MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN SUPERIOR
COLEGIO UNIVERSITARIO FRANCISCO DE MIRANDA DIVISIN DE INVESTIGACIN, EXTENSIN Y POSTGRADO CONSEJO DE ESTUDIOS DE POSTGRADO ESPECIALIZACIN EN AUDITORA DE SISTEMAS FINANCIEROS Y SEGURIDAD DE DATOS Aud!"#$% d& B%'& d& D%!"' Caracas, 5 de Mayo de 2010 P#"(&'"#) Luis Castillo AUTOR*ES+) GRATEROL, NORKA GUZMAN ERCLA !AZ "ALERO RO!RGUEZ #ANELL
I,d-& INTRODUCCIN ................................................................................................................................... 4 DEFINICIONES ..................................................................................................................................... 6 AUDITORA INFORMTICA ........................................................................................................................................... 6 AUDITORA DE BASE DE DATOS ................................................................................................................................... 7 PUNTOS A LOS QUE SE ENFOCA EL AUDITOR ................................................................................................................... 7 Control y Seguridad de la Base de Datos ....................................................................................... 7 Diseo ............................................................................................................................................. 8 La investigacin de la arquitectura ................................................................................................ 8 OBJETIVOS GENERALES DE AUDITORA DE BASE DE DATOS ........................................................................................... 8 PLANIFICACIN DE LA AUDITORA DE BASES DE DATOS ................................................................................................ 9 IMPORTANCIA DE LA AUDITORA DE BASE DE DATOS .................................................................................................... 1 AUDITORA ORACLE ................................................................................................................................................ 1 NIVELES DE AUDITORA ............................................................................................................... 1! NIVEL BSICO .......................................................................................................................................................... 1! NIVEL MEDIO ......................................................................................................................................................... 1" NIVEL ALTO ........................................................................................................................................................... 14 CUADRO COMPARATIVO ENTRE LOS NIVELES DE AUDITORA ....................................................................................... 1# 1.TIPOS DE AUDITORA ................................................................................................................... 16 AUDITORA DEL CLIENTE ........................................................................................................................................ 16 Auditora de aplicativo ................................................................................................................. 17 Auditora de Disparadores ........................................................................................................... 18 AUDITORA EN EL MOTOR DE LA BASE DE DATOS ......................................................................................................... 18 Agregada ...................................................................................................................................... 1! Censal .......................................................................................................................................... 1! "uestral ...................................................................................................................................... #$ Detallada ...................................................................................................................................... #$ Ca%&ios ....................................................................................................................................... #$ Accesos ......................................................................................................................................... #$ 'tros ............................................................................................................................................. #$ POLTICAS DE AUDITORA ............................................................................................................ !1 IMPLEMENTACIN DE AUDITORA ............................................................................................ !# DEFINIR QUE SE QUIERE AUDITAR .............................................................................................................................. !# PASOS PARA $ABILITAR LA AUDITORA% ...................................................................................................................... !6 ADMINISTRAR PISTA DE AUDITORIA ............................................................................................................................ !6 ANLISIS DE LA INFORMACIN RECOLECTADA ........................................................................................................... !7 MONITOREAR EL CRECIMIENTO DE LA PISTA DE AUDITORA ......................................................................................... !7 PROTEGER LA PISTA DE ACCESOS NO AUTORI&ADOS ..................................................................................................... !8 RECOLECCIN DE DATOS EN ORACLE 11G ............................................................................. !8 AUDITORA GEN'RICA ............................................................................................................................................. !9 (a&la de Co%andos para Auditoria )en*rica .............................................................................. +1 AUDITORA DE GRANO FINO ..................................................................................................................................... "! (a&la de Co%andos para Auditoria )en*rica .............................................................................. ++ PRODUCTOS ORACLE ESPECIALI&ADOS EN SEGURIDAD DE BASES DE DATOS ........ "# ORACLE DATABASE VAULT ...................................................................................................................................... "# ORACLE ADVANCED SECURIT( ................................................................................................................................. "# ORACLE DATABASE FIRE)ALL ................................................................................................................................. "6 ORACLE AUDIT VAULT .......................................................................................................................................... "7 C$EC* LIST E INFORMES DE AUDITORIA ........................................................................... "8 CONCLUSIONES ................................................................................................................................. #! BIBLIOGRAFA ................................................................................................................................... #" ## I,!#"du--., Co$sidera$do la i%&orta$cia del %a$e'o y datos e i$(or%aci)$ e$ la actualidad, se cue$ta co$ e(icie$tes recursos co%o los siste%as de *esti)$ de +ase de !atos ,-G.!