Bases de Datos - WordPress.com
Anuncio
Metodologías para la Auditoria de Bases de Datos Las bases de datos son el activo más importante para las organizaciones, ya que poseen toda la información de la empresa, datos confidenciales que en manos ajenas puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y también denegarlos. Con la auditoría de bases de datos se busca monitorear y garantizar que la información está segura, además de brindar ayuda a la organización para detectar posibles puntos débiles y así tomar precauciones para resguardar aún más los datos. ¿Qué es la Auditoría de BD? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: – Quién accede a los datos – Cuándo se accedió a los datos – Desde qué tipo de dispositivo/aplicación – Desde que ubicación en la Red – Cuál fue la sentencia SQL ejecutada – Cuál fue el efecto del acceso a la base de datos Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad. Objetivos Generales de la Auditoría de BD Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de: – Mitigar los riesgos asociados con el manejo inadecuado de los datos – Apoyar el cumplimiento regulatorio. – Satisfacer los requerimientos de los auditores – Evitar acciones criminales – Evitar multas por incumplimiento La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología. La Auditoría de BD es importante porque: – Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. – Se debe poder demostrar la integridad de la información almacenada en las bases de datos. – Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información. – La información confidencial de los clientes, son responsabilidad de las Organizaciones. – Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio. – Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo. Términos similares a Auditoría de Base de Datos – Auditoría de Datos – Monitoreo de Datos La auditoría de la bases de datos se realiza en base a una metodología. Dicha metodología deriva de un marco de buenas prácticas en seguridad de base de datos aplicado sobre la documentación de la versión de la base de datos auditada. Mediante la auditoría de bases de datos se evaluará: – Definición de estructuras físicas y lógicas de las bases de datos – Control de carga y mantenimiento de las bases de datos – Integridad de los datos y protección de accesos – Estándares para análisis y programación en el uso de bases de datos – Procedimientos de respaldo y de recuperación de datos. Aspectos Claves • No se debe comprometer el desempeño de las bases de datos – Soportar diferentes esquemas de auditoría – Se debe tomar en cuenta el tamaño de las bases de – datos a auditar y los posibles SLA establecidos • Segregación de funciones – El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de IT • Proveer valor a la operación del negocio – Información para auditoría y seguridad – Información para apoyar la toma de decisiones de la organización – Información para mejorar el desempeño de la organización • Auditoría completa y extensiva – Cubrir gran cantidad de manejadores de bases de datos – Estandarizar los reportes y reglas de auditoría Planificación de la Auditoria de BD 1. Identificar todas las bases de datos de la organización 2. Clasificar los niveles de riesgo de los datos en las bases de datos 3. Analizar los permisos de acceso 4. Analizar los controles existentes de acceso a las bases de datos 5. Establecer los modelos de auditoría de BD a utilizar 6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario Metodologías para la auditoría de Base de Datos. - Metodología Tradicional El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta. - Metodología de evaluación de riesgos Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.