Beruflich Dokumente
Kultur Dokumente
Ing.Beder
Meza
Dedicatoria
Primero que todo, dedico este trabajo a Dios por darme vida y salud
todos los das para lograr cada una de las metas que me propongo y
permitirme cumplir este logro, el cual es muy importante para m, ya que
representa el gran esfuerzo que mis padres que han hecho para formarme y
prepararme, es por esto quiero dedicarles este proyecto y llenarlos de
satisfaccin por cada cosa que han hecho porque yo llegue hasta donde hoy
he llegado, para ustedes con mucho orgullo.
ndice
Dedicatoria.................................................................................................................... 2
Indice............................................................................................................................ 3
Presentacin.................................................................................................................. 4
Introduccion.................................................................Error! Marcador no definido.
La Auditoria de Base de Datos.......................................................................................... 6
Participantes en esta auditora...................................................................................... 6
Objetivos principales.................................................................................................... 6
Evaluar el estado de control existente............................................................................6
Con esta auditoria se busca:......................................................................................... 6
Pasos para realizar una auditora..................................................................................7
Donde se debe aplicar esta auditoria?............................................................................7
Importancia de la auditora de base de datos......................................................................7
Puntos importantes:..................................................................................................... 8
Metodologas Para La Auditoria De Base De Dato...............................................................8
Metodologa de evaluacin de riesgos............................................................................9
Auditora y control en un entorno de base de datos.............................................................9
La auditora en ORACLE 11G..................................................................................... 11
Tipos de auditora...................................................................................................... 11
Registros y pistas de auditora.................................................................................... 12
Opciones de auditora a nivel del servidor.....................................................................13
Opciones de auditora al nivel de base de datos............................................................13
Conclusiones............................................................................................................ 14
Presentacin
El presente trabajo de investigacin Auditoria de base de datos, se ha
investigado con la finalidad de obtener nuevos conocimientos para ejecutar
en nuestra carrera profesional, as mismo ser replicado a los alumnos que
llevan este curso.
Introduccin
La gran difusin de los Sistemas de Gestin de Bases de Datos (SGBD), junto con
la consagracin de los datos como uno de los recursos fundamentales de las empresas,
ha hecho que los temas relativos a su control interno y auditora cobren, cada da, mayor
inters. Como ya se ha comentado, normalmente la auditora informtica se aplica dedos
formas distintas; por un lado, se auditan las principales reas del departamento de
informtica: explotacin, direccin, metodologa de desarrollo, sistema operativo,
telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones
(desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa.
La proteccin de los datos puede tener varios enfoques respecto a las caractersticas de
confidencialidad, disponibilidad e integridad. Puede haber datos crticos en cuanto a su
confidencialidad, como datos mdicos u otros especialmente sensibles (religin, raza,
sexo). Otros datos cuya criticidad viene dada por la disponibilidad: si se pierden o no
estn utilizables a tiempo pueden causar perjuicios graves y, en casos ms extremos,
poner en peligro la continuidad de la entidad. Y finalmente otros datos crticos atendiendo
a su integridad, especialmente cuando su prdida no puede detectarse fcilmente o una
vez detectada no es fcil reconstruirlos.
La importancia de la auditora del entorno de bases de datos radica en que es el punto de
partida para poder realizar la auditora de las aplicaciones que utiliza esta tecnologa.
Objetivos principales
Esta auditora se encarga de manera fundamental en la seguridad de las bases de datos.
Entre sus objetivos se encuentran:
Investigar actividades dudosas sobre la BD.
Recopilar informacin acerca de actividades especficas de la BD
Recopilar estadsticas sobre qu tablas actualizadas, E/S lgicas, cantidad de
usuarios conectados concurrentemente.
Recopilar inverosimilitudes en los datos (deteccin de errores).
Recopilar los errores por prdida de informacin.
Mitigar los riesgos asociados con el manejo inadecuado de los datos.
Evitar acciones criminales.
Evaluar el estado de control existente.
Problemas por seguridad en instalaciones y el acceso fsico
Riesgo relacionado a los accesos lgicos y privacidad de las bases de datos
Definicin de estructuras fsicas y lgicas de las bases de datos
Control de carga y mantenimiento de las bases de datos
Integridad de los datos y proteccin de accesos
Estndares para anlisis y programacin en el uso de bases de datos
Procedimientos de respaldo y de recuperacin de datos
Con esta auditoria se busca:
Monitorear y mantener un registro del uso de los datos por los usuarios autorizados
Alumna : Bety Haydee, Lpez Morales.AUTOR]
10
SGBD
UTILIDADES DEL DBA
DICCIONARI
O DE DATOS
CONFIDEN.
CONFIDEN.
PRIVACIDAD
PRIVACIDAD
AUDITORIA
AUDITORIA
L4G
L4G
SEGURIDAD
SEGURIDAD
RECUPER.
RECUPER.
case
Repositori
Repositori
o
o
SOFTWARE
SOFTWARE
AUDITORIA
AUDITORIA
L4G INDEP.
