Auditoria de Base de Datos Re Formula Do

REPBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN SUPERIOR

COLEGIO UNIVERSITARIO FRANCISCO DE MIRANDA
DIVISIN DE INVESTIGACIN, EXTENSIN Y POSTGRADO
CONSEJO DE ESTUDIOS DE POSTGRADO
ESPECIALIZACIN EN AUDITORA DE SISTEMAS FINANCIEROS
Y SEGURIDAD DE DATOS
Aud!"#$% d& B%'& d& D%!"'
Caracas, 5 de Mayo de 2010
P#"(&'"#) Luis Castillo AUTOR*ES+) GRATEROL, NORKA
GUZMAN ERCLA
!AZ "ALERO
RO!RGUEZ #ANELL

I,d-&
INTRODUCCIN ................................................................................................................................... 4
DEFINICIONES ..................................................................................................................................... 6
AUDITORA INFORMTICA ........................................................................................................................................... 6
AUDITORA DE BASE DE DATOS ................................................................................................................................... 7
PUNTOS A LOS QUE SE ENFOCA EL AUDITOR ................................................................................................................... 7
Control y Seguridad de la Base de Datos ....................................................................................... 7
Diseo ............................................................................................................................................. 8
La investigacin de la arquitectura ................................................................................................ 8
OBJETIVOS GENERALES DE AUDITORA DE BASE DE DATOS ........................................................................................... 8
PLANIFICACIN DE LA AUDITORA DE BASES DE DATOS ................................................................................................ 9
IMPORTANCIA DE LA AUDITORA DE BASE DE DATOS .................................................................................................... 1
AUDITORA ORACLE ................................................................................................................................................ 1
NIVELES DE AUDITORA ............................................................................................................... 1!
NIVEL BSICO .......................................................................................................................................................... 1!
NIVEL MEDIO ......................................................................................................................................................... 1"
NIVEL ALTO ........................................................................................................................................................... 14
CUADRO COMPARATIVO ENTRE LOS NIVELES DE AUDITORA ....................................................................................... 1#
1.TIPOS DE AUDITORA ................................................................................................................... 16
AUDITORA DEL CLIENTE ........................................................................................................................................ 16
Auditora de aplicativo ................................................................................................................. 17
Auditora de Disparadores ........................................................................................................... 18
AUDITORA EN EL MOTOR DE LA BASE DE DATOS ......................................................................................................... 18
Agregada ...................................................................................................................................... 1!
Censal .......................................................................................................................................... 1!
"uestral ...................................................................................................................................... #$
Detallada ...................................................................................................................................... #$
Ca%&ios ....................................................................................................................................... #$
Accesos ......................................................................................................................................... #$
'tros ............................................................................................................................................. #$
POLTICAS DE AUDITORA ............................................................................................................ !1
IMPLEMENTACIN DE AUDITORA ............................................................................................ !#
DEFINIR QUE SE QUIERE AUDITAR .............................................................................................................................. !#
PASOS PARA $ABILITAR LA AUDITORA% ...................................................................................................................... !6
ADMINISTRAR PISTA DE AUDITORIA ............................................................................................................................ !6
ANLISIS DE LA INFORMACIN RECOLECTADA ........................................................................................................... !7
MONITOREAR EL CRECIMIENTO DE LA PISTA DE AUDITORA ......................................................................................... !7
PROTEGER LA PISTA DE ACCESOS NO AUTORI&ADOS ..................................................................................................... !8
RECOLECCIN DE DATOS EN ORACLE 11G ............................................................................. !8
AUDITORA GEN'RICA ............................................................................................................................................. !9
(a&la de Co%andos para Auditoria )en*rica .............................................................................. +1
AUDITORA DE GRANO FINO ..................................................................................................................................... "!
(a&la de Co%andos para Auditoria )en*rica .............................................................................. ++
PRODUCTOS ORACLE ESPECIALI&ADOS EN SEGURIDAD DE BASES DE DATOS ........ "#
ORACLE DATABASE VAULT ...................................................................................................................................... "#
ORACLE ADVANCED SECURIT( ................................................................................................................................. "#
ORACLE DATABASE FIRE)ALL ................................................................................................................................. "6
ORACLE AUDIT VAULT .......................................................................................................................................... "7
C$EC* LIST E INFORMES DE AUDITORIA ........................................................................... "8
CONCLUSIONES ................................................................................................................................. #!
BIBLIOGRAFA ................................................................................................................................... #"
##
I,!#"du--.,
Co$sidera$do la i%&orta$cia del %a$e'o y datos e i$(or%aci)$ e$ la
actualidad, se cue$ta co$ e(icie$tes recursos co%o los siste%as de *esti)$
de +ase de !atos ,-G.!/0 U$a de las 1erra%ie$tas %2s &oderosas e
i$te*rales es Oracle e$ el 2%+ito de las .ases de !atos relacio$ales, de+ido
a 3ue &osee$ u$a serie de caracter4sticas 3ue las 1ace$ s)lidas (re$te a *ra$
5olu%e$ de datos e i$cluso di5ersi(icaci)$ de los %is%os0
6usta%e$te esta &osi+ilidad de %a$e'ar de al%ace$a%ie$to %asi5o
de la i$(or%aci)$ 3ue $os +ri$da ORACLE, trae co$si*o la $ecesidad
i$eludi+le de esta+lecer co$troles 3ue &er%ita$ &re5e$ir, detectar, corre*ir y
1ast0071 %iti*ar los ries*os asociados co$ acceso y uso de la +ase de datos
a $i5el de o+'etos ,ta+las, 5istas usuarios/, i$cluye$do creaci)$, %odi(icaci)$
y eli%i$aci)$, ta%+i8$ lo 3ue so$ tie%&os de co$e9i)$, creci%ie$to
co$trolado de la .!, &ri5ile*ios de usuarios, roles y u$ si$ (i$ de as&ectos
3ue &ueda$ re&rese$tar ca%+ios e$ %ayor o %e$or %a*$itud al re&ositorio
de datos0 U$a de las (u$cio$alidades 3ue &er%ite al ad%i$istrador y a los
usuarios autori:ados a+ordar estos ele%e$tos de co$trol es la 1erra%ie$ta
de Auditor4a 3ue &osee ORACLE, &er%itie$do esta+lecer u$ %o$itoreo y
se*ui%ie$to del uso de la +ase de datos e$ co$'u$to co$ u$a *a%a de
&osi+ilidades y $i5eles &ara auditar las accio$es, se*;$ las $ecesidades de
la e%&resa o usuarios de la .!0
El si*uie$te $(or%e tie$e co%o o+'eti5o co$ocer y rese<ar los
ele%e$tos +2sicos del %)dulo de auditor4a 3ue o(rece ORACLE, &artie$do
desde los co$ce&tos +2sicos de auditor4a e$ +ase datos 1asta los o+'eti5os,
&la$i(icaci)$, co%a$dos, ti&os de auditor4a, re$di%ie$to, i%&orta$cia
+e$e(icios y 1asta la re(ere$cia de la $or%a CO.T co$ res&ecto a la
Auditor4a de .ase de !atos0
Media$te la i$5esti*aci)$ docu%e$tal se 1a reali:o el co$tacto y
rese<a del te%a, a$ali:a$do y co$trasta$do la i$(or%aci)$ o+te$ida, co$ el
(i$ de o+te$er u$a 5isi)$ co%&leta y clara de los ele%e$tos a co$siderar y la
(or%a de e'ecuci)$0
D&(,-",&'
Aud!"#$% I,("#/0!-%
La auditor4a i$(or%2tica es el &roceso de reco*er, a*ru&ar y e5aluar
e5ide$cias &ara deter%i$ar si u$ -iste%a de $(or%aci)$ sal5a*uarda el
acti5o e%&resarial, %a$tie$e la i$te*ridad de los datos, lle5a a ca+o
e(ica:%e$te los (i$es de la or*a$i:aci)$, utili:a e(icie$te%e$te los
recursos y cu%&le co$ las leyes y re*ulacio$es esta+lecidas0
Ta%+i8$ &er%ite detectar de (or%a siste%2tica el uso de los recursos y
los (lu'os de i$(or%aci)$ de$tro de u$a or*a$i:aci)$ y deter%i$ar 3u8
i$(or%aci)$ es cr4tica &ara el cu%&li%ie$to de su %isi)$ y o+'eti5os,
ide$ti(ica$do $ecesidades, du&licidades, costos, 5alor y +arreras, 3ue
o+staculi:a$ (lu'os de i$(or%aci)$ e(icie$tes0
.2sica%e$te, Auditar co$siste &ri$ci&al%e$te e$ estudiar los
%eca$is%os de co$trol 3ue est2$ i%&la$tados e$ u$a e%&resa u
or*a$i:aci)$, deter%i$a$do si los %is%os so$ adecuados y cu%&le$ u$os
deter%i$ados o+'eti5os o estrate*ias, esta+lecie$do los ca%+ios 3ue se
de+er4a$ reali:ar &ara la co$secuci)$ de los %is%os0 Los %eca$is%os de
co$trol &uede$ ser directi5os, &re5e$ti5os, de detecci)$, correcti5os o de
recu&eraci)$ a$te u$a co$ti$*e$cia0
Aud!"#$% d& B%'& d& D%!"'
Es el &roceso 3ue &er%ite %edir, ase*urar, de%ostrar %o$itorear y
re*istrar los accesos a la i$(or%aci)$ al%ace$ada e$ las +ases de datos
i$cluye$do la ca&acidad de deter%i$ar=
>ui8$ accede a los datos
Cua$do se accedi) a los datos
!esde 3ue dis&ositi5o ? a&licaci)$
!esde 3ue u+icaci)$ e$ la Red
Cu2l (ue la se$te$cia ->L e'ecutada
Cu2l (ue el e(ecto del acceso a la +ase de datos
La auditor4a de +ase de datos es u$o de los &rocesos (u$da%e$tales &ara
a&oyar la res&o$sa+ilidad dele*ada a la T (re$te a las re*ulacio$es y su
e$tor$o de $e*ocios o acti5idad0
Pu,!"' % 1"' 2u& '& &,("-% &1 %ud!"#
C",!#"1 3 S&4u#d%d d& 1% B%'& d& D%!"'
