Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Bases de datos

trabajo final - auditoriaunal20101

Anuncio 
AUDITORIAS ESPECIFICAS
“Datos, Bases de datos, data warehouse, minería de datos, bases de datos
de contenido Oracle, SQL, SAS, IBM, Microsoft SQL, Mysql.”
Presentado por:
LORENA SOTO
CRISTIAN VILLA
Presentado a:
Carlos Hernán Gómez Gómez
AUDITORIA DE SISTEMAS II
UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
24 de mayo de 2010
INTRODUCCION
Al intentar hacer una auditoria integral a las bases de datos, debemos que tener
en cuenta todos los conceptos, desde el más sencillo hasta el más complejo de los
que conforman todo el conjunto de información debidamente organizada y
distribuida en los sistemas de bases de datos. Veremos los conceptos desde el
mas atómico como el dato, hasta los más modernos como el Data warehouse y
minería de datos (data mining).
Los datos son los hechos que describen sucesos y entidades. Los datos son
comunicados por varios tipos de símbolos tales como las letras del alfabeto,
números, puntos y rayas, dibujos, etc. Estos símbolos se pueden ordenar y
reordenar de forma utilizable y se les denomina información.
Los datos son símbolos que describen condiciones, hechos, situaciones o valores.
Los datos se caracterizan por no contener ninguna información. Un dato puede
significar un número, una letra o cualquier símbolo que represente una cantidad,
una medida, una palabra o una descripción. La importancia de los datos está en
su capacidad de asociarse dentro de un contexto para convertirse en información.
Por si mismos los datos no tienen capacidad de comunicar un significado y por
tanto no pueden afectar el comportamiento de quien los recibe. Para ser útiles, los
datos deben convertirse en información para ofrecer un significado, conocimiento,
ideas o conclusiones.
La información es una colección de hechos significativos y pertinentes, para el
organismo u organización que los percibe. Para ser significativos, los datos deben
constar de símbolos reconocibles, estar completos y expresar una idea no
ambigua.
La integridad de los datos significa que todos ellos son requeridos para responder
a una pregunta específica están disponibles. Los datos son inequívocos cuando el
contexto es claro. Tenemos que conocer el contexto de estos símbolos antes de
poder conocer su significado.
Las Bases de Datos son programas que administran información y hacen más
ordenada la información, aparte de hacerla fácil de buscar. Sus características
pueden ser ventajosas o desventajosas, pueden ayudarnos para almacenar,
organizar, recuperar, comunicar y manejar información en formas que serían
imposibles sin los computadores, pero también nos afecta de alguna manera ya
que existen enormes cantidades de información en bases de datos de las que no
se tiene control del acceso.
Tienen múltiples usos, nos facilitan el almacenamiento de grandes cantidades de
información; permiten la recuperación rápida y flexible de información, con ellas se
puede organizar y reorganizar la información, así como imprimirla o distribuirla en
formas diversas.
Son un conjunto exhaustivo no redundante de datos estructurados organizados
independientemente de su utilización y su implementación en máquina accesibles
en tiempo real y compatibles con usuarios concurrentes con necesidad de
información diferente.
Ventajas de las bases de datos:
- Independencia de datos y tratamiento.
- Cambio en datos no implica cambio en programas y viceversa (Menor
Coste de mantenimiento).
- Coherencia de resultados
- Reduce redundancia.
- Mejora en la disponibilidad de datos.
- No hay dueño de datos
- Guardamos descripción
- Cumplimiento de ciertas normas.
- Restricciones de seguridad
- Otras ventajas.
- Más eficiente gestión de almacenamiento.
Los sistemas Data Warehouse: son el centro de la arquitectura de los Sistemas
de Información de los 90's. Han surgido como respuesta a la problemática de
extraer información sintética a partir de datos atómicos almacenados en bases de
datos de producción. Uno de los objetivos principales de este tipo de sistemas es
servir como base de información para la toma de decisiones.
Los beneficios obtenidos por la utilización de este tipo de sistemas se basan en el
acceso interactivo e inmediato a información estratégica de un área de negocios.
Este acercamiento de la información al usuario final permite una toma de
decisiones rápida y basada en datos objetivos obtenidos a partir de las bases de
datos de la empresa.
Estos beneficios aumentan cuanto más importantes son las decisiones a tomar y
cuanto más crítico es el factor tiempo. Hoy en día las empresas cuentan en su
mayoría con la automatización de sus procesos, manejando gran cantidad de
datos en forma centralizada y manteniendo sus sistemas en línea. En esta
información descansa el saber - como (know − how) de la empresa, constituyendo
un recurso corporativo primario y parte importante de su patrimonio.
El nivel competitivo alcanzado en las empresas les ha exigido desarrollar nuevas
estrategias de gestión. En el pasado, las organizaciones fueron típicamente
estructuradas en forma piramidal con información generada en su base fluyendo
hacia lo alto; y era en el estrato de la pirámide más alto donde se tomaban
decisiones a partir de la información proporcionada por la base, con un bajo
aprovechamiento del potencial de esta información.
Estas empresas, han reestructurado y eliminado estratos de estas pirámides y han
autorizado a los usuarios de todos los niveles a tomar mayores decisiones y
responsabilidades. Sin embargo, sin información sólida para influenciar y apoyar
las decisiones, la autorización no tiene sentido.
Esta necesidad de obtener información para una amplia variedad de individuos es
la principal razón de negocios que conduce al concepto de Data warehouse. El
énfasis no está sólo en llevar la información hacia lo alto sino que a través de la
organización, para que todos los empleados que la necesiten la tengan a su
disposición.
Las Tecnologías de la Información (TI) han cambiado sustancialmente la forma de
hacer negocios de las empresas. En un entorno donde la competitividad, la
globalización, la consolidación de industrias, un ciclo de vida mas corto de los
productos, saturación de mercados, etc. La información juega cada vez un papel
más preponderante.
La información referente a mercados, competidores, clientes, incluso la relativa a
los indicadores de rendimiento de la propia compañía, se ha convertido en un
recurso clave. El problema radica en que las empresas disponen de una gran
cantidad de datos, pero muy poca información.
Varias razones motivan estos hechos: islas de información, carencia de
arquitectura, gestión, responsabilidad, posesión de los datos, deficiencia en
calidad, contenido, accesibilidad, fiabilidad de la información, múltiples y diversas
aplicaciones operacionales, existencia de fuentes de información externa, etc.
Gran parte del producto generado por tecnologías de información, no es
información, sino solo datos brutos. Son generados por sistemas que fueron
ideados para recogerlos, pero no para analizarlos. Los datos adquieren la
categoría de información cuando disponen de una estructura inteligente. A su vez,
esta información se convertirá en conocimiento si se le añade las ideas, intuición,
capacidad del analista, es decir, conocimiento tácito.
Un Sistema de Data Warehouse incluye funcionalidades tales como:
-
-
Integración de bases de datos heterogéneas (relacionales, documentales,
geográficas, archivos, etc.).
Ejecución de consultas complejas no predefinidas visualizando el resultado
