Ing.Informatica
Páginas: 7 (1601 palabras)
Publicado: 11 de octubre de 2012
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
– Cuál fue elefecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad
Delegada a IT por la organización frente a las regulaciones y su entorno de
Negocios o actividad.
¿Quiénes participan en la Auditoría de Base de Datos?
– Auditores de Sistemas
– Tecnología de Información
– Cumplimiento Corporativo
– Riesgo Corporativo
– Seguridad Corporativa
Términossimilares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
Los esfuerzos en seguridad de base de datos
Normalmente están orientados a:
– Impedir el acceso externo
– Impedir el acceso interno a usuarios no autorizados
– Autorizar el acceso sólo a los usuarios autorizados
Con la auditoría de BD se busca:
– Monitorear y registrar el uso de los datospor los usuarios
Autorizados o no
– Mantener trazas de uso y del acceso a bases de datos
– Permitir investigaciones
– General alertas en tiempo real
La mayoría de las nuevas regulaciones federales están relacionadas
Con los datos de las organizaciones, estén o no relacionadas
Directamente con la confidencialidad
– SOX (Controles internos y responsabilización porestados
Financieros)
– Gramm Leach Bliley O GLBA (Confidencialidad información)
– FDA-21CFR11 (Actividad en las bases de datos)
- PCI (Información confidencial tarjetas de crédito)
INSTRUMENTOS DE EVALUACION
1. Investigación Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la información relevante para apoyar el examen que el equipo de Auditoríarealizara. El resultado de esta recopilación se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditoría.
a. Conocimiento del negocio y del Sistema.
Información sobre la empresa y su objeto social, sobre sus políticas y normas. Además toda la información referente al Sistema de Bases de Datos.
2. Definir grupos de riesgos
a. Escenarios deRiesgo Sistema de Bases de Datos.
b. Agrupación.
3. Evaluación del estado de control existente (checklist).
a. Problemas por seguridad en instalaciones y acceso físico.
b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.
c. Causado por la relación Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.
EJEMPLO DE APLICACION
- Bancos :Manejar la informacion bancaria de cada cliente y sus datos Personales
- Toda empresa que conste con un Sistema de Base de Datos de su Planilla y colaboradores (Recurso Humanos).
- Colegios y Universidades.
Agregar un simple Trigger para auditar tu base de datos SQL Server
Despues de pasar muchas horas pensando, debuggiando y buscandole la vuelta a una solucion que consistia en hacerle unaauditoria a una base de datos SQL 2005, pudimos desarrollar una herramienta llamada SQLTableHistory esta herramienta nos da la facilidad de que podemos seleccionar las tablas que queremos auditar.
Pero navegando me encontre con una excelente solucion hecha por Jon Galloway, en la cual consiste en crear un solo script y que este se encarge de crear los triggers necesarios para cada tabla de la basede datos seleccionada, la diferencia con SQLTableHistory es que con nuestra herramienta podemos seleccionar las tablas que queremos que se le haga su respectiva auditoria y con la solucion presentada en este blog.
Aqui un ejemplo de como se verian los datos con la solucion de Jon Galloway
Con esta informacion podemos hacer reportes de una manera sencilla tales como:
Cuales tablas han...
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
– Cuál fue elefecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad
Delegada a IT por la organización frente a las regulaciones y su entorno de
Negocios o actividad.
¿Quiénes participan en la Auditoría de Base de Datos?
– Auditores de Sistemas
– Tecnología de Información
– Cumplimiento Corporativo
– Riesgo Corporativo
– Seguridad Corporativa
Términossimilares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
Los esfuerzos en seguridad de base de datos
Normalmente están orientados a:
– Impedir el acceso externo
– Impedir el acceso interno a usuarios no autorizados
– Autorizar el acceso sólo a los usuarios autorizados
Con la auditoría de BD se busca:
– Monitorear y registrar el uso de los datospor los usuarios
Autorizados o no
– Mantener trazas de uso y del acceso a bases de datos
– Permitir investigaciones
– General alertas en tiempo real
La mayoría de las nuevas regulaciones federales están relacionadas
Con los datos de las organizaciones, estén o no relacionadas
Directamente con la confidencialidad
– SOX (Controles internos y responsabilización porestados
Financieros)
– Gramm Leach Bliley O GLBA (Confidencialidad información)
– FDA-21CFR11 (Actividad en las bases de datos)
- PCI (Información confidencial tarjetas de crédito)
INSTRUMENTOS DE EVALUACION
1. Investigación Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la información relevante para apoyar el examen que el equipo de Auditoríarealizara. El resultado de esta recopilación se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditoría.
a. Conocimiento del negocio y del Sistema.
Información sobre la empresa y su objeto social, sobre sus políticas y normas. Además toda la información referente al Sistema de Bases de Datos.
2. Definir grupos de riesgos
a. Escenarios deRiesgo Sistema de Bases de Datos.
b. Agrupación.
3. Evaluación del estado de control existente (checklist).
a. Problemas por seguridad en instalaciones y acceso físico.
b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.
c. Causado por la relación Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.
EJEMPLO DE APLICACION
- Bancos :Manejar la informacion bancaria de cada cliente y sus datos Personales
- Toda empresa que conste con un Sistema de Base de Datos de su Planilla y colaboradores (Recurso Humanos).
- Colegios y Universidades.
Agregar un simple Trigger para auditar tu base de datos SQL Server
Despues de pasar muchas horas pensando, debuggiando y buscandole la vuelta a una solucion que consistia en hacerle unaauditoria a una base de datos SQL 2005, pudimos desarrollar una herramienta llamada SQLTableHistory esta herramienta nos da la facilidad de que podemos seleccionar las tablas que queremos auditar.
Pero navegando me encontre con una excelente solucion hecha por Jon Galloway, en la cual consiste en crear un solo script y que este se encarge de crear los triggers necesarios para cada tabla de la basede datos seleccionada, la diferencia con SQLTableHistory es que con nuestra herramienta podemos seleccionar las tablas que queremos que se le haga su respectiva auditoria y con la solucion presentada en este blog.
Aqui un ejemplo de como se verian los datos con la solucion de Jon Galloway
Con esta informacion podemos hacer reportes de una manera sencilla tales como:
Cuales tablas han...
Leer documento completo
Regístrate para leer el documento completo.