>ue se te$*a sie%&re u$a lista de los usuarios as4 co%o ta%+i8$
di(ere$tes &er(iles, ti&os de usuarios, docu%e$taci)$ so+re ca%+ios,
accesos li%itados, +uscar e ide$ti(icar 3ue cada u$o este e$ su &uesto,
3ue ad%i$istradores tie$e$ acceso, los &ro*ra%adores $o de+e$ te$er
acceso a la +ase real, 3ue usuarios tie$e$ acceso a toda la +ase de datos,
e$ caso de 3ue $o te$*a los &er(iles el auditor de+e de ide$ti(icarlos e
ide$ti(icar 3ue cada &erso$a este e$ su &uesto0
D'&5"
de$ti(icar 3ue real%e$te se de'e u$a trayectoria o docu%e$taci)$ so+re la
+ase de datos, 3ue te$*a diccio$ario de +ase de datos y cada u$o te$*a los
datos adecuados, lista de los o+'etos0
L% ,6&'!4%-., d& 1% %#2u!&-!u#%
-e re(iere al siste%a o&erati5o y el so(t@are &ara crear u$a +ase de datos,
ade%2s de 3ue de+a$ ser co%&ati+le, c1e3uear estudios &re5ios &ara
esco*er el so(t@are adecuado, 5eri(icar 3ue los co%&o$e$tes 3ue se
co%&re$ sea$ los adecuados &ara la co%&ati+ilidad/ el ciclo de 5ida de u$a
+ase de datos ,cua$to tie%&o durar2 el siste%a o +ase de datos 3ue se
dise<o/, estudio de la i$(or%aci)$ este real%e$te de acuerdo co$ la e%&resa
3ue esta utili:a$do e$ este %o%e$to, si se cue$ta co$ la docu%e$taci)$ de
la rei$*e$ier4a a&licada, te$er al%ace$ados ciertos arc1i5os 3ue se
%odi(ica$, 5eri(icar 3ue e9ista u$ o(icio &ara &oder 1acer la %odi(icaci)$ co$
las autori:acio$es $ecesarias, 5eri(icar 3ue e9ista re*istro de todo0
!e$tro de la auditor4a de +ase de datos te$e%os dos (or%as de auditor4a,
8stas so$ auditor4a del clie$te y auditor4a e$ el %otor de +ase de datos0
O78&!6"' G&,&#%1&' d& Aud!"#$% d& B%'& d& d%!"'
!is&o$er de %eca$is%os 3ue &er%ita$ te$er tra:as de auditor4as
co%&letas y auto%2ticas relacio$adas co$ el acceso a las +ases de datos,
i$cluye$do la ca&acidad de *e$erar alertas co$ el o+'eti5o de=
Miti*ar los ries*os asociados co$ el %a$e'o i$adecuado de los
datos0
A&oyar el cu%&li%ie$to re*ulatorio0
-atis(acer los re3ueri%ie$tos de los auditores0
E5itar las accio$es cri%i$ales0
E5itar las %ultas &or i$cu%&li%ie$to0
La i%&orta$cia de la auditor4a del e$tor$o de +ase de datos radica e$ 3ue
es el &u$to de &artida &ara &oder reali:ar la auditor4a de las a&licacio$es
3ue utili:a esta tec$olo*4a0
P1%,(-%-., d& 1% Aud!"#$% d& B%'&' d& D%!"'
Cua$do se 1a+la de &la$i(icaci)$, *e$eral%e$te $o e$(oca%os a u$ &la$,
%et)dica%e$te or*a$i:ado y (recue$te%e$te de *ra$ a%&litud, &ara o+te$er
u$ o+'eti5o deter%i$ado0 E$ este se$tido, la &la$i(icaci)$ de la auditor4a de
+ase de datos, se 5a a re(erir a la serie de &asos 3ue de+e%os cu+rir &ara
deter%i$ar los as&ectos e ide$ti(icar los recursos y as4 esta+lecer el &la$ de
tra+a'o, &ara lo*rar el alca$ce es&erado0 Aor lo ta$to, el auditor de +ase de
datos de+e=
de$ti(icar todas las +ases de datos de la Or*a$i:aci)$0
Clasi(icar los $i5eles de ries*os de los datos e$ las +ases de datos0
A$ali:ar los &er%isos de acceso0
A$ali:ar los co$troles de acceso e9iste$tes a las +ases de datos0
Esta+lecer los %odelos de auditor4a de +ases de datos a utili:ar0
Esta+lecer las &rue+as a reali:ar &ara cada +ase de datos, a&licaci)$
y?o usuario0
Todo esto co$ la (i$alidad de &re&arar u$ +ue$ &ro*ra%a de auditor4a0
I/9"#!%,-% d& 1% Aud!"#$% d& 7%'& d& d%!"'
Co$ la auditor4a de +ase de datos se +usca %o$itorear y *ara$ti:ar 3ue la
i$(or%aci)$ est2 se*ura, ade%2s de +ri$dar ayuda a la or*a$i:aci)$ &ara
detectar &osi+les &u$tos d8+iles y as4 to%ar &recaucio$es &ara res*uardar
a;$ %2s los datos0
La auditor4a de +ase de datos es i%&orta$te &or3ue=
Toda la i$(or%aci)$ (i$a$ciera reside e$ +ase de datos y de+e$
e9istir co$troles relacio$ados co$ el acceso a las %is%as0
-e de+e &oder %ostrar la i$te*ridad de la i$(or%aci)$ al%ace$ada
e$ las +ases de datos0
Las or*a$i:acio$es de+e$ %iti*ar los ries*os asociados a la
&8rdida de datos y a la (u*a de i$(or%aci)$0
La i$(or%aci)$ co$(ide$cial de los clie$tes, so$ res&o$sa+ilidad de
las or*a$i:acio$es0
Los datos co$5ertidos e$ i$(or%aci)$ a tra58s de +ases de datos y
&rocesos de $e*ocio, re&rese$ta$ el $e*ocio0
Las or*a$i:acio$es de+e$ to%ar %edidas %uc1o %2s all2 de
ase*urar sus datos0 !e+e$ %o$itorearse &er(ecta%e$te, a (i$ de
co$ocer 3ui8$ o 3u8 les 1i:o e9acta%e$te 3u8, cu2$do y c)%o0
Aud!"#$% O#%-1&
E$ el caso de Oracle !ata+ase, la auditor4a es u$ co$'u$to de
caracter4sticas 3ue &er%ite al ad%i$istrador de la +ase de datos y a los
usuarios 1acer u$ se*ui%ie$to del uso de la +ase de datos0 El ad%i$istrador
de +ase de datos &uede de(i$ir la acti5idad de auditor4a &redeter%i$ada,
o+te$ie$do el re*istro a detalle del usuario 3ue e'ecut) la o&eraci)$ la (ec1a
y 1ora0 La i$(or%aci)$ de las auditor4as se al%ace$a e$ el diccio$ario de
datos, e$ la ta+la -#-0AU!B o e$ la &ista de auditor4a del siste%a o&erati5o
lla%ado co$ u$a &ista de auditor4a del siste%a o&erati5o
-e &uede$ auditar tres ti&os de accio$es=
$te$tos de i$icio de sesi)$0
Accesos a o+'etos
Accio$es de la +ase de datos0
Cua$do se reali:a$ auditor4as, la (u$cio$alidad de la +ase de datos, es
de'ar co$sta$cia de los co%a$dos correctos e i$correctos0 Esto &uede
%odi(icarse cua$do se co$(i*ura cada ti&o de auditor4a0
Aor e'e%&lo, se &uede$ re*istrar todos los i$te$tos de actuali:ar los datos
de u$a ta+la o s)lo los i$te$tos (allidos, ta%+i8$ se &uede$ re*istrar todos
los i$icios de sesi)$ e$ Oracle o s)lo los i$te$tos (allidos0
La auditor4a de +ases de datos se reali:a e$ +ase a u$a %etodolo*4a0
!ic1a %etodolo*4a deri5a de u$ %arco de +ue$as &r2cticas e$ se*uridad de
+ases de datos a&licado so+re la docu%e$taci)$ de la 5ersi)$ de la +ase de
datos auditada0
N6&1&' d& Aud!"#$%
N6&1 70'-"
Este $i5el co$te%&la o corres&o$de al $i5el de se*uridad %as +a'o0 Es
&or esto reco%e$da+le 3ue cual3uier +ase de datos te$*a este $i5el co%o
%4$i%o, ya 3ue as4 se cu+re$ los as&ectos de se*uridad +2sica0
Es &or esto reco%e$da+le 3ue la or*a$i:aci)$ te$*a re*istrado e$ u$
docu%e$to de se*uridad ya sea de ti&o electr)$ico o &a&el, los ele%e$tos de
la +ase de datos y las o&eracio$es 3ue se &uede$ e'ecutar so+re dic1os
ele%e$tos, detalle de usuarios y sus roles se*;$ co%o lo re3uiera la
or*a$i:aci)$0
-e re3uiere i$duda+le%e$te de(i$ir la restricci)$ de acceso a los datos a
los usuarios se*;$ las o&eracio$es 3ue se realice$ %edia$te di5ersos
%eca$is%os y re*istrarlas e$ dic1o docu%e$to de se*uridad0
!e+e e9istir u$ ad%i$istrador de la *esti)$ de se*uridad 3ue &ueda
co$trolar los as&ectos de auditoria y acceso al siste%as &or %edio de
auditoria *e$8rica, audita$do dic1o acceso y co$trola$do el $;%ero de
i$te$tos0 Es la auditor4a %4$i%a 3ue se de+er4a 1acer &ara co$trolar el
acceso del &erso$al0 Co$ esta i$(or%aci)$ y los 1orarios de tra+a'o de los
usuarios se &uede$ i$5esti*ar las a$o%al4as %edia$te alertas y
&rocedi%ie$tos al%ace$ados0
Otro as&ecto i%&orta$te es co$tar co$ u$ re&ositorio acti5ado do$de 3ue
el re*istro de la auditoria y &aralela%e$te esta+lecer u$ tie%&o &rude$cial
3ue 5a a estar al%ace$ados dic1os datos e$ co$se$so co$ la *ere$cia de la
or*a$i:aci)$0
N6&1 M&d"
A3u4 se 1a+la de u$ $i5el de se*uridad %ayor si se 3uiere &ara
e%&resas %edia$as *ra$des 3ue se %a$e'e$ datos de %uc1a i%&orta$cia y
re3uiere$ de 1erra%ie$tas de co$trol a %ayor escala0
Es $ecesario 3ue e9ista u$ res&o$sa+le disti$to del ad%i$istrador 3ue se
e$car*ue de e5olucio$ar las &ol4ticas de auditoria y 3ue a&li3ue criterios de
i$5esti*aci)$ a$te los 1ec1os e9ce&cio$ales y datos de auditoria, a&oyados
e$ las di5ersas 1erra%ie$tas 3ue o(re:ca el %a$e'ador e$ cual te$*a$ su
+ase de datos0
Adicio$al%e$te es &reciso co$tar co$ u$ es3ue%a de res&aldo de la +ase
de datos e$ do$de se e'ecute$ las de+idas co&ias de se*uridad y li%&ie:a de
las ta+las de auditor4a0
-e de+e auditar y 5i*ilar los i$te$tos de reali:aci)$ de o&eracio$es,
autori:adas o $o, so+re o+'etos de la +ase de datos &erso$ales co$ el
o+'eti5o de li%itar dic1os i$te$tos &or &arte de u$ usuario0
-e de+e auditar los i$te$tos (allidos de co$e9i)$ del usuario auditor,
;$ico usuario 3ue &uede 5er el co$te$ido de las ta+las de auditor4a, usa$do
el e$54o de %e$sa'es ta$to al &ro&io auditor co%o al ad%i$istrador de la +ase
de datos cada 5e: 3ue esto ocurra0
-e&arar el arc1i5o de tra$saccio$es o de lo* e$ otro disco de$tro del
ser5idor de +ase de datos &ara o+te$er %ayor e(icie$cia, e$ el caso de ser
u$a +ase de datos %uy co$curre$te0
N6&1 A1!"
