Beruflich Dokumente
Kultur Dokumente
Que se tenga siempre una lista de los usuarios así como también
diferentes perfiles, tipos de usuarios, documentación sobre cambios,
accesos limitados, buscar e identificar que cada uno este en su puesto,
que administradores tienen acceso, los programadores no deben tener
acceso a la base real, que usuarios tienen acceso a toda la base de datos,
en caso de que no tenga los perfiles el auditor debe de identificarlos e
identificar que cada persona este en su puesto.
Diseño
La investigación de la arquitectura
Auditoría Oracle
Por ejemplo, se pueden registrar todos los intentos de actualizar los datos
de una tabla o sólo los intentos fallidos, también se pueden registrar todos
los inicios de sesión en Oracle o sólo los intentos fallidos.
Nivel básico
Nivel Medio
Nivel Alto
1. Tipos de Auditoría
Dentro de la auditoría de base de datos tenemos varias formas de ejecutar
la auditoría, entre estas tenemos:
Agregada:
Censal:
El gestor toma datos de todas las operaciones que recibe, según el gestor,
esto se ejecutará en paralelo a las operaciones auditadas.
Muestral:
Detallada:
Cambios:
Accesos:
Otros:
Cabe mencionar que también se tiene también opciones por defecto que
auditan eventos de manera automática por ejemplo: inicio, lugar de cierre, y
los intentos de conexión a la base de datos con privilegios administrativos.
Estos se pueden visualizar utilizando el comando show parameter audit, para
lo cual debemos estar logeados con un usuario que tenga los suficientes
privilegios, utilizamos el usuario sysdba. SHOW PARAMETER AUDIT.
Implementación de Auditoría
Auditoría Genérica
Empresa: __________________________________________________
Fecha: ____________________
¿Cuáles?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
13) ¿Cuales personas tienen acceso para hacer cambios a la biblioteca del
sistema administrativo de base de datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
14) ¿Existen restricciones para el ingreso o inclusión de los datos en las
estructuras de Base de Datos?
SI ( ) NO ( )
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
19) ¿Se dispone de mecanismos de seguridad que garanticen la protección
contra los accesos no autorizados? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
24) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la
biblioteca de la base de datos? ¿Cuáles?
SI ( ) NO ( )
Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
26) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las
aplicaciones de los usuarios de la base de datos? ¿Cuáles?
SI ( ) NO ( )
Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
29) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de
las estructuras y base de datos?
Diarias: ___ Semanales: ___
Trimestrales: ___ Semestrales: ___
Anules: ___
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
33) ¿Cuales personas tienen acceso para hacer cambios a la biblioteca del
sistema administrativo de base de datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
45) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las
aplicaciones de los usuarios de la base de datos? ¿Cuáles?
SI ( ) NO ( )
¿Cuáles?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
47) ¿Cuáles son los mecanismos que aseguran el cumplimiento de las normas
de definición, control, actualización y monitoreo de las bases estructuras de
datos?
__________________________ ______________________________
__________________________ ______________________________
__________________________ ______________________________
48) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de
las estructuras y base de datos?
Diaria___ Semanal___
Mensual___ Trimestral___
Semestral___ Anual___
51) ¿Existe un checklist que ayude a la reactivación del servicio luego de una
falla mayor?
SI ( ) NO ( )
56) ¿Se posee una bitácora de acciones en la base de datos y sus estructuras?
SI ( ) NO ( )
61) ¿Se utiliza el diccionario de datos para mantener el rastreo de los datos a
través de las aplicaciones que lo emplean?
SI ( ) NO ( )
63) Las personas autorizadas, ¿tienen dicha autorización por escrito, manual
de descripción de cargos y funciones, otro documento?
SI ( ) NO ( )
obliga a no descuidarlas.
Las Bases de Datos Oracle, mostraron lo robustas que son para el manejo
para mitigar los riesgos que las bases de datos puedan estar expuestas. Las
Seguridad de la Información
http://www.worktec.com.ar/consetic2005/consecri/pdf/Consecri%2027-09-01/Sal
%F3n%20Multimedia/Exposiciones/29-Seg%20de%20la%20Inf%20y%20sus
%20requerimientos.pdf
[Consulta: 2 de Mayo, 2011]