Академический Документы
Профессиональный Документы
Культура Документы
Auditora de SI/TI
Auditora en SI/TI
Ciclo Lectivo 2015
CONTENIDO
Introduccin
Propsito
Objetivos Generales
Marco Terico
Porque auditamos?
Desafos de Privacidad y Cumplimiento
Desafos de Amenazas Internas
Base de Datos Oracle 10g
Caractersticas de Oracle 10g
Todos los datos, todas las aplicaciones
Rendimiento, Disponibilidad, Seguridad y Confiabilidad Comprobada
BENEFICIOS
Alcances de la Auditora
Normativa Aplicada
COBIT: ISO27001 e ISO27002
Proceso de Auditora
Subproceso Planificacin de Auditoras
Subproceso Ejecucin de Auditora
Roles
PLANIFICACIN DE AUDITORA
EVIDENCIAS DE AUDITORA
ANLISIS DE Empresa Bajo Estudio
DESCRIPCIN
TIPO DE ORGANIZACIN
ORGANIGRAMA FUNCIONAL
DESCRIPCION DE AREAS
Realizacin de auditora
Revisin EN REGISTROS Y CONTROL
Causa
Efecto
Conclusin
REVISIN DEL HARDWARE Y SOFTWARE INSTALADO EN LOS SERVIDORES.
Condicin
Criterio
Efecto
Auditora en SI/TI
Ciclo Lectivo 2015
Conclusin
Revisin de los usuarios y permisos
Condicin
Causa
Efecto
Criterio
Conclusin
Revisin de la base de datos
Condicin
Criterio
Causa
Efecto
Conclusin
Revisin del ambiente del centro de cmputos
Revisin de polticas y planes de contingencias y respaldos
Condicin
Criterio
Causa
Efecto
Conclusin
Cumplimiento de controles
Sarbanes Oxley Section 404
Oracle Oracle Advanced Security
TDE (Transparent Data Encryption)
Cumplimiento de regulacin PCI
Recomendaciones
Se recomienda:
CONCLUSIONES
ANEXOS
ANEXO 1: CHECK LIST DE AUDITORIA
ANEXO 2: QUERYS DE AUDITORA
Auditora en SI/TI
Ciclo Lectivo 2015
Introduccin
Auditar consiste principalmente en estudiar los mecanismos de control que estn
implantados en una empresa u organizacin, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.
La Auditora Informtica es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, cumple con las leyes y regulaciones establecidas. Permiten
detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y
objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan
flujos de informacin eficientes.
La Auditora Informtica deber comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin. Sus principales objetivos, son: el control de la funcin
informtica, el anlisis de la eficiencia de los Sistemas Informticos, la verificacin del
cumplimiento de la normativa en este mbito, y la revisin de la eficaz. Esto contribuye a
mejorar ciertas caractersticas en las empresas, como el desempeo, la fiabilidad, la eficacia, la
rentabilidad, la seguridad y la privacidad.
Nos hemos propuesta como objetivo la realizacin de una auditora al rea de Base de
Datos en una empresa de desarrollo de software, para el cumplimiento del TPI de la ctedra de
Auditora SI/TI.
Auditora en SI/TI
Ciclo Lectivo 2015
PROPSITO
Los objetivos del proyecto son:
Permitir el cumplimiento de los objetivos de negocio, de tal manera que la tecnologa est
acorde con las actividades de la compaa, proporcionando disponibilidad, confiabilidad y
seguridad de la informacin.
Realizar observaciones y recomendaciones que permitan al departamento de TI optimizar
el control, operacin y administracin de su infraestructura tecnolgica, y facilitar la
gestin de la mejora continua en cuanto a la administracin de la base de datos.
OBJETIVOS GENERALES
Realizar un estudio amplio del tema Auditora como punto focal y funcin relevante en
el desarrollo de las organizaciones.
Determinar y/o acotar la influencia de la tecnologa informtica en Auditora.
Establecer el punto de interaccin entre el profesional de sistemas informticos y
aquellos otros intervinientes en una Auditora.
Establecer el/los elementos esenciales dentro de Auditoria Informtica.