/0 U$a de las 1erra%ie$tas %2s &oderosas e i$te*rales es Oracle e$ el 2%+ito de las .ases de !atos relacio$ales, de+ido a 3ue &osee$ u$a serie de caracter4sticas 3ue las 1ace$ s)lidas (re$te a *ra$ 5olu%e$ de datos e i$cluso di5ersi(icaci)$ de los %is%os0 6usta%e$te esta &osi+ilidad de %a$e'ar de al%ace$a%ie$to %asi5o de la i$(or%aci)$ 3ue $os +ri$da ORACLE, trae co$si*o la $ecesidad i$eludi+le de esta+lecer co$troles 3ue &er%ita$ &re5e$ir, detectar, corre*ir y 1ast0071 %iti*ar los ries*os asociados co$ acceso y uso de la +ase de datos a $i5el de o+'etos ,ta+las, 5istas usuarios/, i$cluye$do creaci)$, %odi(icaci)$ y eli%i$aci)$, ta%+i8$ lo 3ue so$ tie%&os de co$e9i)$, creci%ie$to co$trolado de la .!, &ri5ile*ios de usuarios, roles y u$ si$ (i$ de as&ectos 3ue &ueda$ re&rese$tar ca%+ios e$ %ayor o %e$or %a*$itud al re&ositorio de datos0 U$a de las (u$cio$alidades 3ue &er%ite al ad%i$istrador y a los usuarios autori:ados a+ordar estos ele%e$tos de co$trol es la 1erra%ie$ta de Auditor4a 3ue &osee ORACLE, &er%itie$do esta+lecer u$ %o$itoreo y se*ui%ie$to del uso de la +ase de datos e$ co$'u$to co$ u$a *a%a de &osi+ilidades y $i5eles &ara auditar las accio$es, se*;$ las $ecesidades de la e%&resa o usuarios de la .!0 El si*uie$te $(or%e tie$e co%o o+'eti5o co$ocer y rese<ar los ele%e$tos +2sicos del %)dulo de auditor4a 3ue o(rece ORACLE, &artie$do desde los co$ce&tos +2sicos de auditor4a e$ +ase datos 1asta los o+'eti5os, &la$i(icaci)$, co%a$dos, ti&os de auditor4a, re$di%ie$to, i%&orta$cia +e$e(icios y 1asta la re(ere$cia de la $or%a CO.T co$ res&ecto a la Auditor4a de .ase de !atos0 Media$te la i$5esti*aci)$ docu%e$tal se 1a reali:o el co$tacto y rese<a del te%a, a$ali:a$do y co$trasta$do la i$(or%aci)$ o+te$ida, co$ el (i$ de o+te$er u$a 5isi)$ co%&leta y clara de los ele%e$tos a co$siderar y la (or%a de e'ecuci)$0 D&(,-",&' Aud!"#$% I,("#/0!-% La auditor4a i$(or%2tica es el &roceso de reco*er, a*ru&ar y e5aluar e5ide$cias &ara deter%i$ar si u$ -iste%a de $(or%aci)$ sal5a*uarda el acti5o e%&resarial, %a$tie$e la i$te*ridad de los datos, lle5a a ca+o e(ica:%e$te los (i$es de la or*a$i:aci)$, utili:a e(icie$te%e$te los recursos y cu%&le co$ las leyes y re*ulacio$es esta+lecidas0 Ta%+i8$ &er%ite detectar de (or%a siste%2tica el uso de los recursos y los (lu'os de i$(or%aci)$ de$tro de u$a or*a$i:aci)$ y deter%i$ar 3u8 i$(or%aci)$ es cr4tica &ara el cu%&li%ie$to de su %isi)$ y o+'eti5os, ide$ti(ica$do $ecesidades, du&licidades, costos, 5alor y +arreras, 3ue o+staculi:a$ (lu'os de i$(or%aci)$ e(icie$tes0 .2sica%e$te, Auditar co$siste &ri$ci&al%e$te e$ estudiar los %eca$is%os de co$trol 3ue est2$ i%&la$tados e$ u$a e%&resa u or*a$i:aci)$, deter%i$a$do si los %is%os so$ adecuados y cu%&le$ u$os deter%i$ados o+'eti5os o estrate*ias, esta+lecie$do los ca%+ios 3ue se de+er4a$ reali:ar &ara la co$secuci)$ de los %is%os0 Los %eca$is%os de co$trol &uede$ ser directi5os, &re5e$ti5os, de detecci)$, correcti5os o de recu&eraci)$ a$te u$a co$ti$*e$cia0 Aud!"#$% d& B%'& d& D%!"' Es el &roceso 3ue &er%ite %edir, ase*urar, de%ostrar %o$itorear y re*istrar los accesos a la i$(or%aci)$ al%ace$ada e$ las +ases de datos i$cluye$do la ca&acidad de deter%i$ar= >ui8$ accede a los datos Cua$do se accedi) a los datos !esde 3ue dis&ositi5o ? a&licaci)$ !esde 3ue u+icaci)$ e$ la Red Cu2l (ue la se$te$cia ->L e'ecutada Cu2l (ue el e(ecto del acceso a la +ase de datos La auditor4a de +ase de datos es u$o de los &rocesos (u$da%e$tales &ara a&oyar la res&o$sa+ilidad dele*ada a la T (re$te a las re*ulacio$es y su e$tor$o de $e*ocios o acti5idad0 Pu,!"' % 1"' 2u& '& &,("-% &1 %ud!"# C",!#"1 3 S&4u#d%d d& 1% B%'& d& D%!"' >ue se te$*a sie%&re u$a lista de los usuarios as4 co%o ta%+i8$ di(ere$tes &er(iles, ti&os de usuarios, docu%e$taci)$ so+re ca%+ios, accesos li%itados, +uscar e ide$ti(icar 3ue cada u$o este e$ su &uesto, 3ue ad%i$istradores tie$e$ acceso, los &ro*ra%adores $o de+e$ te$er acceso a la +ase real, 3ue usuarios tie$e$ acceso a toda la +ase de datos, e$ caso de 3ue $o te$*a los &er(iles el auditor de+e de ide$ti(icarlos e ide$ti(icar 3ue cada &erso$a este e$ su &uesto0 D'&5" de$ti(icar 3ue real%e$te se de'e u$a trayectoria o docu%e$taci)$ so+re la +ase de datos, 3ue te$*a diccio$ario de +ase de datos y cada u$o te$*a los datos adecuados, lista de los o+'etos0 L% ,6&'!4%-., d& 1% %#2u!&-!u#% -e re(iere al siste%a o&erati5o y el so(t@are &ara crear u$a +ase de datos, ade%2s de 3ue de+a$ ser co%&ati+le, c1e3uear estudios &re5ios &ara esco*er el so(t@are adecuado, 5eri(icar 3ue los co%&o$e$tes 3ue se co%&re$ sea$ los adecuados &ara la co%&ati+ilidad/ el ciclo de 5ida de u$a +ase de datos ,cua$to tie%&o durar2 el siste%a o +ase de datos 3ue se dise<o/, estudio de la i$(or%aci)$ este real%e$te de acuerdo co$ la e%&resa 3ue esta utili:a$do e$ este %o%e$to, si se cue$ta co$ la docu%e$taci)$ de la rei$*e$ier4a a&licada, te$er al%ace$ados ciertos arc1i5os 3ue se %odi(ica$, 5eri(icar 3ue e9ista u$ o(icio &ara &oder 1acer la %odi(icaci)$ co$ las autori:acio$es $ecesarias, 5eri(icar 3ue e9ista re*istro de todo0 !e$tro de la auditor4a de +ase de datos te$e%os dos (or%as de auditor4a, 8stas so$ auditor4a del clie$te y auditor4a e$ el %otor de +ase de datos0 O78&!6"' G&,&#%1&' d& Aud!"#$% d& B%'& d& d%!"' !is&o$er de %eca$is%os 3ue &er%ita$ te$er tra:as de auditor4as co%&letas y auto%2ticas relacio$adas co$ el acceso a las +ases de datos, i$cluye$do la ca&acidad de *e$erar alertas co$ el o+'eti5o de= Miti*ar los ries*os asociados co$ el %a$e'o i$adecuado de los datos0 A&oyar el cu%&li%ie$to re*ulatorio0 -atis(acer los re3ueri%ie$tos de los auditores0 E5itar las accio$es cri%i$ales0 E5itar las %ultas &or i$cu%&li%ie$to0 La i%&orta$cia de la auditor4a del e$tor$o de +ase de datos radica e$ 3ue es el &u$to de &artida &ara &oder reali:ar la auditor4a de las a&licacio$es 3ue utili:a esta tec$olo*4a0 P1%,(-%-., d& 1% Aud!"#$% d& B%'&' d& D%!"' Cua$do se 1a+la de &la$i(icaci)$, *e$eral%e$te $o e$(oca%os a u$ &la$, %et)dica%e$te or*a$i:ado y (recue$te%e$te de *ra$ a%&litud, &ara o+te$er u$ o+'eti5o deter%i$ado0 E$ este se$tido, la &la$i(icaci)$ de la auditor4a de +ase de datos, se 5a a re(erir a la serie de &asos 3ue de+e%os cu+rir &ara deter%i$ar los as&ectos e ide$ti(icar los recursos y as4 esta+lecer el &la$ de tra+a'o, &ara lo*rar el alca$ce es&erado0 Aor lo ta$to, el auditor de +ase de datos de+e= de$ti(icar todas las +ases de datos de la Or*a$i:aci)$0 Clasi(icar los $i5eles de ries*os de los datos e$ las +ases de datos0 A$ali:ar los &er%isos de acceso0 A$ali:ar los co$troles de acceso e9iste$tes a las +ases de datos0 Esta+lecer los %odelos de auditor4a de +ases de datos a utili:ar0 Esta+lecer las &rue+as a reali:ar &ara cada +ase de datos, a&licaci)$ y?o usuario0 Todo esto co$ la (i$alidad de &re&arar u$ +ue$ &ro*ra%a de auditor4a0 I/9"#!%,-% d& 1% Aud!"#$% d& 7%'& d& d%!"' Co$ la auditor4a de +ase de datos se +usca %o$itorear y *ara$ti:ar 3ue la i$(or%aci)$ est2 se*ura, ade%2s de +ri$dar ayuda a la or*a$i:aci)$ &ara detectar &osi+les &u$tos d8+iles y as4 to%ar &recaucio$es &ara res*uardar a;$ %2s los datos0 La auditor4a de +ase de datos es i%&orta$te &or3ue= Toda la i$(or%aci)$ (i$a$ciera reside e$ +ase de datos y de+e$ e9istir co$troles relacio$ados co$ el acceso a las %is%as0 -e de+e &oder %ostrar la i$te*ridad de la i$(or%aci)$ al%ace$ada e$ las +ases de datos0 Las or*a$i:acio$es de+e$ %iti*ar los ries*os asociados a la &8rdida de datos y a la (u*a de i$(or%aci)$0 La i$(or%aci)$ co$(ide$cial de los clie$tes, so$ res&o$sa+ilidad de las or*a$i:acio$es0 Los datos co$5ertidos e$ i$(or%aci)$ a tra58s de +ases de datos y &rocesos de $e*ocio, re&rese$ta$ el $e*ocio0 Las or*a$i:acio$es de+e$ to%ar %edidas %uc1o %2s all2 de ase*urar sus datos0 !e+e$ %o$itorearse &er(ecta%e$te, a (i$ de co$ocer 3ui8$ o 3u8 les 1i:o e9acta%e$te 3u8, cu2$do y c)%o0 Aud!"