Auditoria de Base de

Datos y aplicaciones
 AVILA CAPRISTAN DIANA

 CHAMACHE PEREDA VANESA

 CHAPA CARRANZA KATHIUSCA

 CRUZ CADILLO MABEL

 JARA ESPINOZA JHOSELYN

 LECCA REYNA EDISON

 PASIÓN RODRÍGUEZ KAROLAY

UNIVERSIDAD NACIONAL
DEL SANTA
LO PRINCIPAL…
VISIÓN

MISIÓN
Brindar formación profesional humanística, científica y
Todos desarrollan su potencial desde la primera infancia, acceden al
tecnológica a los estudiantes, con calidad y responsabilidad
mundo letrado, resuelven problemas, practican valores y saben seguir
social y ambiental.
aprendiendo, se asumen ciudadanos con derechos y responsabilidades
y contribuyen al desarrollo de sus comunidades y del país combinando
su capital cultural y natural con avances mundiales.
ORGANIGRAMA UNS

4
ORGANIGRAMA VICERRECTORADO ACADÉMICO
VICERRECTORADO ACADEMICO

DIRECCION DE INFORMATICA Y
DOCUMENTACIÓN (DID)

OFICINA DE TECNOLOGÍAS DE
OFICINA DE NORMALIZACION Y OFICINA DEL SITEMA DE OFICINA DE PROYECTOS DE
INFORMACIÓN Y COMUNICACIONES
GOBIERNO CORPORATIVO BIBLIOTECAS INNOVACION TECNOLOGICA
(OTIC)

UNIDAD DE
DESARROLLO, UNIDAD DE GOBIERNO UNIDAD DE SERVICIOS UNIDAD DE SERVICIOS
EVALUACIÓN Y DE TI DE BIBLIOTECA DE BIBLIOTECA
MANTENIMIENTO DE
SISTEMAS DE
INFORMACIÓN (UDEMSI)

UNIDAD DE
ESTANDARIZACION Y UNIDAD DE PROCESOS UNIDAD DE PROCESOS
UNIDAD DE GESTIÓN DE TECNICOS TECNICOS
INFRAESTRUCTURA DE PROCESOS
COMUNICACIONES,
EQUIPAMIENTO Y
SOPORTE
INFORMÁTICO UICESI

UNIDAD DE SEGURIDAD
DE LA INFORMACION

UNIDAD DE CENTRAL
TELEFONICA UCA
UNIDAD DE GESTION
DE SERVICIOS DE TI

UNIDAD DE
SERVIUCIOS UNIDAD DE CALIDAD
ACADEMICOS USA DE SW Y AUDITORIA DE
TI

5
ORGANIGRAMA UDEMSI

Coordinador
de Sistemas

Administrador
Analista y Asistente
de Base de
diseñador de documentador
Datos y
sistemas y probador
Seguridad

Programador Programador Programador

(Administrador) (Académico) (Servicios)

6
 ROF UNS

VINCULACIÓN CON LA UDEMSI

– Organizar, actualizar y mantener la custodia de los historiales
académicos relacionados con los sílabos, actas finales de
notas de las asignaturas y currículos;
– Elaborar y adecuar permanentemente a los fines y realidad
institucional, el sistema de evaluación docente y la del
desarrollo y evaluación curricular, así como el sistema único
de evaluación del estudiante

7
 Metodología
5 etapas basado en el modelo de madurez de COBIT,
Tareas en base controles de seguridad del estándar de seguridad
ISO/IEC y conjunto de directrices de "mejores prácticas" de ITIL

por Sandra Saucedo Mejía, Luis Alberto Gutiérrez Díaz de León, Alejandro Ayala López y Jorge
Lozoya Arandia
Modelo propuesto de auditoría de
Base de datos
1. Diagnosticar

5. Conservar

2. Planear

4. Revisar

3. Ejecutar

The Power of PowerPoint | thepopp.com 9

 ETAPA 1°: DIAGNOSTICAR

El objetivo de esta etapa, es obtener un panorama del estado actual de la

organización y para ello se utiliza el modelo de madurez de COBIT.