Este corres&o$de al %ayor $i5el de se*uridad, es&ecial &ara las
*ra$des e%&resas 3ue re3uiere$ res*uardar su 5alor %2s i%&orta$te,
i$cluye$do $o solo datos de la or*a$i:aci)$ si$o datos &erso$ales, de
%ercado, te$de$cias eco$)%icas, etc0, &or lo 3ue se re3uiere u$a correcta
cate*ori:aci)$ de los datos se$si+les &ara la e%&resa0
-e de+e$ auditar los i$te$tos de actuali:aci)$ y +orrado de los datos
se$si+les &ara la or*a$i:aci)$ &or &arte de los usuarios, ya sea$ autori:ados
o $o autori:ados0 Cada 5e: 3ue se actualice$ dic1os datos, si$ (recue$cia
l4%ite, el auditor de+er2 i$5esti*ar este 1ec1o so+re 3ui8$ 1a reali:ado las
%odi(icacio$es, desde 3u8 %23ui$a y cu2$do, &or %edio de &rocedi%ie$tos
al%ace$ados, co$ el o+'eti5o de detectar irre*ularidades de$tro de la &la$tilla
de la or*a$i:aci)$0
Ma$e'ar 1erra%ie$tas de auditoria co%o la de *ra$o (i$o 3ue reco*e la
i$(or%aci)$ %edia$te tra:as y 3ue 5a a &er%itir 5i*ilar los %o5i%ie$tos
susce&ti+les de ser i$5esti*ado y 5i*ilados, utilidades 3ue colo3ue$ alertas
co$ (recue$cia de actuali:aci)$ de datos o detecci)$ de &rocedi%ie$tos
al%ace$ados, co$ el o+'eti5o de detectar irre*ularidades de$tro de la &la$tilla
de la or*a$i:aci)$0
-e de+e$ te$er co&ias de se*uridad e$ u+icacio$es di(ere$tes,
re&ositorio de ta+las de auditor4a e$ ser5idor e9ter$o al de la +ase de datos0
Cu%d#" C"/9%#%!6" &,!#& 1"' N6&1&' d& Aud!"#$%
NIVELES DE AUDITORIA VENTAJAS DESVENTAJAS
B%8"
-e cue$ta co$ docu%e$taci)$
3ue (acilita detecci)$ de errores,
&er%isos, ca%+ios
La Gesti)$ de Ari5ile*ios
%edia$te roles &ara (iltrar acceso
a los o+'etos y estructuras de la
.!
El co$trol de acceso a la .!
&er%ite co$trolar las co$e9io$es
a la .!, &ara i$5esti*aci)$ de
errores o 5ul$era+ilidad
El co$trol de acceso
a la .! se &uede
desco$trolar si su+e
el $i5el de
co$e9io$es y
desco$e9io$es
Los Lo*s y re*istros
de auditoria de+e$
ser co$sta$te%e$te
re5isados &or si
ocurre$ (allas de
es&acio0
M&d"
Co$trol casi a+soluto de las
o&eracio$es de los usuarios0
Cada o&eraci)$ 3ue el auditor
co$sidera i%&orta$te es auditada
Aer%ite detectar y co$(i*urar
i$(raccio$es
Me'ora el re$di%ie$to del
ser5idor de+ido a 3ue se se&ara$
los arc1i5os de tra$saccio$es e$
discos di(ere$tes
Alto $i5el de *asto
eco$)%ico e$
&erso$al e
i$(raestructura de
auditor4a, &or esto la
or*a$i:acio$es de+e
ser re$ta+le co$ u$
$i5el %edio o alto del
(lu'o de i$(or%aci)$0
A1!"
R2&ida recu&eraci)$ de los datos
e$ 5irtud del es3ue%a de
res&aldo
co$ el 3ue se cue$ta
Me'ora del re$di%ie$to de la .!
&or te$er e9ter$os los lo*s de
auditor4a
!etecci)$ R2&ida de
o&eracio$es 3ue &uede$ 1acer
5ul$era+le el siste%a so$
detectadas *racias a los
ele%e$tos de auditor4a co%o
&ol4ticas de auditor4a y
&rocedi%ie$tos al%ace$ados0
Me'ora de la se*uridad de+ido al
uso de %;lti&les alertas, 3ue
&er%ite$ la detecci)$ i$%ediata
e$ caso de ata3ues0
El costo e$
i$(raestructura es
%ayor0
Co$(i*uraci)$ de
alertas de (or%a
%a$ual, re&rese$ta
altos costos e$
tie%&o y &erso$alC y
la creaci)$ de alertas
usa$do 1erra%ie$tas
de auditor4a, co$ u$
coste eco$)%ico
relati5a%e$te alto
:; T9"' d& Aud!"#$%
!e$tro de la auditor4a de +ase de datos te$e%os 5arias (or%as de e'ecutar
la auditor4a, e$tre estas te$e%os=
Aud!"#$% d&1 C1&,!&
La auditor4a de clie$te es la 3ue $o &erte$ece al %otor de la +ase de
datos0 Es a3uella cuyo desarrollo es reali:ado &or el &ro*ra%ador de la
a&licaci)$ o de la +ase de datos, $o &or el ad%i$istrador o auditor de la
+ase de datos0 Aode%os disti$*uir dos su+ti&os de auditor4a de clie$te=
auditor4a de a&licati5o y auditor4a de dis&aradores0
Aud!"#$% d& %91-%!6"
La auditor4a de a&licati5o es el ser5icio 3ue &er%ite a$ali:ar las
a&licacio$es (or%a i$de&e$die$te a la +ase de datos, y su 2%+ito estar2
deli%itado al tra+a'o diario de la a&licaci)$ y los &rocesos e$ los 3ue
&artici&e0
O(rece la 5e$ta'a de la i$de&e$de$cia, &uesto 3ue se &uede
desarrollar e$ el 2%+ito de $uestra a&licaci)$ i$(or%2tica los co$troles
$ecesarios y adecuados a $uestras $ecesidades de auditor4a si$ $ecesidad
de te$er 3ue acceder al %otor de la +ase de datosC esta %a$era de auditar
&er%ite crear &rocesos de co$trol %2s co$cretos y &or ta$to %2s e(icaces0
-i se 1a+la$ de des5e$ta'as se te$dr2$ a&licacio$es %e$os (le9i+les
dado 3ue el desarrollo de solucio$es de co$trol &ara la auditoria de +ases de
datos ser2 %2s la+orioso y te$dre%os %2s &ro+le%as &ara el %a$te$i%ie$to
y actuali:aci)$ de la a&licaci)$0
Las i$stitucio$es $or%al%e$te i$cluye$ e$ sus *estores de i$(or%aci)$
&e3ue<as a&licacio$es ,A&&lets, CGs, Acti5eD, etc0/ 3ue ayuda$ a
*estio$ar los datos ,datos &erso$ales, &edidos, &a*os o$li$e, co$trol de
acceso, etc0/0 E9iste$ otras i$stitucio$es 3ue utili:a$ a&licacio$es &ara
reali:ar u$a *ra$ 5ariedad de o&eracio$es co%&le'as y 3ue re3uiere$ alta
se*uridad ,&ortales cor&orati5os, +a$ca &or $ter$et o +roEers, co%ercio
electr)$ico o eFco%%erce, redes &ri5adas 5irtuales o e9tra$ets, etc0/ y
esto i%&lica la utili:aci)$ de u$a co%&le'a a&licaci)$ 3ue *estio$a todas
estas o&eracio$es0 Aor ello es $ecesario u$ ser5icio &ara &oder a$ali:ar
todas estas a&licacio$es, de (or%a i$de&e$die$te y e91austi5a0
Aud!"#$% d& D'9%#%d"#&'
Los dis&aradores so$ ruti$as o &rocedi%ie$tos 3ue se acti5a$ cua$do
se &roduce$ u$ e5e$to e$ la +ase de datos y 3ue se usa$ &ara a<adir l)*ica
o restriccio$es a la %is%a0
Auede$ ser utili:ados &ara esta+lecer re*las de i$te*ridad co%o +ase
de datos e9ter$as co%o &or e'e%&lo ,$o *ra+ar u$ &edido si el clie$te $o se
e$cue$tra re*istrado e$ la +ase de datos de &edido/0
Aara el caso de auditor4a, 5a a ser de utilidad &ara la &ro*ra%aci)$ de
dis&aradores 3ue $os &er%ita$ re*istrar e$ u$a ta+la de auditor4a los
ca%+ios 3ue e'ecuta$ los usuarios co%o i$serci)$, actuali:aci)$ o
eli%i$aci)$ de datos, la ide$tidad de 3uie$ los lle5) a ca+o y otros datos de
i$ter8s= c)%oG, cu2$do se reali:aro$G, desde d)$deG, etc0, &ara 3ue
&osterior%e$te el auditor &ueda a$ali:ar las o&eracio$es
Usar este recurso $os a&orta *ra$des 5e$ta'as, ya 3ue de u$a %a$era
%uy se$cilla y directa 5a 3ueda$do u$ re*istro de estas o&eracio$es ta$
(recue$tes e$ u$a +ase de datos0
Aud!"#$% &, &1 /"!"# d& 1% 7%'& d& d%!"'
