Professional Documents
Culture Documents
Curso: 5k2
Profesor: Ing. Antonelli Matterson
JTP: Ing. Spesso
AUDITORÍA DE
BASES DE DATOS
Índice:
Introducción ...............................................................................................3
La Auditoría de BD es importante porque ......................................................4
¿Qué es la Auditoría de BD? .........................................................................4
Objetivos Generales de la Auditoría de BD.....................................................4
Aspectos Claves ..........................................................................................5
Mediante la auditoría de bases de datos se evaluará ......................................5
Metodologías para la auditoría de Base de Datos ...........................................6
Planificación de la Auditoria de BD................................................................6
Metadatos .......................................................................................................... 7
Consideraciones Generales......................................................................... 12
Objetivos de Control en el ciclo de vida de una Base de Datos ...................... 12
Estudio previo y Plan de Trabajo ................................................................ 12
Concepción de la Base de Datos y Selección del Equipo................................ 14
Diseño y Carga ......................................................................................... 15
Explotación y Mantenimiento...................................................................... 15
Revisión post-implantación......................................................................... 16
Sistema de Gestión de Base de Datos SGBD ................................................ 17
Introducción
Las bases de datos son el activo más importante para las organizaciones, ya que
poseen toda la información de la empresa, datos confidenciales que en manos ajenas
puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en la
seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y
también denegarlos. Con la auditoría de bases de datos se busca monitorear y
garantizar que la información está segura, además de brindar ayuda a la organización
para detectar posibles puntos débiles y así tomar precauciones para resguardar aún
más los datos.
– Auditoría de Datos
– Monitoreo de Datos
Aspectos Claves
• Segregación de funciones
Planificación de la Auditoria de BD
- Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que
consta de una serie de cuestiones a verificar, registrando los resultados de su
investigación. En esta investigación se confecciona una lista de control de todos los
aspectos a tener en cuenta.
Este tipo de metodología, conocida también por Risk oriented approach es la que
propone la ISACA y empieza fijando los objetivos de control que minimizan los
riesgos potenciales a los que está sometido el entorno.
Metadatos:
Modelos de datos:
Un modelo de datos define las reglas generales para la especificación de la estructura
de los datos y el conjunto de operaciones permitidas sobre ellos.
Estructuras:
conjunto de conceptos que permiten representar las características estáticas de los
datos. Las estructuras se pueden especificar de dos maneras:
Representación de los datos e interrelaciones entre ellos: descripción de empleado,
departamento e interrelación.
Restricciones sobre los datos: ningún empleado cobra más que su jefe.
Metadatos:
Metadatos (del griego µετα, meta, «encima de» y latín datum, «lo que se da»,
«dato»), literalmente «sobre datos», son datos que describen otros datos, metadatos
son «datos sobre datos».
Otro concepto que algunos autores siguen es, que los metadatos son datos
estructurados y codificadas que describen características de instancias (objetos)
conteniendo informaciones para ayudar a identificar, descubrir, valorar y administrar
las instancias descritas.
Los metadatos pueden describir colecciones de objetos y también los procesos en los
que están involucrados, describiendo cada uno de los eventos, sus componentes y
cada una de las restricciones que se les aplican.
Por ejemplo, una fotografía en la boda de un amigo con nuestra cámara digital. La
fotografía, una vez guardada en el disco duro de nuestro ordenador, es el dato. Si nos
fijamos en las propiedades, hay toda una colección de datos asociados a la fotografía:
el nombre, la fecha, el formato, el propietario,… (y algunos de ellos ya son añadidos
automáticamente por nuestra cámara). Ese tipo de información son metadatos. Es
decir, información sobre un objeto que le proporcionan un valor añadido.
Clasificación:
Función. Los datos pueden ser parte de una de las tres capas de funciones:
subsimbólicos, simbólicos o lógicos. Estos no contienen información sobre su
significado. Los simbólicos describen datos subsimbólicos, es decir añaden sentido.
Los datos lógicos describen cómo los datos simbólicos pueden ser usados para
deducir conclusiones lógicas, es decir añaden comprensión.
Ciclo de vida:
Creación
Se pueden crear metadatos manualmente, semi automáticamente o
automáticamente. El proceso manual puede ser muy laborioso, dependiente del
formato usado y del volumen deseado, hasta un grado en el que los seres humanos
no puedan superarlo. Por eso, el desarrollo de utillaje semiautomático o automático
es más que deseable.
En la producción automática el software adquiere las informaciones que necesita sin
ayuda externa. Aunque el desarrollo de algoritmos tan avanzados está siendo objeto
de investigación actualmente, no es probable que la computadora vaya a ser capaz
de extraer todos los metadatos automáticamente. En vez de ello, se considera la
producción semiautomática más realista; aquí un servidor humano sostiene
algoritmos autónomos con la aclaración de inseguridades o la proposición de
informaciones que el software no puede extraer sin ayuda.
Manipulación
Si los datos cambian, los metadatos tienen que cambiar también. Aquí se hace la
pregunta quien va a adaptar los metadatos. Hay modificaciones que pueden ser
manejadas sencilla y automáticamente, pero hay otras donde la intervención de un
servidor humano es indispensable.
La meta producción, el reciclaje de partes de recursos para crear otros recursos,
demanda atención particular. La fusión de los metadatos afiliados no es trivial,
especialmente si se trata de información con relevancia jurídica, como por ejemplo la
gestión de derechos digitales.
Destrucción
En algunos casos es conveniente eliminar los metadatos juntos con sus recursos, en
otros es razonable conservar los metadatos, por ejemplo para supervisar cambios en
un documento de texto.
