Académique Documents
Professionnel Documents
Culture Documents
Auditoría de Sistemas
AUDITORIA
DE
BASE DE DATOS
Integrante:
Reyker Escalona
C.I: 19.407.999
Contenido
1. Introducción
2. Metodología para la Auditoría de Base de Datos
2.1 Metodología Tradicional
2.2 Metodología para la Evaluación de Riesgos
3. Objetivos de Control en el Ciclo de Vida de una Base de Datos
3.1 Estudio previo y Plan de Trabajo
3.2 Concepción de la base de datos y selección del equipo
3.3 Diseño y Carga
3.4 Explotación y Mantenimiento
3.5 Revisión post-implantación
3.6 Otros procesos auxiliares
4. Auditoría y control interno en un entorno de base de datos
4.1 Sistema de gestión de base de datos (SGBD)
4.2 Software de auditoría
4.3 Sistema de monitorización y ajuste (tuning)
4.4 Sistema Operativo
4.5 Monitor de transacciones
4.6 Protocolos y sistemas distribuidos
4.7 Paquete de seguridad
4.8 Diccionario de datos
4.9 Herramientas de Minería de datos
5. Técnicas para el control de base de datos en un entorno complejo
5.1 Matrices de Control
5.2 Análisis de los caminos de acceso
6. Normalización
7. Integridad Referencial en las bases de datos
8. Definición de los perfiles de usuarios en los sistemas de gestión de base de datos
9. Otros elementos de interés para realizar la auditoría de base de datos
10. Conclusiones y Recomendaciones
11. Bibliografía
INTRODUCCION
Objetivo de Control:
Luego que los responsables directos de las áreas afectadas discuten las
conclusiones (situación actual, riesgo existente y la deficiencia a solucionar), el
auditor presenta un informe final donde también sugerirá una posible solución.
DISEÑO Y CARGA
EXPLOTACIÓN Y MANTENIMIENTO
REVISIÓN POST-IMPLANTACIÓN
Hay que tener en cuenta que usuarios poco formados constituyen uno de los
peligros más importantes de un sistema. Esta formación no debería limitarse al área
de las bases de datos, sino que tendría que ser complementada con formación
relativa a los conceptos de control y seguridad.
SOFTWARE DE AUDITORÍA
Son paquetes que pueden emplearse para facilitar la labor del auditor, en
cuanto a la extracción de datos de la base, el seguimiento de las transacciones,
datos de prueba, etc. Hay también productos muy interesantes que permiten
cuadrar datos de diferentes entornos permitiendo realizar una verdadera "auditoría
del dato”.
SISTEMA OPERATIVO
Cada vez más se está accediendo a las bases de datos a través de redes,
con lo que el riesgo de violación de la confidencialidad e integridad se acentúa.
También las bases de datos distribuidas pueden presentar graves riesgos de
seguridad.
PAQUETE DE SEGURIDAD
DICCIONARIO DE DATOS
datos (puesto que son bases de “metadatos"), las diferencias entre unos y otros,
residen principalmente en que un fallo en una base de datos puede atentar contra la
integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo
en un diccionario (o repositorios, suele llevar consigo una pérdida de integridad de
los procesos: siendo más peligrosos los fallos en los diccionarios puesto que
pueden introducir errores de forma repetitivo a lo largo del tiempo, que son más
difíciles de detectar, Perry (1991).
MATRICES DE CONTROL
Estas matrices sirven para identificar los conjuntos de datos del SI junto con
los controles de seguridad o integridad implementados sobre los mismos.
ANÁLISIS DE LOS CAMINOS DE ACCESO
NORMALIZACIÓN
Determinar los valores para los límites sobre los recursos de un perfil.
Antes de crear perfiles y configurar los límites sobre los recursos asociados a ellos,
se determina los valores apropiados para cada límite sobre un recurso. Estos
valores se basan en el tipo de operaciones y los usuarios típicos que las ejecutan.
Usualmente, la mejor manera para determinar los valores apropiados para los
límites sobre los recursos que usará un perfil es reunir la información histórica
acerca de cada tipo de recurso usado.
Tipos de Auditoría Descripción
La auditoría de sentencias SQL por tipo de
sentencia, no por el esquema específico de
objetos sobre el cual se está operando.
Típicamente extensa, la auditoría de sentencias
audita el uso de varios tipos de acciones
AUDITORÍA DE SENTENCIAS relacionadas para cada opción. Por ejemplo,
AUDIT TABLE traza diferentes sentencias DLL
respecto a la tabla sobre la cual ellas son dadas.
Se puede fijar la auditoría de sentencias para
auditar a usuarios seleccionados o a todos los
usuarios en la base de datos.
Auditar el poderoso sistema de privilegios
habilitando las correspondientes acciones, tales
como AUDIT CREATE TABLE. La auditoría de
privilegios está más enfocada a la auditoría de
AUDITORÍA DE PRIVILEGIOS sentencias, porque ésta audita solo el uso del
privilegio objetivo. Se puede fijar la auditoría de
privilegios para auditar a un usuario
seleccionado o cualquier usuario en la base de
datos.
Auditar sentencias específicas sobre un objeto
particular del esquema, tal como AUDIT
SELECT ON EMPLEADOS. La auditoría de los
AUDITORÍA DE LOS OBJETOS DEL objetos del esquema está muy enfocada, audita
ESQUEMA solo una sentencia específica sobre un objeto
específico del esquema. Auditar un objeto del
esquema siempre se aplica a todos los usuarios
de la base de datos.
Audita el acceso a datos y las acciones basadas
sobre el contenido. Usando DBMS_FBA, el
administrador de seguridad crea una política
sobre la tabla objetivo. Si alguna de la filas
AUDITORÍA FINE-GRAINED
retorna de un bloque de sentencias DML se
encuentra una condición de auditoría, entonces
una entrada de evento de auditoría es insertada
dentro de un rastro de auditoría (audit trail).
CONCLUSION
Al realizar este trabajo nos pudimos dar cuenta que con el pasar del tiempo
en de vital importancia ir mejorando cada vez más los métodos existentes para
auditar los SGDB ya que cada vez se necesita un personal especializado y no solo
realizar el proceso al existir una BD ya implantada sino que se comiencen a integrar
el auditor a los equipos de desarrollo para así reducir ciertos gastos y aumentar el la
efectividad de los proyectos en cuestión. Cabe destacar que las empresas deben
asumir un rol en cual, tomen los datos como una de las posesiones más preciadas
en la organización.
BIBLIOGRAFIA