AUDITORIA Y MONITOREO DE BASES DE DATOS
|
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: – Quién accede a los datos. – Cuándo se accedió a los datos. – Desde qué tipo de dispositivo/aplicación. – Desde que ubicación en la Red. – Cuál fue la sentencia SQL ejecutada. – Cuál fue el efecto del acceso a la base de datos.
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad.
Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de: – Mitigar los riesgos asociados con el manejo inadecuado de los datos. – Apoyar el cumplimiento regulatorio. – Satisfacer los requerimientos de los auditores. – Evitar acciones criminales. – Evitar multas por incumplimiento.
La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
La Auditoría de BD es importante porque: – Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. – Se debe poder demostrar la integridad de la información almacenada en las bases de datos. – Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información. – La información confidencial de los clientes, son responsabilidad de las organizaciones. – Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio. – Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.
Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.
Mediante la auditoría de bases de datos se evaluará:
– Definición de estructuras físicas y lógicas de las bases de datos. – Control de carga y mantenimiento de las bases de datos. – Integridad de los datos y protección de accesos. – Estándares para análisis y programación en el uso de bases de datos. – Procedimientos de respaldo y de recuperación de datos.
Aspectos Claves
• No se debe comprometer el desempeño de las bases de datos – Soportar diferentes esquemas de auditoría. – Se debe tomar en cuenta el tamaño de las bases de datos a auditar y los posibles SLA establecidos. • Segregación de funciones – El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de IT. • Proveer valor a la operación del negocio – Información para auditoría y seguridad. – Información para apoyar la toma de decisiones de la organización. – Información para mejorar el desempeño de la organización. • Auditoría completa y extensiva – Cubrir gran cantidad de manejadores de bases de datos. – Estandarizar los reportes y reglas de auditoría.
Definición y diseño de monitoreo.
Una vez identificados los riesgos, se puede realizar el modelo conceptual del monitoreo, a partir de las debilidades identificadas y contemplando los controles existentes en el proceso.
Posteriormente, se diseña el monitoreo en sí, analizando el procesamiento y la arquitectura de la información, así como el registro informático de las operaciones. A partir de todo lo anterior, se desarrollan los procedimientos automatizados, determinando las consultas a realizar y los parámetros a cumplir.
Obtención de herramientas informáticas. Una vez concluido el diseño, se puede identificar la herramienta a utilizar de manera individual o combinada. A continuación se mencionan algunas:
—Paquetes de auditoría (ACL, IDEA Fastsearch, etcétera).
—Módulo de auditoría de SAP (AIS).
—Herramientas de extracción y análisis de información
(Business Objects, Access, etcétera).
—Paquetería genérica (Microsoft Office).
—Utilerías de bases de datos (Oracle, SQL Server, etcétera).
—Lenguajes de programación (C++, ABAP de SAP, Visual
Basic, etcétera).
|
lunes, 25 de noviembre de 2013
auditoriaA
miércoles, 20 de noviembre de 2013
resumen
un dato es una valor sicreto que describe un hecho del mundo. un datos no esta estrcuturado, no dice nada sobre el porque de las cosas, ni tampoco sobre su posible
interpretacion o proposito.
finalmente el conocimiento es mucho mas amplio que la informacion y trata a esta como instrumento para poder actuar, es decir es quella informacion(adquirida, seleccionada,evaluada,interiorizada, etc.)
que nos permite llevar acabo las acciones para alcanzar nuestros objetivos. visto de otra manera, el conocimiento es aquella informacion que ha pasado por un analisis.
para las organizaciones, el conocimiento se puede definir como la informacion que posee valor para ella, es decir, aquella informacion que el permite a traves de la actualizacion de las competencias deistintivas de la organizacion.
El uso de las computadoras y de las redes de datos como medio para almacenar, transferir yprocesar infromacion, se ha incrementado desmesuradamente en los ultimos años, al grado de convertirse en un elemnto escencial.
no hay compañia que no se vea obligada a remitir a otras empresas u organizaciones publicos o a si misma grandes volumenes de infromacion. en algunas ocasiones, se tratara meramente de datos economicos o de otro tipo, no susceptibles de mayos proteccion. pero ciertamente hay casos en los que se trata de informaciones privadas o personales que requieren de un adecuado blindaje.
es necesario contar con la seguridada de la infromacion que al final es la preservacion de la confidencialidad
a continuacion unos aspectos que hay que tener en cuenta para asegurar seguridad a nivel corporativo para garantizar asi proteccion de la infromacion:
Política de seguridad
Aspectos organizativos para la seguridad
Clasificación y control de activos
Seguridad ligada al personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad de la información
Gestión de continuidad de negocio
Conformidad
OBJETIVOS
Poder identificar como es el proceso del manejo de los recursos informaticos
Identificar que protocolos de seguridad usan para garantizar integridad en la red
Poder identificar el manejo de los perfiles de usuario y contraseñas.
Identificar el manejo que se le da al internet.
Evaluar el manejo de perfiles.
PUNTOS A EVALUAR
Documentación sobre políticas de perfiles de usuario.
Documentación de manejo de hardware y software.
Documentación de manejo de internet.
Listado de usuarios con sus roles y privilegios.
Reglamento para usuarios de Sistemas.
Manejo del internet por parte del administrador y de los usuarios.
Planes de contingencia contra ataques.
Medidas de seguridad para la información.
INSTRUMENTOS Y TÉCNICAS
Para la recopilación de información:
Cuestionario
Entrevista.
Inventarios.
Para el análisis y la evolución de la información:
Guías de evaluación.
Lista de verificación o chequeo.
Confirmación.
