UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniería de Sistemas e Informática Base de datos Avanzadas
1
RESUMEN Para llevar a cabo una auditoría, se hace necesario, para poder emitir una opinión sobre el trabajo realizado, recopilar la evidencia suficiente y apropiada que sirva de base para sustentar las conclusiones, opiniones y recomendaciones. Debido a que en muchas ocasiones es difícil realizar este proceso, es necesario usar las pistas de auditoría. Lo que se busca con su aplicación, es una orientación hacia la correcta dirección de las pruebas, con el fin de que conduzcan por el camino correcto para hallar la evidencia que sea de utilidad.
1.
INTRODUCCION En toda auditoría que se lleve a cabo en una empresa con el fin de determinar la razonabilidad de datos, funciones, operaciones, actividades, informes y reportes, la mayor parte del trabajo consiste en la recopilación de evidencia que sirva para sustentar las conclusiones, opiniones y recomendaciones.
2.
PISTAS DE AUDITORIA
Las pistas de auditoría no son controles por sí mismos, son “pistas”, “huellas” o “rastros” que se que se requieren para el uso analítico y administrativo; son más que todo un procedimiento que puede estar constituido por uno o varios documentos, informes o simplemente desprenderse de un control o conjunto de controles. En todos los sistemas, sean automatizados o no, las pistas de auditoría deben estar siempre presentes, y deben de cumplir con tres requisitos básicos: 2.1. Que cualquier transacción pueda ser seguida, desde el documento fuente que la originó, por medio del proceso a que es sometida, hasta las salidas (archivos, consultas por pantalla o informes) y los totales a los cuales se agrega. 2.2. Que cada salida o resumen de datos, se pueda seguir hacia atrás, hasta la transacción o cálculos que los produjeron. 2.3. Que cualquier transacción generada automáticamente, se pueda rastrear hasta el evento que la género. La Auditoria de Bases de datos La Auditoría de Bases de Datos permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos. Demostrando:
Cuándo se accedió a los datos
Quién accedió a los datos
Mediante que dispositivo/aplicación
Desde que ubicación en la Red
Cuál fue la sentencia SQL
El efecto que produce a la BD
Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo
UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniería de Sistemas e Informática Base de datos Avanzadas
2
Objetivos Los principales objetivos de una auditoria de Bases de Datos son principalmente garantizar la integridad de la información almacenada en la Base de Datos mediante la detección, recopilación, análisis de todos los registros pertinentes a la base de Datos para determinar: —Actividades dudosas sobre la BD. —Recopilación de información acerca de actividades específicas de la BD —Recopilación de estadísticas sobre qué tablas actualizadas, E/S lógicas, cantidad de usuarios conectados concurrentemente. —Recopilación de inverosimilitudes en los datos (De esta manera se pueden detectar errores en la base de datos) —Recopilar los errores por pérdida de información (Estos fallos son más fáciles de detectar y prevenir) —Mitigar los riesgos asociados con el manejo inadecuado de los datos. —Evitar acciones criminales.
Importancia Las auditorias de las bases de datos son esenciales porque permiten determinar de dónde proviene la información almacenada así como también garantiza el resguardo de la información, gracias a las auditorias la seguridad de las BD ha aumentado. La publicación sobre casos de fraude y robos de datos han generado cierta preocupación ya que los administradores de bases de datos eran los encargados de salvaguardar la información, pero ahora se les ve como uno de los aspectos más vulnerables, porque la base de datos podía ser modificada por ellos y la entidad podía no poseer registros sobre la modificación . -La naturaleza de la información almacenada en la BD es: —-Demostrar la integridad de dicha información. —-Mitigar los riesgos asociados a la perdida de información. —-Resguardar información confidencial. —-Monitoreo los datos con el fin de saber cómo, cuándo y por quien fueron modificados. Recolección de los Datos La recolección de los datos para llevar a cabo las auditorias se realiza mediante : —Sentencias SQL: Registro de los intentos de conexión con la base de datos. —Privilegios: recopila las operaciones que se han efectuado sobre la base de datos y los usuarios —Objetos: Se pueden recoger operaciones realizadas sobre determinados objetos de la base de datos.
Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo
UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniería de Sistemas e Informática Base de datos Avanzadas
3
Los tipos de auditoria que encontramos en una base de datos son:
Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo
UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniería de Sistemas e Informática Base de datos Avanzadas
4
Propiedades —- Revisión de los permisos de cada usuario y fichero del sistema con el objetivo de detectar fallas de seguridad. —-Una auditoría completa no es un conjunto estricto de validaciones a realizar, sino que evoluciona según los riesgos detectados. —-Consume mucho tiempo Es una tarea ardua y no garantiza siempre que se tenga un sistema 100% “limpio”. Planificación Los pasos que se deben llevar a cabo para realizar una auditoría de bases de datos son: —-Identificación de todas las BD de la organización. —-Clasificar los niveles de riesgo de los datos d e las BD. —-Analizar los permisos de acceso de los usuarios. —-Analizar los controles de acceso existentes. —-Establecer los modelos de auditoria a utilizar. —-Establecer las pruebas a realizar para cada BD, aplicación y/o usuario.