Almacenamiento
Hay dos posibilidades para almacenar metadatos: depositarlos internamente, en el
mismo documento que los datos, o depositarlos externamente, en su mismo recurso.
Inicialmente, los metadatos se almacenaban internamente para facilitar la
administración.
Hoy, por lo general, se considera mejor opción la localización externa porque hace
posible la concentración de metadatos para optimizar operaciones de busca. Por
contra, existe el problema de cómo se liga un recurso con sus metadatos. La mayoría
de los estándares usa URIs, la técnica de localizar documentos en la World Wide
Web, pero este método propone otras preguntas, por ejemplo qué hacer con
documentos que no tienen URI.
Codificación
Los primeros y más simples formatos de los metadatos usaron texto no cifrado o la
codificación binaria para almacenar metadatos en ficheros.
Hoy, es común codificar metadatos usando XML. Así, son legibles tanto por seres
humanos como por computadoras. Además este lenguaje tiene muchas
características a su favor, por ejemplo es muy simple integrarlo en la World Wide
Web. Pero también hay inconvenientes: los datos necesitan más espacio de memoria
que en formato binario y no está claro cómo convertir la estructura de árbol en un
corriente de datos.
Por eso, muchos estándares incluyen utilidades para convertir XML en codificación
binaria y viceversa, de forma que se aúnen las ventajas de los dos.
Vocabularios controlados y ontologías
Para garantizar la uniformidad y la compatibilidad de los metadatos, muchos sugieren
el uso de un vocabulario controlado fijando los términos de un campo.
Monitorización
o Registros de auditoría
o Revisión de uso de sistemas
o Protección de logs
o Logs de administradores y operadores
o Logs de fallo del sistema
o Sincronización de relojes
Control de Acceso
Consideraciones Generales
F ESTUDIO PREVIO Y D C
O PLAN DE TRABAJO O A
R C L
M U I
A CONCEPCION DE LA BD Y M D
SELECCIÓN DEL EQUIPO
C E A
I N D
O T
N DISEÑO Y CARGA A
C
I
O
EXPLOTACION Y
MANTENIMIENTO N
REVISION
POST-IMPLEMENTACION
Se debe comprobar que la alta dirección revisa los informes de los estudios de
viabilidad ya que es la que decide seguir adelante o no con el proyecto. Esto es
fundamental porque los técnicos han de tener en cuenta que si no existe una decidida
voluntad de la organización en un conjunto, impulsada por los directivos, aumenta
considerablemente el riesgo de fracasar en la implantación del sistema.
Diseño y Carga
Explotación y Mantenimiento
COBIT establece que el auditor debe llevar a cabo una auditoria sobre el rendimiento
del sistema de BD verificando además de los ajustes y optimización en el rediseño
lógico y físico, el correcto funcionamiento del SO.
Revisión post-implantación
Entorno de BD
Entre los componentes del SGBD podemos destacar el núcleo _.El Kernel_, el catálogo
(componente fundamental para asegurar la seguridad de la base de datos), las
utilidades para el administrador de la base de datos (entre la que se pueden encontrar
algunas para crear usuario, conceder privilegios y resolver otras cuestiones relativas a
la confidencialidad); las que se encargan de la recuperación de la BD: rearranque,
copias de respaldo, ficheros diarios _Log_, etc. Y algunas funciones de auditoría, así
como los lenguajes de la cuarta generación (L4G) que incorpora el propio SGBD.
Se deberán auditar las ayudas y procedimientos propios del SGBD evaluando su
completitud.
Tipos de Software
Software de Auditoría
Software que ayudan a la extracción de datos, seguimientos de transacciones, datos
de prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes desarrollados
propios de la organización o comprados por ejemplo: RSA The Security Division of
EMC
Sistema Operativo
Control de Transacciones
Paquetes de Seguridad
Diccionario de Datos
• Juegan un papel primordial en el entorno de los SGBD en cuanto a la
integración de componentes y al cumplimiento de la seguridad de datos.
• Constituyen una herramienta clave para que el auditor pueda revisar el diseño
de la DB, comprobar si se ha empleado correctamente la metodología y
asegurar un nivel mínimo de calidad.
– El L4G debe ser capaz de operar en el entorno de proceso de datos con controles
adecuados.
– Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de
automatización y petición que los proyectos de desarrollo convencionales.
– Las aplicaciones desarrolladas con L4G deben sacar ventajas de las características
incluidas en el mismo.
– Uno de los peligros más graves de los L4G es que no se aplican controles con el
mismo rigor que a los programas desarrollados con lenguajes de tercera
generación.
– El Auditor deberá estudiar los controles disponibles el los L4G, en caso negativo,
recomendar su construcción con lenguajes de tercera generación.
Facilidades de Usuario
Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan contra la integridad de los
datos de la base.
• Existen muchos elementos del entorno del SGDB que influyen el la seguridad e
integridad de los datos, en los que cada uno de apoya en la operación correcta
y predecidle de otra.
Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear, entre otras,
dos técnicas de control:
Matrices de Control
Sirven para identificar los conjuntos de datos del SI juntos con los controles de
seguridad o integridad implementados sobre los mismos.
CONTROLES DE SEGURIDAD
DATOS
PREVENTIVOS DETECTIVOS CORRECTIVOS
TRANSACCIONES Informe de
Verificación
DE ENTRADA Reconciliación
REGISTRO DE Informe de Copia de
Cifrado
BASE DE DATOS excepción seguridad
ORDENADOR
PERSONAL ORDENADOR
Glosario de Términos