en forma de gráfica y en diferentes niveles de agrupamiento y totalización
de datos.
Agrupamiento y des agrupamiento de datos en forma interactiva.
Análisis de problema en términos de dimensiones. Por ejemplo, permite
analizar datos históricos a través de una dimensión tiempo.
Control de calidad de datos para asegurar, no solo la consistencia de la
base, sino también la relevancia de los datos en base a los cuales se toman
las decisiones.
La minería de datos suele describirse como "el proceso de extraer información
válida, auténtica y que se pueda procesar de las bases de datos de gran tamaño."
En otras palabras, la minería de datos deriva patrones y tendencias que existen en
los datos. Estos patrones y tendencias se pueden recopilar y definir como un
modelo de minería de datos. Los modelos de minería de datos se pueden aplicar a
situaciones empresariales como las siguientes:
-
Predecir ventas.
Dirigir correo a clientes específicos.
Determinar los productos que se pueden vender juntos.
Buscar secuencias en el orden en que los clientes agregan productos a una
cesta de compra.
La generación de un modelo de minería de datos forma parte de un proceso
mayor que incluye desde la formulación de preguntas acerca de los datos y la
creación de un modelo para responder dichas cuestiones, hasta la implementación
del modelo en un entorno de trabajo.
La creación de un modelo de minería de datos es un proceso dinámico e iterativo.
Una vez que ha explorado los datos, puede que descubra que resultan
insuficientes para crear los modelos de minería de datos adecuados y que, por
tanto, debe buscar más datos. O bien, puede generar varios modelos y descubrir
entonces que no responden adecuadamente al problema planteado cuando los
definió y que, por tanto, debe volver a definir el problema. Es posible que deba
actualizar los modelos una vez implementados debido a que haya más datos
disponibles. Puede que haya que repetir cada paso del proceso muchas veces
para crear un modelo adecuado.
Los datos pueden estar dispersos en la empresa y almacenados en formatos
distintos; también pueden contener incoherencias como entradas que faltan o
incorrectas.
La limpieza de datos no solamente implica quitar los datos no válidos, sino
también buscar las correlaciones ocultas en los datos, identificar los orígenes de
datos que son más precisos y determinar qué columnas son las más adecuadas
para usarse en el análisis.
Debe conocer los datos para tomar las decisiones adecuadas al crear los modelos
de minería de datos. Entre las técnicas de exploración se incluyen calcular los
valores mínimos y máximos, calcular la media y las desviaciones estándar, y
examinar la distribución de los datos.
Al explorar los datos para conocer el problema empresarial, puede decidir si el
conjunto de datos contiene datos defectuosos y, a continuación, puede inventar
una estrategia para corregir los problemas u obtener una descripción más
profunda de los comportamientos que son típicos de la organización.
Un modelo de minería de datos simplemente es un contenedor que especifica las
columnas que se usan para la entrada, el atributo que está prediciendo y
parámetros que indican al algoritmo cómo procesar los datos. El proceso de un
modelo también se denomina entrenamiento. El entrenamiento hace referencia al
proceso de aplicar un algoritmo matemático concreto a los datos de la estructura
para extraer patrones. Los patrones que encuentre en el proceso de
entrenamiento dependerán de la selección de los datos de entrenamiento, el
algoritmo que elija y cómo se haya configurado el algoritmo.
GUÍA DE AUDITORIA A MANEJO DE DATOS
La información no es un dato conjunto cualquiera de ellos. Es más bien una
colección de hechos significativos y pertinentes, para el organismo u
organización que los percibe. La definición de información es la siguiente:
Información es un conjunto de datos significativos y pertinentes que describan
sucesos o entidades.
DATOS SIGNIFICATIVOS. Para ser significativos, los datos deben constar de
símbolos reconocibles, estar completos y expresar una idea no ambigua.
Los símbolos de los datos son reconocibles cuando pueden ser correctamente
interpretados. Muchos tipos diferentes de símbolos comprensibles se usan para
transmitir datos.
En consecuencia, la información en todas sus formas y estados se ha convertido
en un activo de altísimo valor, de tal forma que, la empresa no puede ser
indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la
información para garantizar su integridad, confidencialidad y disponibilidad, de
conformidad con lo establecido por la ley.
En los últimos años se ha incrementado uso de aplicaciones electrónicas que
comprenden: correo, comercio, transacciones, firmas y certificados digitales,
comunicaciones seguras, entre otras. Por tal motivo, los requerimientos de
seguridad son cada vez mayores, por lo cual se han creado La política de
seguridad de la información la aplica las técnicas fundamentales para preservar la
información en medio digital y también la protección del acceso a todos los
recursos del sistema.
Protección de Datos.
El Administrador ha adoptado las medidas y niveles de seguridad de protección de
los datos personales exigidos por la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal y sus reglamentos de desarrollo. Los
datos personales son objeto de tratamiento automatizado y se incorporan a
ficheros titularidad, siendo su Administrador, responsable de los expresados
ficheros.
Seguridad de la información.
El Administrador ha empleado todos los sistemas y medidas técnicas a su alcance
para evitar la pérdida, mal uso, alteración, acceso no autorizado y sustracción de
los
datos
facilitados
por
el
Usuario.
No obstante, el Usuario debe ser consciente de que las medidas de seguridad en
Internet
no
son
inexpugnables.
Protección
frente
a
accesos
no
autorizados.
La información del Usuario almacenada en los servidores se conserva en el
entorno más seguro posible. Entre otras medidas de seguridad físicas y
tecnológicas, se dispone de señalar las medidas de protección (ej.: un control de
'cortafuegos' dirigido a controlar el acceso a los servidores del sitio web desde el
exterior)
Recogida y utilización de la Información personal.
Se puede almacenar y hacer uso de las direcciones IP que figuran en los archivos
'log' a fin de analizar las tendencias, administrar el sitio y realizar un seguimiento
de la utilización del sitio en su conjunto. La información global recogida puede
utilizarse para personalizar la respuesta al Usuario no asocia direcciones IP con
información identificable personalmente.
Cesión de información personal a terceros.
El Administrador de no vende, cede, ni transmite de modo alguno información
personal de sus Usuarios a terceros. Utilización de la dirección de correo
electrónico del Usuario. Se puede remitir correos electrónicos al Usuario una vez
éste facilite su dirección y bajo las condiciones expresamente aceptadas por éste.
En protección de la privacidad del Usuario, éste dispone de control absoluto sobre
la recepción de dichos correos.
Cambios en la Política de Seguridad y Protección de Datos.
El Administrador se reserva el derecho de modificar su política de seguridad y
protección de datos de forma discrecional, siempre con arreglo a la legislación
española vigente en materia de protección de datos, con efectos de la fecha de
publicación de dicha modificación. Los cambios que afecten al tratamiento de
datos personales se comunicarán también a los interesados por correo
electrónico.
OBJETIVOS