Establecer un mecanismo de control sobre los datos de la organizacin que permita
prevenir los riesgos de administracin de los mismos.
Auditoras en Base de Datos. Herramienta para rastros de actividad Activity Log
Generar diferentes reportes para que un usuario autorizado pueda analizar los activity
logs.
MARCO TERICO
PORQUE AUDITAMOS?
La auditora est alcanzando un rol cada vez ms importante en las reas de
cumplimiento, privacidad y seguridad. Satisfacer las regulaciones de cumplimiento como las de
Sarbanes-Oxley y mitigar los riesgos relacionados con las amenazas internas son algunos de los
desafos de seguridad ms importantes a los que se enfrentan las empresas de hoy.
Actualmente, el uso de los datos de auditora como recurso de seguridad contina siendo un
proceso manual que requiere que el personal de auditora y de seguridad de IT primero
recopile los datos de auditora y luego realice investigaciones sobre una gran cantidad de datos
de auditora dispersos utilizando scripts personalizados y otros mtodos.
Auditora en SI/TI
Ciclo Lectivo 2015
Auditora en SI/TI
Ciclo Lectivo 2015
Auditora en SI/TI
Ciclo Lectivo 2015
Hojas de Clculo
Documentos de Word
Presentaciones de Powerpoint
XML
Auditora en SI/TI
Ciclo Lectivo 2015
ALCANCES DE LA AUDITORA
El objetivo principal de la revisin es determinar los elementos de seguridad de un entorno
cliente / servidor que ejecuta Oracle DB versin 10.2.0.4.0 como motor de base de datos. No
se pretende proporcionar una gua integral sobre otros elementos de un entorno de Oracle DB.
El entorno de trabajo est compuesto por una serie de elementos relacionados entre s como
son: Aplicaciones, Bases de datos, Sistemas operativos y Hardware.
Para garantizar la correcta funcionalidad de los procesos relacionados con la infraestructura
tecnolgica que soporta las actividades transaccionales de la compaa se ha decidido realizar
el proyecto de auditora de la base de datos en el rea de DBA, con el fin de verificar el
correcto funcionamiento de los procesos de acuerdo con las polticas del negocio, de tal
manera que los objetivos de TI y los del negocio estn alineados.
El alcance general de la presente auditora, es el anlisis y la evaluacin de la utilizacin
correcta, eficiente y oportuna del procedimiento general de base de datos. Comprender
desde el inicio del procedimiento con los subproceso de Planificacin de Auditoras y Ejecucin
de Auditora, hasta la actividad de cierre.
9
Auditora en SI/TI
Ciclo Lectivo 2015
Para satisfacer las regulaciones de cumplimiento y mitigar el riesgo relacionado con las
amenazas internas son dos de los desafos de seguridad ms importantes a los que se
enfrentan las empresas hoy en da.
A continuacin, se presenta el alcance general desglosado en los tems que se van a analizar y
evaluar en la identificacin de correcciones y mejoras:
Auditora en SI/TI
Ciclo Lectivo 2015
PREGUNTAS
1. Es el proceso de auditora independiente del sistema de base de datos que est siendo auditada?
2. La pista de auditora establecer la rendicin de cuentas de usuario?
3. La pista de auditora incluyen detalle apropiado?
4. La pista de auditora a identificar las variaciones materiales de la actividad de referencia?
PUNTOS DE CONTROL
Auditora, Registro y
Control
Tolerancia a fallos, de
respaldo y recuperacin
Sistema de archivos de
acceso y de gestin
Administracin de
contraseas
Sistema de privilegios y
servicios pblicos
Red de controles
Gestin de usuarios
11
Auditora en SI/TI
Ciclo Lectivo 2015
PROCESO DE AUDITORA
A continuacin se detalla el proceso que se lleva a cabo con sus respectivos subprocesos:
12
Auditora en SI/TI
Ciclo Lectivo 2015
ROLES
ROL
Responsable
Auditoras
Auditor Lder
Auditado
DESCRIPCIN
13
Auditora en SI/TI
Ciclo Lectivo 2015
PLANIFICACIN DE AUDITORA
PLANIFICACIN DE AUDITORIA: Auditoria de base de datos
CALENDARIZACIN
3 das
20 das
2 das
3 das
2 das
Plan de mantenimiento
3 das
Gestin de respaldo
2 das
2 das
3 das
Cierre
1 da
2 das
EVIDENCIAS DE AUDITORA
Se define como evidencia de auditora al conjunto de informacin recopilada y disponible para
el auditor de sistemas informticos que permite determinar si el ente y los datos han cumplido
con los criterios previamente sealados. Se clasifica en:
14
Auditora en SI/TI
Ciclo Lectivo 2015
15
Auditora en SI/TI
Ciclo Lectivo 2015
Kolektor desde el ao 2008 certifica Normas IRAM ISO 9001 y ISO 90003, bsicamente la
calidad se construye sobre tres pilares principales:
Adopcin de estndares mundialmente reconocidos y aceptados: se trabaja de manera
sistmica con los estndares necesarios para soportar la criticidad de los servicios y
proyectos que se gestionan junto a los clientes. Eso facilita y alienta la inter-operatividad
metodolgica y tecnolgica con clientes, socios de negocios y proveedores, minimizando
costos de transaccin y optimizando la gestin de recursos.
16
Auditora en SI/TI
Ciclo Lectivo 2015
17
Auditora en SI/TI
Ciclo Lectivo 2015
ORGANIGRAMA FUNCIONAL
18
Auditora en SI/TI
Ciclo Lectivo 2015
DESCRIPCION DE AREAS
GERENCIA GENERAL
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES DE
AUTORIDAD
FUNCIONES
TAREAS
CALIDAD
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
19
Auditora en SI/TI
Ciclo Lectivo 2015
REA ADMINISTRATIVA
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
RECURSOS HUMANOS
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES DE
AUTORIDAD
FUNCIONES
TAREAS
20
Auditora en SI/TI
Ciclo Lectivo 2015
CONTADURA
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
REA DE PRODUCCIN
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
21
Auditora en SI/TI
Ciclo Lectivo 2015
DPTO. DE DESARROLLO
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
Supervisar y organizar las actividades de desarrollo, para que el equipo pueda llevar a
cabo el producto final.
Product Manager.
Desarrolladores.
ARQUITECTURA DE SOLUCIONES
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
TAREAS
22
Auditora en SI/TI
Ciclo Lectivo 2015
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
TAREAS
TESTERS
OBJETIVO
Llevar a cabo las pruebas del sistema, de calidad, e informarle los resultados al
Gerente de calidad.
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
Tester.
TAREAS
No aplica.
Realizar las pruebas de calidad, de manera tal que puedan detectarse posibles errores
o funcionalidades que pueden ser cambiadas o agregadas.
Realizar las pruebas del sistema.
Registrar dichas pruebas.
Comunicarle al gerente de calidad el resultado de las pruebas.
Detectar posibles errores e inconvenientes.
Sugerir nuevas o mejores funcionalidades del sistema.
DESARROLLADORES
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
23
Auditora en SI/TI
Ciclo Lectivo 2015
REALIZACIN DE AUDITORA
REVISIN EN REGISTROS Y CONTROL
La tarea de controlar el flujo de informacin de aplicaciones y base de datos es del rea de
Seguridad de Datos, para esto se implement una solucin denominada ORACLE ADVANCED
SECURITY.
Esta proporciona total visibilidad y control para aplicaciones y bases de datos. Proteccin de
extremo a extremo para aplicaciones y bases de datos, a fin de atender todos los aspectos del
ciclo de vida de la seguridad de la informacin. SecureSphere contribuye a que las empresas:
ORACLE ADVANCED SECURITY lleva a cabo inspecciones en mltiples niveles, para la deteccin
de:
CAUSA
Para la deteccin de anomalas es importante que los programas garanticen una seguridad
razonable registrando informacin de eventos tales como actualizaciones, eliminacin y
modificacin de datos por parte del usuario y grabando el registro en el log.
24
Auditora en SI/TI
Ciclo Lectivo 2015
EFECTO
Facilidad en la deteccin de fallos en los programas y detectar al autor de cada operacin
sobre datos o transacciones.