La auditor4a del e$tor$o de +ase de datos corres&o$de al &u$to de &artida
de &ara reali:ar la auditoria de a&licacio$es0 Es &or esto 3ue %uc1os
auditores de$tro de las or*a$i:acio$es est2$ to%a$do cada 5e: %ayor
i$ter8s co$ res&eto a las o&eracio$es 3ue se e'ecuta$ so+re los o+'etos de la
+ase de datos0 Es &or esto 3ue este ti&o de auditor4a esta +asada e$
&ol4ticas dise<adas de tal (or%a 3ue sea &osi+le auditar u$ o+'eto de la +ase
de datos e$ u$as deter%i$adas circu$sta$cias= +a'o el uso de u$a o 5arias
o&eracio$es de(i$idas &or el auditor0
!e esta (or%a, se &uede de(i$ir la &ol4tica de auditor4a co%o la i$(or%aci)$
3ue $ecesita el %otor de la +ase de datos &ara auditar0 $dica 3u8 1ay 3ue
auditar, c)%o y cu2$do0
!e lo 3ue se deri5a el i$e9ora+le 54$culo e$tre auditor4a y se*uridad de la
i$(or%aci)$ ya 3ue se crea$ co$troles de acceso a los siste%as 3ue des&u8s
$os &ro5ee$ de i$(or%aci)$ audita+le e$ t8r%i$os de se*uridad0
El &roceso de auditor4a de +ases de datos de+e ser i$de&e$die$te de las
a&licacio$es 3ue 1ace$ uso de la i$(or%aci)$ co$te$ida e$ ella, as4 3ue a la
1ora de e5aluar los costos de la reali:aci)$ de la auditor4a s)lo te$dre%os
3ue te$er e$ cue$ta el coste 3ue se *e$era e$ el &roceso de reco*ida de la
i$(or%aci)$ y el costo del &rocesa%ie$to de la i$(or%aci)$ 3ue sir5e de
+ase &ara el a$2lisis y estudio del auditor0
E9iste$ $i5eles di(ere$tes &ara este ti&o de auditor4a de&e$die$do de la
(or%a 3ue se reco&ile los datos, disti$*uie$do de esta (or%a=
A4#&4%d%)
Estad4sticas so+re el $;%ero de o&eracio$es reali:adas so+re u$ o+'eto
de .ase de !atos, &or cada usuario0 Co%o cual3uier estad4stica, su %edida
&uede 1acerse co$ t8c$icas ce$sales %uestrales0
C&,'%1)
El *estor to%a datos de todas las o&eracio$es 3ue reci+e, se*;$ el *estor,
esto se e'ecutar2 e$ &aralelo a las o&eracio$es auditadas0
Mu&'!#%1)
Aeri)dica%e$te se to%a$ u$a %uestra de datos0
D&!%11%d%)
$cluye todas las o&eracio$es reali:adas so+re cada o+'eto0
C%/7"')
El co$te$ido de los datos0 !e+e co$te$er la i%a*e$ de los datos
a$teriores y &osteriores a la o&eraci)$ del ca%+io0
La estructura de los o+'etos 3ue co%&o$e$ la a&licaci)$0
A--&'"')
Li%itada a las o&eracio$es de acceso al co$te$ido de los datos y tie$e
dos $i5eles de detalle=
O&eraci)$ ,se$te$cia ->L 3ue se e'ecut)/ y resultado ,los datos 3ue se
5iero$ e$ la se$te$cia ->L e'ecutada/0
O!#"')
Co&ias de se*uridad y recu&eracio$es0
Reco$strucci)$ de u$ estado de los datos0
P"1$!-%' d& Aud!"#$%
Las &ol4ticas de auditor4a so$ el co$'u$to de $or%as, re*las,
&rocedi%ie$tos y &r2cticas 3ue 5a$ a re*ular la &rotecci)$ de la i$(or%aci)$
de la +ase de datos, co$tra la &erdida de co$(ide$cialidad, i$te*ridad o
dis&o$i+ilidad, ta$to de (or%a i$te$cio$al co%o accide$tal, &or lo ta$to
corres&o$de a los %eca$is%os 3ue &er%ita$ res*uardar todos estos
ele%e$tos, &or lo cual se dise<ara$ los a&licati5os $ecesarios, 1acie$do la
sal5edad 3ue $o corres&o$de de (or%a estricta a u$ co$'u$to de
5alidacio$es, si$o 3ue e5olucio$a se*;$ los ries*os detectados &or lo ta$to
ta%+i8$ e9iste la &osi+ilidad de e'ecuci)$ de acti5idades de auditor4a
&roducto de la detecci)$ de acti5idades de ori*e$ sos&ec1osos a tra58s de
u$a auditor4a %2s es&ec4(ica co$ res&ecto a los e5e$tos 3ue se 3uiera$
co$trolar0
Aor lo ta$to e9iste$ di5ersos ele%e$tos 3ue &uede$ esta+lecerse co%o
&ol4ticas &ara la &rotecci)$ de la i$(or%aci)$ co%o=
C",!#"1 d& A--&'" ) Media$te estas &ol4ticas se esta+lece el co$trol so+re
la aute$ticaci)$ e ide$ti(icaci)$ los usuarios 3ue co$ecta$ a la +ase de
datos, co$ el (i$ de otor*ar los accesos solos a los usuarios 3ue est8$
autori:ados, se re*istra$ los i$icios de o cierres de sesi)$ de u$ usuario
desde otro e3ui&o0 Cua$do se decide te$er acti5a esta o&ci)$ se &uede
es&eci(icar si se 3uiere auditar=
Aciertos= Ge$era$ u$ e$trada cua$do el usuario i$te$ta i$iciar la
sesi)$ y tie$e 89ito, lo 3ue o(rece i$(or%aci)$ ;til &ara esta+lecer la
res&o$sa+ilidad y &ara la i$5esti*aci)$ tras el i$cide$te, de (or%a
3ue se &ueda deter%i$ar 3ui8$ co$si*ui) i$iciar sesi)$ y e$ 3u8
e3ui&o
Errores= Ge$era$ u$a e$trada de auditor4a cua$do e$ u$ i$te$to de
i$icio de sesi)$ de cue$ta se &roduce u$ error, lo 3ue resulta ;til
&ara la detecci)$ de i$trusos, i$te$tos de 5iolaci)$ de se*uridad,
ta%+i8$ se tie$e la &osi+ilidad de co$(i*urar u$a co$dici)$ de
$e*aci)$ de ser5icio 3ue li%ite las 5eces de i$te$to de co$e9i)$ y
las e$tradas de re*istro de sucesos de se*uridad0
N6&1&' d& A--&'" % 1% BD= Re5isi)$ del ti&o de acceso a de los usuarios, si
el acceso es te%&oral, si esta &er%a$e$te%e$te co$ectado e$ cual3uier
%o%e$to o ra$*os de 1oras e$ d4as autori:ados0 !e acuerdo al es&acio=
desde cual3uier %a3ui$a de la red, cual3uier %23ui$a re*istrada, %23ui$as
e9&l4cita%e$te autori:adas, 1ora y usuario
U'" d& P#61&4"' A3u4 se re5isar4a y re*ular4a el ti&o de o&eracio$es 3ue
se &uede$ e'ecutar so+re la +ase de datos co%o ,i$sertar, crear, %odi(icar,
actuali:ar, eli%i$ar/ so+re los datos o las estructuras de datos, de acuerdo al
usuario 3ue e'ecuta la o&eraci)$0 !e esta (or%a se estar4a$ +lo3uea$do las
(u$cio$es 3ue $o so$ i$1ere$tes al usuario co$ res&ecto a estructuras y
datos de la .!
R"1&') Cua$do se 1a+la de roles se re(iere a la co$(i*uraci)$ del co$'u$to de
&ri5ile*ios &ara u$ usuario 3ue so$ a*ru&adas %edia$te u$a sola (u$ci)$
de$o%i$ada rol co$ el (i$ de deli%itar las accio$es 3ue el %is%o &uede
e'ecutar so+re la .!0
A--&'" % O78&!"') Re*istro de las o&eracio$es reali:adas so+re o+'etos de
las .ase de !atos co%o ta+las, 5istas, &rocedi%ie$tos etc0, co$ detalle de
o&eracio$es co%o +orrado
A91-%-",&' d& U'u%#") Auditor4a so+re las %edidas de se*uridad o
5alidacio$es 3ue se utili:a$ e$ las 1erra%ie$tas de i$ter(a: *r2(icas de
usuario co$ el (i$ de &rote*er la car*a de datos err)$ea &ro5ocada &or los
usuarios
D--",%#" d& D%!"') Corres&o$de a los &rocesos de auditor4a 3ue
res*uarda$ la i$te*ridad de los datos del re&ositorio0
Otros &rocedi%ie$tos 3ue res&aldar4a$ y otor*ar4a$ co$siste$cia a los
&rocesos de(i$idos co%o audita+les so$ los si*uie$tes=
E'ecuci)$ de Co&ias de -e*uridad de las Estructuras de datos
Arocedi%ie$tos de recu&eraci)$ de datos 3ue ase*ure$ la
dis&o$i+ilidad
Aol4ticas de co$trol de los accesos co$curre$tes se*;$ el $u%ero de
usuarios 3ue tie$e la .!