Identificar roles, de cada uno de los usuarios
Identificar las vulnerabilidades de la organización.

Recursos humanos

Recursos técnicos


Recursos financieros
INSTRUMENTOS Y TECNICAS
Para el desarrollo de la auditoria a Datos se plantea utilizar como medio para la
recopilación de información:



Para el análisis y la evolución de la información recolectada se utilizaran:




PUNTOS A EVALUAR








Documentación de manejo de internet.
para la información.
CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: Cuestionario
preguntas
si
Maneja diferentes niveles de
seguridad y perfiles de usuario
con niveles independientes de
acceso?
Los perfiles de usuario permiten la
identificación de los programas a
los que el usuario accede y deja
registros de los movimientos
efectuados?
Las cuentas de acceso tienen
bien definido las funciones que
pueden o no realizar el usuario
durante su sesión de acuerdo a
su rol (permisos):
Se
han
realizado
pruebas
anteriormente a las cuentas de
usuario?
Las
contraseñas
que
son
asignadas poseen buen nivel de
seguridad (son robustas)
El administrador del sistema
puede
crear
y
modificar
contraseñas para todos los
usuarios?____
Los usuarios realizan el cambio
de sus claves periódicamente
Se verifica que las contraseñas
cambiadas por los usuarios sean
robustas?
Existe alguna política sobre
caducidad de contraseñas? O
cambio periódico de estas
Se inhabilita el acceso de los
usuarios que ya no pertenecen a
la empresa a todos los sistemas y
recursos relacionados con esta?
Se
realiza
la
respectiva
modificación de las cuentas de
usuario cuando los empleados
son promovidos?
Este cuestionario fue realizado por
no
Datos agregar
observaciones
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
_____________________________________________
Firma:
______________________________________________
CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: entrevista
preguntas
¿Existe historial de ataques a los
sistemas de la empresa? Y que
se realiza con ellos
¿Existen perfiles de usuario para
acceder a los sistemas de la
empresa?
Si es así, ¿Cómo están definidos?
¿Existen políticas para la creación
de perfiles de usuario o por el
contrario se otorgan los perfiles
cada que se considera necesario?
El manejo de los password
asignados a los usuarios se rige
mediante alguna(s) de estas
normas:
- Longitudes____
- Alfanuméricos____
- Caracteres especiales____
- Tiempo de expiración ____
Otros____
cuales_____________________
En
el
transcurso
del
diligenciamiento
de
esta
herramienta es necesaria la
presentación física que soporte
cada respuesta.
Esta entrevista fue realizada por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
respuestas
observaciones
Cargo:
Firma:
_____________________
______________________________________________
______________________________________________
OBSERVACIONES
Se realizara una Investigación Preliminar con el fin de obtener la información
necesaria para saber cómo se maneja los datos y quienes tienen acceso a ellos,
además que políticas existen para su protección y bajo que documentos está
regida; abordando en temas como manejo de perfiles, contraseñas, acceso al
sistema, el peligro que puede representar internet (hackers, virus, troyanos,…) y el
mal manejo que se puede llegar a dar por parte de los usuarios a los recursos
informáticos de la empresa.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las
técnicas planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
GUÍA DE AUDITORIA A SISTEMAS DE BASES DE DATOS
Los sistemas de base de datos se diseñan para manejar grandes cantidades de
información, la manipulación de los datos involucra tanto la definición de
estructuras para el almacenamiento de la información como la provisión de
mecanismos para la manipulación de la información, además un sistema de base
de datos debe de tener implementados mecanismos de seguridad que garanticen
la integridad de la información, a pesar de caídas del sistema o intentos de
accesos no autorizados.
Un objetivo principal de un sistema de base de datos es proporcionar a los
usuarios finales una visión abstracta de los datos, esto se logra escondiendo
ciertos detalles de cómo se almacenan y mantienen los datos. El activo más
importante que se posee es la información y, por lo tanto, deben existir técnicas
que la aseguren, más allá de la seguridad física que se establezca sobre los
equipos en los cuales se almacena. Estas técnicas las brinda una política de
seguridad lógica que consiste en la aplicación de barreras y procedimientos que
resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas
autorizadas para hacerlo. Por lo tanto políticas de seguridad para las bd son:
POLITICA 1: ACCESO A LA INFORMACIÓN
Proveedores o terceras personas solamente deben tener privilegios durante el
periodo del tiempo requerido para llevar a cabo las funciones aprobadas.
Mediante el registro de eventos en los diversos recursos informáticos de la
plataforma tecnológica se efectuará un seguimiento a los accesos realizados por
los usuarios a la información de la Entidad, con el objeto de minimizar el riesgo de
pérdida de integridad de la información. Cuando se presenten eventos que pongan
en riesgo la integridad, veracidad y consistencia de la información se deberán
documentar
y
realizar
las
acciones
tendientes
a
su
solución.
POLITICA 2: ADMINISTRACION DE CAMBIOS
Todo cambio (creación y modificación de programas, pantallas y reportes) que
afecte los recursos informáticos, debe ser requerido por los usuarios de la
información y aprobado formalmente por el responsable de la administración del
mismo, al nivel de jefe inmediato o a quienes estos formalmente deleguen. El
responsable de la administración de los accesos tendrá la facultad de aceptar o
rechazar la solicitud. Bajo ninguna circunstancia un cambio puede ser aprobado,
realizado e implantado por la misma persona o área.
POLITICA 3: SEGURIDAD DE LA INFORMACION
Todo funcionario que utilice los Recursos Informáticos, tiene la responsabilidad de
velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la
información que maneje, especialmente si dicha información está protegida por
reserva legal o ha sido clasificada como confidencial y/o crítica.
POLITICA 4: SEGURIDAD PARA LOS SERVICIOS INFORMATICOS
El sistema de correo electrónico, grupos de charla y utilidades asociadas de la
entidad debe ser usado únicamente para el ejercicio de las funciones de
competencia de cada funcionario y de las actividades contratadas en el caso de
los contratistas y pasantes. Si los usuarios sospechan que hay infección por un
virus, deben inmediatamente llamar a la oficina de informática, no utilizar el
computador y desconectarlo de la red.
El Asesor de seguridad informática en conjunto con la oficina asesora de
comunicaciones debe proveer material para recordar regularmente a los
empleados, temporales y consultores acerca de sus obligaciones con respecto a la
seguridad de los recursos informáticos.
POLITICA 5: SEGURIDAD EN RECURSOS INFORMATICOS
Todos los recursos informáticos deben cumplir como mínimo con lo siguiente:
Administración de usuarios: Establece como deben ser utilizadas las claves de
ingreso a los recursos informáticos. Establece parámetros sobre la longitud
mínima de las contraseñas, la frecuencia con la que los usuarios deben cambiar
su contraseña y los períodos de vigencia de las mismas, entre otras.
Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos deberán
contar con roles predefinidos o con un módulo que permita definir roles, definiendo
las acciones permitidas por cada uno de estos. Deberán permitir la asignación a
cada usuario de posibles y diferentes roles. También deben permitir que un rol de
usuario
administre
el
Administración
de
usuarios.
Plan de auditoría: Hace referencia a las pistas o registros de los sucesos relativos
a la operación. El control de acceso a todos los sistemas de computación de la
entidad debe realizarse por medio de códigos de identificación y palabras claves o
contraseñas únicos para cada usuario.
POLITICA 6: SEGURIDAD EN COMUNICACIONES
Las direcciones internas, topologías, configuraciones e información relacionada
con el diseño de los sistemas de comunicación, seguridad y cómputo de la
Entidad, deberán ser consideradas y tratadas como información confidencial.
La red de amplia cobertura geográfica a nivel nacional e internacional debe estar
dividida en forma lógica por diferentes segmentos de red, cada uno separado con
controles de seguridad perimetral y mecanismos de control de acceso.
POLITICA 7: SEGURIDAD PARA USUARIOS TERCEROS
Los dueños de los Recursos Informáticos que no sean propiedad de la entidad y
deban ser ubicados y administrados por ésta, deben garantizar la legalidad del
recurso para su funcionamiento. Adicionalmente debe definir un documento de
acuerdo oficial entre las partes.
POLITICA 8: SOFTWARE UTILIZADO
Todo software que utilice la industria de licores será adquirido de acuerdo con las
normas vigentes y siguiendo los procedimientos específicos de la Entidad o
reglamentos
internos.
Todo el software de manejo de datos que utilice la industria de licores dentro de su
infraestructura informática, deberá contar con las técnicas más avanzadas de la
industria para garantizar la integridad de los datos.
POLITICA 9: ACTUALIZACION DE HARDWARE
Cualquier cambio que se requiera realizar en los equipos de cómputo de la entidad
(cambios de procesador, adición de memoria o tarjetas) debe tener previamente
una
evaluación
técnica
y
autorización
del
área
responsable.
La reparación técnica de los equipos, que implique la apertura de los mismos,
únicamente
puede
ser
realizada
por
el
personal
autorizado.
Los equipos de microcomputadores (PC, servidores, LAN etc.) no deben moverse
o reubicarse sin la aprobación previa del administrador, jefe o coordinador del área
involucrada.
POLITICA 10: ALMACENAMIENTO Y RESPALDO
Debe existir una definición formal de la estrategia de generación, retención y
rotación de las copias de respaldo. La entidad definirá la custodia de los respaldos
de la información que se realizará externamente con una compañía especializada
en este tema. El área dueña de la información en conjunto con la oficina
Informática definirá la estrategia a seguir para el respaldo de la información.
POLITICA 11: CONTINGENCIA
La administración de la Entidad debe preparar, actualizar periódicamente y probar
en forma regular un plan de contingencia que permita a las aplicaciones críticas y
sistemas de cómputo y comunicación estar disponibles en el evento de un
desastre de grandes proporciones como terremoto, explosión, terrorismo,
inundación etc.
POLITICA 12: SEGURIDAD FISICA
La Entidad deberá contar con los mecanismos de control de acceso tales como
puertas de seguridad, sistemas de control con tarjetas inteligentes, sistema de
alarmas y circuitos cerrados de televisión en las dependencias que la entidad
considere críticas.
Los centros de cómputo o áreas que la entidad considere criticas, las cinto tecas
deben ser lugares de acceso restringido y cualquier persona que ingrese a ellos
deberá registrar el motivo del ingreso y estar acompañada permanentemente por
el
personal
que
labora
cotidianamente
en
estos
lugares.
Toda persona que se encuentre dentro de la entidad deberá portar su
identificación en lugar visible. En los centros de cómputo o áreas que la entidad
considere criticas deberán existir elementos de control de incendio, inundación y
alarmas.
POLITICA 13: ESCRITORIOS LIMPIOS
Todos los escritorios o mesas de trabajo deben permanecer limpios para proteger
documentos en papel y dispositivos de almacenamiento como CDFS, USB menor
ley, disquetes, con fin de reducir los riesgos de acceso no autorizado, perdida y
daño de la información durante el horario normal de trabajo y fuera del mismo.
OBJETIVOS
Los objetivos principales de un sistema de base de datos es disminuir los
siguientes aspectos:
Redundancia e inconsistencia de datos. Puesto que los archivos que
mantienen almacenada la información son creados por diferentes tipos de
programas de aplicación existe la posibilidad de que si no se controla
detalladamente el almacenamiento, se pueda originar un duplicado de
información, es decir que la misma información sea más de una vez en un
dispositivo de almacenamiento. Esto aumenta los costos de almacenamiento y
acceso a los datos, además de que puede originar la inconsistencia de los datos es decir diversas copias de un mismo dato no concuerdan entre sí -, por ejemplo:
que se actualiza la dirección de un cliente en un archivo y que en otros archivos
permanezca la anterior.
Dificultad para tener acceso a los datos. Un sistema de base de datos debe
contemplar un entorno de datos que le facilite al usuario el manejo de los mismos.
Supóngase un banco, y que uno de los gerentes necesita averiguar los nombres
de todos los clientes que viven dentro del código postal 78733 de la ciudad. El
gerente pide al departamento de procesamiento de datos que genere la lista
correspondiente. Puesto que esta situación no fue prevista en el diseño del
sistema, no existe ninguna aplicación de consulta que permita este tipo de
solicitud, esto ocasiona una deficiencia del sistema.
Aislamiento de los datos. Puesto que los datos están repartidos en varios
archivos, y estos no pueden tener diferentes formatos, es difícil escribir nuevos
programas de aplicación para obtener los datos apropiados.
Anomalías del acceso concurrente. Para mejorar el funcionamiento global del
sistema y obtener un tiempo de respuesta más rápido, muchos sistemas permiten
que múltiples usuarios actualicen los datos simultáneamente. En un entorno así la
interacción de actualizaciones concurrentes puede dar por resultado datos
inconsistentes. Para prevenir esta posibilidad debe mantenerse alguna forma de
supervisión en el sistema.
Problemas de seguridad. La información de toda empresa es importante,
aunque unos datos lo son más que otros, por tal motivo se debe considerar el
control de acceso a los mismos, no todos los usuarios pueden visualizar alguna
información, por tal motivo para que un sistema de base de datos sea confiable
debe mantener un grado de seguridad que garantice la autentificación y protección
de los datos. En un banco por ejemplo, el personal de nóminas sólo necesita ver la
parte de la base de datos que tiene información acerca de los distintos empleados
del banco y no a otro tipo de información.
Problemas de integridad. Los valores de datos almacenados en la base de
datos deben satisfacer cierto tipo de restricciones de consistencia. Estas
restricciones se hacen cumplir en el sistema añadiendo códigos apropiados en los
diversos programas de aplicación.
PUNTOS A EVALUAR












