dedos
formas distintas; por un lado, se auditan las principales reas del departamento de
informtica: explotacin, direccin, metodologa de desarrollo, sistema operativo,
telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones
(desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa.
La proteccin de los datos puede tener varios enfoques respecto a las caractersticas de
confidencialidad, disponibilidad e integridad. Puede haber datos crticos en cuanto a su
confidencialidad, como datos mdicos u otros especialmente sensibles (religin, raza,
sexo). Otros datos cuya criticidad viene dada por la disponibilidad: si se pierden o no
estn utilizables a tiempo pueden causar perjuicios graves y, en casos ms extremos,
poner en peligro la continuidad de la entidad. Y finalmente otros datos crticos atendiendo
a su integridad, especialmente cuando su prdida no puede detectarse fcilmente o una
vez detectada no es fcil reconstruirlos.
La importancia de la auditora del entorno de bases de datos radica en que es el punto de
partida para poder realizar la auditora de las aplicaciones que utiliza esta tecnologa.

Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

La Auditoria de Base de Datos.

Esta se encarga de monitorear, medir, asegurar y registrar los accesos a toda la
informacin almacenada en las bases de datos, incluyendo la capacidad de determinar:

Quin accede a los datos

Cundo se accedi a los datos
Desde qu tipo de dispositivo/aplicacin
Desde que ubicacin en la Red
Cul fue la sentencia SQL ejecutada
Cul fue el efecto del acceso a la base de datos

Participantes en esta auditora

Tecnologa de informacin
Auditores de sistemas
Riesgo corporativo
Cumplimiento corporativo
Seguridad corporativa

Objetivos principales
Esta auditora se encarga de manera fundamental en la seguridad de las bases de datos.
Entre sus objetivos se encuentran:
Investigar actividades dudosas sobre la BD.
Recopilar informacin acerca de actividades especficas de la BD
Recopilar estadsticas sobre qu tablas actualizadas, E/S lgicas, cantidad de
usuarios conectados concurrentemente.
Recopilar inverosimilitudes en los datos (deteccin de errores).
Recopilar los errores por prdida de informacin.
Mitigar los riesgos asociados con el manejo inadecuado de los datos.
Evitar acciones criminales.
Evaluar el estado de control existente.
Problemas por seguridad en instalaciones y el acceso fsico
Riesgo relacionado a los accesos lgicos y privacidad de las bases de datos
Definicin de estructuras fsicas y lgicas de las bases de datos
Control de carga y mantenimiento de las bases de datos
Integridad de los datos y proteccin de accesos
Estndares para anlisis y programacin en el uso de bases de datos
Procedimientos de respaldo y de recuperacin de datos
Con esta auditoria se busca:
Monitorear y mantener un registro del uso de los datos por los usuarios autorizados
Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

y no autorizados.
Conservar trazas de uso y del acceso a las bases de datos.
Permitir investigaciones
Alertas en tiempo real

Pasos para realizar una auditora

Saber todo acerca del negocio y de los sistemas implementados, datos de la
empresa, objetivo social, polticas e normas implementadas. Sin olvidar toda la
informacin que corresponda al sistema de Bases de datos.
Identificacin de todas las BD de la organizacin.
Clasificar los nivele de riesgo de los datos de las BD.
Analizar los permisos de acceso de los usuarios.
Analizar los controles de acceso existentes.
Establecer los modelos de auditora a utilizar.
Establecer las pruebas a realizar para cada BD, aplicacin y/o usuario.
Donde se debe aplicar esta auditoria?
En toda empresa que conste con un Sistema de Base de Datos con informacin
sumamente importante para su desarrollo y datos confidenciales de usuarios
externos.
Ejemplos:

Bancos, Supermercados, Colegios y Universidades.

Importancia de la auditora de base de datos

Siempre que hablamos de Tecnologas de la Informacin, tenemos que tener presente
que lo realmente importante para una organizacin es su informacin. Por la informacin
es que la inversin en Tecnologas tiene sentido. Por eso, la Auditora de las Bases de
datos es importante, porque son estos repositorios en los que la informacin de la
organizacin es almacenada.
La evolucin de las Tecnologas de la Informacin en el rea de Bases de Datos ha
evolucionado de depsitos con limitadas o vulnerables caractersticas de seguridad e
integridad a componentes que proveen altas caractersticas para garantizar que los datos
de una organizacin son utilizados para los fines autorizados y vlidos, que son accedidos
solo por el personal debidamente autorizado y con las medidas de seguridad necesarias
Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