#$% O#%-1& E$ el caso de Oracle !ata+ase, la auditor4a es u$ co$'u$to de caracter4sticas 3ue &er%ite al ad%i$istrador de la +ase de datos y a los usuarios 1acer u$ se*ui%ie$to del uso de la +ase de datos0 El ad%i$istrador de +ase de datos &uede de(i$ir la acti5idad de auditor4a &redeter%i$ada, o+te$ie$do el re*istro a detalle del usuario 3ue e'ecut) la o&eraci)$ la (ec1a y 1ora0 La i$(or%aci)$ de las auditor4as se al%ace$a e$ el diccio$ario de datos, e$ la ta+la -#-0AU!B o e$ la &ista de auditor4a del siste%a o&erati5o lla%ado co$ u$a &ista de auditor4a del siste%a o&erati5o -e &uede$ auditar tres ti&os de accio$es= $te$tos de i$icio de sesi)$0 Accesos a o+'etos Accio$es de la +ase de datos0 Cua$do se reali:a$ auditor4as, la (u$cio$alidad de la +ase de datos, es de'ar co$sta$cia de los co%a$dos correctos e i$correctos0 Esto &uede %odi(icarse cua$do se co$(i*ura cada ti&o de auditor4a0 Aor e'e%&lo, se &uede$ re*istrar todos los i$te$tos de actuali:ar los datos de u$a ta+la o s)lo los i$te$tos (allidos, ta%+i8$ se &uede$ re*istrar todos los i$icios de sesi)$ e$ Oracle o s)lo los i$te$tos (allidos0 La auditor4a de +ases de datos se reali:a e$ +ase a u$a %etodolo*4a0 !ic1a %etodolo*4a deri5a de u$ %arco de +ue$as &r2cticas e$ se*uridad de +ases de datos a&licado so+re la docu%e$taci)$ de la 5ersi)$ de la +ase de datos auditada0 N6&1&' d& Aud!"#$% N6&1 70'-" Este $i5el co$te%&la o corres&o$de al $i5el de se*uridad %as +a'o0 Es &or esto reco%e$da+le 3ue cual3uier +ase de datos te$*a este $i5el co%o %4$i%o, ya 3ue as4 se cu+re$ los as&ectos de se*uridad +2sica0 Es &or esto reco%e$da+le 3ue la or*a$i:aci)$ te$*a re*istrado e$ u$ docu%e$to de se*uridad ya sea de ti&o electr)$ico o &a&el, los ele%e$tos de la +ase de datos y las o&eracio$es 3ue se &uede$ e'ecutar so+re dic1os ele%e$tos, detalle de usuarios y sus roles se*;$ co%o lo re3uiera la or*a$i:aci)$0 -e re3uiere i$duda+le%e$te de(i$ir la restricci)$ de acceso a los datos a los usuarios se*;$ las o&eracio$es 3ue se realice$ %edia$te di5ersos %eca$is%os y re*istrarlas e$ dic1o docu%e$to de se*uridad0 !e+e e9istir u$ ad%i$istrador de la *esti)$ de se*uridad 3ue &ueda co$trolar los as&ectos de auditoria y acceso al siste%as &or %edio de auditoria *e$8rica, audita$do dic1o acceso y co$trola$do el $;%ero de i$te$tos0 Es la auditor4a %4$i%a 3ue se de+er4a 1acer &ara co$trolar el acceso del &erso$al0 Co$ esta i$(or%aci)$ y los 1orarios de tra+a'o de los usuarios se &uede$ i$5esti*ar las a$o%al4as %edia$te alertas y &rocedi%ie$tos al%ace$ados0 Otro as&ecto i%&orta$te es co$tar co$ u$ re&ositorio acti5ado do$de 3ue el re*istro de la auditoria y &aralela%e$te esta+lecer u$ tie%&o &rude$cial 3ue 5a a estar al%ace$ados dic1os datos e$ co$se$so co$ la *ere$cia de la or*a$i:aci)$0 N6&1 M&d" A3u4 se 1a+la de u$ $i5el de se*uridad %ayor si se 3uiere &ara e%&resas %edia$as *ra$des 3ue se %a$e'e$ datos de %uc1a i%&orta$cia y re3uiere$ de 1erra%ie$tas de co$trol a %ayor escala0 Es $ecesario 3ue e9ista u$ res&o$sa+le disti$to del ad%i$istrador 3ue se e$car*ue de e5olucio$ar las &ol4ticas de auditoria y 3ue a&li3ue criterios de i$5esti*aci)$ a$te los 1ec1os e9ce&cio$ales y datos de auditoria, a&oyados e$ las di5ersas 1erra%ie$tas 3ue o(re:ca el %a$e'ador e$ cual te$*a$ su +ase de datos0 Adicio$al%e$te es &reciso co$tar co$ u$ es3ue%a de res&aldo de la +ase de datos e$ do$de se e'ecute$ las de+idas co&ias de se*uridad y li%&ie:a de las ta+las de auditor4a0 -e de+e auditar y 5i*ilar los i$te$tos de reali:aci)$ de o&eracio$es, autori:adas o $o, so+re o+'etos de la +ase de datos &erso$ales co$ el o+'eti5o de li%itar dic1os i$te$tos &or &arte de u$ usuario0 -e de+e auditar los i$te$tos (allidos de co$e9i)$ del usuario auditor, ;$ico usuario 3ue &uede 5er el co$te$ido de las ta+las de auditor4a, usa$do el e$54o de %e$sa'es ta$to al &ro&io auditor co%o al ad%i$istrador de la +ase de datos cada 5e: 3ue esto ocurra0 -e&arar el arc1i5o de tra$saccio$es o de lo* e$ otro disco de$tro del ser5idor de +ase de datos &ara o+te$er %ayor e(icie$cia, e$ el caso de ser u$a +ase de datos %uy co$curre$te0 N6&1 A1!" Este corres&o$de al %ayor $i5el de se*uridad, es&ecial &ara las *ra$des e%&resas 3ue re3uiere$ res*uardar su 5alor %2s i%&orta$te, i$cluye$do $o solo datos de la or*a$i:aci)$ si$o datos &erso$ales, de %ercado, te$de$cias eco$)%icas, etc0, &or lo 3ue se re3uiere u$a correcta cate*ori:aci)$ de los datos se$si+les &ara la e%&resa0 -e de+e$ auditar los i$te$tos de actuali:aci)$ y +orrado de los datos se$si+les &ara la or*a$i:aci)$ &or &arte de los usuarios, ya sea$ autori:ados o $o autori:ados0 Cada 5e: 3ue se actualice$ dic1os datos, si$ (recue$cia l4%ite, el auditor de+er2 i$5esti*ar este 1ec1o so+re 3ui8$ 1a reali:ado las %odi(icacio$es, desde 3u8 %23ui$a y cu2$do, &or %edio de &rocedi%ie$tos al%ace$ados, co$ el o+'eti5o de detectar irre*ularidades de$tro de la &la$tilla de la or*a$i:aci)$0 Ma$e'ar 1erra%ie$tas de auditoria co%o la de *ra$o (i$o 3ue reco*e la i$(or%aci)$ %edia$te tra:as y 3ue 5a a &er%itir 5i*ilar los %o5i%ie$tos susce&ti+les de ser i$5esti*ado y 5i*ilados, utilidades 3ue colo3ue$ alertas co$ (recue$cia de actuali:aci)$ de datos o detecci)$ de &rocedi%ie$tos al%ace$ados, co$ el o+'eti5o de detectar irre*ularidades de$tro de la &la$tilla de la or*a$i:aci)$0 -e de+e$ te$er co&ias de se*uridad e$ u+icacio$es di(ere$tes, re&ositorio de ta+las de auditor4a e$ ser5idor e9ter$o al de la +ase de datos0 Cu%d#" C"/9%#%!6" &,!#& 1"' N6&1&' d& Aud!"#$% NIVELES DE AUDITORIA VENTAJAS DESVENTAJAS B%8" -e cue$ta co$ docu%e$taci)$ 3ue (acilita detecci)$ de errores, &er%isos, ca%+ios La Gesti)$ de Ari5ile*ios %edia$te roles &ara (iltrar acceso a los o+'etos y estructuras de la .! El co$trol de acceso a la .! &er%ite co$trolar las co$e9io$es a la .!, &ara i$5esti*aci)$ de errores o 5ul$era+ilidad El co$trol de acceso a la .! se &uede desco$trolar si su+e el $i5el de co$e9io$es y desco$e9io$es Los Lo*s y re*istros de auditoria de+e$ ser co$sta$te%e$te re5isados &or si ocurre$ (allas de es&acio0 M&d" Co$trol casi a+soluto de las o&eracio$es de los usuarios0 Cada o&eraci)$ 3ue el auditor co$sidera i%&orta$te es auditada Aer%ite detectar y co$(i*urar i$(raccio$es Me'ora el re$di%ie$to del ser5idor de+ido a 3ue se se&ara$ los arc1i5os de tra$saccio$es e$ discos di(ere$tes Alto $i5el de *asto eco$)%ico e$ &erso$al e i$(raestructura de auditor4a, &or esto la or*a$i:acio$es de+e ser re$ta+le co$ u$ $i5el %edio o alto del (lu'o de i$(or%aci)$0 A1!" R2&ida recu&eraci)$ de los datos e$ 5irtud del es3ue%a de res&aldo co$ el 3ue se cue$ta Me'ora del re$di%ie$to de la .! &or te$er e9ter$os los lo*s de auditor4a !etecci)$ R2&ida de o&eracio$es 3ue &uede$ 1acer 5ul$era+le el siste%a so$ detectadas *racias a los ele%e$tos de auditor4a co%o &ol4ticas de auditor4a y &rocedi%ie$tos al%ace$ados0 Me'ora de la se*uridad de+ido al uso de %;lti&les alertas, 3ue &er%ite$ la detecci)$ i$%ediata e$ caso de ata3ues0 El costo e$ i$(raestructura es %ayor0 Co$(i*uraci)$ de alertas de (or%a %a$ual, re&rese$ta altos costos e$ tie%&o y &erso$alC y la creaci)$ de alertas usa$do 1erra%ie$tas de auditor4a, co$ u$ coste eco$)%ico relati5a%e$te alto :; T9"' d& Aud!"#$% !e$tro de la auditor4a de +ase de datos te$e%os 5arias (or%as de e'ecutar la auditor4a, e$tre estas te$e%os= Aud!"#$% d&1 C1&,!& La auditor4a de clie$te es la 3ue $o &erte$ece al %otor de la +ase de datos0 Es a3uella cuyo desarrollo es reali:ado &or el &ro*ra%ador de la a&licaci)$ o de la +ase de datos, $o &or el ad%i$istrador o auditor de la +ase de datos0 Aode%os disti$*uir dos su+ti&os de auditor4a de clie$te= auditor4a de a&licati5o y auditor4a de dis&aradores0 Aud!"