Documentación de la instalación del motor de Base de Datos.
de datos.
Políticas y normas del negocio en relación con las actividades apoyadas
con el Sistema de Bases de Datos.
Modelo Entidad Relación (MER).
Seguridad.
Integridad de los datos.
nejo de datos en la base de datos (tablas, vistas, procedimientos
almacenados, trigas, etc.).
Todas las conexiones clientes a la base de datos incluyendo interfaces de
red, direcciones IP, conexiones LAN y WAN.
o de espacio en disco.
INSTRUMENTOS Y TECNICAS
Para el desarrollo de la auditoria a Sistemas de Bases de Datos se plantea utilizar
como medio para la recopilación de información:

 Entrevista.
 Inventarios.
Para el análisis y la evolución de la información recolectada se utilizaran:


 Confirmación.

CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: Cuestionario
preguntas
si
¿Se maneja un MER (Modelo
Entidad Relación) para el modelo
de negocios?
¿Se manejan Llaves Primarias
para la manipulación de datos
dentro de las tablas de la base de
no
Datos agregar
observaciones
datos?
¿Se definen dominios de atributos
específicos para cada tipo de dato
¿Se manejan llaves foráneas en
el MER que garanticen que solo
se pueden incluir registros para
valores previamente ingresados
en otras tablas?
¿Se tiene creadas vistas en la BD
para evitar que los usuarios vean
en su totalidad los datos
almacenados?
Existen políticas de seguridad que
exijan la creación de vistas?
¿Existe historial y manejo de
archivos de auditoría (logs)?
¿Se
manejan
estándares
criptográficos en algún proceso de
almacenamiento?
¿Se manejan disparadores en la
BD?
¿Se maneja documentación sobre
las aplicaciones que están en la
BD?
¿Existen copia de respaldo de las
aplicaciones de la BD?
¿Existen
Script
de
las
aplicaciones para la BD?
¿Existe documentación sobre
respaldo y restauración de la BD?
¿Se tiene estipulado el espacio
en disco que necesitara la BD a
largo plazo?
¿Existen manuales de instalación
y manejo del motor de la base de
datos?
Este cuestionario fue realizado por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
______________________________________________
Firma:
______________________________________________
CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: cuestionario
preguntas
si
no Datos agregar
observaciones
¿Existen
programas
de
prevención contra desastres en la
bd?
¿Se tiene detector de incendios
extinguidores en zonas críticas,
principalmente en los servidores?
¿Se
tiene
un
plan
de
contingencia, para los datos
almacenados en la bd, en caso
que exista un desastre?
¿Se ha definido una política
global de seguridad en la
empresa?
¿Se informa oportunamente a los
empleados sobre esta política de
seguridad?
¿Se ha definido un nivel de
acceso para los usuarios?
¿Existe algún control para impedir
el acceso físico a los recursos por
parte de personal no autorizado?
(Alarmas,
acceso
mediante
tarjetas)
Tipo de revisión periódica para
controlar que las políticas de
seguridad sean respetadas en la
empresa?
Este cuestionario fue realizado por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
______________________________________________
Firma:
______________________________________________
OBSERVACIONES
Se realizara una Investigación Preliminar con el fin de obtener el inventario del
sistema de la base de datos, como es su funcionamiento y bajo que documentos
está regida; abordando temas específicos sobre conocimiento del negocio y del
Sistema, la información sobre la empresa y su objeto social, sobre sus políticas y
normas. Además toda la información referente al Motor de Bases de Datos. Luego
se aplicaran las herramientas creadas, posteriormente se evaluaran con las
técnicas planteadas para arrojar los respectivos resultados. Identificar
desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
GUÍA DE AUDITORIA A DATA WAREHOUSE
Un Data Warehouse es un conjunto de datos integrados orientados a una materia,
que varían con el tiempo y que no son transitorios, los cuales soportan el proceso
de toma de decisiones de la administración. (W.H. Inmon, considerado como el
padre del data warehouse) [Har96]. Está orientada al manejo de grandes
volúmenes de datos, provenientes de diversas fuentes, de muy diversos tipos.
Estos datos cubren largos períodos de tiempo, lo que trae consigo que se tengan
diferentes esquemas de los datos fuentes. La concentración de esta información
está orientada a su análisis para apoyar la toma de decisiones oportunas y
fundamentadas. Previo a su utilización se debe aplicar procesos de análisis,
selección y transferencia de datos seleccionados desde las fuentes.
El término Políticas de Seguridad, en particular las de Informática PSI, se usa de
muchas formas y dando connotaciones diferentes, lo cual en ocasiones hace que
se pierda, para muchos, u gran importancia en la tarea de la implementación de la
política de seguridad en las empresas Resaltamos los elementos que influyen en
la seguridad y buen funcionamiento:
Datos Antiguos: Tienen gran importancia en los procesos iníciales de población
de la bodega de datos. Son datos de periodos anteriores. Pueden provenir de 20
años atrás, en algunos casos. La dificultad de ubicación, recuperación y
transformación a los formatos requeridos (pueden estar incluso en documentos en
papel) es uno de los problemas más usuales en proyectos de este tipo.
Datos Operacionales: Datos operativos actualizados por aplicaciones OLTP (En
Line Processing Transaction. Procesamiento de transacciones en línea.). Están
almacenados en las bases de datos en producción.
Extractores de Datos: Encargados del copiado y distribución de los datos de
acuerdo con el diseño. Se determinan los datos a copiar, desde donde y hacia
donde, periodos para las actualizaciones. Se determina si se realiza una
regeneración (copia de la fuente de datos en su totalidad) o una actualización
(solo se propagan los cambios). Los datos externos son adecuados y limpiados
antes
de
ser
sumados
a
la
bodega
de
datos.
Son los enlaces entre los datos en producción y el Data Warehouse (generalmente
de tipo relacional)
Bodega de Datos: El repositorio de datos actual. Organizadas orientada a
intereses concretos. Información histórica reflejando transacciones OLTP,
acumuladas por años o en general por periodos largos. Se dice que son
servidores de datos para apoyo de decisiones, que añade valor a los datos
procedentes de las fuentes en producción. Contienen información detallada y
agregada.
Metadatos: Los metadatos llevan registros de los datos almacenados, integrados
en la misma base de datos. Describen el contenido de los objetos de la bodega de
datos: las tablas, índices y el contenido de los datos. Los metadatos definen los
formatos, significado y origen de los datos y facilitan el acceso y administración a
los datos en la bodega. Contienen la información de la fuente antes de ingresar a
la bodega, el mapeo de los datos fuentes a datos en la bodega, historia de las
extracciones, lógica y algoritmos usados para los procesos de datos
(sumarizacion, organización, etc.) y la historia de los cambios en la bodega.
Herramientas de Consultas y Extracción de Información: Proveen la interfaz
humana con la bodega de datos. En el procesamiento de la información se pasa
de simples consultas SQL a OLAP y de esta a Minería de Datos.
OBJETIVOS

Identificar si se está tomando en cuenta los riesgos de cada elemento del
sistema Data Warehouse.

las necesidades del negocio.


que generen una ventaja competitiva para la empresa y faciliten la toma de
decisiones por parte de la administración.
asegurar que no existe perdida de datos
PUNTOS A EVALUAR









Documentación existen del Sistema Data Warehouse.
Operacionales.
Extractores de Datos.
Bodega de Datos.
Plan de Riesgos.