CONCLUSIN
Se comprob que la solucin implementada mediante ORACLE ADVANCED SECURITY permite:
Proteger a las aplicaciones de ataques de alta complejidad tcnica. Bloquea en forma precisa
las inyecciones SQL, el scripting inter-sitios (XSS) y el acceso (login) por fuerza bruta, detiene el
robo de identidad en lnea y previene de fugas de informacin a travs de las aplicaciones. El
seguimiento de las transacciones SQL para efectos de investigaciones forenses, evita las fugas
de informacin de las bases de datos y garantiza la integridad de la informacin, mediante el
establecimiento de cadenas independientes de auditora de las actividades de los usuarios.
A fin de evaluar la posicin de las organizaciones en cuanto a la seguridad y la conformidad,
ORACLE ADVANCED SECURITY hace exploraciones de las bases de datos en busca de ms de
1000 vulnerabilidades y malas configuraciones. Los resultados de todas las evaluaciones se
presentan en informes fciles de entender, que jerarquizan los riesgos, dan apoyo a acciones
correctivas especficas y documentan el estado de la conformidad.
Proporcionar un nico punto para la agregacin de la poltica de seguridad, gestin de la
seguridad jerrquica, el seguimiento en tiempo real, el registro, auditora y los informes de
cumplimiento.
La entrega de las reglas de auditora predefinidas, evaluaciones de vulnerabilidad, la
conciencia estructura de tablas, e informes grficos para aplicaciones empresariales y los
mandatos de cumplimiento. Explorar las bases de datos en busca de vulnerabilidades
conocidas y fallas de configuracin.
REVISIN DEL HARDWARE Y SOFTWARE INSTALADO EN LOS SERVIDORES.
Durante el proceso de revisin de controles se hizo uso de una herramienta instalada en la
compaa IBM Tivoli Software, la cual indica detalladamente qu software est instalado en el
equipo, cules son las incompatibilidades de software que posee y cul es su caracterstica
fsica.
Algunas de las caractersticas de esta herramienta utilizada son:
Supervisa de manera proactiva los recursos del sistema para detectar problemas
potenciales y responde automticamente a eventos. Al identificar os problemas
pronto, Tivoli Monitoring permite arreglarlos rpidamente antes de que los usuarios
notan alguna diferencia en el rendimiento.
25
Auditora en SI/TI
Ciclo Lectivo 2015
CONDICIN
El Software y Hardware de los servidores cumple con los estndares necesarios y estn
legalmente adquiridos y actualizados.
CRITERIO
EFECTO
Si no se dispone de software y hardware legal se corre el riesgo de acarrear graves
consecuencias a la institucin paralizando sus operaciones y obligando a pagar elevadas
multas.
Los accesos y manipulacin indebidos a los servidores pueden causar graves daos a los
mismos. El software no actualizado puede causar mal funcionamiento del equipo.
26
Auditora en SI/TI
Ciclo Lectivo 2015
CONCLUSIN
Se comprob que:
27
Auditora en SI/TI
Ciclo Lectivo 2015
CRITERIO
CONCLUSIN
Se comprob que la empresa posee software y hardware seguro. La empresa cuenta con la
herramienta de Microsoft Active Directory para brindar la seguridad necesaria a los equipos y
usuarios del dominio. Existen polticas en la administracin y mantenimiento de contraseas y
accesos limitados a los segmentos de red.
REVISIN DE LA BASE DE DATOS
Previo a la revisin de la base de datos, se realizaron entrevistas a los responsables del rea de
TI y se obtuvieron los resultados mostrados en el cuestionario. Se realizaron preguntas acerca
del DBMS para evaluar su estado y la proyeccin de crecimiento.
CONDICIN
Oracle proporciona un mdulo dentro de su instalacin que se pueden utilizar para auditar las
actividades y los cambios en el sistema o la base de datos. Este mdulo puede estar
desactivado o activado dependiendo de la actividad transaccional de la base de datos. Estas
caractersticas permiten a los administradores implementar una estrategia de defensa y
optimizar los riesgos de seguridad especficos de su entorno. Para verificar todas estas
caractersticas se realizaron un conjunto de Querys al motor de base de datos y se aplic un
checklist al encargado.