para evitar los ataques externos que cada vez son ms frecuentes.
Establecido este escenario, parecera que nuestros datos estn seguros si tenemos la
Tecnologa de Bases de Datos de ltima generacin y no tenemos nada de que
preocuparnos. Premisa falsa. La prctica nos ensea que siempre existen varios factores
que deben de verificarse cuando se trata de bases de datos.
La verificacin independiente de un Auditor de Sistemas ayuda a la Alta Gerencia a
garantizar que la Tecnologa de Bases de Datos esta siendo usada de la mejor forma
posible y que no se han cometido acciones u omisiones que ponen en riesgo la integridad
y seguridad de nuestros datos.
La Auditora de Sistemas en este contexto, pasa a realizar una evaluacin del
cumplimiento de los estndares establecidos por el fabricante de la tecnologa utilizada, el
diseo de la base de datos, la verificacin del registro correcto de los datos y el
seguimiento a los procedimientos de Administracin de Bases de Datos. Si estos
elementos no son ejecutados de una manera profesional, aunque se haya realizado la
inversin en la mejor Tecnologa de Bases de Datos, siempre se tendrn riesgos sobre los
datos de la organizacin.
La realizacin de este examen, en el caso de una base de datos, debe realizarse de
forma peridica, para lograr el objetivo de que no se detecten desviaciones en los
parmetros normales de operacin demasiado tarde.. Muchas veces pasa que nuevas
vulnerabilidades son descubiertas y publicadas por los fabricantes de tecnologas y los
responsables de la Gestin de TI no realizan los ajustes necesarios para mantener los
datos
Puntos importantes:

Demostrar la integridad de dicha informacin.

Mitigar los riesgos asociados a la perdida de informacin.
Resguardar informacin confidencial.
Monitoreo los datos con el fin de saber cmo, cundo y por quien fueron
modificados.

Metodologas Para La Auditoria De Base De Dato

Aunque existen distintas metodologas que se aplican en auditora informtica
(prcticamente cada firma de auditores y cada empresa desarrolla la su propia).
Metodologa tradicional.
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de
control (checklist), que consta de una serie de cuestiones a verificar.
Este tipo de tcnica suele ser aplicada a la auditora de productos de bases de datos,
especificndose en la lista de control todos los aspectos a tener en cuenta.
Alumna : Bety Haydee, Lpez Morales.AUTOR]

Curso: Control y Auditoria de Tic.

De esta manera, si el auditor no cuenta con la asistencia de un experto en un producto en
particular, puede comprobar por lo menos los aspectos ms importantes de su instalacin.
Por ejemplo:
1. Existe una metodologa de Diseo de Base de Datos?
2. Existen logs que permitan tener pistas sobre las acciones Realizadas sobre los
objetos de las bases de datos?
3. Se han configurados los logs para almacenar la informacin relevante?

Metodologa de evaluacin de riesgos.

Este tipo de metodologa, conocida tambin por Risk Oriented Approach(*) (Enfoque
Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que
minimizan los riesgos potenciales a los que est sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentracin de Datos
Accesos no restringidos en la figura del DBA
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el
general de instalacin
Impactos de los errores en Datos y programas
Rupturas de enlaces o cadenas por fallos del software
Impactos por accesos no autorizados
Dependencias de las personas con alto conocimiento tcnico
Pruebas de cumplimiento
Listar los privilegios y perfiles existentes.
Si se detectan inconsistencias en los controles, o si los controles no existen, se disea
otro tipo de prueba que permiten dimensionar el impacto de estas deficiencias.
Pruebas sustantivas.
Comprobar si la informacin presenta alteraciones, comparndola con otra fuente,
revisando los documentos de entrada de datos y las transacciones que se han ejecutado.

Auditora y control en un entorno de base de

datos
Cuando el auditor se encuentra con el sistema en Produccin tendr que estudiar
el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos
compartidos entre usuarios.
Alumna : Bety Haydee, Lpez Morales.AUTOR]

10

Curso: Control y Auditoria de Tic.

La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar
solo al SGBD.

SGBD
UTILIDADES DEL DBA
DICCIONARI
O DE DATOS

CONFIDEN.
CONFIDEN.
PRIVACIDAD
PRIVACIDAD

AUDITORIA
AUDITORIA

L4G
L4G

SEGURIDAD
SEGURIDAD
RECUPER.
RECUPER.

case
Repositori
Repositori
o
o

SOFTWARE
SOFTWARE
AUDITORIA
AUDITORIA

L4G INDEP.
INDEP.
L4G
CATALOGO
CATALOGO

FACILIDADES
FACILIDADES
DEL
DEL
USUARIO
USUARIO

NUCLEO
NUCLEO
SISTEMA
SISTEMA
MONITOR/
MONITOR/
AJUSTE
AJUSTE

PAQUETES
PAQUETES
SEGURIDAD
SEGURIDAD

APLICACIONE
APLICACIONE
SS

MONITOR
MONITOR
TRANSAC.
TRANSAC.