Red.
Manejo de un buen servicio de datos
INSTRUMENTOS Y TECNICAS
Para el desarrollo de la auditoria al Sistema de Data warehause se plantea
utilizar como medio para la recopilación de información:
Cuestionario.
Para el análisis y la evolución de la información recolectada se utilizaran:




Lista de verificación o chequeo.
CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: Cuestionario
preguntas
si
La
empresa
cuenta
con
estrategias para el mantenimiento
de software aplicativo?
La empresa posee un proveedor
de soporte y mantenimiento del
software aplicativo?
La empresa posee políticas para
garantizar
que
el
software
aplicativo utilice plenamente los
recursos de hardware?
La empresa posee políticas en
cuanto al análisis y mantenimiento
de los recursos de hardware y
software?
La empresa cuenta con un plan
de actualización de licencias?
La
empresa
realiza
la
documentación sobre las licencias
del software y de los manuales
que posee?
La
empresa
realiza
la
identificación y análisis de los
no
Datos agregar
observaciones
riesgos y requerimientos para
contratar los proveedores de
soporte y mantenimiento del
software aplicativo?
Cada cuanto se realiza la
actualización de las licencias del
software aplicativo?
Este cuestionario fue realizado por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
______________________________________________
Firma:
______________________________________________
CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: entrevista
preguntas
respuestas
¿Se tiene documentado, los
objetivos a mediano y largo plazo,
de las actividades y proyectos del
departamento de TI, con su
respectivo presupuesto?
¿Dentro de los proyectos, que
están en proceso de evolución,
cuales están relacionados con los
objetivos del negocio?
_¿Se encuentra el departamento
de TI, involucrado en la junta
directiva
de
la
empresa?
representado por quien.
¿Qué
ente
dentro
de
la
organización es el encargado, de
validar los objetivos del los
proyectos y labores de TI,
rectificando los costos de cada
uno de estos?
¿Cómo se miden los resultados
del departamento de TI, en
observaciones
procesos, labores, proyectos,
sistemas
en
cuanto
el
alineamiento del negocio?
¿Existen planes de contingencia
dentro del departamento de TI?
¿Existen formatos con tiempos
determinados
para
el
mantenimiento preventivo? En
caso
de
que
sea
un
mantenimiento correctivo, tienen
formatos de ¿cómo seguir el
proceso?
¿Los reportes de portafolios de
servicios están a disposición de
toda la empresa, o solo al
departamento de TI?
Los nuevos proyectos tienen
probabilidad de entregar a tiempo
y dentro de presupuesto?
Esta entrevista fue realizada por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
______________________________________________
Firma:
______________________________________________
CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: encuesta
preguntas
si
¿Se tiene diseñado un sistema
data warehause?
¿Se tiene implementado
sistema data warehause?
un
no
Datos agregar
observaciones
¿Existe
documentación
respalde
el
sistema
warehause?
que
data
¿Se utiliza frecuentemente el
sistema data warehause para la
toma de decisiones?
¿La arquitectura implementada en
el sistema data warehause
satisface las necesidades del
negocio y resalta la ventaja
competitiva?
¿Se tienen datos antiguos?
¿Se manejan
datos?
extractores
de
¿La bodega de datos satisface las
necesidades del sistema data
warehause?
¿Se
tuvo
en
cuenta
necesidades a futuro?
las
¿Se tuvo en cuenta el sistema
anterior para la extracción de
datos?
¿Han existido perdidas de datos
en la extracción?
¿Existen un respaldo de los datos
almacenados?
¿La información del sistema data
warehause es correspondiente al
sistema de la empresa?
Este cuestionario fue realizado por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
______________________________________________
Firma:
______________________________________________
OBSERVACIONES
El DW es un proyecto dinámico, que irá evolucionando con el tiempo, nutriéndose
del uso. Debe ser flexible y escalable, ya que debe brindar infraestructura
computacional que pueda soportar los cambios que se producen en la
organización.
Se necesitan herramientas de desarrollo que habitualmente están compuestas por
tres componentes: la base de datos, las herramientas que permiten la extracción,
transformación y carga de los datos que alimentarán el DW, y las herramientas de
visualización para el usuario
El proceso de construcción de un DW consume tiempo y dinero. El proyecto
necesita un sponsor en la alta dirección de la organización (en este caso la
universidad), caso contrario puede no pasar de ser un buen proyecto del área
técnica.
Se realizara una Investigación Preliminar con el fin de obtener la información del
sistema data warehause.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las
técnicas planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
GUÍA DE AUDITORIA A MINERIA DE DATOS
El data mining es una tecnología compuesta por etapas que integra varias áreas y
que no se debe confundir con un gran software. Durante el desarrollo de un
proyecto de este tipo se usan diferentes aplicaciones software en cada etapa que
pueden ser estadísticas, de visualización de datos o de inteligencia artificial,
principalmente. Actualmente existen aplicaciones o herramientas comerciales de
data mining muy poderosas que contienen un sinfín de utilerías que facilitan el
desarrollo de un proyecto. Sin embargo, casi siempre acaban complementándose
con otra herramienta.
La data mining es la etapa de descubrimiento en el proceso de KDD: Paso
consistente en el uso de algoritmos concretos que generan una enumeración de
patrones a partir de los datos preprocesador La minería de datos (DM, Data
Mining) consiste en la extracción no trivial de información que reside de manera
implícita en los datos. Dicha información era previamente desconocida y podrá
resultar útil para algún proceso. En otras palabras, la minería de datos prepara,
sondea y explora los datos para sacar la información oculta en ellos.
Bajo el nombre de minería de datos se engloba todo un conjunto de técnicas
encaminadas a la extracción de conocimiento procesable, implícito en las bases
de datos. Está fuertemente ligado con la supervisión de procesos industriales ya
que resulta muy útil para aprovechar los datos almacenados en las bases de
datos.
Las bases de la minería de datos se encuentran en la inteligencia artificial y en el
análisis estadístico. Mediante los modelos extraídos utilizando técnicas de minería
de datos se aborda la solución a problemas de predicción, clasificación y
segmentación.
Un proceso típico de política de seguridad de minería de datos consta de los
siguientes pasos generales:
Filtrado de datos El formato de los datos contenidos en la fuente de datos (base
de datos, Data Warehouse...) nunca es el idóneo, y la mayoría de las veces no es
posible ni siquiera utilizar ningún algoritmo de minería sobre los datos en bruto.
Selección de variables Aún después de haber sido preprocesados, en la mayoría
de los casos se tiene una cantidad ingente de datos. La selección de
características reduce el tamaño de los datos eligiendo las variables más
influyentes en el problema, sin apenas sacrificar la calidad del modelo de
conocimiento obtenido del proceso de minería. Los métodos para la selección de
características son básicamente dos:
• Aquellos basados en la elección de los mejores atributos del problema,
• Y aquellos que buscan variables independientes mediante tests de sensibilidad,
algoritmos de distancia o heurísticos.
Selección del conjunto de datos, tanto en lo que se refiere a las variables
objetivo (aquellas que se quiere predecir, calcular o inferir), como a las variables
dependientes (las que sirven para hacer el cálculo o proceso), como posiblemente
al muestreo de los registros disponibles.
Análisis de las propiedades de los datos, en especial los histogramas,
diagramas de dispersión, presencia de valores atípicos y ausencia de datos
(valores nulos).
Transformación del conjunto de datos de entrada, se realizará de diversas
formas en función del análisis previo, con el objetivo de prepararlo para aplicar la
técnica de minería de datos que mejor se adapte a los datos y al problema, a este
paso también se le conoce como pre procesamiento de los datos.
Seleccionar y aplicar la técnica de minería de datos, se construye el modelo
predictivo, de clasificación o segmentación.
Extracción de conocimiento, mediante una técnica de minería de datos, se
obtiene un modelo de conocimiento, que representa patrones de comportamiento
observados en los valores de las variables del problema o relaciones de
asociación entre dichas variables. También pueden usarse varias técnicas a la vez
para generar distintos modelos, aunque generalmente cada técnica obliga a un pre
procesado diferente de los datos.
Interpretación y evaluación de datos, una vez obtenido el modelo, se debe
proceder a su validación comprobando que las conclusiones que arroja son
válidas y suficientemente satisfactorias. En el caso de haber obtenido varios
modelos mediante el uso de distintas técnicas, se deben comparar los modelos en
busca de aquel que se ajuste mejor al problema.
OBJETIVOS

Explorar los datos se encuentran en las profundidades de las bases de
datos, como los almacenes de datos, que algunas veces contienen
información almacenada durante varios años.
 Hurgar y sacudir a menudo implica el descubrimiento de resultados valiosos
E inesperados.
 Las herramientas de la minería de datos se combinan fácilmente y pueden
Analizarse y procesarse rápidamente.
 Usar procesamiento en paralelo para la minería de datos.


de selección del grupo de datos.

 Evaluar la documentación presentada.
PUNTOS A EVALUAR





Análisis aplicados a las propiedades de los datos.
Técnicas de minería de datos empleadas.
INSTRUMENTOS Y TECNICAS
Para el desarrollo de la auditoria al Sistema de Data warehause se plantea utilizar
como medio para la recopilación de información:


Para el análisis y la evolución de la información recolectada se utilizaran:


CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: encuesta
preguntas
si
no Datos agregar
observaciones
Todos los procesos de la empresa
están sistematizados?
¿Están las TI y los negocios
en
cuales
estratégicamente alineados?
objetivos
¿las personas en la organización
entiende los objetivos de TI, y los
ubican dentro de la minería de
datos?
¿En la empresa, existen procesos
Que procesos
manejan mucho papel?
¿manejan alguna protección,
sobre datos secretos, como
secreto industrial o cualquier otro?
¿existen
documentos,
con
remitente, y recibido dentro de los
departamentos, para la generar
las bases de datos?
¿La información, de la empresa
suministrada a los usuarios, y
personal de esta, es fraccionada
según la importancia, entre los
roles presentados, existiendo
comunicación
entre
departamentos?
¿Son los riesgos de TI entendidos
Por quienes
y están siendo administrados?
¿Es la calidad del sistema de TI
apropiada para las necesidades
de la entidad?
Este cuestionario fue realizado por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
______________________________________________
Firma:
______________________________________________
CHCONSULTORES S.A.
Fecha: 24 de Mayo de 2010
EQUIPO 1 AUDITOR
Guía de auditoría: entrevista
preguntas
respuestas
observaciones
¿Se encuentran documentados
los parámetros para adquirir un
dato en la utilización del conjunto
de datos para minería de datos?
¿Se manejan con la cantidad de
datos
estudios
estadísticos?
Cuales
Para que son utilizados las
propiedades
de
los
datos
(histogramas,
diagramas
de
dispersión, ausencia de datos, …)
¿Cómo es el proceso de elección
de la técnica de minería de
datos?
¿Qué
documentación
importantes, y de uso exclusivo
existe del proceso de minería de
datos?
Esta entrevista fue realizada por
Nombre: Chauditoria consultores S.A
Lorena soto, Cristian villa
_____________________
Cargo:
______________________________________________
Firma:
______________________________________________
OBSERVACIONES
algunos sistemas que son sólo parcialmente conocidos, producen una cantidad
inmensa de datos; estos datos con frecuencia contienen valiosa información que
puede resultar muy útil y ser vista como vetas de oro por los ojos de un ejecutivo
de una corporación.Se realizara una Investigación Preliminar con el fin de obtener
la información del sistema de Minería de datos.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las
técnicas planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
GUÍA DE AUDITORIA A DB2 IBM
DB2 (R) Universal Database, es una base de datos universal, es completamente
escalable, veloz y confiable, corre en modo nativo en casi todas las plataformas,
como Windows NT (R), Sun Solaris, HP-UX, AIX(R), OS/400 y OS/2(R).
DB2 UDB es un sistema para administración de bases de datos relacionales
(RDBMS) multiplataforma, especialmente diseñada para ambientes distribuidos,
permitiendo que los usuarios locales compartan información con los recursos
centrales.
CARACTERISTICAS



 Web enabled para E-business

 Universalidad Conectividad

OBJETIVOS



PUNTOS A EVALUAR


 Triggers y Tablas Espejo.
Software especializado.
INSTRUMENTOS Y TECNICAS
Para el desarrollo de la auditoria a Bases de Datos DB2 se plantea utilizar como
medio para la recopilación de información:

 Para el análisis y la evolución de la información recolectada se utilizaran:
 Guías de evaluación.
HERRAMIENTAS
Para ver los registros de auditoría en la Base de datos DB2 de auditoría utilizando
dos vistas de Trust Authority. Al emplear estas vistas de base de datos, puede ver
todos los registros de auditoría almacenados actualmente en la base de datos. Los
registros de auditoría se almacenan en la tabla de bases de datos, audit_log.
Las dos vistas son las siguientes:
viewar: Esta es la vista básica que proporciona acceso a todas las descripciones
textuales sin truncamientos.
viewar_t: Esta vista es la misma que viewar, exceptuando que todas las columnas
de texto se truncan a 40 caracteres.
Nombre de columna
Descripción
Nombre de columna
serial_num
Descripción
Tipo de dato
El número de serie del entero
informe de auditoría
sourcetime
El indicador de la fecha y
la hora en que el cliente hora
generó el evento de
auditoría
createtime
El indicador de la fecha y indicador de fecha y hora
la hora en que se creó el
informe de auditoría
event
El nombre del evento
source
El cliente de auditoría que varchar
generó el evento de
auditoría
component
El tipo de componente del varchar
cliente de auditoría que
generó el evento de
auditoría
varchar
varchar
auth_entity
La entidad que autorizó el
evento de auditoría
auth_role
varchar
La función de la entidad
que autorizó el evento de
auditoría
affected_entity
affected_entity_type
storage_media
La identidad de la entidad varchar
afectada por el evento de
auditoría
El tipo de la entidad varchar
afectada
El
medio
de varchar
almacenamiento
asociado al evento de
auditoría
extra_info
Información
adicional varchar
asociada al evento de
auditoría
Ver los informes de la base de datos de auditoría:
1. Inicie la sesión como el usuario de Trust Authority (el usuario que instaló Trust
Authority).
2. Inicie una sesión interactiva de línea de mandatos de DB2.
3. En la línea de mandatos de DB2, entre el mandato siguiente para conectar con la base
de datos de auditoría:
Connect to nombre_de_su_base_de_datos_de_auditoría
4. Consulte la base de datos empleando una de las vistas de Trust Authority del modo
siguiente:
o Para consultar la vista viewvar, entre este mandato:
o "select * from viewvar"
o Para consultar la vista viewvar_t, entre este mandato:
o "select * from viewvar_t"
5. Para filtrar la vista de los informes de auditoría, utilice la cláusula where SQL. Por
ejemplo, para consultar informes para un determinado intervalo de fechas, entre el
mandato siguiente:
"select * from viewar where sourcetime between '1999-07-01- 8.00.00' and
'1999-07-02-08.00.00'"
Aplicar auditoria
Se realizara una Investigación Preliminar con el fin de obtener la información de la
base de daos de DB2.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las técnicas
planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
GUÍA DE AUDITORIA A ORACLE
Oracle es un sistema de gestión de base de datos relacional (o RDBMS por el
acrónimo en inglés de Relational Data Base Management System), desarrollado
por Oracle Corporation. Se considera a Oracle como uno de los sistemas de bases
de datos más completos, destacando:



calabilidad.