Cabe aclarar que la base de datos auditada tiene activado el mdulo de auditora propia del
DBMS Oracle, pero no est siendo utilizado actualmente. La auditora es una de las funciones
del servidor de Oracle, con la finalidad de proporcionar la capacidad de rastrear el flujo de
informacin dentro de una base de datos, incluidos los intentos de conexin, las sentencias
DDL y DML.
Tenemos la opcin de seleccionar los acontecimientos que se desee monitorear, cabe recalcar
que una serie de eventos en Oracle son auditados por defecto, por ejemplo: inicio, lugar de
cierre, y los intentos de conexin a la base de datos con privilegios administrativos. Se puede
optar por especificar las opciones personalizadas de auditora para controlar otros eventos.
28
Auditora en SI/TI
Ciclo Lectivo 2015
CRITERIO
Identificar:
Usuarios activos.
Acceso al motor y servidor de base de datos.
Mantenimientos y afinamientos.
Actualizacin del log de sucesos del motor de base de datos.
Respaldos y contingencias.
CAUSA
La empresa puede sufrir paralizacin en sus operaciones por algn siniestro o incidente en el
motor de la base de datos.
EFECTO
No contar con una base de datos confiable y estable puede perjudicar gravemente a la
empresa al no poder realizar sus operaciones diarias, y consecuentemente, no disponer de
estadsticas para la toma de decisiones. Tenemos la opcin de seleccionar los acontecimientos
que se desee monitorear, cabe recalcar que una serie de eventos en Oracle son auditados por
defecto, por ejemplo: inicio, lugar de cierre, y los intentos de conexin a la base de datos con
privilegios administrativos. Se puede optar por especificar las opciones personalizadas de
auditora para controlar otros eventos.
CONCLUSIN
Se comprob que la base de datos es robusta y las estructuras se actualizan slo bajo las
directrices del grupo de DBA y las actualizaciones que demanda el rea de desarrollo son
analizados por la misma rea. El grupo de DBA, bsicamente est encargado del
mantenimiento y afinamiento de la base de datos. Por lo general antes de pasar algn nuevo
programa a produccin el revisa que cumpla con los estndares definidos y las polticas de la
compaa.
REVISIN DEL AMBIENTE DEL CENTRO DE CMPUTOS
La empresa cuenta con dos grandes centro de cmputo, en donde residen los servidores
necesarios para que la compaa funcione adecuadamente. Los servidores no se apagan y los
mantenimientos se realizan a demanda de acuerdo a las necesidades de cambios que obliguen
al reinicio de los mismos. Estos cambios se realizan de acuerdo a polticas de mantenimiento
de la compaa y deben estar autorizados por la direccin.
29
Auditora en SI/TI
Ciclo Lectivo 2015
30
Auditora en SI/TI
Ciclo Lectivo 2015
CUMPLIMIENTO DE CONTROLES
Las opciones de seguridad de la base de datos Oracle, dan cumplimiento a un amplio rango de
regulaciones y normativas entre las que se destacan las siguientes:
SARBANES OXLEY SECTION 404
Para la regulacin Sarbanes Oxley se aplican las mejores prcticas de Oracle para el
aseguramiento de la base de datos cumpliendo con los siguientes requerimientos:
31
Auditora en SI/TI
Ciclo Lectivo 2015
Auditora en SI/TI
Ciclo Lectivo 2015
Los controles que resuelve la solucin Oracle Advanced Security Option son los siguientes:
Requerimiento 2: No usar valores por defecto provistos por el proveedor y otros parmetros
de seguridad. El Sub-requerimiento 2.1 trabaja con los parmetros por defecto establecidos
por los proveedores y el subrequerimiento 2.3 requiere cifrado de todos los accesos
administrativos no consola. La respuesta de Oracle a este punto la resuelve la funcionalidad de
cifrado provistas por Oracle Advanced Security tanto en el nivel de los datos en trnsito como
en los residentes en la base de datos.