INDEP.
L4G
CATALOGO
CATALOGO
FACILIDADES
FACILIDADES
DEL
DEL
USUARIO
USUARIO
NUCLEO
NUCLEO
SISTEMA
SISTEMA
MONITOR/
MONITOR/
AJUSTE
AJUSTE
PAQUETES
PAQUETES
SEGURIDAD
SEGURIDAD
APLICACIONE
APLICACIONE
SS
MONITOR
MONITOR
TRANSAC.
TRANSAC.
MINERIA DE
DE
MINERIA
DATOS
DATOS
PROTOCOLO
PROTOCOLO
SIST.
SS YY SIST.
DISTRIBUIDO
DISTRIBUIDO
SS
SO
SO
AUDITOR INFORMATICO
SOFTWARE DE AUDITORIA
Paquetes que facilitan la labor del auditor, en cuanto a la extraccin de datos de la
BD, el seguimiento de las transacciones, datos de prueba, etc.
11
MONITOR DE TRANSACCIONES
Se considera un elemento
confidencialidad y rendimiento.
mas del
entorno
con
responsabilidades de
PAQUETE DE SEGURIDAD
Existe una gran variedad de productos que permiten la implantacin de una poltica
de seguridad, puesto que centralizan el control de accesos, la definicin de
privilegios, perfiles de usuario, etc.
DICCIONARIO DE DATOS
Conjunto de metadatos que contiene las caractersticas lgicas y puntuales de los
datos que se van a utilizar en el sistema incluyendo nombre, descripcin, alias,
contenido y organizacin.
HERRAMIENTAS CASE
Permite al auditor revisar el diseo de la base de datos, comprobar si se ha
empleado correctamente la metodologa y asegurar un nivel mnimo de calidad.
LENGUAJES DE 4 GENERACION
Se utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios la
exposicin de necesidades.
12
Tipos de auditora
Oracle soporta tres tipos generales de auditora:
Auditora de sentencias: acta sobre las sentencias de SQL con respecto
solamente al tipo de sentencia y no al esquema especfico sobre el cual esta
opera. Por ejemplo AUDIT TABLE. Se puede establecer para los usuarios
seleccionados o para todos los usuarios de la base de datos.
Foco de la auditora
Oracle permite lo siguiente:
Auditar ejecuciones exitosas o fallidas de sentencias (o ambas a la vez).
Auditar ejecuciones de sentencias una vez por cada sesin de usuario o una
vez cada vez que la sentencia es ejecutada.
Auditar actividades de todos los usuarios o de un usuario especfico.
13
Las pistas de auditora del sistema operativo son codificadas y por lo tanto no pueden ser
ledas, pero estas son decodificadas en archivos del diccionario de datos y mensajes de
error de la siguiente forma:
Cdigo de accin: describe la operacin realizada o intentada. Estos cdigos y
sus descripciones se encuentran almacenados en una tabla denominada
AUDIT_ACTIONS.
Privilegios utilizados: describe cualquier privilegio de sistema utilizado para
realizar la accin. Sus cdigos y descripciones estn almacenados en la tabla
SYSTEM_PRIVILEGE_MAP.
Cdigo de conclusin: describe el resultado de la operacin intentada. Las
operaciones exitosas retornan un valor de cero y las fallidas retornan un cdigo
de error de Oracle describiendo por qu fall la operacin.
Logins y Logouts
Acciones realizadas por cuentas en todas las bases de datos del servidor,
incluyendo accesos exitosos o fallidos sobre vistas y tablas y el texto de las
sentencias de usuario.
Boots del servidor.
Llamadas a procedimientos remotos.
Sentencias que requieren roles del servidor especiales, tales como System
Administrador role, System Security role, o Operator role.
Errores fatales.
14
Conclusiones
La gran difusin de los Sistemas de Gestin de Bases de datos (SGBD) junto con
la relacin de los datos como uno de los recursos fundamentales de las empresas,
ha hecho que los temas relacionados a su control interno y auditoria cobren cada
da mayor inters
Demostrar la integridad de la informacin, mitigar los riesgos asociados, asegurar
la confidencial de la informacin, garantizar la seguridad de los datos y conocer
quin o qu les hizo exactamente qu, cundo y cmo a los datos, conforman la
idea principal de la Auditoria.
Estudiar el SGBD y su entorno es primordial al implementar un ambiente de
auditoria de BD
Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos
ofrecen el mercado para los auditores de BD
15
Bibliografa
http://slideplayer.es/slide/1464752/
http://es.slideshare.net/andreluisamarce/expo-bases-de-datos
http://es.scribd.com/doc/280066/Auditoria-base-de-datos
http://www.ireo.com/soluciones/auditoria-y-cumplimiento/bases-dedatos/
http://msdn.microsoft.com/es-es/library/cc280424.aspx
http://technet.microsoft.com/es-es/library/cc280472(v=sql.105).aspx
16