OBJETIVOS




PUNTOS A EVALUAR
NONARCHIVELOG.
Análisis de los Oracle Data Blocks.
Enumeración de usuarios.
Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario.
Consultar de intentos del exploit AUTH_ALTER_SESSION
Consultar de intentos de iniciar sesiones.
Consultar si la Auditoria está habilitada.
Consultar información de los inicios de Sesión
Consultar de tablas eliminadas
Consultar de los logs del Apache.
INSTRUMENTOS Y TECNICAS
Para el desarrollo de la auditoria a Bases de Datos Oracle se plantea utilizar como
medio para la recopilación de información:
Para el análisis y la evolución de la información recolectada se utilizaran:
evaluación.
HERRAMIENTAS
Determinar si en la BD está activo el modo de operación en ARCHIVELOG o
NONARCHIVELOG. Si este no está activo, la evidencia de ataque o cambios
serán sobrescritos por un nuevo registro.
Se puede determinar realizando una sentencia SQL a la BD:
•
SELECT VALUE V$PARAMETER WHERE FROM NAME=’archiv_log_start’;
Análisis de los Oracle Data Blocks, para determinar:
• Registros eliminados
• Localizar bloques asignados a tablas (OBJETOS DE INTERÉS)
• Seguimiento de Objetos creados y eliminados
• Localización de tablas eliminadas
• Localización de Funciones eliminadas
Obtención del SID de la BD
Enumeración de usuarios
• SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM
SYS.AUD$;
• SELECT USERID, COMMENT$TEXT FROM SYS.AUD$;
Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario
• SQL> SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP#
FROM SYS.AUD$;
• SELECT NAME, LCOUNT FROM USER$ WHERE LCOUNT>0;
• SELECT NAME, LTIME FROM USER$ WHERE ASTATUS = 4;
Consulta de Ataques de Fuerza Bruta a la cuenta SYS
Consulta de intentos del exploit AUTH_ALTER_SESSION
• SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM
SYS.AUD$;
Consulta de intentos de iniciar una sesión la base de datos a través de
XML (XDB)
• SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM
SYS.AUD$;
• SELECT COMMENT$TEXT FROM SYS.AUD$ WHERE USERID =
‘DBSNMP’;
• SELECT TERMINAL,SPARE1,TIMESTAMP# FROM SYS.AUD$ WHERE
USERID=’DBSNMP’;
Consulta si la Auditoria está habilitada
• SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM
SYS.WRH$_ACTIVE_SESSION_HISTORY ORDER BY SAMPLE_TIME;
• SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM
SYS.AUD$;
• SELECT USERID,ACTION#,TIMESTAMP#,LOGOFF$TIME FROM AUD$;
Consulta del archivo sqlnet.log,Agntsrvc.log, spfilesid.ora, o el init.ora
todas las ubicaciones referentes a estos parámetros:
• audit_file_dest ——-> Sistema de Auditoria
(ORACLE_HOME/rdbms/audit)
• background_dump_dest ——-> archivo alert.log y tracer de procesos
($ORACLE_HOME/admin/$ORACLE_SID/bdump)
• core_dump_dest ——-> archivos Oracle core dump
($ORACLE_HOME/DBS/)
• db_recovery_file_dest ——-> redo logs, flashback logs, y RMAN backups
• user_dump_dest ——-> Archivos trace debuggin procesos/usuarios
(/Oracle/utrc)
• utl_file_dir ——-> Especifica uno o m•s directorios que Oracle debe utilizar
para PL/SQL archivos E/S.
• control_files ——-> Especifica uno o varios nombres de archivos de
control de Oracle
• db_create_file_dest ——-> Especifica la ubicación predeterminada de
archivos de datos administrados por Oracle.
• db_create_online_log_dest_n—-> Especifica la ubicación de los redo logs
y file control
• log_archive_dest ——-> Es aplicable solo si la BD está en modo de
ARCHIVELOG
• log_archive_dest_n ——-> Define hasta 10 archivos de registros logs.
Consulta de archivos Log Listener
(ORACLE_HOME/network/admin/listener.ora) (lsnrctl status me dara la
ubicación actual)
Revisión de los LOGS de sentencias(SQL
$ORACLE_HOME/bin/LOGIN.SQL,$ORACLE_HOME/dbs/LOGIN.SQL,$O
RACLE_HOME/SQLPlus/admin/glogin.sql)
Consultando información de los inicios de Sesión:
• SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM
SYS.WRH$_ACTIVE_SESSION_HISTORY
Consultar una lista de usuarios y roles, usuarios con función de DBA, para
buscar inconsistencias, o usuarios creados por un atacante y la generación
de contraseñas fuertes con la validación de los hash, cuentas bloqueadas,
tiempos de password
• SELECT USER#, NAME, ASTATUS, PASSWORD, CTIME, PTIME,
LTIME FROM SYS.USER$ WHERE TYPE#=1;
• SELECT U.NAME AS “GRANTEE”, U2.NAME AS “ROLE” FROM
SYS.USER$ U,SYS.USER$ U2, SYS.SYSAUTH$ A WHERE U.USER# =
A.GRANTEE# AND PRIVILEGE# = U2.USER#;
Consultar una lista de objetos y privilegios en el sistema
• SELECT U.NAME AS “GRANTEE”, P.NAME AS “PRIVILEGE”, U2.NAME
AS “OWNER”, O.NAME AS “OBJECT” FROM SYS.USER$ U, SYS.USER$
U2,SYS.TABLE_PRIVILEGE_MAP P, SYS.OBJ$ O, SYS.OBJAUTH$ A
WHERE U.USER# =A.GRANTEE# AND A.OBJ# = O.OBJ# AND
P.PRIVILEGE = A.PRIVILEGE# AND O.OWNER#=U2.USER#;
• SQL> SELECT OBJ#, OWNER#, NAME, TYPE#, CTIME, MTIME, STIME
FROM SYS.OBJ$ ORDER BY CTIME ASC;
Consulta de tablas eliminadas
• SELECT U.NAME, R.ORIGINAL_NAME, R.OBJ#, R.DROPTIME,
R.DROPSCN FROM SYS.RECYCLEBIN$ R, SYS.USER$ U WHERE
R.OWNER#=U.USER#;
Consulta de Directorios, archivos datos, archivos externos, tablas
externas, buscando elementos perdidos o ubicados en sitios diferentes por
el atacante.
• SELECT T.NAME AS “TABLESPACE”, D.NAME AS “FILNAME” FROM
V$DATAFILE D, TS$ T WHERE T.TS#=D.TS#;
SELECT U.NAME AS “OWNER”, O.NAME AS “DIRECTORY”, D.OS_PATH
AS “PATH” FROM SYS.OBJ$ O, SYS.USER$ U, SYS.DIR$ D WHERE
U.USER#=O.OWNER# AND O.OBJ#=D.OBJ#;
• SELECT O.NAME, D.DEFAULT_DIR FROM SYS.OBJ$ O,
SYS.EXTERNAL_TAB$ D WHERE D.OBJ# = O.OBJ#;
El Monitor del Sistema (SMON) MON_MOD$ Table
• SELECT U.NAME AS “OWNER”, O.NAME AS “OBJECT”, M.OBJ#,
M.INSERTS,M.UPDATES, M.DELETES, M.TIMESTAMP FROM
SYS.MON_MODS$ M, SYS.USER$ U,SYS.OBJ$ O WHERE
O.OBJ#=M.OBJ# AND U.USER#=O.OWNER#;
Revisión de Triggers al encendido, apagado, inicio y terminación de sesión
• SELECT U.NAME AS “OWNER”, O.NAME AS
“ENABLED_TRIGGER_NAME”,DECODE(T.TYPE#, 0, ‘BEFORE’,2,
‘AFTER’,'NOTSET’) AS “WHEN” FROM SYS.OBJ$ O, SYS.TRIGGER$ T,
SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER#
AND ENABLED=1;
• SELECT U.NAME AS “OWNER”, O.NAME AS
“ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T,
SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER#
AND ENABLED=1 AND BITAND(T.SYS_EVTS,1) = 1;
• SELECT U.NAME AS “OWNER”, O.NAME AS
“ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T,
SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER#
AND ENABLED=1 AND BITAND(T.SYS_EVTS,2) = 2;
• SELECT U.NAME AS “OWNER”, O.NAME AS
“ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T,
SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER#
AND ENABLED=1 AND BITAND(T.SYS_EVTS,8) = 8;
• SELECT U.NAME AS “OWNER”, O.NAME AS
“ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T,
SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER#
AND ENABLED=1 AND BITAND(T.SYS_EVTS,16) = 16;
Consulta de librerías, que puedan estar ejecutando código
arbitrario(malicioso)
• SELECT U.NAME AS “OWNER”, O.NAME AS “LIBRARY”, L.FILESPEC
AS “PATH” FROM SYS.LIBRARY$ L, SYS.USER$ U, SYS.OBJ$ O
WHERE O.OBJ#=L.OBJ# AND O.OWNER#=U.USER#;
Consultas de Flashback (nuevos privilegios, derechos asignados, nuevos
objetos, objetos eliminados) entre la tabla actual y la anterior en un tiempo
determinado.
• SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ MINUS
SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ AS OF
TIMESTAMP(SYSDATE – INTERVAL ‘3600′ MINUTE);
• SELECT NAME FROM SYS.OBJ$ MINUS SELECT NAME FROM
SYS.OBJ$ AS OF TIMESTAMP(SYSDATE – INTERVAL ‘156′ MINUTE);
• SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE –
INTERVAL ‘156′ MINUTE) MINUS SELECT NAME FROM SYS.OBJ$;
Consulta de las tablas RECYLEBIN$ y OBJ$
• SQL> SELECT MTIME, NAME, OWNER#, OBJ# FROM SYS.OBJ$
WHERE NAME LIKE ‘BIN$%’;
Consultas la Administración automática Deshacer ( UNDOTBS01.DBF)
• SELECT
SEGMENT_NAME,HEADER_FILE,HEADER_BLOCK,EXTENTS,BLOCKS
FROM DBA_SEGMENTS WHERE SEGMENT_NAME LIKE ‘_SYSSMU%$’;
Consulta de los logs del Apache (Oracle Application Server)
Aplicar auditoria
Se realizara una Investigación Preliminar con el fin de obtener la
información de la base de daos de Oracle.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran
con las técnicas planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
GUÍA DE AUDITORIA A SQL Server
Microsoft SQL Server es un sistema de gestión de bases de datos relacionales
(SGBD) basado en el lenguaje Transact-SQL, y específicamente en Sybase IQ,
capaz de poner a disposición de muchos usuarios grandes cantidades de datos de
manera simultánea, Soporte de transacciones.
Microsoft SQL Server constituye la alternativa de Microsoft a otros potentes
sistemas gestores de bases de datos como son Oracle, Sybase ASE, PostgreSQL,
Interbase, Firebird o MySQL
Características:
 Soporte de transacciones.
 Escalabilidad, estabilidad y seguridad.
 Soporta procedimientos almacenados.
 Incluye también un potente entorno gráfico de administración, que permite
el uso de comandos DDL y DML gráficamente.
 Permite trabajar en modo cliente-servidor, donde la información y datos se
alojan en el servidor y las terminales o clientes de la red sólo acceden a la
información.
 Además permite administrar información de otros servidores de datos.



