Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:

• Quién accede a los datos

• Cuándo se accedió a los datos

• Desde qué tipo de dispositivo/aplicación

• Desde que ubicación en la Red

• Cuál fue la sentencia SQL ejecutada

• Cuál fue el efecto del acceso a la base de datos

4

• Investigar actividades dudosas sobre la BD.

• Recopilar información acerca de actividades específicas de la BD

• Recopilar estadísticas sobre qué tablas actualizadas, E/S lógicas, cantidad de usuarios conectados concurrentemente.

• Recopilar inverosimilitudes en los datos (detección de errores).

• Recopilar los errores por pérdida de información.

• Mitigar los riesgos asociados con el manejo inadecuado de los datos.

• Evitar acciones criminales.

5

• Recopilar los errores por pérdida de información.

• Mitigar los riesgos asociados con el manejo inadecuado de los datos.

• Evitar acciones criminales.

Monitorear y mantener un registro del uso de los datos por los usuarios autorizados y no autorizados.

Conservar trazas de uso y del acceso a las bases de datos.

Permitir investigaciones

Alertas en tiempo real

• Toda la información de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.

• Se debe poder demostrar la integridad de la información almacenada en las bases de datos.

• Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.

• La información confidencial esresponsabilidad de las organizaciones.

• Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio.

• Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.

• Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.

7

• Problemas por seguridad en instalaciones y el acceso físico

• Riesgo relacionado a los accesos lógicos y privacidad de las bases de datos

• Definición de estructuras físicas y lógicas de las bases de datos

• Control de carga y mantenimiento de las bases de datos

• Integridad de los datos y protección de accesos

• Estándares para análisis y programación en el uso de bases de datos

• Procedimientos de respaldo y de recuperación de datos

8

•Monitorear y mantener un registro del uso de los datospor los usuarios autorizados y no autorizados.

• Conservar trazas de uso y del acceso a las bases de datos.

• Permitir investigaciones

• Alertas en tiempo real

9

• Saber todo acerca del negocio y de los sistemas implementados, datos de la empresa, objetivo social, políticas e normas implementadas. Sin olvidar toda la información que corresponda al sistema de Bases de datos.

• Identificación de todas las BD de la organización.

• Clasificar los nivele de riesgo de los datos de las BD.

• Analizar los permisos de acceso de los usuarios.

• Analizar los controles de acceso existentes.

• Establecer los modelos de auditoría a utilizar.

• Establecer las pruebas a realizar para cada BD, aplicación y/o usuario.

10

• En toda empresa que conste con un Sistema de Base de Datos coninformación sumamente importante para su desarrollo y datosconfidenciales de usuarios externos.

Ejemplos:

• Bancos, Supermercados, Colegios y Universidades.

11

Metodología TradicionalEn este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de puntos a verificar. Por ejemplo:

12

SI NO N/A

1. ¿Existe una metodología de Diseño de Base de Datos?2. ¿Existen logs que permitan tener pistas sobre las acciones

realizadas sobre los objetos de las bases de datos?3. Se han configurados los logs para almacenar la información

relevante?....

NOTA: Debiendo registrar el auditor el resultado de su investigación

Metodología de Evaluación de RiesgosEste tipo de metodología, conocida también por Risk Oriented Approach(*) (Enfoque Orientada aRiesgo) es la que propone la ISACA y fija los objetivos de control que minimizan los riesgospotenciales a los que está sometido el entorno.

• Considerando los riesgos de:

• Dependencia por la concentración de Datos

• Accesos no restringidos en la figura del DBA

• Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación

• Impactos de los errores en Datos y programas

• Rupturas de enlaces o cadenas por fallos del software

• Impactos por accesos no autorizados

• Dependencias de las personas con alto conocimiento técnico13

Pruebas de cumplimiento• Listar los privilegios y perfiles existentes.

• Si se detectan inconsistencias en los controles, o si los controles no existen, sediseña otro tipo de prueba que permiten dimensionar el impacto de estasdeficiencias.

• Pruebas sustantivas.• Comprobar si la información presenta alteraciones, comparándola con otra fuente,

revisando los documentos de entrada de datos y las transacciones que se hanejecutado.

14

• Cuando el auditor se encuentra con el sistema en Producción tendrá que estudiar el SGBD y su entorno; como Control, Integridad y Seguridad de los Datos compartidos entre usuarios.

• La complejidad del entorno de las Bases de Datos hacen que no se pueda limitar solo al SGBD.

09-12-201415

case

Repositorio

FACILIDADES DEL USUARIO

DICCIONARIO DE DATOS

L4G INDEP.

PAQUETES SEGURIDAD

CONFIDEN. PRIVACIDAD

AUDITORIA

L4GSEGURIDAD

RECUPER.

CATALOGO NUCLEO

SOFTWARE AUDITORIA

SISTEMA MONITOR/

AJUSTE

SOAPLICACIONESMONITOR TRANSAC.

MINERIA DE DATOS

PROTOCOLOS Y SIST.

DISTRIBUIDOS

AUDITOR INFORMATICO

SGBD UTILIDADES DEL DBA

ENTORNO DE BASE DE DATOS

COMPONENTES DEL CONTROL INTERNO

pc_002IP : 192.168.1.5

Usuario :BLOPEZ

Aplicaciones Sentencias :• SELECT• INSERT• DELETE• UPDATE

• Registro de logs• Registro de estación de trabajo• Registro de la IP• Registro del usuario• Registro fecha y hora

Base de datos

• La gran difusión de los Sistemas de Gestión de Bases de datos (SGBD) junto con la relación de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relacionados a su control interno y auditoria cobren cada día mayor interés

• Demostrar la integridad de la información, mitigar los riesgos asociados, asegurar la confidencial de la información, garantizar la seguridad de los datos y conocer quién o qué les hizo exactamente qué, cuándo y cómo a los datos, conforman la idea principal de la Auditoria.

• Estudiar el SGBD y su entorno es primordial al implementar un ambiente de auditoria de BD

• Oracle Audit Vault y SQL Server Audit son algunos de los productos que nos ofrecen el mercado para los auditores de BD

18