Aol4ticas de co$trol de ca%+io &ara e'ecutar actuali:acio$es,
correcci)$ de errores y di5ersos ca%+ios a la .! co$ la a&ro+aci)$ de
su res&ecti5o co%it80
Es de su%a i%&orta$cia 3ue ta%+i8$ la or*a$i:aci)$ %a$e'e %edia$te la
redacci)$ de &rocedi%ie$tos es i$struccio$es la o&eraci)$ de &ro*ra%as y
a&licacio$es 3ue accede$ a las estructuras y +ase de datos, as4 co%o sus
&rocesos de res&aldo y recu&eraci)$0
Aara el caso de Oracle se cue$ta co$ 1erra%ie$tas 3ue &ote$cia$ las
ca&acidades de auditor4a sta$dard co$ la detallada0 Aer%itie$do *e$erar
i$(or%es de cu%&li%ie$to re*ulatorio e$ do$de se reco&ila$ y co$solida$ los
datos &roductos de la detecci)$ de (or%a auto%2tica las acti5idades
sos&ec1osas o a%e$a:as so+re la .! e i$cluye el %o$itoreo de dic1as
acti5idades0
Ca+e %e$cio$ar 3ue ta%+i8$ se tie$e ta%+i8$ o&cio$es &or de(ecto 3ue
audita$ e5e$tos de %a$era auto%2tica &or e'e%&lo= i$icio, lu*ar de cierre, y
los i$te$tos de co$e9i)$ a la +ase de datos co$ &ri5ile*ios ad%i$istrati5os0
Estos se &uede$ 5isuali:ar utili:a$do el co%a$do s1o@ &ara%eter audit, &ara
lo cual de+e%os estar lo*eados co$ u$ usuario 3ue te$*a los su(icie$tes
&ri5ile*ios, utili:a%os el usuario sysd+a0 -HOI AARAMETER AU!T0
U$a 5e: 3ue se to%a la decisi)$ de 3ue se 5a auditar, se co$(i*ura el
&ar2%etro de i$iciali:aci)$ AU!TJTRAL 3ue se e$cue$tra e$ el arc1i5o
i$it0ora, &ara 1a+ilitar la auditoria0 Este &ar2%etro i$dica si la &ista de
auditoria se esta escri+ie$do a la ta+la -#-0AU!B de la +ase de datos e$ la
&ista de auditoria del siste%a o&erati5o0
Cua$do se decide utili:ar la ta+la -#-0AU!B esta de+e re5isarse
&eri)dica%e$te, &or si 1iciera (alta tru$carla de+ido a 3ue su au%e$to de
ta%a<o &uede causar &ro+le%as de es&acio e$ el ta+les&ace syste%0
Los Aosi+les 5alores del &ar2%etro auditJtrail=
,",&= desacti5a la auditor4a de la +ase de datos0
"'= acti5a la auditor4a de la +ase de datos0 Los sucesos auditados
se escri+ir2$ e$ la &ista de auditor4a del siste%a o&erati5o, $o se
auditar2 e$ Oracle si$o e$ el siste%a o&erati5o a$(itri)$0 Esta
o&ci)$ (u$cio$ar2 de&e$die$do del siste%a o&erati5o0
d7= acti5a la auditor4a y los datos se al%ace$ar2$ e$ la ta+a
-#-0AU!B de Oracle0
d7, &<!&,d&d= acti5a la auditor4a y los datos se al%ace$ar2$ e$ la
ta+la -#-0AU!B de Oracle0 Ade%2s se escri+ir2$ los 5alores
corres&o$die$tes e$ las colu%$as ->L.N! y ->LTEDT de la
ta+la -#-0AU!B0
</1= acti5a la auditor4a de la +ase de datos, los sucesos ser2
escritos e$ (ic1eros DML del siste%a o&erati5o0
</1, &<!&,d&d= acti5a la auditor4a de la +ase de datos, los sucesos
ser2$ escritos e$ el (or%ato DML del siste%a o&erati5o, ade%2s se
i$cluir2$ los 5alores de -3lTe9t y -3l.i$d0
I/91&/&,!%-., d& Aud!"#$%
D&(,# 2u& '& 2u&#& %ud!%#
E$ u$a +ase de datos 1ay disti$tas acti5idades 3ue se &uede$ auditar
se*;$ las $ecesidades &ro&ias del $e*ocio y el a$2lisis &re5io reali:ado0
6usta%e$te &ara la co$(i*uraci)$ de los disti$tos ti&os de auditor4a, es
o&ortu$o y correcto el uso del co%a$do audit 3ue &er%ite co$(i*urar
disti$tos ti&os de Auditor4a0 Este co%a$do &uede utili:arse au$3ue $o est8
acti5ada la auditor4a de +ase de datos, au$3ue &ara o+te$er los resultados
de dic1a auditor4a 1ay 3ue de(i$ir correcta%e$te el &ar2%etro ya e9&licado
de i$iciali:aci)$ auditJtrail0
P%'"' 9%#% =%71!%# 1% %ud!"#$%)
10 de$ti(icar los o+'etos u estructuras de datos 3ue de+e$ ser auditadas
co$ el (i$ de satis(acer los re3ueri%ie$tos de i$(or%aci)$ $ecesarios
&ara su &osterior a$2lisis0
20 !eter%i$ar 3ue ele%e$tos y accio$es so+re dic1os ele%e$tos se
desea re*istrar0
K0 Utili:ar el %)dulo de auditor4a &ara re*istrar la i$(or%aci)$ de(i$ida e$
los &u$tos a$teriores y de esta %a$era 1a+ilitar la auditor4a so+re
dic1os o+'etos
4. "eri(icar 3ue las &istas de auditor4a de(i$idas sir5a$ &ara el a$2lisis
3ue se desea reali:ar %edia$te &rue+as0
50 Re&etir los &asos a$teriores 1asta lo*rar 3ue se *e$ere la
i$(or%aci)$ deseada e$ el re&ositorio de auditor4a0
Ad/,'!#%# 9'!% d& %ud!"#%
La *e$eraci)$ de las &ista de Auditor4a $os &er%ite %a$te$er el 1istorial
de los ca%+ios 3ue se reali:a$ de los datos e ide$ti(icar 3ue se ca%+io,
3ui8$ y cua$do se e'ecuto el ca%+io0 Este es el &u$to de &artida &ara el
a$2lisis de la i$(or%aci)$ co$ res&ecto a co%o se o+tu5o el 5alor actual de
cual3uier ele%e$to0
A,01'' d& 1% ,("#/%-., R&-"1&-!%d%
Co$siste e$ cote'ar y ra:o$ar la i$(or%aci)$ o+te$ida %edia$te el acceso a
al re&ositorio de la auditoria co$ 1erra%ie$tas de co$sulta co%o el
!isco5erer 3ue 5ie$e a ser u$a 1erra%ie$ta 3ue &er%ite *e$erar i$(or%aci)$
&ro&ia a &artir de los datos e9iste$tes o &ara sol5e$tar &ro+le%as es&ec4(icos
co$ u$ (i$ &reciso ,ad 1oc/, esto &ara el a$2lisis del $e*ocio, crear
esce$arios, o+ser5ar te$de$cias, etc0
Es %uy &osi+le 3ue la i$(or%aci)$ 3ue se re3uiera $o se te$*a e$ l4$ea o
co$ la e9actitud 3ue se re3uiere ya 3ue es $ecesario de&urar la i$(or%aci)$
al%ace$ada e$ el re&ositorio &or restriccio$es de es&acio0 Es &or esto 3ue
cua$do se re3uiere i$5esti*ar al*;$ ele%e$to e$ es&ec4(ico se &uede
solicitar al ad%i$istrador o al o&erador la recu&eraci)$ de la i$(or%aci)$0
M",!"#&%# &1 -#&-/&,!" d& 1% 9'!% d& Aud!"#$%
El uso del &roceso auditor4a a la +ase datos se tie$e (alsa%e$te &erci+ido
co%o co%&le'o y le$to y la ra:)$ de esto suele ser &or desco$oci%ie$to,
de+ido a 3ue es l)*ico 3ue si se tie$e$ acti5adas %;lti&les o&cio$es a
auditar, la &ista resulta$te de dic1a auditor4a &uede$ ser *ra$de y co%&le'a
&ara desci(rar y ad%i$istrar0 Aor otra &arte, si se utili:a auditor4a e$ todas las
ta+las y 5istas de la .! se*ura%e$te se 5a a 5er a(ectado el re$di%ie$to, ya
3ue &or cada o&eraci)$ se escri+e u$ re*istro e$ la ta+las de auditor4a, lo
3ue si*ue co$tri+uye$do a la rale$ti:aci)$ de las o&eracio$es 3ue se
e'ecute$ de$tro de la .!0
Aor lo ta$to es 5ital 3ue cua$do se utilice$ los recursos de la 1erra%ie$ta
de auditor4a se &la$i(i3ue y e'ecute de %a$era se$cilla y &rude$cial, +asados
e$ el se*ui%ie$to de o+'etos y o+'etos cr4ticos de la .!, &or esto se
re3uiere$ u$a a$2lisis &re5io de &osi+les a+usos 3ue se &uede$ reali:ar y
de las accio$es 3ue se 5a$ a dicta%i$ar, de (or%a tal 3ue esto *e$ere u$
i$(or%e 3ue &er%ita (iltrar las &ista de auditor4a &ara estas accio$es0
P#"!&4&# 1% 9'!% d& A--&'"' ," %u!"#>%d"'
Es $ecesaria la a&licaci)$ de %eca$is%os adecuados &ara &rote*er
datos se$siti5os $o solo e$ este caso de las &istas de auditor4a, si$o de
los datos e i$(or%aci)$ al%ace$ados y tra$s%itidos a tra58s de las
tec$olo*4as de i$(or%aci)$, 3ue est2$ su'etos a las a%e$a:as
&ro5e$ie$tes de accesos, usos, a&ro&iaci)$ y alteraci)$ $o autori:ados,
tra$s%isio$es (raudule$tas, ca4da o destrucci)$ del ser5icio, y re3uiere$
de %eca$is%os adecuados &ara sal5a*uardarlosC
R&-"1&--., d& D%!"' &, O#%-1& ::4
Cua$do el -iste%a Gestor de .ase de !atos Oracle tie$e 3ue auditar
ciertas accio$es, i$cre%e$ta la ca$tidad de tra+a'o 3ue el siste%a tie$e 3ue
reali:ar0 -i$ e%+ar*o, es &osi+le e$(ocarla &ara 3ue solo los e5e$tos 3ue
sea$ i$teresa$tes sea$ ca&turados0 La auditor4a %al e$(ocada a(ecta
si*$i(icati5a%e$te el re$di%ie$to co%&utacio$al y al es&acio de
al%ace$a%ie$to, y &or ello, el Auditor de la +ase de datos de+e ele*ir 3u8
auditar co$ +ue$ criterio0
Aara 1acer %2s o %e$os &erso$ali:ada la auditor4a, Oracle o(rece dos
e$(o3ues de auditor4a= auditor4a *e$8rica y auditor4a de *ra$o (i$o0 La
auditor4a *e$8rica (ue la &ri%era e$ i%&le%e$tarse, sie$do e$ la 5ersi)$ LiC
%ie$tras 3ue la auditor4a de *ra$o (i$o (ue i%&le%e$tada e$ la 5ersi)$ Mi
&ara co$sulta, y e$ la 5ersi)$ 10* &ara %odi(icaci)$ y +orrado0
La auditor4a *e$8rica es usada &ara ca&turar e5e$tos de usuarios so+re
