AUDITORIA DE BASE DE

DATOS

CONTENIDO

Qu es Auditoria?

Qu es Auditoria de Base de Datos?

Objetivos Generales

Importancia

Aspectos Claves

Metodologas

Auditoria y Control Interno de un entorno de Base de Datos

Auditoria para ORACLE

Auditoria para SQL Server

Conclusiones
Nro. Pgina: 2
Fecha:

/25

13/07/16

QU ES AUDITORIA?

Nro. Pgina: 3
Fecha:

/25

13/07/16

QU ES AUDITORIA?

Nro. Pgina: 4
Fecha:

/25

13/07/16

QU ES AUDITORIA?

Examen organizado de una situacin relativa a un producto, proceso

u organizacin, en materia de calidad, realizado en cooperacin con
los interesados para verificar la concordancia de la realidad con lo
preestablecido y la adecuacin al objetivo buscado.

Actividad para determinar, por medio de la investigacin, la

adecuacin de los procedimientos establecidos, instrucciones,
especificaciones, codificaciones y estndares u otros requisitos, la
afeccin a los mismos y la eficiencia de su implementacin.
Gestin del conocimiento Caso: Auditoria de Procesos Ortiz Cuellar, Ana Karina
http://biblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAQ5510.pdf

Nro. Pgina: 5
Fecha:

/25

13/07/16

QU ES AUDITORIA DE BASE DE
DATOS (BD)?
Es el proceso que permite medir, asegurar, demostrar, monitorear y
registrar los accesos a la informacin almacenada en las bases de datos
incluyendo la capacidad de determinar:
Quin

accede a los datos

Cundo

se accedi a los datos

Desde

qu tipo de dispositivo/aplicacin

Desde

que ubicacin en la Red

Cul

fue la sentencia SQL ejecutada

Cul

fue el efecto del acceso a la base de datos

Nro. Pgina: 6
Fecha:

/25

13/07/16

OBJETIVOS GENERALES DE LA
AUDITORIA DE BD

Mitigar los riesgos asociados con el manejo inadecuado de los datos

Apoyar el cumplimiento regulatorio

Satisfacer los requerimientos de los auditores

Evitar acciones criminales

Evitar multas por incumplimiento

Evaluando

Definicin de estructuras fsicas y lgicas de las bases de datos

Control de carga y mantenimiento de las bases de datos

Integridad de los datos y proteccin de accesos

Estndares para anlisis y programacin en el uso de bases de datos

Procedimientos de respaldo y de recuperacin de datos

Nro. Pgina: 7
Fecha:

/25

13/07/16

IMPORTANCIA DE LA AUDITORIA DE BD

Toda la informacin de la organizacin reside en bases de datos y deben

existir controles relacionados con el acceso a las mismas.

Se debe poder demostrar la integridad de la informacin almacenada en

las bases de datos.

Las organizaciones deben mitigar los riesgos asociados a la prdida de

datos y a la fuga de informacin.

La informacin confidencial esresponsabilidad de las organizaciones.

Los datos convertidos en informacin a travs de bases de datos y

procesos de negocios representan el negocio.

Las organizaciones deben tomar medidas mucho ms all de asegurar

sus datos.

Deben monitorearse perfectamente a fin de conocer quin o qu les hizo

exactamente qu, cundo y cmo.
Nro. Pgina: 8
Fecha:

/25

13/07/16

ASPECTOS CLAVES

No se debe comprometer el desempeo de las bases de datos

Soportar diferentes esquemas de auditora

Se debe tomar en cuenta el tamao de las bases de datos a auditar

Segregacin de funciones

El sistema de auditora de base de datos no puede ser administrado por

los DBA del rea de TI

Proveer valor a la operacin del negocio

Informacin para auditora y seguridad

Informacin para apoyar la toma de decisiones de la organizacin

Informacin para mejorar el desempeo de la organizacin

Auditora completa y extensiva

Cubrir gran cantidad de manejadores de bases de datos

Estandarizar los reportes y reglas de auditora

Nro. Pgina: 9
Fecha:

/25

13/07/16

METODOLOGAS PARA LA AUDITORIA DE

BD
Metodologa Tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda
de una lista de control (checklist), que consta de una serie de puntos a
verificar. Por ejemplo:
1.Existe una metodologa de Diseo de Base de Datos?
2.Existen logs que permitan tener pistas sobre las acciones
objetos de las bases de datos?
3.Se han configurados los logs para almacenar la informacin
.
.
.
.