Comparación.
para la verificacion de la seguridad, consistencia y reglas de integridad en cualquier motor de bases de datos es necesario verificar el ambiente de control establecido en la instancia de este; en este contexto se deben tener presente las diferentes caracteristicas que pueden establecerse en este proceso, ademas en el manejo de los motores se puede manejar un grado de seguridad, en el cual se maneja la exactitud, consistencia y confiabilidad de informacion; con la privacidad y confiabilidad.
PostgreSQL es un potente sistema de base de datos relacional libre (opensource, su
código fuente está disponible) liberado bajo licencia BSD. Tiene más de 15 años de activo
desarrollo y arquitectura probada que se ha ganado una muy buena reputación por su
confiabilidad e integridad de datos. Funciona en todos los sistemas operativos
importantes, incluyendo Linux, UNIX (AIX, BSD, HP-UX, SGIIRIX, Mac OSX, Solaris,
Tru64) y Windows.
El desarrollo de PostgreSQL es realizado por un equipo de desarrolladores (voluntarios en
su mayoría) dispersos alrededor del mundo y comunicados vía Internet. Este es un
proyecto de la comunidad y no es controlado por ninguna compañía. Para integrarse al
proyecto vea el FAQ de los desarrolladores:
http://www.postgresql.org/files/documentation/faqs/FAQ_DEV.html.
PostgreSQL es un servidor de base de datos relacional libre, liberado bajo la licencia
BSD. Es una alternativa a otros sistemas de bases de datos de código abierto (como
MySQL, Firebird y MaxDB), así como sistemas propietarios como Oracle o DB2.
interpretacion o proposito.
finalmente el conocimiento es mucho mas amplio que la informacion y trata a esta como instrumento para poder actuar, es decir es quella informacion(adquirida, seleccionada,evaluada,interiorizada, etc.)
que nos permite llevar acabo las acciones para alcanzar nuestros objetivos. visto de otra manera, el conocimiento es aquella informacion que ha pasado por un analisis.
para las organizaciones, el conocimiento se puede definir como la informacion que posee valor para ella, es decir, aquella informacion que el permite a traves de la actualizacion de las competencias deistintivas de la organizacion.
El uso de las computadoras y de las redes de datos como medio para almacenar, transferir yprocesar infromacion, se ha incrementado desmesuradamente en los ultimos años, al grado de convertirse en un elemnto escencial.
no hay compañia que no se vea obligada a remitir a otras empresas u organizaciones publicos o a si misma grandes volumenes de infromacion. en algunas ocasiones, se tratara meramente de datos economicos o de otro tipo, no susceptibles de mayos proteccion. pero ciertamente hay casos en los que se trata de informaciones privadas o personales que requieren de un adecuado blindaje.
es necesario contar con la seguridada de la infromacion que al final es la preservacion de la confidencialidad
a continuacion unos aspectos que hay que tener en cuenta para asegurar seguridad a nivel corporativo para garantizar asi proteccion de la infromacion:
Política de seguridad
Aspectos organizativos para la seguridad
Clasificación y control de activos
Seguridad ligada al personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad de la información
Gestión de continuidad de negocio
Conformidad
OBJETIVOS
Poder identificar como es el proceso del manejo de los recursos informaticos
Identificar que protocolos de seguridad usan para garantizar integridad en la red
Poder identificar el manejo de los perfiles de usuario y contraseñas.
Identificar el manejo que se le da al internet.
Evaluar el manejo de perfiles.
PUNTOS A EVALUAR
Documentación sobre políticas de perfiles de usuario.
Documentación de manejo de hardware y software.
Documentación de manejo de internet.
Listado de usuarios con sus roles y privilegios.
Reglamento para usuarios de Sistemas.
Manejo del internet por parte del administrador y de los usuarios.
Planes de contingencia contra ataques.
Medidas de seguridad para la información.
INSTRUMENTOS Y TÉCNICAS
Para la recopilación de información:
Cuestionario
Entrevista.
Inventarios.
Para el análisis y la evolución de la información:
Guías de evaluación.
Lista de verificación o chequeo.
Confirmación.
Comparación.
para la verificacion de la seguridad, consistencia y reglas de integridad en cualquier motor de bases de datos es necesario verificar el ambiente de control establecido en la instancia de este; en este contexto se deben tener presente las diferentes caracteristicas que pueden establecerse en este proceso, ademas en el manejo de los motores se puede manejar un grado de seguridad, en el cual se maneja la exactitud, consistencia y confiabilidad de informacion; con la privacidad y confiabilidad.
PostgreSQL es un potente sistema de base de datos relacional libre (opensource, su
código fuente está disponible) liberado bajo licencia BSD. Tiene más de 15 años de activo
desarrollo y arquitectura probada que se ha ganado una muy buena reputación por su
confiabilidad e integridad de datos. Funciona en todos los sistemas operativos
importantes, incluyendo Linux, UNIX (AIX, BSD, HP-UX, SGIIRIX, Mac OSX, Solaris,
Tru64) y Windows.
El desarrollo de PostgreSQL es realizado por un equipo de desarrolladores (voluntarios en
su mayoría) dispersos alrededor del mundo y comunicados vía Internet. Este es un
proyecto de la comunidad y no es controlado por ninguna compañía. Para integrarse al
proyecto vea el FAQ de los desarrolladores:
http://www.postgresql.org/files/documentation/faqs/FAQ_DEV.html.
PostgreSQL es un servidor de base de datos relacional libre, liberado bajo la licencia
BSD. Es una alternativa a otros sistemas de bases de datos de código abierto (como
MySQL, Firebird y MaxDB), así como sistemas propietarios como Oracle o DB2.
Suscribirse a:
Entradas (Atom)