#$% d& %91-%!6" La auditor4a de a&licati5o es el ser5icio 3ue &er%ite a$ali:ar las a&licacio$es (or%a i$de&e$die$te a la +ase de datos, y su 2%+ito estar2 deli%itado al tra+a'o diario de la a&licaci)$ y los &rocesos e$ los 3ue &artici&e0 O(rece la 5e$ta'a de la i$de&e$de$cia, &uesto 3ue se &uede desarrollar e$ el 2%+ito de $uestra a&licaci)$ i$(or%2tica los co$troles $ecesarios y adecuados a $uestras $ecesidades de auditor4a si$ $ecesidad de te$er 3ue acceder al %otor de la +ase de datosC esta %a$era de auditar &er%ite crear &rocesos de co$trol %2s co$cretos y &or ta$to %2s e(icaces0 -i se 1a+la$ de des5e$ta'as se te$dr2$ a&licacio$es %e$os (le9i+les dado 3ue el desarrollo de solucio$es de co$trol &ara la auditoria de +ases de datos ser2 %2s la+orioso y te$dre%os %2s &ro+le%as &ara el %a$te$i%ie$to y actuali:aci)$ de la a&licaci)$0 Las i$stitucio$es $or%al%e$te i$cluye$ e$ sus *estores de i$(or%aci)$ &e3ue<as a&licacio$es ,A&&lets, CGs, Acti5eD, etc0/ 3ue ayuda$ a *estio$ar los datos ,datos &erso$ales, &edidos, &a*os o$li$e, co$trol de acceso, etc0/0 E9iste$ otras i$stitucio$es 3ue utili:a$ a&licacio$es &ara reali:ar u$a *ra$ 5ariedad de o&eracio$es co%&le'as y 3ue re3uiere$ alta se*uridad ,&ortales cor&orati5os, +a$ca &or $ter$et o +roEers, co%ercio electr)$ico o eFco%%erce, redes &ri5adas 5irtuales o e9tra$ets, etc0/ y esto i%&lica la utili:aci)$ de u$a co%&le'a a&licaci)$ 3ue *estio$a todas estas o&eracio$es0 Aor ello es $ecesario u$ ser5icio &ara &oder a$ali:ar todas estas a&licacio$es, de (or%a i$de&e$die$te y e91austi5a0 Aud!"#$% d& D'9%#%d"#&' Los dis&aradores so$ ruti$as o &rocedi%ie$tos 3ue se acti5a$ cua$do se &roduce$ u$ e5e$to e$ la +ase de datos y 3ue se usa$ &ara a<adir l)*ica o restriccio$es a la %is%a0 Auede$ ser utili:ados &ara esta+lecer re*las de i$te*ridad co%o +ase de datos e9ter$as co%o &or e'e%&lo ,$o *ra+ar u$ &edido si el clie$te $o se e$cue$tra re*istrado e$ la +ase de datos de &edido/0 Aara el caso de auditor4a, 5a a ser de utilidad &ara la &ro*ra%aci)$ de dis&aradores 3ue $os &er%ita$ re*istrar e$ u$a ta+la de auditor4a los ca%+ios 3ue e'ecuta$ los usuarios co%o i$serci)$, actuali:aci)$ o eli%i$aci)$ de datos, la ide$tidad de 3uie$ los lle5) a ca+o y otros datos de i$ter8s= c)%oG, cu2$do se reali:aro$G, desde d)$deG, etc0, &ara 3ue &osterior%e$te el auditor &ueda a$ali:ar las o&eracio$es Usar este recurso $os a&orta *ra$des 5e$ta'as, ya 3ue de u$a %a$era %uy se$cilla y directa 5a 3ueda$do u$ re*istro de estas o&eracio$es ta$ (recue$tes e$ u$a +ase de datos0 Aud!"#$% &, &1 /"!"# d& 1% 7%'& d& d%!"' La auditor4a del e$tor$o de +ase de datos corres&o$de al &u$to de &artida de &ara reali:ar la auditoria de a&licacio$es0 Es &or esto 3ue %uc1os auditores de$tro de las or*a$i:acio$es est2$ to%a$do cada 5e: %ayor i$ter8s co$ res&eto a las o&eracio$es 3ue se e'ecuta$ so+re los o+'etos de la +ase de datos0 Es &or esto 3ue este ti&o de auditor4a esta +asada e$ &ol4ticas dise<adas de tal (or%a 3ue sea &osi+le auditar u$ o+'eto de la +ase de datos e$ u$as deter%i$adas circu$sta$cias= +a'o el uso de u$a o 5arias o&eracio$es de(i$idas &or el auditor0 !e esta (or%a, se &uede de(i$ir la &ol4tica de auditor4a co%o la i$(or%aci)$ 3ue $ecesita el %otor de la +ase de datos &ara auditar0 $dica 3u8 1ay 3ue auditar, c)%o y cu2$do0 !e lo 3ue se deri5a el i$e9ora+le 54$culo e$tre auditor4a y se*uridad de la i$(or%aci)$ ya 3ue se crea$ co$troles de acceso a los siste%as 3ue des&u8s $os &ro5ee$ de i$(or%aci)$ audita+le e$ t8r%i$os de se*uridad0 El &roceso de auditor4a de +ases de datos de+e ser i$de&e$die$te de las a&licacio$es 3ue 1ace$ uso de la i$(or%aci)$ co$te$ida e$ ella, as4 3ue a la 1ora de e5aluar los costos de la reali:aci)$ de la auditor4a s)lo te$dre%os 3ue te$er e$ cue$ta el coste 3ue se *e$era e$ el &roceso de reco*ida de la i$(or%aci)$ y el costo del &rocesa%ie$to de la i$(or%aci)$ 3ue sir5e de +ase &ara el a$2lisis y estudio del auditor0 E9iste$ $i5eles di(ere$tes &ara este ti&o de auditor4a de&e$die$do de la (or%a 3ue se reco&ile los datos, disti$*uie$do de esta (or%a= A4#&4%d%) Estad4sticas so+re el $;%ero de o&eracio$es reali:adas so+re u$ o+'eto de .ase de !atos, &or cada usuario0 Co%o cual3uier estad4stica, su %edida &uede 1acerse co$ t8c$icas ce$sales %uestrales0 C&,'%1) El *estor to%a datos de todas las o&eracio$es 3ue reci+e, se*;$ el *estor, esto se e'ecutar2 e$ &aralelo a las o&eracio$es auditadas0 Mu&'!#%1) Aeri)dica%e$te se to%a$ u$a %uestra de datos0 D&!%11%d%) $cluye todas las o&eracio$es reali:adas so+re cada o+'eto0 C%/7"') El co$te$ido de los datos0 !e+e co$te$er la i%a*e$ de los datos a$teriores y &osteriores a la o&eraci)$ del ca%+io0 La estructura de los o+'etos 3ue co%&o$e$ la a&licaci)$0 A--&'"') Li%itada a las o&eracio$es de acceso al co$te$ido de los datos y tie$e dos $i5eles de detalle= O&eraci)$ ,se$te$cia ->L 3ue se e'ecut)/ y resultado ,los datos 3ue se 5iero$ e$ la se$te$cia ->L e'ecutada/0 O!#"') Co&ias de se*uridad y recu&eracio$es0 Reco$strucci)$ de u$ estado de los datos0 P"1$!-%' d& Aud!"#$% Las &ol4ticas de auditor4a so$ el co$'u$to de $or%as, re*las, &rocedi%ie$tos y &r2cticas 3ue 5a$ a re*ular la &rotecci)$ de la i$(or%aci)$ de la +ase de datos, co$tra la &erdida de co$(ide$cialidad, i$te*ridad o dis&o$i+ilidad, ta$to de (or%a i$te$cio$al co%o accide$tal, &or lo ta$to corres&o$de a los %eca$is%os 3ue &er%ita$ res*uardar todos estos ele%e$tos, &or lo cual se dise<ara$ los a&licati5os $ecesarios, 1acie$do la sal5edad 3ue $o corres&o$de de (or%a estricta a u$ co$'u$to de 5alidacio$es, si$o 3ue e5olucio$a se*;$ los ries*os detectados &or lo ta$to ta%+i8$ e9iste la &osi+ilidad de e'ecuci)$ de acti5idades de auditor4a &roducto de la detecci)$ de acti5idades de ori*e$ sos&ec1osos a tra58s de u$a auditor4a %2s es&ec4(ica co$ res&ecto a los e5e$tos 3ue se 3uiera$ co$trolar0 Aor lo ta$to e9iste$ di5ersos ele%e$tos 3ue &uede$ esta+lecerse co%o &ol4ticas &ara la &rotecci)$ de la i$(or%aci)$ co%o= C",!#"1 d& A--&'" ) Media$te estas &ol4ticas se esta+lece el co$trol so+re la aute$ticaci)$ e ide$ti(icaci)$ los usuarios 3ue co$ecta$ a la +ase de datos, co$ el (i$ de otor*ar los accesos solos a los usuarios 3ue est8$ autori:ados, se re*istra$ los i$icios de o cierres de sesi)$ de u$ usuario desde otro e3ui&o0 Cua$do se decide te$er acti5a esta o&ci)$ se &uede es&eci(icar si se 3uiere auditar= Aciertos= Ge$era$ u$ e$trada cua$do el usuario i$te$ta i$iciar la sesi)$ y tie$e 89ito, lo 3ue o(rece i$(or%aci)$ ;til &ara esta+lecer la res&o$sa+ilidad y &ara la i$5esti*aci)$ tras el i$cide$te, de (or%a 3ue se &ueda deter%i$ar 3ui8$ co$si*ui) i$iciar sesi)$ y e$ 3u8 e3ui&o Errores= Ge$era$ u$a e$trada de auditor4a cua$do e$ u$ i$te$to de i$icio de sesi)$ de cue$ta se &roduce u$ error, lo 3ue resulta ;til &ara la detecci)$ de i$trusos, i$te$tos de 5iolaci)$ de se*uridad, ta%+i8$ se tie$e la &osi+ilidad de co$(i*urar u$a co$dici)$ de $e*aci)$ de ser5icio 3ue li%ite las 5eces de i$te$to de co$e9i)$ y las e$tradas de re*istro de sucesos de se*uridad0 N6&1&' d& A--&'" % 1% BD= Re5isi)$ del ti&o de acceso a de los usuarios, si el acceso es te%&oral, si esta &er%a$e$te%e$te co$ectado e$ cual3uier %o%e$to o ra$*os de 1oras e$ d4as autori:ados0 !e acuerdo al es&acio= desde cual3uier %a3ui$a de la red, cual3uier %23ui$a re*istrada, %23ui$as e9&l4cita%e$te autori:adas, 1ora y usuario U'" d& P#61&4"' A3u4 se re5isar4a y re*ular4a el ti&o de o&eracio$es 3ue se &uede$ e'ecutar so+re la +ase de datos co%o ,i$sertar, crear, %odi(icar, actuali:ar, eli%i$ar/ so+re los datos o las estructuras de datos, de acuerdo al usuario 3ue e'ecuta la o&eraci)$0 !e esta (or%a se estar4a$ +lo3uea$do las (u$cio$es 3ue $o so$ i$1ere$tes al usuario co$ res&ecto a estructuras y datos de la .! R"1&') Cua$do se 1a+la de roles se re(iere a la co$(i*uraci)$ del co$'u$to de &ri5ile*ios &ara u$ usuario 3ue so$ a*ru&adas %edia$te u$a sola (u$ci)$ de$o%i$ada rol co$ el (i$ de deli%itar las accio$es 3ue el %is%o &uede e'ecutar so+re la .!0 A--&'" % O78&!"') Re*istro de las o&eracio$es reali:adas so+re o+'etos de las .ase de !atos co%o ta+las, 5istas, &rocedi%ie$tos etc0, co$ detalle de o&eracio$es co%o +orrado A91-%-",&' d& U'u%#") Auditor4a so+re las %edidas de se*uridad o 5alidacio$es 3ue se utili:a$ e$ las 1erra%ie$tas de i$ter(a: *r2(icas de usuario co$ el (i$ de &rote*er la car*a de datos err)$ea &ro5ocada &or los usuarios D--",%#" d& D%!"') Corres&o$de a los &rocesos de auditor4a 3ue res*uarda$ la i$te*ridad de los datos del re&ositorio0 Otros &rocedi%ie$tos 3ue res&aldar4a$ y otor*ar4a$ co$siste$cia a los &rocesos de(i$idos co%o audita+les so$ los si*uie$tes= E'ecuci)$ de Co&ias de -e*uridad de las Estructuras de datos Arocedi%ie$tos de recu&eraci)$ de datos 3ue ase*ure$ la dis&o$i+ilidad Aol4ticas de co$trol de los accesos co$curre$tes se*;$ el $u%ero de usuarios 3ue tie$e la .! Aol4ticas de co$trol de ca%+io &ara e'ecutar actuali:acio$es, correcci)$ de errores y di5ersos ca%+ios a la .! co$ la a&ro+aci)$ de su res&ecti5o co%it80 Es de su%a i%&orta$cia 3ue ta%+i8$ la or*a$i:aci)$ %a$e'e %edia$te la redacci)$ de &rocedi%ie$tos es i$struccio$es la o&eraci)$ de &ro*ra%as y a&licacio$es 3ue accede$ a las estructuras y +ase de datos, as4 co%o sus &rocesos de res&aldo y recu&eraci)$0 Aara el caso de Oracle se cue$ta co$ 1erra%ie$tas 3ue &ote$cia$ las ca&acidades de auditor4a sta$dard co$ la detallada0 Aer%itie$do *e$erar i$(or%es de cu%&li%ie$to re*ulatorio e$ do$de se reco&ila$ y co$solida$ los datos &roductos de la detecci)$ de (or%a auto%2tica las acti5idades sos&ec1osas o a%e$a:as so+re la .! e i$cluye el %o$itoreo de dic1as acti5idades0 Ca+e %e$cio$ar 3ue ta%+i8$ se tie$e ta%+i8$ o&cio$es &or de(ecto 3ue audita$ e5e$tos de %a$era auto%2tica &or e'e%&lo= i$icio, lu*ar de cierre, y los i$te$tos de co$e9i)$ a la +ase de datos co$ &ri5ile*ios ad%i$istrati5os0 Estos se &uede$ 5isuali:ar utili:a$do el co%a$do s1o@ &ara%eter audit, &ara lo cual de+e%os estar lo*eados co$ u$ usuario 3ue te$*a los su(icie$tes &ri5ile*ios, utili:a%os el usuario sysd+a0 -HOI AARAMETER AU!T0 U$a 5e: 3ue se to%a la decisi)$ de 3ue se 5a auditar, se co$(i*ura el &ar2%etro de i$iciali:aci)$ AU!TJTRAL 3ue se e$cue$tra e$ el arc1i5o i$it0ora, &ara 1a+ilitar la auditoria0 Este &ar2%etro i$dica si la &ista de auditoria se esta escri+ie$do a la ta+la -#-0AU!B de la +ase de datos e$ la &ista de auditoria del siste%a o&erati5o0 Cua$do se decide utili:ar la ta+la -#-0AU!B esta de+e re5isarse &eri)dica%e$te, &or si 1iciera (alta tru$carla de+ido a 3ue su au%e$to de ta%a<o &uede causar &ro+le%as de es&acio e$ el ta+les&ace syste%0 Los Aosi+les 5alores del &ar2%etro auditJtrail= ,",&= desacti5a la auditor4a de la +ase de datos0 "'= acti5a la auditor4a de la +ase de datos0 Los sucesos auditados se escri+ir2$ e$ la &ista de auditor4a del siste%a o&erati5o, $o se auditar2 e$ Oracle si$o e$ el siste%a o&erati5o a$(itri)$0 Esta o&ci)$ (u$cio$ar2 de&e$die$do del siste%a o&erati5o0 d7= acti5a la auditor4a y los datos se al%ace$ar2$ e$ la ta+a -#-0AU!B de Oracle0 d7, &<!&,d&d= acti5a la auditor4a y los datos se al%ace$ar2$ e$ la ta+la -#-0AU!B de Oracle0 Ade%2s se escri+ir2$ los 5alores corres&o$die$tes e$ las colu%$as ->L.N! y ->LTEDT de la ta+la -#-0AU!B0 </1= acti5a la auditor4a de la +ase de datos, los sucesos ser2 escritos e$ (ic1eros DML del siste%a o&erati5o0 </1, &<!&,d&d= acti5a la auditor4a de la +ase de datos, los sucesos ser2$ escritos e$ el (or%ato DML del siste%a o&erati5o, ade%2s se i$cluir2$ los 5alores de -3lTe9t y -3l.i$d0 I/91&/&,!%-., d& Aud!"#$% D&(,# 2u& '& 2u&#& %ud!%# E$ u$a +ase de datos 1ay disti$tas acti5idades 3ue se &uede$ auditar se*;$ las $ecesidades &ro&ias del $e*ocio y el a$2lisis &re5io reali:ado0 6usta%e$te &ara la co$(i*uraci)$ de los disti$tos ti&os de auditor4a, es o&ortu$o y correcto el uso del co%a$do audit 3ue &er%ite co$(i*urar disti$tos ti&os de Auditor4a0 Este co%a$do &uede utili:arse au$3ue $o est8 acti5ada la auditor4a de +ase de datos, au$3ue &ara o+te$er los resultados de dic1a auditor4a 1ay 3ue de(i$ir correcta%e$te el &ar2%etro ya e9&licado de i$iciali:aci)$ auditJtrail0 P%'"' 9%#% =%71!%# 1% %ud!"#$%) 10 de$ti(icar los o+'etos u estructuras de datos 3ue de+e$ ser auditadas co$ el (i$ de satis(acer los re3ueri%ie$tos de i$(or%aci)$ $ecesarios &ara su &osterior a$2lisis0 20 !eter%i$ar 3ue ele%e$tos y accio$es so+re dic1os ele%e$tos se desea re*istrar0 K0 Utili:ar el %)dulo de auditor4a &ara re*istrar la i$(or%aci)$ de(i$ida e$ los &u$tos a$teriores y de esta %a$era 1a+ilitar la auditor4a so+re dic1os o+'etos 4. "eri(icar 3ue las &istas de auditor4a de(i$idas sir5a$ &ara el a$2lisis 3ue se desea reali:ar %edia$te &rue+as0 50 Re&etir los &asos a$teriores 1asta lo*rar 3ue se *e$ere la i$(or%aci)$ deseada e$ el re&ositorio de auditor4a0 Ad/,'!#%# 9'!% d& %ud!"#% La *e$eraci)$ de las &ista de Auditor4a $os &er%ite %a$te$er el 1istorial de los ca%+ios 3ue se reali:a$ de los datos e ide$ti(icar 3ue se ca%+io, 3ui8$ y cua$do se e'ecuto el ca%+io0 Este es el &u$to de &artida &ara el a$2lisis de la i$(or%aci)$ co$ res&ecto a co%o se o+tu5o el 5alor actual de cual3uier ele%e$to0 A,01'' d& 1% ,("#/%-., R&-"1&-!%d% Co$siste e$ cote'ar y ra:o$ar la i$(or%aci)$ o+te$ida %edia$te el acceso a al re&ositorio de la auditoria co$ 1erra%ie$tas de co$sulta co%o el !isco5erer 3ue 5ie$e a ser u$a 1erra%ie$ta 3ue &er%ite *e$erar i$(or%aci)$ &ro&ia a &artir de los datos e9iste$tes o &ara sol5e$tar &ro+le%as es&ec4(icos co$ u$ (i$ &reciso ,ad 1oc/, esto &ara el a$2lisis del $e*ocio, crear esce$arios, o+ser5ar te$de$cias, etc0 Es %uy &osi+le 3ue la i$(or%aci)$ 3ue se re3uiera $o se te$*a e$ l4$ea o co$ la e9actitud 3ue se re3uiere ya 3ue es $ecesario de&urar la i$(or%aci)$ al%ace$ada e$ el re&ositorio &or restriccio$es de es&acio0 Es &or esto 3ue cua$do se re3uiere i$5esti*ar al*;$ ele%e$to e$ es&ec4(ico se &uede solicitar al ad%i$istrador o al o&erador la recu&eraci)$ de la i$(or%aci)$0 M",!"#&%# &1 -#&-/&,!" d& 1% 9'!% d& Aud!"#$% El uso del &roceso auditor4a a la +ase datos se tie$e (alsa%e$te &erci+ido co%o co%&le'o y le$to y la ra:)$ de esto suele ser &or desco$oci%ie$to, de+ido a 3ue es l)*ico 3ue si se tie$e$ acti5adas %;lti&les o&cio$es a auditar, la &ista resulta$te de dic1a auditor4a &uede$ ser *ra$de y co%&le'a &ara desci(rar y ad%i$istrar0 Aor otra &arte, si se utili:a auditor4a e$ todas las ta+las y 5istas de la .! se*ura%e$te se 5a a 5er a(ectado el re$di%ie$to, ya 3ue &or cada o&eraci)$ se escri+e u$ re*istro e$ la ta+las de auditor4a, lo 3ue si*ue co$tri+uye$do a la rale$ti:aci)$ de las o&eracio$es 3ue se e'ecute$ de$tro de la .!0 Aor lo ta$to es 5ital 3ue cua$do se utilice$ los recursos de la 1erra%ie$ta de auditor4a se &la$i(i3ue y e'ecute de %a$era se$cilla y &rude$cial, +asados e$ el se*ui%ie$to de o+'etos y o+'etos cr4ticos de la .!, &or esto se re3uiere$ u$a a$2lisis &re5io de &osi+les a+usos 3ue se &uede$ reali:ar y de las accio$es 3ue se 5a$ a dicta%i$ar, de (or%a tal 3ue esto *e$ere u$ i$(or%e 3ue &er%ita (iltrar las &ista de auditor4a &ara estas accio$es0 P#"!&4&# 1% 9'!% d& A--&'"' ," %u!"#>%d"' Es $ecesaria la a&licaci)$ de %eca$is%os adecuados &ara &rote*er datos se$siti5os $o solo e$ este caso de las &istas de auditor4a, si$o de los datos e i$(or%aci)$ al%ace$ados y tra$s%itidos a tra58s de las tec$olo*4as de i$(or%aci)$, 3ue est2$ su'etos a las a%e$a:as &ro5e$ie$tes de accesos, usos, a&ro&iaci)$ y alteraci)$ $o autori:ados, tra$s%isio$es (raudule$tas, ca4da o destrucci)$ del ser5icio, y re3uiere$ de %eca$is%os adecuados &ara sal5a*uardarlosC R&-"1&--., d& D%!"' &, O#%-1& ::4 Cua$do el -iste%a Gestor de .ase de !atos Oracle tie$e 3ue auditar ciertas accio$es, i$cre%e$ta la ca$tidad de tra+a'o 3ue el siste%a tie$e 3ue reali:ar0 -i$ e%+ar*o, es &osi+le e$(ocarla &ara 3ue solo los e5e$tos 3ue sea$ i$teresa$tes sea$ ca&turados0 La auditor4a %al e$(ocada a(ecta si*$i(icati5a%e$te el re$di%ie$to co%&utacio$al y al es&acio de al%ace$a%ie$to, y &or ello, el Auditor de la +ase de datos de+e ele*ir 3u8 auditar co$ +ue$ criterio0 Aara 1acer %2s o %e$os &erso$ali:ada la auditor4a, Oracle o(rece dos e$(o3ues de auditor4a= auditor4a *e$8rica y auditor4a de *ra$o (i$o0 La auditor4a *e$8rica (ue la &ri%era e$ i%&le%e$tarse, sie$do e$ la 5ersi)$ LiC %ie$tras 3ue la auditor4a de *ra$o (i$o (ue i%&le%e$tada e$ la 5ersi)$ Mi &ara co$sulta, y e$ la 5ersi)$ 10* &ara %odi(icaci)$ y +orrado0 La auditor4a *e$8rica es usada &ara ca&turar e5e$tos de usuarios so+re ca%+ios y accesos a i$(or%aci)$ de la +ase de datos0 Auede auditar i$sercio$es, %odi(icacio$es, +orrados y co$sultas de dic1a i$(or%aci)$, co$e9io$es y desco$e9io$es a la +ase de datos, etc0 Lo 1ace sie%&re de (or%a *e$eral0 -i$ e%+ar*o, a 5eces es $ecesario auditar +a'o circu$sta$cias es&ec4(icas0 La auditor4a de *ra$o (i$o s4 &er%ite esto, ade%2s de &oder ca&turar e5e$tos so+re 3u8 se 1a 5isto o 3u8 se 1a %odi(icado0 Aud!"#$% G&,?#-% La auditor4a tra+a'a *uarda$do y reco&ila$do tra:as so+re las accio$es de usuarios de la +ase de datos &ara &oder reco$struir, e$ u$ (uturo, lo 3ue dic1os usuarios 1a$ 1ec1o0 No tie$e 3ue 5er co$ lo 3ue el usuario &uede o 1aya &odido 1acer, ya 3ue de eso se e$car*a$ los Ad%i$istradores de la +ase de datos e$ la co$cesi)$ de &er%isos0 !e 1ec1o, ciertos usuarios &uede$ te$er acceso a i$(or%aci)$ &ri5ile*iada *racias a los &er%isos a$tes citadosC y la auditor4a $os &er%ite sa+er 3u8 usuarios 1a$ utili:ado esa i$(or%aci)$0 La auditor4a *e$8rica e$*lo+a toda auditor4a 3ue es ca&a: de co$trolar co%a$dos ->L, reco*ie$do todas las o&eracio$es &osi+les desde el Le$*ua'e de !e(i$ici)$ de !atos al Le$*ua'e de Ma$i&ulaci)$ de !atos ,sus si*las e$ i$*l8s, !!L y !ML res&ecti5a%e$te/0 !ic1as o&eracio$es se 1ace$ so+re o+'etos de la +ase de datos, y se re(iere a o&eracio$es de i$serci)$, +orrado, %odi(icaci)$ y co$sulta so+re los datos de dic1os o+'etos, creaci)$ y +orrado de los o+'etos, ta$to si estas o&eracio$es 1a$ te$ido 89ito co%o si $o0 Hay 3ue co$siderar 3ue las o&eracio$es de co$sulta, +orrado y actuali:aci)$ sie%&re, ta$to si se *e$era$ datos e$ la co$sulta, se +orra$ datos y se actuali:a$ res&ecti5a%e$te co%o si $o, *e$erar2$ u$ dato de auditor4a, sie%&re 3ue est2 auditado0 A co$ti$uaci)$ se %uestra u$a ta+la 3ue &uede ayudar a 5isuali:ar al*u$os co%a$dos 3ue $os %ostrara$ %2s clara%e$te la (or%a de %a$e'ar la auditoria *e$8rica e$ Oracle0 T%71% d& C"/%,d"' 9%#% Aud!"#% G&,?#-% !.AJO.6JAU!TJOAT- !escri+e las &ol4ticas de auditor4a *e$8rica acti5adas so+re o+'etos, i$cluye$do las o&cio$es de auditor4a de todos ellos ,o&eracio$es 3ue se audita$ so+re los o+'etos/ e i$(or%aci)$ rele5a$te= &ro&ietario del o+'eto, $o%+re del o+'eto y ti&o de o+'eto0 U-ERJO.6JAU!TJOAT- Esta 5ista $o es ;$ica $i e9clusi5a del ad%i$istrador0 Cada usuario tie$e$ e$ su es3ue%a esta 5ista, lla%ada de la %is%a %a$era, y 3ue %uestra las &ol4ticas de auditor4a *e$8rica creadas so+re o+'etos de su es3ue%a0 Es si%ilar a !.AJO.6JAU!TJOAT- s)lo 3ue $o lle5a la colu%$a del &ro&ietario del o+'eto, &ues es i%&l4cito 3ue el &ro&ietario sea el %is%o 3ue la 5ista0 !.AJAR"JAU!TJOAT- !escri+e las &ol4ticas de auditor4a so+re &ri5ile*ios del siste%a 3ue est2$ acti5as e$ u$ %o%e$to dado0 !.AJ-TMTJAU!TJOAT- !escri+e las &ol4ticas de auditor4a so+re &ri5ile*ios del siste%a 3ue est2$ acti5as e$ u$ %o%e$to dado0 -e di(ere$cia de !.AJAR"JAU!TJOAT- e$ 3ue, e$ lu*ar de %ostrar s)lo el &ri5ile*io 3ue se audita, %uestra sus o&cio$es0 !.AJAU!TJED-T- Co$tie$e los re*istros de los e5e$tos so+re la e9iste$cia o $o e9iste$cia de los o+'etos, i$cluye$do e$ dic1os e5e$tos todas las &ol4ticas &roducidas &or audit e9ists y audit $ot e9ists0 !.AJAU!TJO.6ECT Muestra los re*istros de auditor4a &roducidos &or &ol4ticas de auditor4a *e$8rica 3ue est2$ relacio$adas co$ o+'etos ,ta+las, 5istas, 4$dices, secue$cias, e$laces, dis&aradores, es&acios de ta+las, etc0/ U-ERJAU!TJO.6ECT Muestra los re*istros de auditor4a &roducidos &or &ol4ticas de auditor4a *e$8rica 3ue est2$ relacio$adas co$ o+'etos ,ta+las, 5istas, 4$dices, secue$cias, e$laces, dis&aradores, es&acios de ta+las, etc0/ y 3ue 1as sido &roducidas &or el usuario &ro&ietario de la 5ista0 Esta 5ista $o es ;$ica, y la tie$e$ todos los usuarios e$ su es3ue%a0 !.AJAU!TJ-E--ON Muestra los re*istros de auditor4a &roducidos &or &ol4ticas de auditor4a *e$8rica 3ue est2$ relacio$adas co$ i$icio y (i$ de sesi)$ ,CONNECT y !-CONNECT/0 Aud!"#$% d& G#%," F," E$ la auditor4a *e$8rica, se *uarda 3u8 usuarios reali:aro$ 3u8 o&eraci)$ so+re u$ o+'eto de la +ase de datos0 -i$ e%+ar*o, a 5eces esto $o es su(icie$te0 Muc1as 5eces es $ecesario sa+er, 3u8 co$sulta e'ecut) u$ usuario so+re u$a ta+la e$ u$ %o%e$to deter%i$ado o 3u8 datos (uero$ +orrados, %odi(icados o i$sertados &or &arte del usuario0 Este ti&o de auditor4a se lla%a Auditor4a de *ra$o (i$o, y est2 dis&o$i+le e$ Oracle desde su 5ersi)$ Mi0 Es ca&a: de auditar $o s)lo 3u8 o+'eto (ue co$sultado &or u$ usuario, si$o 3ue ta%+i8$ &uede auditar 3u8 i$(or%aci)$ o+tu5o, e$ el caso de 1a+er 1ec1o co$sulta y 3u8 i$(or%aci)$ i$trodu'o, +orr) o %odi(ic) e$ el caso de 1a+er 1ec1o u$a %odi(icaci)$0 N)tese 3ue la i$(or%aci)$ ca&turada es %uy e9te$sa0 La Auditor4a de *ra$o (i$o sur*i) &or la $ecesidad de ca&turar accio$es (ruto del uso i$de+ido de u$ &ri5ile*io &or &arte de u$ usuario N5O0 Pste ti&o de auditor4a &odr4a ser si%ulada %edia$te auditor4a +asada e$ dis&aradores u$ida co$ el Lo* Mi$er %e'ora$do el 1ec1o de 3ue, al des1acer la acci)$ %edia$te la orde$ roll+acE, se a$ula la tra$sacci)$ y se eli%i$a la i$(or%aci)$ *uardada &or el dis&arador0 El Lo* Mi$er $os &er%ite recu&erar la i$(or%aci)$ de los (ic1eros de Lo*, y u$ie$do sus (uer:as co$ la Auditor4a *e$eral, &odr4a%os reco&ilar la i$(or%aci)$ de las i$sercio$es, +orrado o %odi(icacio$es0 Al i*ual 3ue 1ici%os e$ la secci)$ de Auditoria Ge$8rica, a3u4 les %ostrare%os u$a serie de co%a$dos utili:ados e$ la Auditoria de Gra$o Qi$o, 3ue $os ayudara$ a 5isuali:ar %e'or co%o se %a$e'a este ti&o de auditor4a0 T%71% d& C"/%,d"' 9%#% Aud!"#% G&,?#-% ALLJAU!TJAOLC#JCOLUMN- !escri+e las &ol4ticas de auditor4a de *ra$o (i$o &ara u$a o&eraci)$ so+re u$a o 5arias colu%$a es&ec4(ica de ciertas ta+las0 AU!TJACTON- Co$tie$e c)di*os de las accio$es 3ue &uede$ ser auditadas0 Es u$a es&ecie de cat2lo*o &ara la o&ti%i:aci)$ de la auditor4a de *ra$o (i$o0 !.AJAU!TJAOLCE- Muestra e9acta%e$te los %is%os datos 3ue la 5ista ALLJAU!TJAOLCE- -TMTJAU!TJOATONJMAA Es u$ %a&a de o&cio$es de auditor4a 3ue co$tie$e c)di*os de las o&cio$es 3ue &uede$ te$er las &ol4ticas de auditor4a0 Es u$a es&ecie de cat2lo*o &ara la o&ti%i:aci)$ de la auditor4a de *ra$o (i$o &or &arte de Oracle0 !.AJQGAJAU!TJTRAL Muestra todos los re*istros de auditor4a reali:ados co$ &ol4ticas de auditor4a de *ra$o (i$o0 "BDMLJAU!TJTRAL Co$tie$e todos los re*istros de auditor4a, ta$to *e$8rica co%o de *ra$o (i$o, auditor4a de -#- y re*istros e$ DML0 Cua$do los re*istros de auditor4a se traduce$ a u$ (or%ato DML O-, se &uede$ leer co$ u$ editor de te9to o a tra58s de esta 5ista, 3ue co$tie$e i$(or%aci)$ si%ilar a la 5ista !.AJAU!TJTRAL0 Ta%+i8$ &ode%os se*%e$tar la auditoria &or 2rea de i$ter8s e$ la +ase de datos co%o se %uestra e$ el &r)9i%o cuadro0 -e$te$cia !etalle de la se$te$cia .# usuario $dica 3ue se 3uiere$ auditar las se$te$cias ->L re3ueridas &ara el usuario?s i$dicados0 -i se o%ite, la auditor4a se reali:a &ara todos los usuarios de la .0!0 .# -E--ON Aro5oca 3ue Oracle i$serte u$ ;$ico re*istro resu%e$ e$ la ta+la de auditor4a au$3ue la se$te$cia se e'ecute 5arias 5eces e$ la %is%a sesi)$0 .# ACCE-- Aro5oca la escritura de u$ re*istro e$ las ta+las de auditor4a cada 5e: 3ue la se$te$cia se e'ecuta0 Cua$do se es&eci(ica$ Auditor4as de se$te$cias !!L o de &ri5ile*ios del siste%a, la auditor4a &or de(ecto es &or accesos0 Cua$do se audita$ so+re o+'etos o se$te$cias !ML, la auditor4a &or de(ecto es &or sesi)$ IHENE"ER -UCCE--QUL -e reali:a la auditor4a cua$do la se$te$cia auditada 1aya co$cluido satis(actoria%e$te IHENE"ER NOT -UCCE--QUL -e reali:a la auditor4a cua$do la se$te$cia auditada NO co$cluya satis(actoria%e$te0 P#"du-!"' O#%-1& E'9&-%1>%d"' &, S&4u#d%d d& B%'&' d& D%!"' O#%-1& D%!%7%'& V%u1! Es u$a 1erra%ie$ta 3ue ayuda a las or*a$i:acio$es a &rote*er de (or%a &roacti5a los datos de a&licacio$es al%ace$adas e$ +ase de datos Oracle0 Los datos de a&licaci)$ &uede ser %2s &rote*idos %edia$te &ol4ticas de Oracle !ata+ase "ault de %;lti&les (actores 3ue co$trola$ el acceso, +asado e$ (actores co%o la 1ora del d4a, la direcci)$ A, $o%+re de la a&licaci)$ y el %8todo de aute$ticaci)$, &re5e$ci)$ de autori:aci)$ de a$u$cios de acceso es&ecial y la a&licaci)$ de +yF&ass 0 O#%-1& Ad6%,-&d S&-u#!3 Es u$a 1erra%ie$ta 3ue ayuda a las or*a$i:acio$es a cu%&lir la re*la%e$taci)$ de %a$datos de &ri5acidad, tales co%o -ar+a$esFO9ley, Aay%e$t Card $dustry ,AC/ Est2$dar de -e*uridad $(or%2tica ,!