MINERIA DE
DE
MINERIA
DATOS
DATOS

PROTOCOLO
PROTOCOLO
SIST.
SS YY SIST.
DISTRIBUIDO
DISTRIBUIDO
SS

SO
SO

AUDITOR INFORMATICO

SISTEMA DE GESTIN DE BD (SGBD)

Existen diferentes componentes del SGBD como el catalogo (componente
fundamental que asegura la seguridad de la BD), las utilidades para el
administrador (se suelen encontrar algunas para crear usuarios, conceder
privilegios y resolver otras cuestiones relativas a la confidencialidad), las que se
encargan de la recuperacin de la BD: arranque, copias de respaldo, archivos
diarios, etc. Entre otras.

SOFTWARE DE AUDITORIA
Paquetes que facilitan la labor del auditor, en cuanto a la extraccin de datos de la
BD, el seguimiento de las transacciones, datos de prueba, etc.

SISTEMA DE MONITORIZACION Y AJUSTE

Complementa las facilidades ofrecidas por el SGBD, ofreciendo mayor informacin
para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos
sistemas expertos.

Alumna : Bety Haydee, Lpez Morales.AUTOR]

11

Curso: Control y Auditoria de Tic.

SISTEMA OPERATIVO (SO)

Es una pieza clave del entorno, en cuanto a control de memoria, gestin de rea de
almacenamiento intermedio, manejo de errores, control de confidencialidad,
mecanismos de nter bloqueo, etc.

MONITOR DE TRANSACCIONES
Se considera un elemento
confidencialidad y rendimiento.

mas del

entorno

con

responsabilidades de

PAQUETE DE SEGURIDAD
Existe una gran variedad de productos que permiten la implantacin de una poltica
de seguridad, puesto que centralizan el control de accesos, la definicin de
privilegios, perfiles de usuario, etc.

DICCIONARIO DE DATOS
Conjunto de metadatos que contiene las caractersticas lgicas y puntuales de los
datos que se van a utilizar en el sistema incluyendo nombre, descripcin, alias,
contenido y organizacin.

HERRAMIENTAS CASE
Permite al auditor revisar el diseo de la base de datos, comprobar si se ha
empleado correctamente la metodologa y asegurar un nivel mnimo de calidad.

LENGUAJES DE 4 GENERACION
Se utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios la
exposicin de necesidades.

FACILIDADES DEL USUARIO

Con la aparicin de interfaces graficas fciles de usar ( con mens, ratn,
ventanas, etc.) se ha desarrollado toda una serie de herramientas que permiten al
usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes
del SGBD. El auditor debe investigar las medidas de seguridad que ofrecen estas
herramientas y bajo que condiciones han sido instaladas; las herramientas de este
tipo debern proteger al usuario de sus propios errores

HERRAMIENTAS DE MINERIA DE DATOS

Ofrecen el soporte a la toma de decisiones sobre los datos de calidad integrados
en le almacn de datos.

La auditora en ORACLE 11G

Sin duda, Oracle es una de las bases de datos que ms atencin ha prestado, en
su constitucin y diseo interno, a los detalles de auditora. A continuacin se resume su
funcionalidad.

Alumna : Bety Haydee, Lpez Morales.AUTOR]

12

Curso: Control y Auditoria de Tic.

Tipos de auditora
Oracle soporta tres tipos generales de auditora:
Auditora de sentencias: acta sobre las sentencias de SQL con respecto
solamente al tipo de sentencia y no al esquema especfico sobre el cual esta
opera. Por ejemplo AUDIT TABLE. Se puede establecer para los usuarios
seleccionados o para todos los usuarios de la base de datos.

Auditora de privilegios: se audita el poderoso sistema de privilegios para

realizar las acciones correspondientes, tal como AUDIT CREATE TABLE. Est
ms enfocado que la auditora de sentencia, debido a que audita slo el uso del
privilegio objetivo. Se puede establecer para auditar a un usuario seleccionado
o a todos los usuarios en la base de datos.

Auditora de esquema: acta sobre un esquema particular, tal como AUDIT

SELECT ON EMP. Este tipo de auditora est ms enfocado que el anterior,
audita solamente una especfica sentencia sobre un esquema especfico. Es
siempre aplicado a todos los usuarios de la base de datos.

Foco de la auditora
Oracle permite lo siguiente:
Auditar ejecuciones exitosas o fallidas de sentencias (o ambas a la vez).
Auditar ejecuciones de sentencias una vez por cada sesin de usuario o una
vez cada vez que la sentencia es ejecutada.
Auditar actividades de todos los usuarios o de un usuario especfico.