ca%+ios y accesos a i$(or%aci)$ de la +ase de datos0 Auede auditar
i$sercio$es, %odi(icacio$es, +orrados y co$sultas de dic1a i$(or%aci)$,
co$e9io$es y desco$e9io$es a la +ase de datos, etc0 Lo 1ace sie%&re de
(or%a *e$eral0 -i$ e%+ar*o, a 5eces es $ecesario auditar +a'o
circu$sta$cias es&ec4(icas0 La auditor4a de *ra$o (i$o s4 &er%ite esto,
ade%2s de &oder ca&turar e5e$tos so+re 3u8 se 1a 5isto o 3u8 se 1a
%odi(icado0
Aud!"#$% G&,?#-%
La auditor4a tra+a'a *uarda$do y reco&ila$do tra:as so+re las accio$es
de usuarios de la +ase de datos &ara &oder reco$struir, e$ u$ (uturo, lo 3ue
dic1os usuarios 1a$ 1ec1o0 No tie$e 3ue 5er co$ lo 3ue el usuario &uede o
1aya &odido 1acer, ya 3ue de eso se e$car*a$ los Ad%i$istradores de la
+ase de datos e$ la co$cesi)$ de &er%isos0 !e 1ec1o, ciertos usuarios
&uede$ te$er acceso a i$(or%aci)$ &ri5ile*iada *racias a los &er%isos a$tes
citadosC y la auditor4a $os &er%ite sa+er 3u8 usuarios 1a$ utili:ado esa
i$(or%aci)$0
La auditor4a *e$8rica e$*lo+a toda auditor4a 3ue es ca&a: de co$trolar
co%a$dos ->L, reco*ie$do todas las o&eracio$es &osi+les desde el
Le$*ua'e de !e(i$ici)$ de !atos al Le$*ua'e de Ma$i&ulaci)$ de !atos ,sus
si*las e$ i$*l8s, !!L y !ML res&ecti5a%e$te/0
!ic1as o&eracio$es se 1ace$ so+re o+'etos de la +ase de datos, y se
re(iere a o&eracio$es de i$serci)$, +orrado, %odi(icaci)$ y co$sulta so+re los
datos de dic1os o+'etos, creaci)$ y +orrado de los o+'etos, ta$to si estas
o&eracio$es 1a$ te$ido 89ito co%o si $o0 Hay 3ue co$siderar 3ue las
o&eracio$es de co$sulta, +orrado y actuali:aci)$ sie%&re, ta$to si se
*e$era$ datos e$ la co$sulta, se +orra$ datos y se actuali:a$
res&ecti5a%e$te co%o si $o, *e$erar2$ u$ dato de auditor4a, sie%&re 3ue
est2 auditado0
A co$ti$uaci)$ se %uestra u$a ta+la 3ue &uede ayudar a 5isuali:ar
al*u$os co%a$dos 3ue $os %ostrara$ %2s clara%e$te la (or%a de %a$e'ar
la auditoria *e$8rica e$ Oracle0
T%71% d& C"/%,d"' 9%#% Aud!"#% G&,?#-%
!.AJO.6JAU!TJOAT- !escri+e las &ol4ticas de auditor4a *e$8rica acti5adas so+re
o+'etos, i$cluye$do las o&cio$es de auditor4a de todos ellos
,o&eracio$es 3ue se audita$ so+re los o+'etos/ e i$(or%aci)$
rele5a$te= &ro&ietario del o+'eto, $o%+re del o+'eto y ti&o de
o+'eto0
U-ERJO.6JAU!TJOAT- Esta 5ista $o es ;$ica $i e9clusi5a del ad%i$istrador0 Cada
usuario tie$e$ e$ su es3ue%a esta 5ista, lla%ada de la %is%a
%a$era, y 3ue %uestra las &ol4ticas de auditor4a *e$8rica
creadas so+re o+'etos de su es3ue%a0 Es si%ilar a
!.AJO.6JAU!TJOAT- s)lo 3ue $o lle5a la colu%$a del
&ro&ietario del o+'eto, &ues es i%&l4cito 3ue el &ro&ietario sea
el %is%o 3ue la 5ista0
!.AJAR"JAU!TJOAT- !escri+e las &ol4ticas de auditor4a so+re &ri5ile*ios del
siste%a 3ue est2$ acti5as e$ u$ %o%e$to dado0
!.AJ-TMTJAU!TJOAT- !escri+e las &ol4ticas de auditor4a so+re &ri5ile*ios del
siste%a 3ue est2$ acti5as e$ u$ %o%e$to dado0 -e di(ere$cia
de !.AJAR"JAU!TJOAT- e$ 3ue, e$ lu*ar de %ostrar
s)lo el &ri5ile*io 3ue se audita, %uestra sus o&cio$es0
!.AJAU!TJED-T- Co$tie$e los re*istros de los e5e$tos so+re la e9iste$cia o $o
e9iste$cia de los o+'etos, i$cluye$do e$ dic1os e5e$tos todas
las &ol4ticas &roducidas &or audit e9ists y audit $ot e9ists0
!.AJAU!TJO.6ECT Muestra los re*istros de auditor4a &roducidos &or &ol4ticas de
auditor4a *e$8rica 3ue est2$ relacio$adas co$ o+'etos ,ta+las,
5istas, 4$dices, secue$cias, e$laces, dis&aradores, es&acios
de ta+las, etc0/
U-ERJAU!TJO.6ECT Muestra los re*istros de auditor4a &roducidos &or &ol4ticas de
auditor4a *e$8rica 3ue est2$ relacio$adas co$ o+'etos ,ta+las,
5istas, 4$dices, secue$cias, e$laces, dis&aradores, es&acios
de ta+las, etc0/ y 3ue 1as sido &roducidas &or el usuario
&ro&ietario de la 5ista0 Esta 5ista $o es ;$ica, y la tie$e$ todos
los usuarios e$ su es3ue%a0
!.AJAU!TJ-E--ON Muestra los re*istros de auditor4a &roducidos &or &ol4ticas de
auditor4a *e$8rica 3ue est2$ relacio$adas co$ i$icio y (i$ de
sesi)$ ,CONNECT y !-CONNECT/0
Aud!"#$% d& G#%," F,"
E$ la auditor4a *e$8rica, se *uarda 3u8 usuarios reali:aro$ 3u8
o&eraci)$ so+re u$ o+'eto de la +ase de datos0 -i$ e%+ar*o, a 5eces esto $o
es su(icie$te0 Muc1as 5eces es $ecesario sa+er, 3u8 co$sulta e'ecut) u$
usuario so+re u$a ta+la e$ u$ %o%e$to deter%i$ado o 3u8 datos (uero$
+orrados, %odi(icados o i$sertados &or &arte del usuario0
Este ti&o de auditor4a se lla%a Auditor4a de *ra$o (i$o, y est2 dis&o$i+le
e$ Oracle desde su 5ersi)$ Mi0 Es ca&a: de auditar $o s)lo 3u8 o+'eto (ue
co$sultado &or u$ usuario, si$o 3ue ta%+i8$ &uede auditar 3u8 i$(or%aci)$
o+tu5o, e$ el caso de 1a+er 1ec1o co$sulta y 3u8 i$(or%aci)$ i$trodu'o,
+orr) o %odi(ic) e$ el caso de 1a+er 1ec1o u$a %odi(icaci)$0 N)tese 3ue la
i$(or%aci)$ ca&turada es %uy e9te$sa0
La Auditor4a de *ra$o (i$o sur*i) &or la $ecesidad de ca&turar accio$es
(ruto del uso i$de+ido de u$ &ri5ile*io &or &arte de u$ usuario N5O0 Pste ti&o de
auditor4a &odr4a ser si%ulada %edia$te auditor4a +asada e$ dis&aradores
u$ida co$ el Lo* Mi$er %e'ora$do el 1ec1o de 3ue, al des1acer la acci)$
%edia$te la orde$ roll+acE, se a$ula la tra$sacci)$ y se eli%i$a la
i$(or%aci)$ *uardada &or el dis&arador0 El Lo* Mi$er $os &er%ite recu&erar
la i$(or%aci)$ de los (ic1eros de Lo*, y u$ie$do sus (uer:as co$ la Auditor4a
*e$eral, &odr4a%os reco&ilar la i$(or%aci)$ de las i$sercio$es, +orrado o
%odi(icacio$es0
Al i*ual 3ue 1ici%os e$ la secci)$ de Auditoria Ge$8rica, a3u4 les
%ostrare%os u$a serie de co%a$dos utili:ados e$ la Auditoria de Gra$o
Qi$o, 3ue $os ayudara$ a 5isuali:ar %e'or co%o se %a$e'a este ti&o de
auditor4a0
T%71% d& C"/%,d"' 9%#% Aud!"#% G&,?#-%
ALLJAU!TJAOLC#JCOLUMN- !escri+e las &ol4ticas de auditor4a de *ra$o (i$o
&ara u$a o&eraci)$ so+re u$a o 5arias colu%$a
es&ec4(ica de ciertas ta+las0
AU!TJACTON- Co$tie$e c)di*os de las accio$es 3ue &uede$
ser auditadas0 Es u$a es&ecie de cat2lo*o &ara
la o&ti%i:aci)$ de la auditor4a de *ra$o (i$o0
!.AJAU!TJAOLCE- Muestra e9acta%e$te los %is%os datos 3ue la
5ista ALLJAU!TJAOLCE-
-TMTJAU!TJOATONJMAA Es u$ %a&a de o&cio$es de auditor4a 3ue
co$tie$e c)di*os de las o&cio$es 3ue &uede$
te$er las &ol4ticas de auditor4a0 Es u$a es&ecie
de cat2lo*o &ara la o&ti%i:aci)$ de la auditor4a
de *ra$o (i$o &or &arte de Oracle0
!.AJQGAJAU!TJTRAL Muestra todos los re*istros de auditor4a
reali:ados co$ &ol4ticas de auditor4a de *ra$o
(i$o0
"BDMLJAU!TJTRAL Co$tie$e todos los re*istros de auditor4a, ta$to
*e$8rica co%o de *ra$o (i$o, auditor4a de -#-
y re*istros e$ DML0 Cua$do los re*istros de
auditor4a se traduce$ a u$ (or%ato DML O-, se
&uede$ leer co$ u$ editor de te9to o a tra58s de
esta 5ista, 3ue co$tie$e i$(or%aci)$ si%ilar a la
5ista !.AJAU!TJTRAL0
Ta%+i8$ &ode%os se*%e$tar la auditoria &or 2rea de i$ter8s e$ la +ase
de datos co%o se %uestra e$ el &r)9i%o cuadro0
-e$te$cia !etalle de la se$te$cia
.# usuario
$dica 3ue se 3uiere$ auditar las
se$te$cias ->L re3ueridas &ara el
usuario?s i$dicados0 -i se o%ite, la
auditor4a se reali:a &ara todos los
usuarios de la .0!0
.# -E--ON Aro5oca 3ue Oracle i$serte u$ ;$ico
re*istro resu%e$ e$ la ta+la de auditor4a
au$3ue la se$te$cia se e'ecute 5arias
5eces e$ la %is%a sesi)$0
.# ACCE-- Aro5oca la escritura de u$ re*istro e$ las
ta+las de auditor4a cada 5e: 3ue la
se$te$cia se e'ecuta0 Cua$do se
es&eci(ica$
Auditor4as de se$te$cias !!L o de
&ri5ile*ios del siste%a, la auditor4a &or
de(ecto es &or accesos0 Cua$do se
audita$ so+re o+'etos o se$te$cias !ML,
la auditor4a &or de(ecto es &or sesi)$
IHENE"ER -UCCE--QUL
-e reali:a la auditor4a cua$do la se$te$cia
auditada 1aya co$cluido
satis(actoria%e$te
IHENE"ER NOT -UCCE--QUL -e reali:a la auditor4a cua$do la se$te$cia
auditada NO co$cluya satis(actoria%e$te0
P#"du-!"' O#%-1& E'9&-%1>%d"' &, S&4u#d%d d& B%'&' d&
D%!"'