Requerimiento 3: Proteger datos almacenados en la base de datos o que estn siendo
transmitidos en la red. Con la funcionalidad de Transparent Data Encryption se provee cifrado
de datos sensitivos en disco o en medios externos como cintas de manera transparente a las
aplicaciones y usuarios; gestin automatizada de llaves, la aplicacin no necesita
modificaciones y los desarrolladores pueden enfocar su inters en la lgica de negocios sin
requerir un entrenamiento profundo en temas de cifrado y gestin de llaves.
Requerimiento 4: Encriptar las transmisiones de datos a travs de redes pblicas.
33
Auditora en SI/TI
Ciclo Lectivo 2015
RECOMENDACIONES
Las empresas deben consolidar, administrar, monitorear y generar informes de los datos de
auditora para obtener una visin completa del acceso a los datos empresariales. El personal
de auditora y seguridad de IT debe tener la capacidad de analizar los datos en tiempo y forma
a travs de todos los sistemas dispares. Oracle aborda este requerimiento al consolidar los
datos de auditora de todos los sistemas en un repositorio seguro, escalable y altamente
disponible.
Oracle recopila los datos de auditora de la base de datos desde tablas de pistas de auditora
de la base de datos Oracle; las pistas de auditora de la base de datos desde archivos del
sistema operativo, y los registros de transacciones desde la base de datos para capturar
cambios anteriores/posteriores en el valor de las transacciones.
SE RECOMIENDA:
Que se guarden pistas de las acciones realizadas por el usuario genrico y por el sper
usuario, y que se puedan emitir reportes especficos donde consten estas
modificaciones.
Que las contraseas de estos usuarios sean cambiadas luego de cada transaccin o con
determinada periodicidad.
La implementacin de laboratorios para el anlisis de parches y actualizaciones de
software y hardware antes de su implementacin en los servidores de produccin.
Que exista un rea o una persona responsable a quienes se le pueda pedir reportes de
auditora y quienes revisen constantemente los logs de las aplicaciones y los rastros
que dejan los usuarios al realizar sus transacciones con el fin de encontrar anomalas.
Que se inicie un estudio para virtualizar servidores y as pensar en un mecanismo de
backup mucho ms econmico.
Se recomienda que los parches y actualizaciones al motor de base de datos y al
sistema operativo sea probado y sometido a pruebas de estrs en laboratorios antes
de su implementacin.
Que los afinamientos de la base de datos se realicen bajo un ambiente controlado y
luego de su implementacin que sean los usuarios que realicen pruebas del buen
funcionamiento y tiempo de respuesta de la aplicacin y los datos.
Que el administrador de base de datos haga un anlisis de los Querys y entidades que
vayan a pasar a produccin con el fin de detectar anomalas o incompatibilidad con las
estructuras residentes.
Que en lo posible se trate de tener un espejo de la base de datos de produccin, la
misma que est sincronizada y actualizada cada cierto tiempo y que sirva como
contingencia ante algn evento adverso.
34
Auditora en SI/TI
Ciclo Lectivo 2015
CONCLUSIONES
La auditora est jugando un rol cada vez ms importante como mecanismo de ayuda para
abordar los problemas de amenazas internas y los requisitos del cumplimiento regulatorio.
Hoy, el uso de datos de auditora como fuente de seguridad sigue siendo, en gran medida, un
proceso manual, que exige al personal de auditora y de seguridad de IT recopilar primero los
datos de auditora y luego seleccionar enormes cantidades de datos de auditora dispersos
utilizando scripts personalizados y otros mtodos. Las empresas deben consolidar, administrar,
monitorear y realizar informes sobre los datos de auditora para obtener una visin completa
del acceso a los datos empresariales, brindando al personal de auditora y seguridad de IT la
capacidad de analizar los datos de auditora en tiempo y forma.
Oracle brinda una avanzada solucin de auditora que ayuda a simplificar los informes de
cumplimiento, detectar las amenazas con alertas anticipados, reducir el costo de cumplimiento
y garantizar los datos de auditora. Oracle Audit Vault automatiza el proceso de anlisis y
consolidacin, convirtiendo los datos de auditora en un recurso de seguridad clave para
ayudar a superar los desafos de cumplimiento y seguridad de la actualidad. Numerosos
informes previamente incorporados brindan fcil informacin de cumplimiento, y el depsito
de datos abierto proporciona informes amplios utilizando Oracle BI Publisher o soluciones de
informes comerciales de terceros.