--/, Healt1 $sura$ce Aorta+ility a$d Accou$ta+ility Act ,HAAA/, as4 co%o $u%erosas leyes so+re $oti(icaci)$ de i$(raccio$es0 Co$ Oracle Ad5a$ced -ecurity, los clie$tes de (or%a tra$s&are$te se &uede$ ci(rar todos los datos de a&licaci)$ es&ec4(ica o colu%$as se$si+les, tales co%o tar'etas de cr8dito, $;%eros de se*uro social o i$(or%aci)$ de ide$ti(icaci)$ &erso$al ,A/0 Media$te la e$cri&taci)$ de datos e$ re&oso e$ la +ase de datos, as4 co%o cada 5e: 3ue sale de la +ase de datos &or la red o a tra58s de co&ias de se*uridad, Oracle Ad5a$ced -ecurity &ro&orcio$a la soluci)$ %2s re$ta+le &ara la &rotecci)$ de datos co%&leta0 O#%-1& D%!%7%'& F#&@%11 Es u$a 1erra%ie$ta 3ue &er%ite %o$itorear la acti5idad de +ase de datos e$ la red &ara ayudar a &re5e$ir el acceso $o autori:ado, las i$yeccio$es de ->L, el &ri5ile*io o la escalada &a&el, y otros ata3ues e9ter$os e i$ter$os todo e$ tie%&o real0 .asado e$ la i$$o5adora tec$olo*4a de *ra%2tica ->L 3ue &uede reducir %illo$es de i$strucci)$ ->L e$ u$ &e3ue<o $;%ero de caracter4sticas de ->L, Oracle !ata+ase Qire@all o(rece u$a &recisi)$ i$i*uala+le, escala+ilidad y re$di%ie$to0 A&licaci)$ de los resultados &ositi5os ,listas +la$cas/ y $e*ati5as ,listas de $e*ro/ los %odelos de se*uridad &ro&orcio$a &rotecci)$ (re$te a a%e$a:as si$ (alsos &ositi5os tie%&o y di$ero0 Oracle !ata+ase Qire@all ta%+i8$ &er%ite a las or*a$i:acio$es &ara 1acer (re$te a -OD, AC, HAAA ? HiTec1, y otros re3uisitos re*la%e$tarios, si$ ca%+ios e$ las a&licacio$es o +ases de datos e9iste$tes, y de%ostrar 3ue cu%&le co$ u$a (u$ci)$ de i$(or%es &erso$ali:ados0 O#%-1& Aud! V%u1! Es u$a 1erra%ie$ta 3ue &er%ite auto%ati:ar la recolecci)$ de datos de auditor4a, %o$itori:ar y *e$erar i$(or%es, 5olca$do dic1a i$(or%aci)$ e$ u$ es3ue%a &ro&io0 .2sica%e$te, recolecta datos de auditor4a de u$a +ase de datos, ya sea Oracle o M- ->L-er5er, y, ade%2s de *uardar los datos e$ u$ es3ue%a &ro&io e$ (or%a de !ataIare1ouse, estudia dic1os datos &ara detectar cual3uier a$o%al4a0 Oracle Audit "ault co$sta de u$ ser5idor y u$ a*e$te0 El ser5idor, 3ue e$ la 5ersi)$ %2s recie$te de Audit "ault $o est2 desarrollado &ara usarlo e$ e$tor$o Ii$do@s, de+e ser co$(i*urado &or el ad%i$istrador, y se e$car*ar2 de recolectar todos los datos de auditor4a 3ue *e$era la +ase de datos, or*a$i:arla y *e$erar los i$(or%es0 El a*e$te se e$car*a de o(recer sus ser5icios al auditor de la +ase de datos0 !esde el a*e$te, el auditor &odr2 crear &ol4ticas de auditor4a ,s)lo &ara +ases de datos Oracle/, crear alertas y o+te$er i$(or%es0 El a*e$te &uede estar i$stalado e$ la %is%a %23ui$a do$de est2 la +ase de datos Oracle o e$ otra %23ui$a0 C=&-A L'! & I,("#/&' d& Aud!"#% E%&resa= JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ Qec1a= JJJJJJJJJJJJJJJJJJJJ E$car*ado de la Auditoria= JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 1) RE9iste u$a &erso$a desi*$ada &ara la ad%i$istraci)$ de .ase de !atosG -i , / No , / E$ caso de la res&uesta ser $e*ati5a e9&li3ue &or 3u8G JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ RCu2les so$ sus (u$cio$esG JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 2) RCuales &erso$as tie$e$ acceso &ara 1acer ca%+ios a la +i+lioteca del siste%a ad%i$istrati5o de +ase de datosG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 3) RE9iste$ restriccio$es &ara el i$*reso o i$clusi)$ de los datos e$ las estructuras de .ase de !atosG - , / NO , / S/ RCu2les so$ las restriccio$esG JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 5) RCu%&le$ co$ los li$ea%ie$tos ,docu%e$taci)$, 'usti(icaci)$ y autori:aci)$/G - , / NO , / 6) -e cue$ta co$ &rocedi%ie$tos escritos &ara la recu&eraci)$ de +ase y estructura de datos e$ caso de u$a destrucci)$ total o &arcial0 RCu2lesG - , / NO , / !etalle= JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 7) R-e dis&o$e de %eca$is%os de se*uridad 3ue *ara$tice$ la &rotecci)$ co$tra la destrucci)$ accide$tal o deli+eradaG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 8) R-e dis&o$e de %eca$is%os de se*uridad 3ue *ara$tice$ la &rotecci)$ co$tra los accesos $o autori:adosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ 9) REst2$ estos %eca$is%os a5alados &or el &erso$al de Auditor4a de -iste%as y -e*uridad de Acti5os de $(or%aci)$G - , / NO , / 10) RE9iste$ %eca$is%os de custodiaG - , / NO , / 11) RE9iste u$a &erso$a desi*$ada &ara la ad%i$istraci)$ de .ase de !atosG - , / NO , / 12) RCu2les so$ sus (u$cio$esG JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 1K/ RCuales &erso$as tie$e$ acceso &ara 1acer ca%+ios a la +i+lioteca del siste%a ad%i$istrati5o de +ase de datosG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 14) RE9iste$ restriccio$es &ara el i$*reso o i$clusi)$ de los datos e$ las estructuras de .ase de !atosG - , / NO , / 15) RCu2les so$ las restriccio$esG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 16) RCu%&le$ co$ los li$ea%ie$tos ,docu%e$taci)$, 'usti(icaci)$ y autori:aci)$/G - , / NO , / 17) R-e cue$ta co$ &rocedi%ie$tos escritos &ara la recu&eraci)$ de +ase y estructura de datos e$ caso de u$a destrucci)$ total o &arcialG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 18) R-e dis&o$e de %eca$is%os de se*uridad 3ue *ara$tice$ la &rotecci)$ co$tra la destrucci)$ accide$tal o deli+eradaG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 19) R-e dis&o$e de %eca$is%os de se*uridad 3ue *ara$tice$ la &rotecci)$ co$tra los accesos $o autori:adosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 20) REst2$ estos %eca$is%os a5alados &or el &erso$al de Auditor4a de -iste%as y -e*uridad de Acti5os de $(or%aci)$G - , / NO , / 21) RE9iste$ %eca$is%os de custodiaG - , / NO , / 22) R-e a&rue+a$ los ca%+ios, %odi(icacio$es de los &ro*ra%as e i$cor&oraci)$ de $ue5as 5ersio$es %edia$te co$troles de ca%+io a&ro+ado &or los ad%i$istradores y su res&ecti5o co%it8 de ca%+iosG - , / NO , / 23) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a la +ase de datosG - , / NO , / Cu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 24) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a la +i+lioteca de la +ase de datosG RCu2lesG - , / NO , / Cu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 25) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso &ro*ra%as de la +ase de datosG RCu2lesG - , / NO , / Cu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 26) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a las a&licacio$es de los usuarios de la +ase de datosG RCu2lesG - , / NO , / Cu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 27) R-e cue$ta$ co$ $or%as &ara la de(i$ici)$, co$trol, actuali:aci)$ y %o$itoreo de las +ases y estructuras de datosG - , / NO , / 28) RCu2les so$ los %eca$is%os 3ue ase*ura$ el cu%&li%ie$to de las $or%as de de(i$ici)$, co$trol, actuali:aci)$ y %o$itoreo de las +ases estructuras de datosG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 29) RCu2l es la (recue$cia co$ las 3ue se e'ecuta$ las co&ias de se*uridad de las estructuras y +ase de datosG !iarias= JJJ -e%a$ales= JJJ Tri%estrales= JJJ -e%estrales= JJJ A$ules= JJJ 30) RE9iste$ &rocedi%ie$tos de recu&eraci)$ 3ue ase*ure$ la dis&o$i+ilidad de la +ase de datosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 31) RCu2les so$ los $i5eles de co$trol de acceso a la i$(or%aci)$G JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 32) R>ui8$es so$ las &erso$as autori:adas de actuali:ar la +ase de datosG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 33) RCuales &erso$as tie$e$ acceso &ara 1acer ca%+ios a la +i+lioteca del siste%a ad%i$istrati5o de +ase de datosG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 34) RE9iste$ restriccio$es &ara el i$*reso o i$clusi)$ de los datos e$ las estructuras de .ase de !atosG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 35) R-e cu%&le$ co$ los li$ea%ie$tos ,docu%e$taci)$, 'usti(icaci)$ y autori:aci)$/G - , / NO , / 36) R-e cue$ta co$ &rocedi%ie$tos escritos &ara la recu&eraci)$ de +ase y estructura de datos e$ caso de u$a destrucci)$ total o &arcialG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 37) R-e dis&o$e de %eca$is%os de se*uridad 3ue *ara$tice$ la &rotecci)$ co$tra la destrucci)$ accide$tal o deli+eradaG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 38) R-e dis&o$e de %eca$is%os de se*uridad 3ue *ara$tice$ la &rotecci)$ co$tra los accesos $o autori:adosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 39) REst2$ estos %eca$is%os a5alados &or el &erso$al de Auditor4a de -iste%as y -e*uridad de Acti5os de $(or%aci)$G - , / NO , / 40) RE9iste$ %eca$is%os de custodiaG - , / NO , /