10
Modelo de madurez COBIT

NIVEL NO-EXISTENTE (Valoración 0%)

1
No hay procesos definidos y documentados

NIVEL INICIAL (Valoración 25%)

Logra ubicar a la organización en un 2
Deficiencias en la operación de los procesos.
grado de madurez de acuerdo a la
evaluación de un conjunto de NIVEL DEFINIDO (Valoración 50%)

objetivos de control. 3 Se conoce políticas de seguridad e información, pero no existe documentación.

Se considera 5 niveles de madurez NIVEL ADMINISTRABLE Y MEDIBLE (Valoración 75%)

con valores que oscilan entre 0 y 1 4 Existe evaluación formal y administrada, pero no todos los problemas se
identifican.

NIVEL OPTIMIZADO (Valoración 100%)

5
Cumple con todas las categorías y tiene monitoreo continuo.

11
Método de evaluación
Método de evaluación
de preguntas

Método de la
entrevista
• Seguridad.

• Responsabilidades. Nivel de conformidad asociado a las

• Controles de la información. respuestas de cada una de las preguntas.
• Documentación de procedimientos.

• Legislación en materia de uso de la información.

12
Cálculo del grado de madurez por categoría

Se contabiliza el número de respuestas obtenidas para

cada uno de los 3 niveles de conformidad.

La cantidad obtenida se debe multiplicar por el valor de

cumplimiento asociado a cada casilla con la finalidad de
obtener un puntaje global por nivel de conformidad.

Finalmente, se suman los puntajes globales de los 3

niveles de conformidad y se divide la sumatoria entre el
número total de preguntas de la categoría.

The Power of PowerPoint | thepopp.com 13

 Grado de madurez
general

Después de obtener el grado de madurez por

cada una de las 5 categorías y el valor
asignado a éstas, se calcula el promedio
general sumando dichos valores y
dividiendo el total entre el número de
categorías, el resultado obtenido es el grado
de madurez general de la organización y se
llena en la siguiente ficha.

14
 ETAPA 2°: PLANEAR

La planeación va en función del nivel de madurez adquirido, una vez que se

obtiene el resultado de la ponderación se realiza la proyección considerando los
puntos no alcanzados para obtener el grado de madurez.
15
 CATEGORIAS

Objetivo de Es un objetivo de evaluación y una

Control vez identificado se pueden definir
los riesgos que pertenecen
16
 MATRIZ DE
RIESGO

Se logra evidenciar y explotar los principales

riesgos que pueden afectan a la organización,
generar consciencia de las afecciones que
podría tener y sobre todo el contar con planes
de acción que mitiguen dichos eventos.

17
 Identificación de riesgos

Riesgos
Matriz de Riesgos

18
 Evaluación de Impacto y Probabilidad

Esto permite hacer una evaluación

sencilla y rápida, donde se preste más
atención a los riesgos más relevantes
(zona roja), y menos a los poco
relevantes (zona verde)

Diseño de pruebas de cumplimiento

Las pruebas a los controles tienen como objetivo evaluar la
eficiencia, eficacia y desarrollo de los controles, los cuales
evitan que el riesgo se materialice y busca verificar el
cumplimiento de los procedimientos y estándares establecidos
en la organización
19
Matriz de control

Es una herramienta surgida de la imperiosa necesidad de accionar

proactivamente a los efectos de suprimir y /o disminuir significativamente
la multitud de riesgos a los cuales se ven afectadas las organizaciones.
20
Matriz de riesgos

21
 ETAPA 3°: EJECUTAR
Abarcar las tareas de aquellas categoríasque aún no alcanzan el gradode
madurez óptimo y están dirigidas a los objetivos de controlque aún no se cumplen.

22
 Auditoría del SGBD

El sistema de gestión de base de datos tiene

multitud de componentes (todos auditables).

 Kernel

 Catálogo

 Utilidades de administración (descarga /

recarga, rearranques, logs...)

 Pistas de auditoría (no sólo logs)

 Lenguajes de cuarta generación sobre ella

Habrá que revisar esos entornos, además de

comprobar que se utilizan las propias
herramientas del SGBD para auditoría control y
siguiendo las políticas y procedimientos
definidos..

23
 Auditoría del entorno SGBD
Cada vez es más importante auditar también el entorno alrededor de la
Base de Datos.

 Software de auditoría (extracción de datos-

pistas, seguimiento transacciones...)

 Monitorización y ajuste (estadísticas,

tiempos, avisos degradación...)

 Sistema Operativo subyacente (control de

memoria, gestión buffer, dead-lock...)