Oracle aprovecha las capacidades comprobadas de particionamiento y depsito de datos para
alcanzar escalabilidad de almacenamiento masivo. Oracle utiliza las capacidades de seguridad
de Oracle lderes en el sector para proteger los datos de auditora, encriptar los datos de
auditora durante la transmisin e imponer la separacin de tareas dentro de Oracle Audit
Vault. Abordar los requerimientos de cumplimiento regulatorio y protegerse de las amenazas
internas en una economa global requiere un enfoque de seguridad exhaustiva (defense-indepth)
La realizacin de la auditora, es de suma importancia para los procesos auditados, ya que
proporciona los controles necesarios para que los mismos sean confiables, estables, y con un
buen nivel de seguridad. En este presente informe, pudimos detectar fortalezas, debilidades y
aspectos a mejorar, como tambin as observaciones y recomendaciones que permitirn
obtener mejores resultados y trabajar de la mejor forma en dicha rea.
Auditora en SI/TI
Ciclo Lectivo 2015
36
Auditora en SI/TI
Ciclo Lectivo 2015
ANEXOS
ANEXO 1: CHECK LIST DE AUDITORIA
1. Existe algn archivo de tipo Log donde guarde informacin referida a las operaciones que
realiza la Base de datos?
X
Si
No
N/A
Observaciones:
Si
No
N/A
Observaciones:
3. Existe algn usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor?
X
Si
No
N/A
Observaciones:
37
Auditora en SI/TI
Ciclo Lectivo 2015
N/A
Observaciones:
No
N/A
Observaciones: el manejo de usuarios se hace a travs de la aplicacin y esto se traslada al
nivel de la base de datos
No
N/A
Observaciones: la gestin de acceso se hace a nivel de aplicacin
N/A
Observaciones:
No
N/A
38
Auditora en SI/TI
Ciclo Lectivo 2015
Observaciones:
9. Se obliga el cambio de la contrasea de forma automtica?
Si
No
N/A
Observaciones:
N/A
Observaciones:
Si
No
N/A
Observaciones:
No
N/A
Observaciones:
39
Auditora en SI/TI
Ciclo Lectivo 2015
13. Existe una instancia con copia del Repositorio para el entorno de desarrollo?
X
Si
No
N/A
Observaciones:
No
N/A
Observaciones: se trabaja en forma conjunta
No
N/A
Observaciones: algunas veces si, ya que existen tablas con datos especficos que deben se
reales para realizar pruebas
N/A
Observaciones:
Auditora en SI/TI
Ciclo Lectivo 2015
Si
No
N/A
Observaciones:
No
N/A
Observaciones:
19. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas
se encuentren bien hechas?
X
Si
No
N/A
Observaciones:
20. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de
la empresa?
Si
No
N/A
Observaciones:
41
Auditora en SI/TI
Ciclo Lectivo 2015
21. En caso de que el equipo principal sufra una avera, existen equipos auxiliares?
x
Si
No
N/A
Observaciones:
Si
No
N/A
Observaciones:
No
N/A
Observaciones:
Si
No
N/A
Observaciones:
42
Auditora en SI/TI
Ciclo Lectivo 2015
25. Se lleva a cabo una comprobacin, para verificar que los cambios efectuados son los
solicitados por el interesado?
X
Si
No
N/A
Observaciones: aunque es mnima, despus de un tiempo de uso surgen algunas dudas.
Si
No
N/A
Observaciones: Mnimamente, algunos cambios suelen ser no documentados. No hay un
seguimiento exhaustivo de los cambios.
Si
No
N/A
Observaciones:
Si
No
N/A
Observaciones:
43
Auditora en SI/TI
Ciclo Lectivo 2015
No
N/A
Observaciones: se realiza una eliminacin lgica
Si
No
N/A
Observaciones:
Si
No
N/A
Observaciones: documentacin extrada de la pgina oficial del motor de base de datos
Si
No
N/A
Observaciones:
44
Auditora en SI/TI
Ciclo Lectivo 2015
33. Se encuentra la Base de Datos actualizada con el ltimo Set de Parches de Seguridad?
x
Si
No
N/A
Observaciones:
34. Existe algn plan de contingencia ante alguna situacin no deseada en la Base de Datos?
Si
No
N/A
Observaciones: solo se restauran los backup realizados
35. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de
las base de datos?