O#%-1& D%!%7%'& V%u1!
Es u$a 1erra%ie$ta 3ue ayuda a las or*a$i:acio$es a &rote*er de (or%a
&roacti5a los datos de a&licacio$es al%ace$adas e$ +ase de datos Oracle0
Los datos de a&licaci)$ &uede ser %2s &rote*idos %edia$te &ol4ticas de
Oracle !ata+ase "ault de %;lti&les (actores 3ue co$trola$ el acceso, +asado
e$ (actores co%o la 1ora del d4a, la direcci)$ A, $o%+re de la a&licaci)$ y el
%8todo de aute$ticaci)$, &re5e$ci)$ de autori:aci)$ de a$u$cios de acceso
es&ecial y la a&licaci)$ de +yF&ass 0
O#%-1& Ad6%,-&d S&-u#!3
Es u$a 1erra%ie$ta 3ue ayuda a las or*a$i:acio$es a cu%&lir la
re*la%e$taci)$ de %a$datos de &ri5acidad, tales co%o -ar+a$esFO9ley,
Aay%e$t Card $dustry ,AC/ Est2$dar de -e*uridad $(or%2tica ,!--/,
Healt1 $sura$ce Aorta+ility a$d Accou$ta+ility Act ,HAAA/, as4 co%o
$u%erosas leyes so+re $oti(icaci)$ de i$(raccio$es0 Co$ Oracle Ad5a$ced
-ecurity, los clie$tes de (or%a tra$s&are$te se &uede$ ci(rar todos los datos
de a&licaci)$ es&ec4(ica o colu%$as se$si+les, tales co%o tar'etas de cr8dito,
$;%eros de se*uro social o i$(or%aci)$ de ide$ti(icaci)$ &erso$al ,A/0
Media$te la e$cri&taci)$ de datos e$ re&oso e$ la +ase de datos, as4 co%o
cada 5e: 3ue sale de la +ase de datos &or la red o a tra58s de co&ias de
se*uridad, Oracle Ad5a$ced -ecurity &ro&orcio$a la soluci)$ %2s re$ta+le
&ara la &rotecci)$ de datos co%&leta0
O#%-1& D%!%7%'& F#&@%11
Es u$a 1erra%ie$ta 3ue &er%ite %o$itorear la acti5idad de +ase de datos
e$ la red &ara ayudar a &re5e$ir el acceso $o autori:ado, las i$yeccio$es de
->L, el &ri5ile*io o la escalada &a&el, y otros ata3ues e9ter$os e i$ter$os
todo e$ tie%&o real0 .asado e$ la i$$o5adora tec$olo*4a de *ra%2tica ->L
3ue &uede reducir %illo$es de i$strucci)$ ->L e$ u$ &e3ue<o $;%ero de
caracter4sticas de ->L, Oracle !ata+ase Qire@all o(rece u$a &recisi)$
i$i*uala+le, escala+ilidad y re$di%ie$to0 A&licaci)$ de los resultados
&ositi5os ,listas +la$cas/ y $e*ati5as ,listas de $e*ro/ los %odelos de
se*uridad &ro&orcio$a &rotecci)$ (re$te a a%e$a:as si$ (alsos &ositi5os
tie%&o y di$ero0 Oracle !ata+ase Qire@all ta%+i8$ &er%ite a las
or*a$i:acio$es &ara 1acer (re$te a -OD, AC, HAAA ? HiTec1, y otros
re3uisitos re*la%e$tarios, si$ ca%+ios e$ las a&licacio$es o +ases de datos
e9iste$tes, y de%ostrar 3ue cu%&le co$ u$a (u$ci)$ de i$(or%es
&erso$ali:ados0
O#%-1& Aud! V%u1!
Es u$a 1erra%ie$ta 3ue &er%ite auto%ati:ar la recolecci)$ de datos de
auditor4a, %o$itori:ar y *e$erar i$(or%es, 5olca$do dic1a i$(or%aci)$ e$ u$
es3ue%a &ro&io0
.2sica%e$te, recolecta datos de auditor4a de u$a +ase de datos, ya sea
Oracle o M- ->L-er5er, y, ade%2s de *uardar los datos e$ u$ es3ue%a
&ro&io e$ (or%a de !ataIare1ouse, estudia dic1os datos &ara detectar
cual3uier a$o%al4a0
Oracle Audit "ault co$sta de u$ ser5idor y u$ a*e$te0 El ser5idor, 3ue e$ la
5ersi)$ %2s recie$te de Audit "ault $o est2 desarrollado &ara usarlo e$
e$tor$o Ii$do@s, de+e ser co$(i*urado &or el ad%i$istrador, y se e$car*ar2
de recolectar todos los datos de auditor4a 3ue *e$era la +ase de datos,
or*a$i:arla y *e$erar los i$(or%es0 El a*e$te se e$car*a de o(recer sus
ser5icios al auditor de la +ase de datos0 !esde el a*e$te, el auditor &odr2
crear &ol4ticas de auditor4a ,s)lo &ara +ases de datos Oracle/, crear alertas y
o+te$er i$(or%es0 El a*e$te &uede estar i$stalado e$ la %is%a %23ui$a
do$de est2 la +ase de datos Oracle o e$ otra %23ui$a0
C=&-A L'! & I,("#/&' d& Aud!"#%
E%&resa= JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
Qec1a= JJJJJJJJJJJJJJJJJJJJ
E$car*ado de la Auditoria= JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
1) RE9iste u$a &erso$a desi*$ada &ara la ad%i$istraci)$ de .ase de !atosG
-i , / No , /
E$ caso de la res&uesta ser $e*ati5a e9&li3ue &or 3u8G
JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
RCu2les so$ sus (u$cio$esG
2) RCuales &erso$as tie$e$ acceso &ara 1acer ca%+ios a la +i+lioteca del
siste%a ad%i$istrati5o de +ase de datosG
JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
3) RE9iste$ restriccio$es &ara el i$*reso o i$clusi)$ de los datos e$ las
estructuras de .ase de !atosG - , / NO , /
S/ RCu2les so$ las restriccio$esG
5) RCu%&le$ co$ los li$ea%ie$tos ,docu%e$taci)$, 'usti(icaci)$ y
autori:aci)$/G
- , / NO , /
6) -e cue$ta co$ &rocedi%ie$tos escritos &ara la recu&eraci)$ de +ase y
estructura de datos e$ caso de u$a destrucci)$ total o &arcial0 RCu2lesG
- , / NO , /
!etalle=
7) R-e dis&o$e de %eca$is%os de se*uridad 3ue *ara$tice$ la &rotecci)$
co$tra la destrucci)$ accide$tal o deli+eradaG
- , / NO , /
RCu2lesG
co$tra los accesos $o autori:adosG RCu2lesG
- , / NO , /
RCu2lesG
JJJJJJJJJJJJJJJJJJJJJJJJJJ
9) REst2$ estos %eca$is%os a5alados &or el &erso$al de Auditor4a de
-iste%as y -e*uridad de Acti5os de $(or%aci)$G
- , / NO , /
10) RE9iste$ %eca$is%os de custodiaG
- , / NO , /
11) RE9iste u$a &erso$a desi*$ada &ara la ad%i$istraci)$ de .ase de !atosG
- , / NO , /
12) RCu2les so$ sus (u$cio$esG
1K/ RCuales &erso$as tie$e$ acceso &ara 1acer ca%+ios a la +i+lioteca del
estructuras de .ase de !atosG
- , / NO , /
15) RCu2les so$ las restriccio$esG
16) RCu%&le$ co$ los li$ea%ie$tos ,docu%e$taci)$, 'usti(icaci)$ y
autori:aci)$/G
- , / NO , /
17) R-e cue$ta co$ &rocedi%ie$tos escritos &ara la recu&eraci)$ de +ase y
estructura de datos e$ caso de u$a destrucci)$ total o &arcialG RCu2lesG
- , / NO , /
RCu2lesG
co$tra la destrucci)$ accide$tal o deli+eradaG RCu2lesG
- , / NO , /
RCu2lesG
- , / NO , /
RCu2lesG
- , / NO , /
- , / NO , /
22) R-e a&rue+a$ los ca%+ios, %odi(icacio$es de los &ro*ra%as e
i$cor&oraci)$ de $ue5as 5ersio$es %edia$te co$troles de ca%+io a&ro+ado
&or los ad%i$istradores y su res&ecti5o co%it8 de ca%+iosG
- , / NO , /
23) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a la
+ase de datosG
- , / NO , /
Cu2lesG
+i+lioteca de la +ase de datosG RCu2lesG
- , / NO , /
Cu2lesG
25) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso
&ro*ra%as de la +ase de datosG RCu2lesG
- , / NO , /
Cu2lesG
26) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a las
a&licacio$es de los usuarios de la +ase de datosG RCu2lesG
- , / NO , /
Cu2lesG
27) R-e cue$ta$ co$ $or%as &ara la de(i$ici)$, co$trol, actuali:aci)$ y
%o$itoreo de las +ases y estructuras de datosG
- , / NO , /
28) RCu2les so$ los %eca$is%os 3ue ase*ura$ el cu%&li%ie$to de las $or%as
de de(i$ici)$, co$trol, actuali:aci)$ y %o$itoreo de las +ases estructuras de
datosG
29) RCu2l es la (recue$cia co$ las 3ue se e'ecuta$ las co&ias de se*uridad de
las estructuras y +ase de datosG
!iarias= JJJ -e%a$ales= JJJ
Tri%estrales= JJJ -e%estrales= JJJ
A$ules= JJJ
30) RE9iste$ &rocedi%ie$tos de recu&eraci)$ 3ue ase*ure$ la dis&o$i+ilidad de
la +ase de datosG RCu2lesG
- , / NO , /
RCu2lesG
31) RCu2les so$ los $i5eles de co$trol de acceso a la i$(or%aci)$G
32) R>ui8$es so$ las &erso$as autori:adas de actuali:ar la +ase de datosG
33) RCuales &erso$as tie$e$ acceso &ara 1acer ca%+ios a la +i+lioteca del
estructuras de .ase de !atosG
- , / NO , /
RCu2lesG
35) R-e cu%&le$ co$ los li$ea%ie$tos ,docu%e$taci)$, 'usti(icaci)$ y
autori:aci)$/G
- , / NO , /
36) R-e cue$ta co$ &rocedi%ie$tos escritos &ara la recu&eraci)$ de +ase y
estructura de datos e$ caso de u$a destrucci)$ total o &arcialG RCu2lesG