 Sistemas distribuidos (asegurar al menos

funciones de administración de datos y de
bases de datos centralizadas y fuertes)

 Paquetes de seguridad (mejor si integrado

en SGBD, pero se venden también como ad-
in sobre BD comerciales –a veces es malo:
interface entre ellos vulnerable)

 Diccionario de datos (ahora lo llevan todos

los SGBD, pero antes había algunos que no).

24
Auditoría del entorno SGBD
Cada vez es más importante auditar también el entorno alrededor de la
Base de Datos.

 Herramientas CASE (si existen, comprobar

que se han utilizado según la metodología y
niveles de calidad/seguridad aprobados)

 L4G externos (las aplicaciones generadas

con L4G externos tienen que seguir los
mismos procedimientos de petición de
desarrollo y autorización)

 Facilidades y aplicaciones de usuario.

Realmente desconectan al usuario de la
estructura de datos que hay detrás.

 Herramientas de minería de datos (controlar

la política de si acceden a la propia Base de
Datos o se hace con carga en otro entorno.

25
 ETAPA 4°: REVISAR
Esta etapa se enfoca a comprobar que se cumplan cada uno de los objetivos de
control especificados en la etapa de ejecución, se verifica a detalle que todo se
efectué, identificando de esta manera los puntos que se cumplen y los que no.
26
 Herramientas
Revisar controles

Diagrama de Ishikawa

Listas de Control
(check-list)
La lista de control, tiene como objetivo
Sirve para identificar problemas y tomar acciones
fundamental la verificación de la
correctivas dado que se deberá actuar con precisión
existencia de controles en cada uno de
sobre el fenómeno que explica el comportamiento no
los procesos evaluados
deseado.

27
 Herramientas
Revisar controles

Diagrama de Pareto
El diagrama de Pareto muestra un gráfico
El 80% de las consecuencias son el resultado del 20%
de barras que permite determinar, qué
de las causas.
problemas se deben resolver primero. Por
medio de las frecuencias de las
ocurrencias, de la mayor a la menor.
28
Aplicación de la
metodología:
Verificación de
controles
 Gestión de activos
 Seguridad física y del entorno
 Gestión de comunicaciones y
operaciones
 Intercambio de la información
 Monitoreo
 Control de acceso
29
 Etapa 5: Conservar
Establecer tareas para garantizar que los controles se mantengan en el estado en el que se documenta.

1 Consideraciones de riesgo de auditoría.

2 Optimo monitoreo.

3 Garantizar políticas de comunicación.

4 Emisión de una conclusión.

30
Etapa 5: Conservar

Se realiza una documentación acerca de los

de los accesosalmacenados en la base de
datos con el fin demonitorear y tener en
constancia de quela información
almacenadaesté segura.

31
 Herramientas

Permite elaborar un diagnóstico de los

Inventario Físico recursos de información.

Permite comprender los mecanismos de

Mapeo de Información almacenamiento y modo que se
actualizan.

Determinar qué información requieren

Análisis de las necesidades
los usuarios y la entidad para alcanzar
de la información sus objetivos.

Enfoque basado en riesgos en los

ISO 9001:2015 Sistemas de Gestión de la Calidad.

32
 El DBA es el Copias de
único en seguridad
acceder a la son
base de almacenadas
datos. en disco
duro
externo.

UDEMSI Dos veces al Migración a

tienen día se un nuevo
auditorías realiza la gestor de
externas e copia de base de
internas. seguridad de datos SQL
la BD. Server.

33
 Problemas y Estrategias
Debilidad encontrada y/o Hallazgo
Objetivo General de la Auditoria
Control de acceso Nivel de Riesgo: Bajo

Riesgos Condición Soporte a Herramientas de auditoria

Causa Se trabaja con el SGBD ASA v.9.5 del año 2007 y tiene políticas de
auditoria antiguas.

Efecto Las herramientas antiguas no tienen bien implementadas los

Control estándares de acceso a datos

Recomendación:
Se debe realizar una migración de SGBD a una herramienta
empresarial más actual y estándar, debe ser capaz de capturar todo
el contexto de sesión sin excepciones.