X
Si
No
N/A
Observaciones:
Si
No
N/A
Observaciones:
45
Auditora en SI/TI
Ciclo Lectivo 2015
No
N/A
Observaciones:
38. Se han configurado estos logs para que slo almacenan la informacin relevante?
Si
No
N/A
Observaciones:
N/A
Observaciones:
40. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por
agua?
Si
No
N/A
Observaciones:
46
Auditora en SI/TI
Ciclo Lectivo 2015
41. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por
el fuego?
Si
No
N/A
Observaciones:
42. La ubicacin del centro de cmputo es acorde con las mnimas condiciones de seguridad?
X
Si
No
N/A
Observaciones:
43. Existe y es conocido un plan de actuacin para el personal del centro de cmputo, en
caso de incidentes naturales u otros que involucren gravemente la instalacin?
Si
No
N/A
Observaciones:
44. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?
X
Si
No
N/A
Observaciones: este tipo de control se usa solo para casos particulares
47
Auditora en SI/TI
Ciclo Lectivo 2015
No
N/A
Observaciones: algunas veces s, ya que existen tablas con datos especficos que deben ser
reales para realizar pruebas
Si
No
N/A
Observaciones:
No
N/A
Observaciones:
48
Auditora en SI/TI
Ciclo Lectivo 2015
Auditora en SI/TI
Ciclo Lectivo 2015
9). Consulta si la Auditora est habilitada SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM
SYS.WRH$_ACTIVE_SESSION_HISTORY ORDER BY SAMPLE_TIME;
SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM
SYS.AUD$;
SELECT USERID,ACTION#,TIMESTAMP#,LOGOFF$TIME FROM AUD$;
10). Consulta del archivo sqlnet.log, Agntsrvc.log, spfilesid.ora, o el init.ora todas
las ubicaciones referentes a estos parmetros:
audit_file_dest -> Sistema de Auditora
(ORACLE_HOME/rdbms/audit)
background_dump_dest -> archivo alert.log y tracer de procesos
($ORACLE_HOME/admin/$ORACLE_SID/bdump)
core_dump_dest -> archivos Oracle core dump
($ORACLE_HOME/DBS/)
db_recovery_file_dest -> redo logs, flashback logs, y RMAN
backups
user_dump_dest -> Archivos trace debuggin procesos/usuarios
(/Oracle/utrc)
utl_file_dir -> Especifica uno o ms directorios que Oracle debe
utilizar para PL/SQL archivos E/S.
control_files -> Especifica uno o varios nombres de archivos de
control de Oracle
db_create_file_dest -> Especifica la ubicacin predeterminada de
archivos de datos administrados por Oracle.
db_create_online_log_dest_n-> Especifica la ubicacin de los redo logs y file
control
log_archive_dest -> Es aplicable solo si la BD esta en modo de
ARCHIVELOG
log_archive_dest_n -> Define hasta 10 archivos de registros logs.
11). Consulta de archivos Log Listener
(ORACLE_HOME/network/admin/listener.ora) (lsnrctl status me dara la ubicacin
actual)
12). Revisin de los LOGS de sentencias(SQL
$ORACLE_HOME/bin/LOGIN.SQL,$ORACLE_HOME/dbs/LOGIN.SQL,$ORACLE
_HOME/SQLPlus/admin/glogin.sql)
13). Consultando informacin de los inicios de Sesion:
SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM
SYS.WRH$_ACTIVE_SESSION_HISTORY
14). Consultar una lista de usuarios y roles, usuarios con funcin de DBA, para
buscar inconsistencias,o usuarios creados por un atacante y la generacin de
contraseas fuertes con la validacin de los hash, cuentas bloqueadas, tiempos de
password
50
Auditora en SI/TI
Ciclo Lectivo 2015
Auditora en SI/TI
Ciclo Lectivo 2015
52