41) R-e a&rue+a$ los ca%+ios, %odi(icacio$es de los &ro*ra%as e i$cor&oraci)$ de $ue5as 5ersio$es %edia$te co$troles de ca%+io a&ro+ado &or los ad%i$istradores y su res&ecti5o co%it8 de ca%+iosG - , / NO , / 42) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a la +ase de datosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 43) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a la +i+lioteca de la +ase de datosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 44) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso &ro*ra%as de la +ase de datosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 45) R-e cue$ta co$ co$troles y &rocedi%ie$tos &ara &re5e$ir el acceso a las a&licacio$es de los usuarios de la +ase de datosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 46) R-e cue$ta$ co$ $or%as &ara la de(i$ici)$, co$trol, actuali:aci)$ y %o$itoreo de las +ases y estructuras de datosG - , / NO , / 47) RCu2les so$ los %eca$is%os 3ue ase*ura$ el cu%&li%ie$to de las $or%as de de(i$ici)$, co$trol, actuali:aci)$ y %o$itoreo de las +ases estructuras de datosG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 48) RCu2l es la (recue$cia co$ las 3ue se e'ecuta$ las co&ias de se*uridad de las estructuras y +ase de datosG !iariaJJJ -e%a$alJJJ Me$sualJJJ Tri%estralJJJ -e%estralJJJ A$ualJJJ 49) RE9iste$ &rocedi%ie$tos de recu&eraci)$ 3ue ase*ure$ la dis&o$i+ilidad de la +ase de datosG RCu2lesG - , / NO , / RCu2lesG JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 50) RE9iste$ %eca$is%os 3ue *ara$tice$ la correcci)$, i$te*ridad y co$siste$cia de las relacio$es e$ la +ase de datosG - , / NO , / 51) RE9iste u$ c1ecElist 3ue ayude a la reacti5aci)$ del ser5icio lue*o de u$a (alla %ayorG - , / NO , / 52) R-e reali:a %a$te$i%ie$to a las +ases de datos do$de, se realice$ or*a$i:aci)$ de la estructura y as4 ad%i$istrar %e'or el es&acio e$ disco y las relacio$es de las relacio$es de las ta+lasG - , / NO , / 53) RE9iste$cia de u$ &rocedi%ie$to 3ue *ara$tice el cu%&li%ie$to de los &rocedi%ie$tos de(i$idos &ara los %a$te$i%ie$tos de de las +ases de datosG - , / NO , / 54) RE9iste u$a 1erra%ie$ta de %o$itoreo 3ue ayude al dese%&e<o o&ti%o de la +ase de datosG - , / NO , / 55/ La 1erra%ie$ta de %o$itoreo se e$car*a de= o Ma$e'os de accesos y estructura de la +ase de datos -i JJJ NoJJJ o Li%itaci)$ de acceso &or usuario0 -i JJJ NoJJJ o Li%itaci)$ de los ca%+ios y actuali:aci)$ de arc1i5os0 -i JJJ NoJJJ o Re*istrar las tra$saccio$es de accesos y ca%+ios &ara co$trol, auditoria y recu&eraci)$0 -i JJJ NoJJJ o Li%itaci)$ de usuarios a las +ases de datos de &rue+as0 -i JJJ NoJJJ 56) R-e &osee u$a +it2cora de accio$es e$ la +ase de datos y sus estructurasG - , / NO , / 5T/ La +it2cora cue$ta co$ re*istro de= o Todos los datos +orrados de las +ases de datos0 -i JJJ NoJJJ o Ori*e$ ,i$ter$o o e9ter$o/ de todas las tra$saccio$es0 -i JJJ NoJJJ o Utili:aci)$ de la +ase de datos &or &erso$as disti$tas a los usuarios 3ue tie$e$ accesos autori:ados a la a&licaci)$0 -i JJJ NoJJJ o "iolacio$es de se*uridad co$ res&ecto a las +ases de datos0 -i JJJ NoJJJ o Reor*a$i:acio$es o si$to$i:acio$es de las +ases de datos0 -i JJJ NoJJJ o Uso de las utiler4as de las +ases de datos0 -i JJJ NoJJJ o Estado del siste%a 3ue &ueda ser re3uerido &ara rei$icio o ca%+io de datos err)$eos0 -i JJJ NoJJJ 58) RE9iste$ %a$uales de &rocedi%ie$tos &ara todas las a&licacio$es del %a$e'o de los &ro*ra%as 3ue accede$ a las estructuras y +ases de datos0G - , / NO , / 59) R-e e$cue$tra$ esta$dari:ados toda la docu%e$taci)$ de todos los &ro*ra%as y a&licacio$es desarrolladas i$ter$as co%o e9ter$as, a$tes de 3ue las %is%as e$tre$ e$ &roducci)$G - , / NO , / 60) RE9iste docu%e$taci)$ de los est2$dares de &rue+a de &ro*ra%as 3ue es&eci(i3ue$ los criterios &ara *e$erar, re5isar y res*uardar datos de &rue+asG - , / NO , /
61) R-e utili:a el diccio$ario de datos &ara %a$te$er el rastreo de los datos a tra58s de las a&licacio$es 3ue lo e%&lea$G - , / NO , / 62) RE9iste co$trol de acceso al lu*ar e$ el cual se e$cue$tra$ al%ace$ados los arc1i5os de las +ases de datos0G - , / NO , / 63) Las &erso$as autori:adas, Rtie$e$ dic1a autori:aci)$ &or escrito, %a$ual de descri&ci)$ de car*os y (u$cio$es, otro docu%e$toG - , / NO , / 7S/ Mostrar la docu%e$taci)$ 3ue certi(i3ue los &rocedi%ie$tos de res&aldo y recu&eraci)$ 3ue se utili:ara$ e$ caso de (alla e$ las +ases de datos, o de destrucci)$ &arcial o total0 - , / NO , / 65) -olicitar docu%e$taci)$ do$de se 5eri(i3ue 3ue los &rocesos de res&aldo, recu&eraci)$ y restauraci)$ de la i$(or%aci)$ de las +ases de datos (uero$ &ro+adas i$cluso a$tes de e$trar e$ &roducci)$G - , / NO , / C",-1u'",&' La auditoria es la 1erra%ie$ta 3ue ayuda a %a$te$er el co$trol so+re todas la 2reas del $e*ocio, cual3uiera 3ue sea su $aturale:a, es u$a (or%a de actuali:arse y %a$te$erse al corrie$te de la situaci)$ actual de la e%&resa y las 2reas 3ue la co$(or%a$0 E$ las +ases de datos ta%+i8$ es 5ital el esta+leci%ie$to de co$troles e(ecti5os, de+ido a 3ue es a14 do$de re&osa toda la i$(or%aci)$ se$si+le de la or*a$i:aci)$ e i$cluso de e$tes e9ter$os a la or*a$i:aci)$ co%o es el caso de los clie$tes0 La i%&orta$cia de las +ases de datos (uero$ %ostradas a tra58s de todo el i$(or%e y lo se$si+le de esta 1erra%ie$ta tec$ol)*ica $os o+li*a a $o descuidarlas0 Las .ases de !atos Oracle, %ostraro$ lo ro+ustas 3ue so$ &ara el %a$e'o de &e3ue<as e%&resas co%o &ara *ra$des cor&oracio$es, y la *a%a de &roductos e$ el 2%+ito de se*uridad 3ue %a$tie$e$ total%e$te actuali:ados &ara %iti*ar los ries*os 3ue las +ases de datos &ueda$ estar e9&uestas0 Las 1erra%ie$tas, co%o utili:arlas, e$ 3ue 2rea es&ec4(ica utili:arlas (ue %ostrado y e9&licado, de'a$do al lector co$ +ue$a i$(or%aci)$ y %oti52$dolo a i$5esti*ar %2s so+re cual3uier &u$to 3ue desee desarrollar0
B71"4#%($% Auditoria $(or%2tica, !is&o$i+le= http://www.ajpdsoft.com/modules.php? name=News&file=article&sid=415#comoejecutarcomandossql NCo$sulta= 27 de A+ril, 2011O .ase de !atos Co+it, !is&o$i+le http://www.bluecoreresearch.com/papers/cobit.pdf NCo$sulta= 2M de A+ril, 2011O $troducci)$ a la Auditor4a -i%&le, !si&o$i+le http://www.petefinnian.com/papers/audit.sql NCo$sulta= 2M de A+ril, 2011O Gesti)$ de -e*uridad de .ase de !atos http://www.desarrolloweb.com/articulos/estion!seuridad!oracle!".html NCo$sulta= 01 de Mayo, 2011O Access Co$trol o$ Ta+les, "ie@s, -y$o$y%s, or Ro@s http://download.oracle.com/docs/cd/B19306_01/network.102/1426 6/accessre.htm!"#$$%&'% NCo$sulta= 02 de Mayo, 2011O 12 co$(i*uri$* a$d ad%i$isteri$* auditi$* 1tt&=??do@$load0oracle0co%?docs?cd?.1MK07J01?$et@orE0102?+1S277?c(*audit01t%U.A.CQH . NCo$sulta= 2L de A+ril, 2011O A$2lisis, desarrollo e i%&le%e$taci)$ de auditor4a e$ la +ase de datos http://e! archi#o.uc$m.es/bitstream/1%%1&/1%5''/1/pfc(memoria)&(*lemente(+ernande,(-u erto.pdf NCo$sulta= 20 de A+ril, 2011O -e*uridad de la $(or%aci)$ http://www.wor.tec.com.ar/consetic/%%5/consecri/pdf/*onsecri0/%/1!%2!%1/3al 0+$n0/%4ultimedia/56posiciones//2!3e0/%de0/%la0/%"nf0/%70/%sus 0/%requerimientos.pdf NCo$sulta= 2 de Mayo, 2011O