Comentarios TI: La jefatura de OTIC ya considera realizar una migración

The Power of PowerPoint |

thepopp.com
34
 Problemas y Estrategias
Debilidad encontrada y/o Hallazgo
Control de acceso 1Nivel de Riesgo: Bajo
Aspectos
Condición No existe un registro de Acceso denegados
• Quién toca qué datos
Causa No se encuentran listados de todos aquellos intentos de
2accesos no satisfactorios o denegados a estructuras, • Cuándo los toca los datos.
tablas físicas y lógicas del repositorio, el log (registro de
transacciones) de la base de datos almacena transacción
hecha a una base de datos
3
Efecto La captura de conexiones fallidas a la base de datos es
obviamente importante, ya que nos puede ayudar a
detectar intentos de intrusión.
4
Recomendación: Implementar una herramienta capaz de capturar todo el
contexto de sesión sin excepciones.
Comentarios TI 5Se captura las sesiones y procedimiento que utilizo un
desarrollador.
 Debilidad encontrada y/o Hallazgo Debilidad encontrada y/o Hallazgo

Control de Nivel de Riesgo: Medio

Control de acceso Nivel de Riesgo: Medio
acceso
Condición Separación de pruebas y producción
Condición Actualización de claves

Causa El control del acceso durante las pruebas de los

programas y aplicaciones es bajo. Causa No se obliga el cambio de la contraseña de forma automática.

Efecto Se distorsiona la producción de datos y los datos

confidenciales corren riesgo de exposición y
perdida.
Efecto Existe un mayor riesgo de que las claves pueden ser obtenidas y usadas
Recomendación: Las pruebas deben realizarse utilizando una base si no se cambiar regularmente.
de datos de prueba y no se trabaja en un entorno de
producción, esta buena práctica debe estar
Recomendación: El jefe del área de OTIC debe requerir a la totalidad de empleados del
documentada.
área de UDEMSI el cambio periódico de las claves.
Comentarios TI Los proyectos en curso se trabajan con una base de
datos de pruebas, pero todavía no existe en la
documentación un marco de referencia que sea
aplicable a todos los proyectos. Comentarios TI Lo que hace el sistema automáticamente es quitarle todos los privilegios
al usuario que fue retirado.

The Power of PowerPoint |

thepopp.com
36
 Problemas y Estrategias

Debilidad encontrada y/o Hallazgo Debilidad encontrada y/o Hallazgo

Control de Nivel de Riesgo: Medio

Control de acceso Nivel de Riesgo: Medio
acceso
Condición Separación de pruebas y producción
Condición Actualización de claves

Causa El control del acceso durante las pruebas de los

programas y aplicaciones es bajo. Causa No se obliga el cambio de la contraseña de forma automática.

Efecto Se distorsiona la producción de datos y los datos

confidenciales corren riesgo de exposición y
perdida.
Efecto Existe un mayor riesgo de que las claves pueden ser obtenidas y usadas
Recomendación: Las pruebas deben realizarse utilizando una base si no se cambiar regularmente.
de datos de prueba y no se trabaja en un entorno de
producción, esta buena práctica debe estar
Recomendación: El jefe del área de OTIC debe requerir a la totalidad de empleados del
documentada.
área de UDEMSI el cambio periódico de las claves.
Comentarios TI Los proyectos en curso se trabajan con una base de
datos de pruebas, pero todavía no existe en la
documentación un marco de referencia que sea
aplicable a todos los proyectos. Comentarios TI Lo que hace el sistema automáticamente es quitarle todos los privilegios
al usuario que fue retirado.

The Power of PowerPoint |

thepopp.com
37
 CONCLUSIONES

El riesgo mayor es el que va ligado a la figura del administrador de bases de datos (DBA). Sus actividades
1
dan cuenta de hasta un 80 por ciento de las amenazas que afectan a las bases de datos

En la gestión de contraseñas que la configuración de contraseñas a utilizar por el usuario está debe
ajustarse a las buenas prácticas: No repetición contraseñas, vigencia máxima de contraseñas de
2
utilización de contraseña (al menos 30 días), que las fechas de cambio de contraseñas reales se
corresponden con las políticas aprobadas.

3 Se debe garantizar que el sistema operativo tiene instalados los últimos parches.

Las herramientas de desarrollo que se utilicen como memorias y laptop son entregadas y no se permitiría
4 el uso de dispositivos personales

The Power of PowerPoint | thepopp.com 38

GRACIAS