- , / NO , /
RCu2lesG
co$tra la destrucci)$ accide$tal o deli+eradaG RCu2lesG
- , / NO , /
RCu2lesG
- , / NO , /
RCu2lesG
- , / NO , /
- , / NO , /

41) R-e a&rue+a$ los ca%+ios, %odi(icacio$es de los &ro*ra%as e
i$cor&oraci)$ de $ue5as 5ersio$es %edia$te co$troles de ca%+io a&ro+ado
&or los ad%i$istradores y su res&ecti5o co%it8 de ca%+iosG
- , / NO , /
+ase de datosG RCu2lesG
- , / NO , /
RCu2lesG
+i+lioteca de la +ase de datosG RCu2lesG
- , / NO , /
RCu2lesG
44) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso
&ro*ra%as de la +ase de datosG RCu2lesG
- , / NO , /
RCu2lesG
45) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a las
a&licacio$es de los usuarios de la +ase de datosG RCu2lesG
- , / NO , /
RCu2lesG
46) R-e cue$ta$ co$ $or%as &ara la de(i$ici)$, co$trol, actuali:aci)$ y
%o$itoreo de las +ases y estructuras de datosG
- , / NO , /
47) RCu2les so$ los %eca$is%os 3ue ase*ura$ el cu%&li%ie$to de las $or%as
de de(i$ici)$, co$trol, actuali:aci)$ y %o$itoreo de las +ases estructuras de
datosG
48) RCu2l es la (recue$cia co$ las 3ue se e'ecuta$ las co&ias de se*uridad de
las estructuras y +ase de datosG
!iariaJJJ -e%a$alJJJ
Me$sualJJJ Tri%estralJJJ
-e%estralJJJ A$ualJJJ
49) RE9iste$ &rocedi%ie$tos de recu&eraci)$ 3ue ase*ure$ la dis&o$i+ilidad de
la +ase de datosG RCu2lesG
- , / NO , /
RCu2lesG
50) RE9iste$ %eca$is%os 3ue *ara$tice$ la correcci)$, i$te*ridad y
co$siste$cia de las relacio$es e$ la +ase de datosG
- , / NO , /
51) RE9iste u$ c1ecElist 3ue ayude a la reacti5aci)$ del ser5icio lue*o de u$a
(alla %ayorG
- , / NO , /
52) R-e reali:a %a$te$i%ie$to a las +ases de datos do$de, se realice$
or*a$i:aci)$ de la estructura y as4 ad%i$istrar %e'or el es&acio e$ disco y
las relacio$es de las relacio$es de las ta+lasG
- , / NO , /
53) RE9iste$cia de u$ &rocedi%ie$to 3ue *ara$tice el cu%&li%ie$to de los
&rocedi%ie$tos de(i$idos &ara los %a$te$i%ie$tos de de las +ases de datosG
- , / NO , /
54) RE9iste u$a 1erra%ie$ta de %o$itoreo 3ue ayude al dese%&e<o o&ti%o de
la +ase de datosG
- , / NO , /
55/ La 1erra%ie$ta de %o$itoreo se e$car*a de=
o Ma$e'os de accesos y estructura de la +ase de datos -i JJJ NoJJJ
o Li%itaci)$ de acceso &or usuario0 -i JJJ NoJJJ
o Li%itaci)$ de los ca%+ios y actuali:aci)$ de arc1i5os0 -i JJJ NoJJJ
o Re*istrar las tra$saccio$es de accesos y ca%+ios &ara co$trol,
auditoria y recu&eraci)$0 -i JJJ NoJJJ
o Li%itaci)$ de usuarios a las +ases de datos de &rue+as0 -i JJJ
NoJJJ
56) R-e &osee u$a +it2cora de accio$es e$ la +ase de datos y sus estructurasG
- , / NO , /
5T/ La +it2cora cue$ta co$ re*istro de=
o Todos los datos +orrados de las +ases de datos0 -i JJJ NoJJJ
o Ori*e$ ,i$ter$o o e9ter$o/ de todas las tra$saccio$es0 -i JJJ NoJJJ
o Utili:aci)$ de la +ase de datos &or &erso$as disti$tas a los usuarios
3ue tie$e$ accesos autori:ados a la a&licaci)$0 -i JJJ NoJJJ
o "iolacio$es de se*uridad co$ res&ecto a las +ases de datos0 -i JJJ
NoJJJ
o Reor*a$i:acio$es o si$to$i:acio$es de las +ases de datos0 -i JJJ
NoJJJ
o Uso de las utiler4as de las +ases de datos0 -i JJJ NoJJJ
o Estado del siste%a 3ue &ueda ser re3uerido &ara rei$icio o ca%+io
de datos err)$eos0 -i JJJ NoJJJ
58) RE9iste$ %a$uales de &rocedi%ie$tos &ara todas las a&licacio$es del
%a$e'o de los &ro*ra%as 3ue accede$ a las estructuras y +ases de datos0G
- , / NO , /
59) R-e e$cue$tra$ esta$dari:ados toda la docu%e$taci)$ de todos los
&ro*ra%as y a&licacio$es desarrolladas i$ter$as co%o e9ter$as, a$tes de
3ue las %is%as e$tre$ e$ &roducci)$G
- , / NO , /
60) RE9iste docu%e$taci)$ de los est2$dares de &rue+a de &ro*ra%as 3ue
es&eci(i3ue$ los criterios &ara *e$erar, re5isar y res*uardar datos de
&rue+asG
- , / NO , /

61) R-e utili:a el diccio$ario de datos &ara %a$te$er el rastreo de los datos a
tra58s de las a&licacio$es 3ue lo e%&lea$G
- , / NO , /
62) RE9iste co$trol de acceso al lu*ar e$ el cual se e$cue$tra$ al%ace$ados
los arc1i5os de las +ases de datos0G
- , / NO , /
63) Las &erso$as autori:adas, Rtie$e$ dic1a autori:aci)$ &or escrito, %a$ual
de descri&ci)$ de car*os y (u$cio$es, otro docu%e$toG
- , / NO , /
7S/ Mostrar la docu%e$taci)$ 3ue certi(i3ue los &rocedi%ie$tos de res&aldo y
recu&eraci)$ 3ue se utili:ara$ e$ caso de (alla e$ las +ases de datos, o de
destrucci)$ &arcial o total0
- , / NO , /
65) -olicitar docu%e$taci)$ do$de se 5eri(i3ue 3ue los &rocesos de res&aldo,
recu&eraci)$ y restauraci)$ de la i$(or%aci)$ de las +ases de datos (uero$
&ro+adas i$cluso a$tes de e$trar e$ &roducci)$G
- , / NO , /
C",-1u'",&'
La auditoria es la 1erra%ie$ta 3ue ayuda a %a$te$er el co$trol so+re todas
la 2reas del $e*ocio, cual3uiera 3ue sea su $aturale:a, es u$a (or%a de
actuali:arse y %a$te$erse al corrie$te de la situaci)$ actual de la e%&resa y
las 2reas 3ue la co$(or%a$0
E$ las +ases de datos ta%+i8$ es 5ital el esta+leci%ie$to de co$troles
e(ecti5os, de+ido a 3ue es a14 do$de re&osa toda la i$(or%aci)$ se$si+le de
la or*a$i:aci)$ e i$cluso de e$tes e9ter$os a la or*a$i:aci)$ co%o es el
caso de los clie$tes0 La i%&orta$cia de las +ases de datos (uero$ %ostradas
a tra58s de todo el i$(or%e y lo se$si+le de esta 1erra%ie$ta tec$ol)*ica $os
o+li*a a $o descuidarlas0
Las .ases de !atos Oracle, %ostraro$ lo ro+ustas 3ue so$ &ara el %a$e'o
de &e3ue<as e%&resas co%o &ara *ra$des cor&oracio$es, y la *a%a de
&roductos e$ el 2%+ito de se*uridad 3ue %a$tie$e$ total%e$te actuali:ados
&ara %iti*ar los ries*os 3ue las +ases de datos &ueda$ estar e9&uestas0 Las
1erra%ie$tas, co%o utili:arlas, e$ 3ue 2rea es&ec4(ica utili:arlas (ue
%ostrado y e9&licado, de'a$do al lector co$ +ue$a i$(or%aci)$ y %oti52$dolo
a i$5esti*ar %2s so+re cual3uier &u$to 3ue desee desarrollar0

B71"4#%($%
Auditoria $(or%2tica, !is&o$i+le=
http://www.ajpdsoft.com/modules.php?
name=News&file=article&sid=415#comoejecutarcomandossql
NCo$sulta= 27 de A+ril, 2011O
.ase de !atos Co+it, !is&o$i+le
http://www.bluecoreresearch.com/papers/cobit.pdf
NCo$sulta= 2M de A+ril, 2011O
$troducci)$ a la Auditor4a -i%&le, !si&o$i+le
http://www.petefinnian.com/papers/audit.sql
NCo$sulta= 2M de A+ril, 2011O
Gesti)$ de -e*uridad de .ase de !atos
http://www.desarrolloweb.com/articulos/estion!seuridad!oracle!".html
NCo$sulta= 01 de Mayo, 2011O
Access Co$trol o$ Ta+les, "ie@s, -y$o$y%s, or Ro@s
http://download.oracle.com/docs/cd/B19306_01/network.102/1426
6/accessre.htm!"#$$%&'%
12 co$(i*uri$* a$d ad%i$isteri$* auditi$*
1tt&=??do@$load0oracle0co%?docs?cd?.1MK07J01?$et@orE0102?+1S277?c(*audit01t%U.A.CQH
.
NCo$sulta= 2L de A+ril, 2011O
A$2lisis, desarrollo e i%&le%e$taci)$ de auditor4a e$ la +ase de datos
http://e!
archi#o.uc$m.es/bitstream/1%%1&/1%5''/1/pfc(memoria)&(*lemente(+ernande,(-u
erto.pdf
NCo$sulta= 20 de A+ril, 2011O
-e*uridad de la $(or%aci)$
http://www.wor.tec.com.ar/consetic/%%5/consecri/pdf/*onsecri0/%/1!%2!%1/3al
0+$n0/%4ultimedia/56posiciones//2!3e0/%de0/%la0/%"nf0/%70/%sus
0/%requerimientos.pdf

Auditoria de Base de Datos Re Formula Do

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria de Base de Datos Re Formula Do

Transféré par

Droits d'auteur :

Formats disponibles

REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN SUPERIOR

Vous aimerez peut-être aussi