Registros y pistas de auditora

Los registros de auditora incluyen informacin acerca de la operacin que se
estaba auditando, el usuario que la realiz y la fecha y hora de la operacin. Los mismos
pueden ser almacenados en una tabla, lo cual se denominada pistas de auditora de base
de datos, o en pistas de auditora del sistema operativo.
Las pistas de auditora de base de datos son una nica tabla llamada AUD$ en el
esquema SYS en cada diccionario de datos de la base de datos Oracle. Varias vistas
predefinidas son provistas para ayudar a quien usa la informacin de esta tabla.
Los registros de pistas de auditora pueden contener diferentes tipos de informacin,
dependiendo de los eventos auditados y de las opciones de auditora establecidas. La
siguiente informacin es siempre incluida en cada registro de pistas de auditora:
El nombre de usuario.
El identificador de sesin.
El identificador de terminal.
El nombre del esquema accedido.
Alumna : Bety Haydee, Lpez Morales.AUTOR]

13

Curso: Control y Auditoria de Tic.

La operacin realizada o intentada.

La conclusin del cdigo de la operacin.
La fecha y hora.
Los privilegios de sistema utilizados.

Las pistas de auditora del sistema operativo son codificadas y por lo tanto no pueden ser
ledas, pero estas son decodificadas en archivos del diccionario de datos y mensajes de
error de la siguiente forma:
Cdigo de accin: describe la operacin realizada o intentada. Estos cdigos y
sus descripciones se encuentran almacenados en una tabla denominada
AUDIT_ACTIONS.
Privilegios utilizados: describe cualquier privilegio de sistema utilizado para
realizar la accin. Sus cdigos y descripciones estn almacenados en la tabla
SYSTEM_PRIVILEGE_MAP.
Cdigo de conclusin: describe el resultado de la operacin intentada. Las
operaciones exitosas retornan un valor de cero y las fallidas retornan un cdigo
de error de Oracle describiendo por qu fall la operacin.

Opciones de auditora a nivel del servidor

A nivel del servidor, el oficial de seguridad del sistema puede establecer la auditora para
cualquier combinacin de los siguientes eventos:

Logins y Logouts
Acciones realizadas por cuentas en todas las bases de datos del servidor,
incluyendo accesos exitosos o fallidos sobre vistas y tablas y el texto de las
sentencias de usuario.
Boots del servidor.
Llamadas a procedimientos remotos.
Sentencias que requieren roles del servidor especiales, tales como System
Administrador role, System Security role, o Operator role.
Errores fatales.

Opciones de auditora al nivel de base de datos

Se puede activar la auditora al nivel de base de datos para detectar:
Uso de las sentencias DROP, GRANT, REVOKE y TRUNCATE TABLE dentro
de una base de datos.
Uso de las sentencias DROP DATABASE y USE sobre la base de datos.
Ejecucin de sentencias SQL desde adentro de otra base de datos que
referencia a la base de datos auditada.
Dentro de una base de datos especfica, tambin se puede:
Activar la auditora de accesos a tablas o vistas especficas.
Establecer opciones por defecto que sern aplicadas a todas las futuras tablas y
vistas en la base de datos.
Alumna : Bety Haydee, Lpez Morales.AUTOR]

14

Curso: Control y Auditoria de Tic.

Auditar intentos exitosos o fallidos de acceder a un objeto, o ambos.

Especificar que clase de sentencias auditar: SELECT, INSERT, UPDATE,
DELETE, en cualquier combinacin.
Establecer auditora para procedimientos almacenados y triggers.

Conclusiones
La gran difusin de los Sistemas de Gestin de Bases de datos (SGBD) junto con
la relacin de los datos como uno de los recursos fundamentales de las empresas,
ha hecho que los temas relacionados a su control interno y auditoria cobren cada
da mayor inters
Demostrar la integridad de la informacin, mitigar los riesgos asociados, asegurar
la confidencial de la informacin, garantizar la seguridad de los datos y conocer
quin o qu les hizo exactamente qu, cundo y cmo a los datos, conforman la
idea principal de la Auditoria.
Estudiar el SGBD y su entorno es primordial al implementar un ambiente de
auditoria de BD
Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos
ofrecen el mercado para los auditores de BD

Alumna : Bety Haydee, Lpez Morales.AUTOR]

15

Curso: Control y Auditoria de Tic.

Bibliografa

http://slideplayer.es/slide/1464752/
http://es.slideshare.net/andreluisamarce/expo-bases-de-datos
http://es.scribd.com/doc/280066/Auditoria-base-de-datos
http://www.ireo.com/soluciones/auditoria-y-cumplimiento/bases-dedatos/
http://msdn.microsoft.com/es-es/library/cc280424.aspx
http://technet.microsoft.com/es-es/library/cc280472(v=sql.105).aspx

Alumna : Bety Haydee, Lpez Morales.AUTOR]

16