OBJETIVOS
Evaluar el funcionamiento de la Base de Datos SQL Server.
Identificar debilidades.
Analizar funcionamiento de tablas, campos, …
PUNTOS A EVALUAR





Estructura de base de datos SQL Server.
Añadir campos a una tabla.
Triggers y Tablas Espejo.
Manejar datos de auditoría.
Archivamiento.
INSTRUMENTOS Y TECNICA
Para el desarrollo de la auditoria a Bases de Datos SQL Server se plantea utilizar
como medio para la recopilación de información:
 Verificación.
 Para el análisis y la evolución de la información recolectada se utilizaran:
 Guías de evaluación.

HERRAMIENTAS
Para auditar una base de datos SQL se puede hacer de diferentes maneras:
 Añadir campos a una tabla: El modo más simple de auditar una tabla es
registrando cada cambio fila por fila, sin embargo también es la menos






recomendable. Se basa en añadir uno o dos campos testigos que registren
la fecha en que se realicen cambios y el usuario que los efectúe, sin
embargo los cambios en cada columna no son registrados ni auditados,
sólo se registra el último usuario que haya hecho un cambio. Por ejemplo si
Pilar hace un cambio en la columna "Precio" y luego Juan cambia el valor
de la columna "Cantidad" sólo quedará registrado que Juan hizo un
cambio. Este tipo de auditoría es algo ingenua pero que puede servir en
algunos casos.
Triggers y Tablas Espejo SQL Server tiene en los triggers
(desencadenadores o disparadores) una ayuda para llevar a cabo registros
de auditoría. Esta forma tiene el siguiente procedimiento:
Crear una tabla espejo con los mismo campos que contiene la tabla
auditada pero con campos adicionales, como el usuario que haya hecho el
cambio, la fecha y la operación realizada que puede ser fila agregada, fila
modificada o fila eliminada.
Añadir triggers INSERT, UPDATE y DELETE a la tabla origen, de modo
que al efectuarse cualquiera de las operaciones indicadas, grabe el mismo
registro en la tabla de auditoría, incluyendo los campos de auditoría
(usuario, fecha, tipo de operación).
Esta forma de auditoría, si bien es mejor que la anterior ya que registra
cada cambio realizado y almacena un historial completo para cada fila,
impone una sobrecarga de operaciones por cada fila, ya que se vuelve a
registrar la misma fila con datos adicionales en caso de que sea insertada,
actualizada o eliminada. Y a la vez aumenta el espacio a ocupar.
Manejar datos de auditoría El almacenar datos de auditoría ocupa una
gran cantidad de espacio en disco duro, y manejar esa información se hace
muy complicado, especialmente si se realiza con tablas espejo. Hay que
saber manejar esa información, y auditar las tablas necesarias. Una forma
de manejarla es almacenando la información de auditoría en otra base de
datos. Se crea una base de datos, y preferiblemente se almacena en otra
partición u otro disco duro si la actividad es intensa. Esto aumenta la
complejidad de la auditoría, ya que hay que proporcionar permisos a los
usuarios para grabar información en la segunda base de datos. Se podría
crear una vista en la base de datos auditada que muestre los datos en la
base de datos de auditoría para darle un nivel de abstracción.
Archivamiento Generar información de auditoría es un problema para el
espacio, y generar mucha data es peor aún. Hay que diseñar un plan de
archivamiento de esos datos, no tenerlo es lo peor que se puede hacer. Un
plan de archivamiento podría ser simplemente separar la base de datos de
auditoría y crear una nueva. La desventaja sería el extraer información de
la base de datos separada. Otra sería programar un script que extraiga o
inserte la información, según sea el caso, y grabarla en cintas o CD. En
cualquier caso la recuperación y volcado se hace manual y complica la
tarea.
Aplicar auditoria
Se realizara una Investigación Preliminar con el fin de obtener la información de la
base de daos de SQL Server.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las
técnicas planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
GUÍA DE AUDITORIA A MySQL
MySQL es un sistema de gestión de base de datos relacional, multihilo y
multiusuario con más de seis millones de instalaciones.
Lenguajes de programación
Existen varias APIs que permiten, a aplicaciones escritas en diversos lenguajes de
programación, acceder a las bases de datos MySQL, incluyendo C, C++, C#,
Pascal, Delphi (via dbExpress), Eiffel, Smalltalk, Java (con una implementación
nativa del driver de Java), entre otros.
Aplicaciones
MySQL es muy utilizado en aplicaciones web, como Drupal o phpBB, en
plataformas
(Linux/Windows-Apache-MySQL-PHP/Perl/Python),
y
por
herramientas de seguimiento de errores como Bugzilla. Su popularidad como
aplicación web está muy ligada a PHP, que a menudo aparece en combinación
con MySQL. MySQL es una base de datos muy rápida en la lectura cuando utiliza
el motor no transaccional MyISAM, pero puede provocar problemas de integridad
en entornos de alta concurrencia en la modificación. En aplicaciones web hay baja
concurrencia en la modificación de datos y en cambio el entorno es intensivo en
lectura de datos, lo que hace a MySQL ideal para este tipo de aplicaciones.








OBJETIVOS
Evaluar el funcionamiento de la Base de Datos MySQL.
Identificar debilidades.
Analizar funcionamiento de tablas, campos,
PUNTOS A EVALUAR
Estructura de base de datos MySQL.
Añadir campos a una tabla.
Triggers y Tablas Espejo.
Software especializado.
INSTRUMENTOS Y TECNICAS
Para el desarrollo de la auditoria a Bases de Datos MySQL se plantea utilizar
como medio para la recopilación de información:
 Verificación.
Para el análisis y la evolución de la información recolectada se utilizaran:

Guías de evaluación.
HERRAMIENTAS
MySQL ofrece niveles de acceso y permisos, que incluyen las operaciones CRUD
y las vistas. Es posible combinar criterios de acceso y así restringir los permisos
operativos sobre algunas tablas en particular.
Otro concepto a considerar será usar los procedimientos almacenados y/o
disparadores en las tablas. Los disparadores por ejemplo son ideales para crear
mecanismos de auditoría sobre operaciones no autorizadas en tablas específicas.
El lenguaje de programación es importante también. Sin importar si se trata de
lenguajes de scripting en servidor como (PHP,RoR,Python, etc) o aplicaciones de
escritorio, siempre la combinación del lenguaje de programación con las consultas
SQL necesarias te permitirán en momentos determinados crear logs de auditoría
que hagan volcados sobre ficheros o tablas en bases de datos acerca de las
operaciones de los usuarios.
Y la última opción para conseguir el monitoreo es con algunas herramientas de
Software, como Monyog, que es un monitor de estado para servidores mysql,
entre otras opciones mide los riesgos e intentos de hacheó, problemas de
seguridad y privilegios excesivos, entre otros.
La versión comercial de MySQL ofrece unos completos sistemas de monitoreo de
carga y acceso.
Existen también monitores de servicios de red, open source que pueden tener
complementos para monitoreo de bases de datos como Nagios
Aplicar auditoria
Se realizara una Investigación Preliminar con el fin de obtener la información de
la base de daos de MySQL.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las
técnicas planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría.
Descargar
Anuncio
Anuncio