SI

NO

N/A

realizadas sobre los

relevante?

Nro. Pgina: 10 /25

NOTA: Debiendo registrar el auditor el resultado de su investigacin

Fecha:

13/07/16

METODOLOGAS PARA LA AUDITORIA DE

BD
Metodologa de Evaluacin de Riesgos
Este tipo de metodologa, conocida tambin por Risk Oriented Approach(*) (Enfoque
Orientada a Riesgo) es la que propone la ISACA y fija los objetivos de control que
minimizan los riesgos potenciales a los que est sometido el entorno.
Considerando

los riesgos de:

Dependencia por la concentracin de Datos

Accesos no restringidos en la figura del DBA

Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general

de instalacin

Impactos de los errores en Datos y programas

Rupturas de enlaces o cadenas por fallos del software

Impactos por accesos no autorizados

Dependencias de las personas con alto conocimiento tcnico

Nro. Pgina: 11 /25

(*) Diseada por Arthur Andersen

ISACA: Information Systems Audit and Control Association

Fecha:

13/07/16

AUDITORIA Y CONTROL INTERNO DE

UN ENTORNO DE BASE DE DATOS
ENTORNO DE BASE DE DATOS
SGBD
UTILIDADES DEL DBA

Cuando el auditor se encuentra con

el sistema en Produccin tendr que
estudiar el SGBD y su entorno;
como Control, Integridad y
Seguridad de los Datos compartidos
entre usuarios.
La complejidad del entorno de las
Bases de Datos hacen que no se
pueda limitar solo al SGBD.

DICCIONARI
DICCIONARI
O DE
DE DATOS
DATOS
O

CONFIDEN.
CONFIDEN.
PRIVACIDAD
PRIVACIDAD

AUDITORIA
AUDITORIA

L4G
L4G

SEGURIDAD
SEGURIDAD
RECUPER.
RECUPER.

case

Repositori
o

SOFTWARE
SOFTWARE
AUDITORIA
AUDITORIA

L4G INDEP.
INDEP.
L4G
CATALOGO
CATALOGO

FACILIDADES
FACILIDADES
DEL
DEL
USUARIO
USUARIO

NUCLEO
NUCLEO
SISTEMA
SISTEMA
MONITOR/
MONITOR/
AJUSTE
AJUSTE

PAQUETES
PAQUETES
SEGURIDAD
SEGURIDAD

AUDITOR INFORMATICO

APLICACIONE
APLICACIONE
SS

MONITOR
MONITOR
TRANSAC.
TRANSAC.

MINERIA DE
DE
MINERIA
DATOS
DATOS

PROTOCOLO
PROTOCOLO
SIST.
SS YY SIST.
DISTRIBUIDO
DISTRIBUIDO
SS

SO
SO

Nro. Pgina: 12 /25

Fecha:

13/07/16

AUDITORIA PARA ORACLE

Conjunto de caractersticas que permite al DBA y a los usuarios hacer
un seguimiento del uso de la base de datos.
La informacin de las auditoras se almacena en el diccionario de datos,
en la tabla SYS.AUD$ o en la pista de auditora del sistema operativo (si
lo permite). Lo anterior viene definido en el parmetro audit_trail.
Se pueden auditar tres tipos de acciones:

Intentos de inicio de sesin

Accesos a objetos

Acciones de la base de datos.

En Oracle 9i la auditora viene desactivada por defecto, el valor del parmetro "audit_trail" est a "NONE"
En Oracle 11g la auditora viene activada por defecto, el valor del parmetro "audit_trail" est a "DB"

Nro. Pgina: 13 /25

Fecha:

13/07/16

AUDITORIA PARA ORACLE

SELECT view_name
FROM dba_views
WHERE view_name LIKE
'%AUDIT%'
ORDER BY view_name

Nro. Pgina: 14 /25

Oracle Database 11g

Fecha:

13/07/16

AUDITORIA PARA ORACLE

Intentos de conexin fallidos

Nro. Pgina: 15 /25

Oracle Database 11g

Fecha:

13/07/16

AUDITORIA PARA ORACLE

AUDIT TRAIL

ACTIVAR:

ALTER SYSTEM SET audit_trail = "DB"

SCOPE=SPFILE;

DESACTIVAR

ALTER SYSTEM SET audit_trail = "NONE"

SCOPE=SPFILE;
NONE: desactiva la auditora de la base de datos.

select name, value

AUDIT_TRAIL from v$parameter
where name like
'audit_trail'

OS: activa , los eventos auditados se guardan en la pista de auditora del SO(dependiendo del SO)
DB: activa y los datos se almacenarn en la taba SYS.AUD$ de Oracle.
DB, EXTENDED: activa y adems se escribirn los valores correspondientes en las columnas SQLBIND y SQLTEXT de la tabla SYS.AUD$.
XML: activa los eventos son escritos en archivos XML del SO.
XML, EXTENDED: activa y adems se incluyen los valores de SqlText y SqlBind.
Nro. Pgina: 16 /25
Oracle Database 11g

Fecha:

13/07/16

AUDITORIA PARA ORACLE

AUDIT Y NOAUDIT
AUDIT
{ sql_statement_clause |
schema_object_clause | NETWORK }

[ BY { SESSION | ACCESS } ]
[ WHENEVER [ NOT ] SUCCESSFUL ] ;

{ sql_statement_clause |
schema_object_clause | NETWORK}

Audit/noaudit
Audit/noaudit session;
session;

Audit/noaudit
Audit/noaudit session
session whenever
whenever not
not
successful;
successful;

Auditoria
Auditoria de
de accin
accin

NOAUDIT

Auditoria
Auditoria de
de sesin
sesin

Audit/noaudit
Audit/noaudit role;
role;

Auditoria
Auditoria de
de Objeto
Objeto

Audit/noaudit
Audit/noaudit update
update table
table by
by nombre_usuario;
nombre_usuario;

Audit/noaudit
Audit/noaudit insert
insert on
on FACTURACION
FACTURACION by
by
access;
access;

[ WHENEVER [ NOT ] SUCCESSFUL ] ;

Oracle Database 11g

Privilegio de sistema AUDIT SYSTEM

Nro. Pgina: 17 /25

Fecha:

13/07/16

AUDITORIA PARA ORACLE

Ejemplo

Usuario ALONSO

Tabla FACTURA (codigo number primary

key,
fecha date default sysdate);
audit session by alonso;

audit
audit all
all on
on facturas
facturas by
by access;
access;

audit session by alonso;

ACCESOS
ACCESOS DEL
DEL USUARIO
USUARIO

select
select OS_Username
OS_Username Usuario_SO,
Usuario_SO,

Username
Username Usuario_Oracle,
Usuario_Oracle, Terminal
Terminal
ID_Terminal,DECODE
(Returncode,
ID_Terminal,DECODE (Returncode, '0',
'0',
'Conectado',
'1005',
'Fallo
Null',
1017,
'Conectado', '1005', 'Fallo - Null', 1017,
'Fallo',
'Fallo', Returncode)
Returncode)
Tipo_Suceso,TO_CHAR(Timestamp,
Tipo_Suceso,TO_CHAR(Timestamp, 'DD'DDMM-YY
HH24:MI:SS')
ora_Inicio_Sesion,
MM-YY HH24:MI:SS') ora_Inicio_Sesion,

insert into facturas (codigo) values (1);

insert into facturas (codigo) values (2);

insert into facturas (codigo) values (3);

select * from facturas;

delete facturas where codigo=2;

update facturas set codigo=33 where codigo=2;

TO_CHAR(Logoff_Time,
TO_CHAR(Logoff_Time, 'DD-MM-YY
'DD-MM-YY
HH24:MI:SS')
HH24:MI:SS') Hora_Fin_Sesion
Hora_Fin_Sesion

from
from DBA_AUDIT_SESSION
DBA_AUDIT_SESSION

where
where Username="ALONSO";
Username="ALONSO";

Oracle Database 11g

Privilegio de sistema AUDIT SYSTEM

Nro. Pgina: 18 /25

Fecha:

13/07/16

AUDITORIA PARA ORACLE

Nro. Pgina: 19 /25

Oracle Database 11g

Fecha:

13/07/16

AUDITORIA PARA SQL SERVER

Implica el seguimiento y registro de los eventos que se producen en
Motor de la BD.
Especificaciones

de auditora de servidor para los eventos de servidor

Especificaciones

de auditora de base de datos para los eventos de

base de datos (limitada a las ediciones Enterprise, Developer y
Evaluation)
SQL

Server Audit proporciona las herramientas y los procesos

necesarios para habilitar, almacenar y ver auditoras en varios objetos
de servidor y de base de datos.
Los inicios de sesin de SQL Server que tengan el permiso CONTROL
SERVER pueden utilizar el Motor de base de datos para tener acceso a
los archivos de auditora
Nro. Pgina: 20 /25
SQL Server 2012

Fecha:

13/07/16

AUDITORIA PARA SQL-SERVER

Proceso general de creacin y uso de
una auditora
Crear

una auditora y definir su destino

Crear

una especificacin de auditora de servidor o una especificacin

de auditora de base de datos
Habilitar

la auditora

Leer los eventos de auditora mediante el Visor de eventos o el Visor

de archivos de registro de Windows, o la funcin fn_get_audit_file

Nro. Pgina: 21 /25

Fecha:

13/07/16

AUDITORIA PARA SQL-SERVER

Funciones y vistas dinmicas

Descripcin

sys.dm_audit_actions

Devuelve una fila por cada accin de auditora sobre la

que se puede guardar informacin en el registro de
auditora y por cada grupo de acciones de auditora que se
puede configurar como parte de SQL Server Audit.

sys.dm_server_audit_status

Proporciona informacin sobre el estado actual de la

auditora.

sys.dm_audit_class_type_map

Devuelve una tabla que asigna el campo class_type del

registro de auditora al campo class_desc de
sys.dm_audit_actions.

fn_get_audit_file

Devuelve informacin de un archivo de auditora creado

por una auditora de servidor.

Nro. Pgina: 22 /25

Fecha:

13/07/16

AUDITORIA PARA SQL-SERVER

Vistas de catlogo

Descripcin

sys.database_audit_specifications

Contiene informacin sobre las especificaciones de

auditora de base de datos en una auditora de SQL
Server de una instancia del servidor.

sys.database_audit_specification_details

Contiene informacin sobre las especificaciones de

auditora de base de datos en una auditora de SQL
Server de una instancia de servidor para todas las bases
de datos.

sys.server_audits

Contiene una fila para cada auditora de SQL Server de

una instancia de servidor.

sys.server_audit_specifications

Contiene informacin sobre las especificaciones de

auditora de servidor en una auditora de SQL Server de
una instancia del servidor.

sys.server_audit_specifications_details

Contiene informacin sobre los detalles de las

especificaciones de auditora de servidor (acciones) en
una auditora de SQL Server de una instancia de
servidor.

sys.server_file_audits

Contiene informacin adicional sobre el tipo de auditora

de archivos en una auditora de SQL Server de una
instancia de servidor.

Nro. Pgina: 23 /25

Fecha:

13/07/16

AUDITORIA PARA SQL-SERVER

Permisos
Para

poder ver las vistas de catlogo se debe cumplir una de las condiciones
siguientes:

Pertenecer al rol sysadmin

El permiso CONTROL SERVER

El permiso VIEW SERVER STATE

El permiso ALTER ANY AUDIT

El permiso VIEW AUDIT STATE (solo da el acceso principal a la vista de catlogo

sys.server_audits)

Nro. Pgina: 24 /25

Fecha:

13/07/16

CONCLUSIONES

La gran difusin de los Sistemas de Gestin de Bases de datos

(SGBD) junto con la relacin de los datos como uno de los recursos
fundamentales de las empresas, ha hecho que los temas relacionados
a su control interno y auditoria cobren cada da mayor inters

Demostrar la integridad de la informacin, mitigar los riesgos

asociados, asegurar la confidencial de la informacin, garantizar la
seguridad de los datos y conocer quin o qu les hizo exactamente
qu, cundo y cmo a los datos, conforman la idea principal de la
Auditoria.

Estudiar el SGBD y su entorno es primordial al implementar un

ambiente de auditoria de BD

Oracle Audit Vault y SQL Server Audit son algunos de los productos
que nos ofrecen el mercado para los auditores de BD
Nro. Pgina: 25 /25
Fecha:

13/07/16