Elementos a Auditar
Generalmente durante una auditoria se monitorea el comportamiento de: —-Los accesos a data sensible. —-Las modificaciones a esquemas (Create , Drop, Alter…). —-Cambios en los datos (sentencias DML). —-Excepciones de seguridad y modificaciones de cuentas y privilegios.
Metodologías
Check-List:
Metodología basada en Riesgo vs. Control vs. Coste. El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar. La evaluación consiste en identificar la existencia de unos controles establecidos. Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una guía de referencia, para asegurar que se han revisado todos los controles.
Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo
UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniería de Sistemas e Informática Base de datos Avanzadas
5
COBIT:
Es una guía de mejores prácticas dirigida a la gestión de tecnología de la información (TI). Mantenido por ISACA (Information Systems Audit and Control Association) y el IT Governance Institute (ITGI), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión, permitiendo que los negocios se alineen con la tecnología de la información para así alcanzar los mejores resultados. Los Objetivos de Control para la Información y la Tecnología relacionada (CobiT) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de CobiT están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán un patrón de medición con el cual se podrá calificar cuando las cosas no vayan bien. Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección empresarial debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control CobiT contribuye a estas necesidades de la siguiente manera:
Estableciendo un vínculo con los requerimientos del negocio
Organizando las actividades de TI en un modelo de procesos
Identificando los principales recursos de TI
Definiendo los objetivos de control gerenciales
La orientación al negocio que realiza CobiT consiste en vincular las metas del negocio con las metas de TI, brindando métricas y modelos de madurez para medir los logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las responsabilidades de planear, construir, ejecutar y monitorear; de esta manera, se ofrece una visión de punta a punta de la TI. El concepto de arquitectura empresarial ayuda a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas. En resumen, para proporcionar la información que la empresa necesita de acuerdo a sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y desempeño de TI, son los conceptos que CobiT define específicamente:
Benchmarking de la capacidad de los procesos de TI. Son modelos de madurez derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software
Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño.
Objetivos de las actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT
La evaluación de la capacidad de los procesos basada en los modelos de madurez de CobiT es una parte clave de la implementación del gobierno de TI. Después de identificar
Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo
UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniería de Sistemas e Informática Base de datos Avanzadas
6
los procesos y controles críticos de TI, el modelado de la madurez permite identificar y demostrar a la dirección las brechas en la capacidad.
—Metodología de evaluación de riesgos. Se debe comenzar por fijar los objetivos de control que minimizan los riesgos potenciales, los riesgos más importantes son: —La dependencia por la concentración de Datos. —-Impacto de errores externos en datos y programas. —-Impacto por acceso no autorizado a los datos. —-Dependencia de personas con alto conocimiento técnico —-Accesos no restringidos en la figura del DBA. —-Incompatibilidades entre el sistema de seguridad de accesos del SMBD y el general de instalación —-Impactos de los errores en Datos y programas. —-Rupturas de enlaces o cadenas por fallos del Software.
Herramientas de auditoría
Software De Auditoría Son paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la extracción de datos de la base de datos, el seguimiento de las transacciones, datos de prueba, etc. Hay también productos que permiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera “auditoría del dato”.
Sistema De Monitorización y Ajuste (Tunning) Este tipo de sistema complementan las facilidades ofrecidas por el propio SMBD, ofreciendo mayor información para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SMBD y del SO.
Sistemas Operativos El Sistema Operativo es una pieza clave del entorno, puesto que el SMBD se apoyará, en mayor o menor medida (según se trate de un SMBD dependiente o independiente) en los servicios que le ofrezca; eso en cuanto a control de memoria, gestión de áreas de almacenamiento intermedio (buffers), manejo de errores, control de confidencialidad,
Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo
UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniería de Sistemas e Informática Base de datos Avanzadas
7
mecanismo de interbloqueo, etc.
Monitor De Transacciones Algunos autores lo incluyen dentro del propio SMBD, pero actualmente, puede co nsiderarse un elemento más del entorno con responsabilidades de confidencialidad y rendimiento.
Protocolos y Sistemas Distribuidos Cada vez más se está accediendo a las bases de datos a través de redes, con lo que el riesgo de violación de la confidencialidad e integridad se acentúa. También las bases de datos distribuidas pueden presentar graves riesgos de seguridad. En este sentido, se debe controlar la distribución de los datos a través de una función de administración de datos que establezca estándares generales para esta distribución. También, deben existir pistas de auditoría, para todas las actividades realizadas por las aplicaciones en las bases de datos.
Paquetes de Seguridad Existen en el mercado varios productos que permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de accesos, la definición de privilegios, perfiles de usuarios, etc.
Regulaciones para garantizar la Seguridad de BD -Para garantizar la seguridad de las bases de datos se requieren ciertas medidas :
—-Autenticación de quienes acceden a la información en la BD —-Garantizar el uso de Cuentas Individuales —-Confidencialidad de la Información —-Restricciones del uso de cuentas privilegiadas —-Cifrado de la información
Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo