Auditoria de SI

UNIVERSIDAD TECNOLGICA NACIONAL
Facultad Regional de Crdoba

Ingeniera en Sistemas de Informacin
Auditora de SI/TI
TRABAJO PRCTICO INTEGRADOR

AUDITORA DE BASE DE DATOS ORACLE
CURSO: 5K3
PROFESORES:
COORDINADORA: Delgado, Alicia Elena
ADJUNTO: Spesso, Aldo Jorge
JTP: Carrizo, Blanca Rosa
INTEGRANTES:
Caballero, Pablo. Legajo: 55056.
Duran, Dbora. Legajo: 54722.
Molina, Mariano. Legajo: 49472.
Universidad Tecnolgica Nacional

Auditora en SI/TI
Ciclo Lectivo 2015
CONTENIDO
Introduccin
Propsito
Objetivos Generales
Marco Terico
Porque auditamos?
Desafos de Privacidad y Cumplimiento
Desafos de Amenazas Internas
Base de Datos Oracle 10g
Caractersticas de Oracle 10g
Todos los datos, todas las aplicaciones
Rendimiento, Disponibilidad, Seguridad y Confiabilidad Comprobada
BENEFICIOS
Alcances de la Auditora
Normativa Aplicada
COBIT: ISO27001 e ISO27002
Proceso de Auditora
Subproceso Planificacin de Auditoras
Subproceso Ejecucin de Auditora
Roles
PLANIFICACIN DE AUDITORA
EVIDENCIAS DE AUDITORA
ANLISIS DE Empresa Bajo Estudio
DESCRIPCIN
TIPO DE ORGANIZACIN
ORGANIGRAMA FUNCIONAL
DESCRIPCION DE AREAS
Realizacin de auditora
Revisin EN REGISTROS Y CONTROL
Causa
Efecto
Conclusin
REVISIN DEL HARDWARE Y SOFTWARE INSTALADO EN LOS SERVIDORES.
Condicin
Criterio
Efecto

Auditora en SI/TI
Ciclo Lectivo 2015
Conclusin
Revisin de los usuarios y permisos
Condicin
Causa
Efecto
Criterio
Conclusin
Revisin de la base de datos
Condicin
Criterio
Causa
Efecto
Conclusin
Revisin del ambiente del centro de cmputos
Revisin de polticas y planes de contingencias y respaldos
Condicin
Criterio
Causa
Efecto
Conclusin
Cumplimiento de controles
Sarbanes Oxley Section 404
Oracle Oracle Advanced Security
TDE (Transparent Data Encryption)
Cumplimiento de regulacin PCI
Recomendaciones
Se recomienda:
CONCLUSIONES
ANEXOS
ANEXO 1: CHECK LIST DE AUDITORIA
ANEXO 2: QUERYS DE AUDITORA

Auditora en SI/TI
Ciclo Lectivo 2015
Introduccin
Auditar consiste principalmente en estudiar los mecanismos de control que estn
implantados en una empresa u organizacin, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.
La Auditora Informtica es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, cumple con las leyes y regulaciones establecidas. Permiten
detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y
objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan
flujos de informacin eficientes.
La Auditora Informtica deber comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin. Sus principales objetivos, son: el control de la funcin
informtica, el anlisis de la eficiencia de los Sistemas Informticos, la verificacin del
cumplimiento de la normativa en este mbito, y la revisin de la eficaz. Esto contribuye a
mejorar ciertas caractersticas en las empresas, como el desempeo, la fiabilidad, la eficacia, la
rentabilidad, la seguridad y la privacidad.
Nos hemos propuesta como objetivo la realizacin de una auditora al rea de Base de
Datos en una empresa de desarrollo de software, para el cumplimiento del TPI de la ctedra de
Auditora SI/TI.

Auditora en SI/TI
Ciclo Lectivo 2015
PROPSITO
Los objetivos del proyecto son:
Permitir el cumplimiento de los objetivos de negocio, de tal manera que la tecnologa est
acorde con las actividades de la compaa, proporcionando disponibilidad, confiabilidad y
seguridad de la informacin.
Realizar observaciones y recomendaciones que permitan al departamento de TI optimizar
el control, operacin y administracin de su infraestructura tecnolgica, y facilitar la
gestin de la mejora continua en cuanto a la administracin de la base de datos.
OBJETIVOS GENERALES
Realizar un estudio amplio del tema Auditora como punto focal y funcin relevante en
el desarrollo de las organizaciones.
Determinar y/o acotar la influencia de la tecnologa informtica en Auditora.
Establecer el punto de interaccin entre el profesional de sistemas informticos y
aquellos otros intervinientes en una Auditora.
Establecer el/los elementos esenciales dentro de Auditoria Informtica.
Establecer un mecanismo de control sobre los datos de la organizacin que permita
prevenir los riesgos de administracin de los mismos.
Auditoras en Base de Datos. Herramienta para rastros de actividad Activity Log
Generar diferentes reportes para que un usuario autorizado pueda analizar los activity
logs.
MARCO TERICO
PORQUE AUDITAMOS?
La auditora est alcanzando un rol cada vez ms importante en las reas de
cumplimiento, privacidad y seguridad. Satisfacer las regulaciones de cumplimiento como las de
Sarbanes-Oxley y mitigar los riesgos relacionados con las amenazas internas son algunos de los
desafos de seguridad ms importantes a los que se enfrentan las empresas de hoy.
Actualmente, el uso de los datos de auditora como recurso de seguridad contina siendo un
proceso manual que requiere que el personal de auditora y de seguridad de IT primero
recopile los datos de auditora y luego realice investigaciones sobre una gran cantidad de datos
de auditora dispersos utilizando scripts personalizados y otros mtodos.

Auditora en SI/TI
Ciclo Lectivo 2015
DESAFOS DE PRIVACIDAD Y CUMPLIMIENTO

Los gobiernos de todo el mundo han promulgado una gran cantidad de regulaciones
relacionadas con los controles financieros, la asistencia mdica y la privacidad.
AMRICA
o Sarbanes-Oxley (SOX)
o Healthcare Insurance Portability and Accountability Act - HIPAA (Ley de
Transferencia y Responsabilidad de Seguros Mdicos)
o CA SB 1386 y otras Leyes Federales de Privacidad
o Payment Card Industry Data Security Act (Ley de Seguridad de Datos
de Tarjetas de Pago)
o FDA CFR 21 Seccin 11
o FISMA -Federal Info Security Mgmt Act (Ley Federal de Administracin
de Seguridad de la Informacin)
EUROPA, MEDIO ORIENTE Y FRICA
o Directivas de Privacidad de la UE
o UK Companies Act de 2006 APAC (Ley de Sociedades del Reino Unido)
o Financial Instruments and Exchange Law (J-SOX) (Ley de Intercambio e
Instrumentos Financieros)
o CLERP 9: Audit Reform and Corporate Disclosure Act (Australia) (Ley de
Privacidad Corporativa y Reforma de Auditoras)
GLOBAL
o Estndares Internacionales de Contabilidad
o Basilea II (Banca Global)
o Pautas COECD sobre Corporate Governance
Cada regulacin tiene sus propias caractersticas y requerimientos. La ley Sarbanes-Oxley
(SOX) requiere que los ejecutivos certifiquen la precisin de los estados financieros. Las
regulaciones de SOX exigen slidos controles internos para respaldar los estados
financieros. La ley Healthcare Insurance Portability and Accountability Act (HIPAA) requiere la
proteccin de la informacin sensible relacionada con el rea de asistencia mdica. Asimismo,
la ley Payment Card Industry Data Security Act (PCI) exige que los ejecutivos monitoreen el
acceso a los datos personales de los propietarios de tarjetas.
Las claves para respaldar las regulaciones de privacidad y cumplimiento son las polticas y
procedimientos de seguridad adecuados para controlar el acceso, la encriptacin, la
confeccin de informes y el monitoreo. Las polticas de control de acceso son importantes para
imponer polticas need-to-know (necesidad de conocimiento) respecto de los datos de
aplicaciones, especialmente para usuarios altamente privilegiados como los DBA. Las polticas
de encriptacin son un aspecto importante en cuanto a la proteccin de la informacin para
los datos relacionados con la privacidad, como por ejemplo, los nmeros de tarjeta de crdito
o del seguro social en los medios subyacentes de almacenamiento. Se han publicado
numerosos casos de gran relevancia con relacin a la prdida de cintas de backup y unidades
6

Auditora en SI/TI
Ciclo Lectivo 2015
de disco. El proceso de informes y monitoreo ayuda a imponer la frase trust-but-verify (confe,

pero verifique) al realizar una auditora de las actividades de todos los usuarios,
especialmente de los usuarios privilegiados. Asimismo, estos datos de auditora pueden
utilizarse para alertar al personal de seguridad de IT sobre problemas que podran violar una
regulacin de cumplimiento especfica.
No obstante, en la actualidad, utilizar la informacin de auditora es un proceso costoso,
ineficiente y que lleva mucho tiempo debido al hecho de que los datos de auditora se
distribuyen a travs de mltiples sistemas. La informacin de auditora debe consolidarse, ser
segura y fcilmente accesible por parte del personal de auditoras y seguridad de IT.
DESAFOS DE AMENAZAS INTERNAS
La naturaleza cada vez ms sofisticada del robo de informacin y las amenazas internas exigen
a las empresas no slo proteger la informacin sensible, sino tambin monitorear el acceso a
esa informacin, con inclusin del acceso de usuarios privilegiados y con ms derechos. El
estudio de Seguridad y Delitos Informticos CSI/FBI 2005 ha demostrado que ms del 70% de
los ataques y las prdidas de datos de los sistemas de informacin se ha llevado a cabo por
parte de personas internas a la empresa, es decir, por aquellas personas autorizadas con al
menos algn nivel de acceso al sistema y sus datos. Las violaciones internas de seguridad
pueden resultar mucho ms costosas que los ataques producidos fuera de la empresa.
El anlisis de varios incidentes ha demostrado que el impacto resultante podra haber sido
sustancialmente menor si se hubieran examinado los datos de las auditoras. No obstante, se
ha comprobado que utilizar los datos de auditora es una tarea difcil debido a que los datos de
auditora se encuentran distribuidos, lo cual dificulta el anlisis, la confeccin de informes y la
emisin de alertas.
BASE DE DATOS ORACLE 10G
Oracle 10g es el sistema de gestin de base de datos relacional creado por Oracle Corp. Una
base de datos es el conjunto de datos en una o varias tablas relacionadas entre s. Oracle 10g
es la versin mejorada de la versin anterior y se compone de las funciones que le dan ms
control para almacenar, recuperar y procesar los datos. Puede utilizar las nuevas
caractersticas de SQL a travs de SQL * Plus , que es la interfaz fcil de usar para la extraccin
y manipulacin de datos .

Auditora en SI/TI
Ciclo Lectivo 2015
CARACTERSTICAS DE ORACLE 10G

Oracle 10g ofrece una infraestructura de alto performance incluyendo:
Escalabilidad de departamentos a sitios empresariales de e-business
Robustez, confiabilidad, disponibilidad y arquitecturas seguras.
Un modelo de desarrollo de fcil despliegue.
Plataforma Oracle (Incluyendo SQL, PL/SQL, Java y XML)
Un manejo de interfaz para todas las aplicaciones.
Estndares tecnolgicos para las industrias, e interconectividad.

Oracle Database 10g est diseado para almacenar y manejar la informacin de la empresa,
recorta los costos de manejo y provee una alta calidad de servicio. Reduce los requerimientos
de configuracin y manejo y automatiza la afinacin de la parte de SQL, esto disminuye en
gran medida los costos de mantener todo el ambiente de su arquitectura.
Oracle Database maneja datos no estructurados tales como:
Hojas de Clculo
Documentos de Word
Presentaciones de Powerpoint
XML
Tipos de datos multimedia como MP3, grficos, video, fotos.

El Servidor de Aplicaciones provee una completa plataforma de infraestructura para desplegar
y desarrollar aplicaciones empresariales, integrando muchas funciones incluyendo un
ambiente en tiempo de ejecucin de J2EE y Web Services. Cuenta con un Portal empresarial,
que es una integracin de inteligencia de negocios, capturador web y servicios de manejo de
identidad.
OAS 10g es el nico servidor de aplicaciones que incluye servicios para todas diferentes
aplicaciones de servidor que quieras correr por ejemplo:
Portals o Web Sites
Aplicaciones transaccionales de Java
Aplicaciones de inteligencia de Negocios

Y por ltimo, provee integracin entre usuarios, aplicaciones y datos para toda tu
organizacin. Este es bsicamente el Administrador de Tareas de la Base de Datos, es decir es
una completa e integrada consola de manejo central, administra las tareas entre el conjunto
de sistemas en un ambiente en malla.
Oracle considera la disponibilidad y el rendimiento de la infraestructura de red como un todo
unificado, como una experiencia de usuario, en vez de aislarlos como unidades de
almacenamiento.

Auditora en SI/TI
Ciclo Lectivo 2015
TODOS LOS DATOS, TODAS LAS APLICACIONES

Oracle como la base de datos lder del mercado soporta todos los tipos de datos relacionales
estndares, as como tambin datos nativos como XML, texto, imgenes, documentos, audio, y
datos espaciales. El acceso a la informacin es realizado a travs de interfaces estndares
como SQL, JDBC, SQLJ, ODBC.Net, OLE.Net y ODP.Net, SQL/XML, XQuery y WebDAV. Los
procedimientos almacenados pueden ser escritos en Java, PL/SQL o utilizando .Net CLR
support en Oracle Database 10g Release 2.
RENDIMIENTO, DISPONIBILIDAD, SEGURIDAD Y CONFIABILIDAD COMPROBADA
La base de datos Oracle asegura el mximo rendimiento para todas las cargas de trabajo.
Cuando se corre en un clster, la carga de trabajo es automticamente balanceada a travs de
las mquinas disponibles, asegurando la mxima utilizacin de su equipo. Implementando un
ambiente de clusters con Real Application Cluster protege sus aplicaciones de negocio ante
cadas de negocio. Cuando una mquina falla o necesita mantenimiento, sus aplicaciones de
negocio pueden continuar accediendo a los datos ininterrumpidamente en las otras mquinas
del clster.
BENEFICIOS
Soporte para Real Application Cluster para sistemas altamente disponibles.

Simple configuracin e instalacin, administracin automatizada.
Compatible con todo tipo de datos y con todas las aplicaciones.
Desempeo, disponibilidad, seguridad y confiabilidad comprobada.
ALCANCES DE LA AUDITORA
El objetivo principal de la revisin es determinar los elementos de seguridad de un entorno
cliente / servidor que ejecuta Oracle DB versin 10.2.0.4.0 como motor de base de datos. No
se pretende proporcionar una gua integral sobre otros elementos de un entorno de Oracle DB.
El entorno de trabajo est compuesto por una serie de elementos relacionados entre s como
son: Aplicaciones, Bases de datos, Sistemas operativos y Hardware.
Para garantizar la correcta funcionalidad de los procesos relacionados con la infraestructura
tecnolgica que soporta las actividades transaccionales de la compaa se ha decidido realizar
el proyecto de auditora de la base de datos en el rea de DBA, con el fin de verificar el
correcto funcionamiento de los procesos de acuerdo con las polticas del negocio, de tal
manera que los objetivos de TI y los del negocio estn alineados.
El alcance general de la presente auditora, es el anlisis y la evaluacin de la utilizacin
correcta, eficiente y oportuna del procedimiento general de base de datos. Comprender
desde el inicio del procedimiento con los subproceso de Planificacin de Auditoras y Ejecucin
de Auditora, hasta la actividad de cierre.
9

Auditora en SI/TI
Ciclo Lectivo 2015
Para satisfacer las regulaciones de cumplimiento y mitigar el riesgo relacionado con las
amenazas internas son dos de los desafos de seguridad ms importantes a los que se
enfrentan las empresas hoy en da.
A continuacin, se presenta el alcance general desglosado en los tems que se van a analizar y
evaluar en la identificacin de correcciones y mejoras:
Evaluar el conocimiento y utilizacin de los procedimientos generales de base

de datos
Controlar que los Roles y Responsabilidades definidos.
Control de acciones seleccionadas que los usuarios efectan sobre la BD y se

utilizan para:
Investigar actividades dudosas sobre la BD
Recopilar informacin acerca de actividades especficas de la BD
Recopilar estadsticas sobre qu tablas se estn actualizando, cuantas E/S

lgicas se realizan y cuntos usuarios se conectan de forma simultnea en las horas de
mxima actividad.
NORMATIVA APLICADA
Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT), son
una agrupacin de buenas prcticas definidas sobre un conjunto de dominios y procesos los
cuales a su vez pueden ser representados por mltiples actividades. Fue creado debido a la
necesidad del aseguramiento del valor de TI, la administracin de los riesgos asociados a TI, y
tambin para gestionar el incremento de requerimientos para controlar la informacin. Es un
modelo que est enfocado directamente sobre el control (no la ejecucin) de la organizacin a
nivel de tecnologas de informacin, involucrando desde administradores de TI, hasta usuarios
y auditores encargados de los procesos.
Hoy en da las organizaciones tienen muy claro su estructura organizacional, sus polticas, su
forma de gobernar y administrar todo lo que a esta se refiere. De igual manera la tecnologa de
informacin debe tener mtodos y medidas para administrar sus activos con las TI sino
tambin del negocio y que permitan detectar y hacer correcciones a eventos no deseados.
COBIT: ISO27001 E ISO27002
La Ley Sarbanes -Oxley (SOX) establece los requisitos para la integridad de los datos de origen
utilizados en transacciones financieras e informes. En general, los auditores estn buscando
datos regulados que residen en bases de datos conectadas a aplicaciones empresariales como
SAP, Oracle E -Business Suite, PeopleSoft, y otras aplicaciones Web. Las principales preguntas
clave que los profesionales de TI deben responder durante una auditora de base de datos de
SOX son los siguientes:
10

Auditora en SI/TI
Ciclo Lectivo 2015
PREGUNTAS
1. Es el proceso de auditora independiente del sistema de base de datos que est siendo auditada?
2. La pista de auditora establecer la rendicin de cuentas de usuario?
3. La pista de auditora incluyen detalle apropiado?
4. La pista de auditora a identificar las variaciones materiales de la actividad de referencia?
Las respuestas a estas preguntas varan dependiendo del mecanismo de auditora

propia. Desafortunadamente, muchos mecanismos de auditora de base de datos no fueron
diseados para satisfacer las necesidades de los auditores de SOX y por lo tanto no abordan
adecuadamente estas preguntas.
PUNTOS DE CONTROL
Auditora, Registro y
Control
Tolerancia a fallos, de
respaldo y recuperacin
Sistema de archivos de
acceso y de gestin
Administracin de
contraseas
Sistema de privilegios y
servicios pblicos
Red de controles
Gestin de usuarios
Configuracin del sistema
Algn tipo de control que registra la actividad del usuario, administrativos o de

sistema. Cualquier control que ayuda a ver los sucesos del sistema de registro o
el control de la seguridad del sistema.
Cualquier control establecido para garantizar la disponibilidad del sistema de
base de datos, o reducir la cantidad del tiempo si el sistema tuviere algn tipo
de fallo.
Un control que restrinja el acceso o proteja el sistema de archivos. Esto incluye
la configuracin de los permisos de archivos, directorios especficos del sistema
y los permisos, servicios pblicos sensibles del sistema, la configuracin
predeterminada de creacin de archivos y artculos relacionados.
Un control que hace cumplir las normas de gestin de contraseas, tales como
longitud de la contrasea, historial de contraseas, caducidad de la contrasea,
y la composicin contrasea.
Cualquier control para prevenir el uso no autorizado de los privilegios del
sistema sensible y servicios pblicos.
Algn control establecido por los servicios de red y de acceso, pero con
exclusin de acceso remoto.
Los controles para garantizar la adecuada administracin de usuarios y
asignacin de privilegios, incluyendo la gestin o la creacin de cuentas de
usuario.
Un control que debe estar habilitado y puesto en prctica a travs de un
parmetro a nivel de sistema, o despus de la instalacin de la tecnologa que
afecta la tecnologa a nivel global del sistema. Esto incluye servicios de red de
activacin / desactivacin, los parmetros de secuencia de arranque, la
eliminacin de ciertos servicios del sistema (tales como compiladores,
herramientas de desarrollo, los ejecutables que no sean necesarios) y los
detalles de instalacin.
11

Auditora en SI/TI
Ciclo Lectivo 2015
PROCESO DE AUDITORA
A continuacin se detalla el proceso que se lleva a cabo con sus respectivos subprocesos:
SUBPROCESO PLANIFICACIN DE AUDITORAS
12

Auditora en SI/TI
Ciclo Lectivo 2015
SUBPROCESO EJECUCIN DE AUDITORA
ROLES
ROL
Responsable
Auditoras
Auditor Lder
Auditado
DESCRIPCIN
Determinar tipo y forma de auditora.

Asignar auditoras.
Acordar Plan.
Corregir documentos planeacin.
Programar Auditora.
Comunicar Programa.
Analizar Respuesta.
Iniciar Auditora.
Registrar hallazgo de inicio.
Actualizar documentos de planeacin.
Analizar evidencia y Registrar hallazgos.
Generar informe.
Programar y ejecutar reunin de cierre.
Actualizar e informar cambios.
Registrar eventos.
Actualizar informe.
Publicar e informar resultados.
Comunicar Conformidad de Fecha.
Proporcionar evidencia.
Comunicar aceptacin informe.
13

Auditora en SI/TI
Ciclo Lectivo 2015
PLANIFICACIN DE AUDITORA
PLANIFICACIN DE AUDITORIA: Auditoria de base de datos
CALENDARIZACIN
Subproceso de planificacin de auditora
3 das
Subproceso de ejecucin de auditora
20 das
Revisin de base de datos
2 das
Hardware y software de los servidores de aplicacin y base de datos
3 das
Acceso a usuarios y administradores
2 das
Plan de mantenimiento
3 das
Gestin de respaldo
2 das
Chequeo de logs y auditoras
2 das
Plan de contingencia de base de datos
3 das
Cierre
1 da
Anlisis post- mortem: Recomendaciones y conclusin
2 das
EVIDENCIAS DE AUDITORA
Se define como evidencia de auditora al conjunto de informacin recopilada y disponible para
el auditor de sistemas informticos que permite determinar si el ente y los datos han cumplido
con los criterios previamente sealados. Se clasifica en:
Pistas de auditora en los programas.

Revisin del hardware y software instalado en los servidores.
Revisin de los usuarios y permisos sobre el hardware y software de servidores.
Revisin de Base de Datos
Revisin del ambiente del centro de computo
Revisin de polticas y planes de contingencias y respaldos
14

Auditora en SI/TI
Ciclo Lectivo 2015
ANLISIS DE EMPRESA BAJO ESTUDIO

DESCRIPCIN
Kolektor es una UTE conformada por la firma SYC (Servicios y Consultora SA) y la CGAF
(Compaa de Gestin, Administracin y Fiscalizacin SA) con presencia operativa en Crdoba
desde enero de 2005, luego de ganar la licitacin pblica nacional e internacional que
promovi el Ministerio de Finanzas de la Provincia de Crdoba para reformar y fortalecer la
Direccin General de Rentas.
SYC posee 90% de participacin en Kolektor. Se dedica al recupero de acreencias fiscales desde
1994, cuando inici operaciones en Quilmes, provincia de Buenos Aires.
CGAF SA posee el 10% restante. Es una empresa especialista en administracin tributaria,
conformada por Guillermo y Patricio lvarez.
La empresa mejoro la infraestructura de las oficinas de atencin al contribuyente y abrieron
nuevos espacios de atencin en la provincia, donde el tiempo de espera promedio no supera
los 20 minutos.
15

Auditora en SI/TI
Ciclo Lectivo 2015
El portal en Internet de Rentas permite hoy desarrollar ms de 30 trmites virtuales, se ofrece

asistencia tributaria permanente desde el call center y se han desarrollado sistemas
informticos especficos para la gestin impositiva, administrativa y laboral.
Los profesionales participan del ordenamiento y simplificacin de las normas tributarias que
rigen en la provincia de Crdoba.
La empresa aplica una gestin integral de la deuda por contribuyente y no por impuesto, que
permite el seguimiento de los pagos voluntarios y el trabajo temprano de la mora. Mejoraron
50% la calidad de los datos incluidos en la base de contribuyentes e incrementaron
sustancialmente la participacin de los recursos impositivos propios sobre el total de los
recursos tributarios con que cuenta la Provincia, dotando al Estado de mayor autonoma
financiera e independencia econmica.
Objetivos:
Fortalecer el sistema de administracin tributaria de la provincia de Crdoba, a travs

de la mejora de los procedimientos y mecanismos de control, optimizando los costos
de administracin.
Hacer ms eficiente la cobranza extrajudicial en sede administrativa de los tributos

vencidos y otras obligaciones a cargo de la DGR.
Mantener y actualizar la informacin contenida en las bases de datos pertenecientes a

la DGR.
Optimizar en todas sus funciones del actual sistema de recaudacin la transferencia de

conocimientos y de gestin a la DGR.
Mantener los sistemas informticos propios.
Brindar un servicio de calidad a los contribuyentes que facilite el cumplimiento

voluntario de las obligaciones tributarias.
Optimizar los niveles de recaudacin.
Kolektor desde el ao 2008 certifica Normas IRAM ISO 9001 y ISO 90003, bsicamente la
calidad se construye sobre tres pilares principales:
Adopcin de estndares mundialmente reconocidos y aceptados: se trabaja de manera
sistmica con los estndares necesarios para soportar la criticidad de los servicios y
proyectos que se gestionan junto a los clientes. Eso facilita y alienta la inter-operatividad
metodolgica y tecnolgica con clientes, socios de negocios y proveedores, minimizando
costos de transaccin y optimizando la gestin de recursos.
16

Auditora en SI/TI
Ciclo Lectivo 2015
Mejora continua: cada lder/referente de los procesos de la organizacin identifica,

planifica e implementa las mejoras necesarias para optimizar la performance de los
servicios. Esa mejora implica entrenamiento y coaching permanente, tanto a nivel
metodolgico como tecnolgico. El desafo permanente es incorporar en cada uno de los
integrantes de la compaa, la capacidad de reconocer aquellos procesos crticos que
influyen fuertemente sobre cada operacin, identificar los atributos que permiten
modificar los niveles de desempeo y calidad, y a partir de esto coordinar las adecuaciones
y ajustes que el negocio demanda por su constante evolucin y/o transformacin. El
objetivo de esto es consolidar la organizacin que aprende, estableciendo acciones
orientadas a incorporar buenas prcticas reconocidas y probadas por la industria,
estandarizar a la operacin a travs de procesos, y recolectar informacin sobre el
desempeo de procesos de manera sistemtica, como principal fuente de
retroalimentacin y mejora.
Benchmark permanente: el mercado de IT es uno de los ms competitivos de la
economa. La notable estandarizacin de insumos productivos (sean lenguajes de
programacin o hardware o comunicaciones), la existencia de talentos con posibilidades
globales y la normalizacin de metodologas, exige medir permanentemente la
performance contra las mejores prcticas de la industria.
TIPO DE ORGANIZACIN
La organizacin es de tipo formal, cuenta con una estructura jerrquica bien definida, que
describe relaciones de autoridad y responsabilidad, y los puestos de trabajo estn bien
especificados.
Segn su objetivo principal, la organizacin es de tipo econmica, ya que proporcionan bienes
y servicios a cambio de una remuneracin econmica.
17

Auditora en SI/TI
Ciclo Lectivo 2015
ORGANIGRAMA FUNCIONAL
18

Auditora en SI/TI
Ciclo Lectivo 2015
DESCRIPCION DE AREAS
GERENCIA GENERAL
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES DE
AUTORIDAD
FUNCIONES
TAREAS
Representar a la empresa frente a terceros y coordinar todos los recursos a travs

del proceso de planeamiento, organizacin, direccin y control, para lograr los
objetivos establecidos.
Gerente General
Ejerce la supervisin directa de las reas de Direccin de Produccin, Direccin
Comercial y el rea Administrativa.
Planeamiento, organizacin, direccin y control, para lograr los objetivos
establecidos.
Dirigir la empresa.
Planear y llevar a cabo objetivos a corto, mediano y largo plazo.
Asignar tareas y responsabilidades a los empleados.
Evaluar los resultados obtenidos para verificar que se cumplan los objetivos.
Dirigir al trabajador en su trabajo.
Contactar a clientes y potenciales clientes.
CALIDAD
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
Supervisar y organizar las actividades de calidad, para garantizar la eficacia del

producto y detectar posibles errores que el equipo de desarrollo pueda corregir; y
realizar el entrenamiento del personal de la organizacin.
Gerente de Calidad.
Testers.
Supervisar y organizar las actividades y el equipo de calidad.

Dirigir y supervisar a los empleados del rea de calidad.
Llevar a cabo las actividades de calidad.
Planificar pruebas de calidad.
Comunicarle al Product Manager los resultados de las pruebas de calidad.
Asignar tareas y responsabilidades a los empleados que tiene a cargo.
Evaluar los resultados obtenidos para verificar que se cumplan los objetivos del
software.
Detectar errores que sern corregidos por el equipo de desarrollo.
Entrenar al personal de la organizacin.
19

Auditora en SI/TI
Ciclo Lectivo 2015
REA ADMINISTRATIVA
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
Planificar y llevar a cabo las actividades de administracin diaria de la empresa para

lograr un correcto funcionamiento de la misma.
Gerente de Administracin.
No aplica.
Organizar, planificar y desarrollar las actividades referentes a la gestin

administrativa.
Gestionar la liquidacin de sueldos de los empleados.
Gestionar liquidacin de vacaciones y aguinaldo.
Manejar cobranzas.
Cargar Pagos.
Confeccionar y emitir facturas.
Realizar el pago de los impuestos.
RECURSOS HUMANOS
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES DE
AUTORIDAD
FUNCIONES
TAREAS
Dotar a la organizacin de un recurso humano eficiente.

Gerente de RRHH.
No aplica.
Organizar, planificar y desarrollar las actividades referentes a la contratacin de
personal y documentaciones y trmites referentes a las relaciones laborales.
Reclutamiento de personal.
Seleccin de personal.
Anlisis y definicin de los puestos de trabajo.
Capacitacin del personal.
Incorporacin del nuevo personal a la empresa.
Planificar vacaciones.
20

Auditora en SI/TI
Ciclo Lectivo 2015
CONTADURA
OBJETIVO
PUESTO DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
Planificar, desarrollar, organizar y llevar a cabo la gestin contable de la organizacin

y de los asuntos impositivos.
Contador.
No aplica.
Organizar, planificar y desarrollar las actividades referentes a la contadura de la

empresa.
Llevar a cabo el pago de los impuestos municipales y habilitaciones.
Verificar el cumplimiento al da de dichos impuestos.
Confeccionar balances.
Verificar el libro de ingresos y egresos.
REA DE PRODUCCIN
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
Planificar las actividades de desarrollo.

Director de Produccin.
Ejerce la supervisin directa de las reas de Desarrollo y de Calidad.
Planeamiento, organizacin, direccin y control de las actividades de desarrollo y

calidad.
Dirigir y supervisar a los empleados de las reas de desarrollo y calidad
Planear y las actividades de desarrollo y calidad.
Evaluar los resultados obtenidos para verificar que se cumplan los objetivos
establecidos.
21

Auditora en SI/TI
Ciclo Lectivo 2015
DPTO. DE DESARROLLO
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
Supervisar y organizar las actividades de desarrollo, para que el equipo pueda llevar a
cabo el producto final.
Product Manager.
Desarrolladores.
Supervisar y organizar las actividades y el equipo de desarrollo.

Dirigir y supervisar a los empleados del rea de desarrollo.
Llevar a cabo las actividades de desarrollo.
Resolver conflictos que puedan surgir entre los desarrolladores.
Contactar clientes para resolver inconvenientes de integracin de los sistemas.
Evaluar los resultados obtenidos para verificar que se cumplan los objetivos del plan
de desarrollo del software.
Delinear nuevas funcionalidades.
ARQUITECTURA DE SOLUCIONES
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
TAREAS
Planificar, desarrollar, organizar y llevar a cabo la performance del equipamiento y

del personal y desarrollar tcnicas para mejorarlas.
Arquitecto de soluciones
No aplica.
Planificar, organizar, dirigir, controlar y ejecutar el procesamiento de

informacin correspondiente a todos los Sistemas de la Empresa.
Asegurar el suministro de insumos necesarios para satisfacer todos los
requerimientos de procesamiento, tanto del equipo central (Mainframe) y/o Servidor
como de las terminales asociadas a l.
Realizar la captura de datos y obtener informacin correspondiente a todas las reas
de la Empresa.
Disear y planificar procedimientos de ejecucin y generacin de copias de respaldo
o backups, rutinas de diagramacin de re procesos, restauracin de cintas, etc.
22

Auditora en SI/TI
Ciclo Lectivo 2015
ADMINISTRADOR DE BASE DE DATOS

OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
TAREAS
Planificar, desarrollar, organizar y llevar a cabo el estado y los accesos de la red y

mantener la disponibilidad de la misma dentro del sistema de restricciones y
excepciones fijados por el Gte de Seguridad Informtica.
Administrador de Base de datos
No aplica.
Implementar procedimientos y tcnicas para mejorar la eficiencia fijadas bajola

supervisin del jefe de telecomunicaciones y el de soporte tcnico.
TESTERS
OBJETIVO
Llevar a cabo las pruebas del sistema, de calidad, e informarle los resultados al
Gerente de calidad.
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
Tester.
TAREAS
No aplica.
Realizar las pruebas de calidad, de manera tal que puedan detectarse posibles errores
o funcionalidades que pueden ser cambiadas o agregadas.
Realizar las pruebas del sistema.
Registrar dichas pruebas.
Comunicarle al gerente de calidad el resultado de las pruebas.
Detectar posibles errores e inconvenientes.
Sugerir nuevas o mejores funcionalidades del sistema.
DESARROLLADORES
OBJETIVO
PUESTO
DE
TRABAJO
RELACIONES
DE
AUTORIDAD
FUNCIONES
TAREAS
Desarrollar el producto, en este caso, el sistema de informacin.

Desarrollador.
No aplica.
Desarrollar el sistema, y relacionarse con los dems desarrolladores para obtener el

objetivo final deseado.
Desarrollar el sistema de informacin.
Relacionarse con los dems desarrolladores.
Informarle al Product Manager cualquier inconveniente que pueda surgir.
Comunicarle al Product Manager sobre el desarrollo del sistema.
23

Auditora en SI/TI
Ciclo Lectivo 2015
REALIZACIN DE AUDITORA
REVISIN EN REGISTROS Y CONTROL
La tarea de controlar el flujo de informacin de aplicaciones y base de datos es del rea de
Seguridad de Datos, para esto se implement una solucin denominada ORACLE ADVANCED
SECURITY.
Esta proporciona total visibilidad y control para aplicaciones y bases de datos. Proteccin de
extremo a extremo para aplicaciones y bases de datos, a fin de atender todos los aspectos del
ciclo de vida de la seguridad de la informacin. SecureSphere contribuye a que las empresas:
Proporcionen una cadena independiente de auditora y parmetros inteligentes de

auditora.
Protejan tanto a las aplicaciones como las bases de datos
Identifiquen a los usuarios de las aplicaciones que realizan transacciones en las bases
de datos
Agilicen los procesos de auditora y de conformidad
Se implementa en forma transparente en todo entorno, con cero impactos en el
desempeo. SecureSphere Data Security Suite marca la pauta en seguridad Web y de
bases de datos, de auditora y de conformidad de la informacin, al integrar las
tecnologas lderes del mercado.
ORACLE ADVANCED SECURITY lleva a cabo inspecciones en mltiples niveles, para la deteccin
de:
Violaciones de uso, mediante los perfiles dinmicos

Huellas de ataques a aplicaciones
Seguridad basada en la reputacin, mediante ThreatRadar
Violaciones del protocolo http
Ataques de red y de plataforma
Ataques a los servicios Web (XML)
Ataques a puntos dbiles de acceso
Huellas de fugas de informacin
CAUSA
Para la deteccin de anomalas es importante que los programas garanticen una seguridad
razonable registrando informacin de eventos tales como actualizaciones, eliminacin y
modificacin de datos por parte del usuario y grabando el registro en el log.
24

Auditora en SI/TI
Ciclo Lectivo 2015
EFECTO
Facilidad en la deteccin de fallos en los programas y detectar al autor de cada operacin
sobre datos o transacciones.
CONCLUSIN
Se comprob que la solucin implementada mediante ORACLE ADVANCED SECURITY permite:
Proteger a las aplicaciones de ataques de alta complejidad tcnica. Bloquea en forma precisa
las inyecciones SQL, el scripting inter-sitios (XSS) y el acceso (login) por fuerza bruta, detiene el
robo de identidad en lnea y previene de fugas de informacin a travs de las aplicaciones. El
seguimiento de las transacciones SQL para efectos de investigaciones forenses, evita las fugas
de informacin de las bases de datos y garantiza la integridad de la informacin, mediante el
establecimiento de cadenas independientes de auditora de las actividades de los usuarios.
A fin de evaluar la posicin de las organizaciones en cuanto a la seguridad y la conformidad,
ORACLE ADVANCED SECURITY hace exploraciones de las bases de datos en busca de ms de
1000 vulnerabilidades y malas configuraciones. Los resultados de todas las evaluaciones se
presentan en informes fciles de entender, que jerarquizan los riesgos, dan apoyo a acciones
correctivas especficas y documentan el estado de la conformidad.
Proporcionar un nico punto para la agregacin de la poltica de seguridad, gestin de la
seguridad jerrquica, el seguimiento en tiempo real, el registro, auditora y los informes de
cumplimiento.
La entrega de las reglas de auditora predefinidas, evaluaciones de vulnerabilidad, la
conciencia estructura de tablas, e informes grficos para aplicaciones empresariales y los
mandatos de cumplimiento. Explorar las bases de datos en busca de vulnerabilidades
conocidas y fallas de configuracin.
REVISIN DEL HARDWARE Y SOFTWARE INSTALADO EN LOS SERVIDORES.
Durante el proceso de revisin de controles se hizo uso de una herramienta instalada en la
compaa IBM Tivoli Software, la cual indica detalladamente qu software est instalado en el
equipo, cules son las incompatibilidades de software que posee y cul es su caracterstica
fsica.
Algunas de las caractersticas de esta herramienta utilizada son:
Supervisa de manera proactiva los recursos del sistema para detectar problemas
potenciales y responde automticamente a eventos. Al identificar os problemas
pronto, Tivoli Monitoring permite arreglarlos rpidamente antes de que los usuarios
notan alguna diferencia en el rendimiento.
25

Auditora en SI/TI
Ciclo Lectivo 2015
Proporciona un umbral dinmico y anlisis de rendimiento para mejorar la prevencin

de riesgos. Este sistema de "avisos con anticipacin" le permite empezar a trabajar en
un incidente antes de que afecte a los usuarios y a las aplicaciones o servicios
empresariales.
Mejora la disponibilidad y la media de tiempo de recuperacin gracias a la
visualizacin rpida de incidentes y la bsqueda histrica de investigacin rpida de
incidentes. Puede identificar y resolver una interrupcin de rendimiento o servicio en
minutos en vez de horas.
Recoge datos que puede utilizar para dirigir las actividades de rendimiento y
planificacin de la capacidad a tiempo y as evitar interrupciones debidas al exceso de
uso de recursos. El software supervisa, alerta e informa de futuros atascos en la
capacidad.
Facilita la supervisin del sistema con una interfaz de navegacin comn, flexible e
intuitiva y espacios de trabajo personalizables. Adems incluye un almacn de datos
fcil de utilizar y funciones avanzadas de creacin de informes.
CONDICIN
El Software y Hardware de los servidores cumple con los estndares necesarios y estn
legalmente adquiridos y actualizados.
CRITERIO
El Software instalado en los servidores est legalmente adquirido.

El Software instalado est actualizado y correctamente instalado.
Se mantiene actualizados listado de sucesos en los servidores.
El Hardware est legalmente adquirido.
Las anomalas que presente el Hardware se registran en logs.
EFECTO
Si no se dispone de software y hardware legal se corre el riesgo de acarrear graves
consecuencias a la institucin paralizando sus operaciones y obligando a pagar elevadas
multas.
Los accesos y manipulacin indebidos a los servidores pueden causar graves daos a los
mismos. El software no actualizado puede causar mal funcionamiento del equipo.
26

Auditora en SI/TI
Ciclo Lectivo 2015
CONCLUSIN
Se comprob que:
La empresa posee software y hardware legalmente adquirido e instalado por terceros.

Existen responsable de la compaa que monitorean a travs de la herramienta
descrita anteriormente los eventos y sucesos que se puedan producir en los
servidores, y un responsable por la solucin de los distintos incidentes.
REVISIN DE LOS USUARIOS Y PERMISOS

Para identificar cules son los usuarios que tienen acceso a los servidores se ha usado el
software Tivoli Identity Manager. Esta herramienta es utilizada en la compaa y les permite
gestionar las identidades de usuarios y sus derechos de acceso a recursos en todo el ciclo de
vida de identidad. Estos productos dan soporte a la administracin automtica, la inscripcin,
la aprobacin, el suministro, la recertificacin y la retirada de los usuarios. Obtendr un control
de identidades completo, gestin de roles, inicio de sesin nico y auditora. Es importante
mencionar en este punto que la empresa maneja la seguridad integrada con la herramienta
Active Directory de Microsoft, lo cual facilita la labor de los encargados de la seguridad lgica.
CONDICIN
Identificacin de los usuarios que tienen acceso al Software y Hardware de los servidores.
Identificacin de las polticas y procedimientos de control.
CAUSA
La empresa puede sufrir paralizacin en sus operaciones por causa de algn tipo de siniestro o
incidente debido a cambios en la configuracin, intencional o no, del sistema operativo o por
la eliminacin o traslado de archivos del sistema.
EFECTO
Si no se dispone de seguridades en los accesos al software y hardware de los servidores se
corre el riesgo de que se corrompan por uso inapropiado. Deben existir responsables para
administrar los accesos fsicos y lgicos.
27

Auditora en SI/TI
Ciclo Lectivo 2015
CRITERIO
Identificar: Qu usuarios y qu accesos lgicos tienen a los servidores. Qu usuarios y

qu accesos fsicos (directorios) tienen a los servidores
CONCLUSIN
Se comprob que la empresa posee software y hardware seguro. La empresa cuenta con la
herramienta de Microsoft Active Directory para brindar la seguridad necesaria a los equipos y
usuarios del dominio. Existen polticas en la administracin y mantenimiento de contraseas y
accesos limitados a los segmentos de red.
REVISIN DE LA BASE DE DATOS
Previo a la revisin de la base de datos, se realizaron entrevistas a los responsables del rea de
TI y se obtuvieron los resultados mostrados en el cuestionario. Se realizaron preguntas acerca
del DBMS para evaluar su estado y la proyeccin de crecimiento.
CONDICIN
Oracle proporciona un mdulo dentro de su instalacin que se pueden utilizar para auditar las
actividades y los cambios en el sistema o la base de datos. Este mdulo puede estar
desactivado o activado dependiendo de la actividad transaccional de la base de datos. Estas
caractersticas permiten a los administradores implementar una estrategia de defensa y
optimizar los riesgos de seguridad especficos de su entorno. Para verificar todas estas
caractersticas se realizaron un conjunto de Querys al motor de base de datos y se aplic un
checklist al encargado.
Cabe aclarar que la base de datos auditada tiene activado el mdulo de auditora propia del
DBMS Oracle, pero no est siendo utilizado actualmente. La auditora es una de las funciones
del servidor de Oracle, con la finalidad de proporcionar la capacidad de rastrear el flujo de
informacin dentro de una base de datos, incluidos los intentos de conexin, las sentencias
DDL y DML.
Tenemos la opcin de seleccionar los acontecimientos que se desee monitorear, cabe recalcar
que una serie de eventos en Oracle son auditados por defecto, por ejemplo: inicio, lugar de
cierre, y los intentos de conexin a la base de datos con privilegios administrativos. Se puede
optar por especificar las opciones personalizadas de auditora para controlar otros eventos.
28

Auditora en SI/TI
Ciclo Lectivo 2015
CRITERIO
Identificar:
Usuarios activos.
Acceso al motor y servidor de base de datos.
Mantenimientos y afinamientos.
Actualizacin del log de sucesos del motor de base de datos.
Respaldos y contingencias.
CAUSA
La empresa puede sufrir paralizacin en sus operaciones por algn siniestro o incidente en el
motor de la base de datos.
EFECTO
No contar con una base de datos confiable y estable puede perjudicar gravemente a la
empresa al no poder realizar sus operaciones diarias, y consecuentemente, no disponer de
estadsticas para la toma de decisiones. Tenemos la opcin de seleccionar los acontecimientos
que se desee monitorear, cabe recalcar que una serie de eventos en Oracle son auditados por
defecto, por ejemplo: inicio, lugar de cierre, y los intentos de conexin a la base de datos con
privilegios administrativos. Se puede optar por especificar las opciones personalizadas de
auditora para controlar otros eventos.
CONCLUSIN
Se comprob que la base de datos es robusta y las estructuras se actualizan slo bajo las
directrices del grupo de DBA y las actualizaciones que demanda el rea de desarrollo son
analizados por la misma rea. El grupo de DBA, bsicamente est encargado del
mantenimiento y afinamiento de la base de datos. Por lo general antes de pasar algn nuevo
programa a produccin el revisa que cumpla con los estndares definidos y las polticas de la
compaa.
REVISIN DEL AMBIENTE DEL CENTRO DE CMPUTOS
La empresa cuenta con dos grandes centro de cmputo, en donde residen los servidores
necesarios para que la compaa funcione adecuadamente. Los servidores no se apagan y los
mantenimientos se realizan a demanda de acuerdo a las necesidades de cambios que obliguen
al reinicio de los mismos. Estos cambios se realizan de acuerdo a polticas de mantenimiento
de la compaa y deben estar autorizados por la direccin.
29

Auditora en SI/TI
Ciclo Lectivo 2015
REVISIN DE POLTICAS Y PLANES DE CONTINGENCIAS Y RESPALDOS

Segn lo conversado con el responsable del rea de TI, se ha podido constatar que la empresa
posee un plan de contingencia bien definido que respeta polticas de la compaa y es
difundido. Se realizan backup de la base de datos, uno full o incremental de nivel 0 al mes, un
incremento de nivel 1 por semana y cada hora se hace respaldo de los archivos generados por
la base de datos, estos backup se realizan directamente a cinta mediante la utilizacin de una
herramienta especializada denominada NETBACKUP, que permite el respaldo en distintos
medios de resguardo, como as tambin la rotulacin del mismo para su posterior almacenaje.
Este plan de contingencia sirve para en caso de eventualidades y siniestros la base de datos se
recupera al momento de la ocurrencia y as evitar que las operaciones del negocio se
paralicen.
CONDICIN
Existe un plan de contingencias para asegurar la continuidad del negocio y de las operaciones
crticas de la empresa en caso de eventualidades. Los respaldos se almacenan dentro del nico
centro de cmputo.
CRITERIO
Se aplic un cuestionario o check list para determinar si la empresa dispone de un plan alterno
para sus operaciones, y conocer cmo se manejan los respaldos de la base de datos.
CAUSA
La empresa puede sufrir paralizacin en sus operaciones por causa de siniestros o incidentes, y
no se dispone de informacin para saber cmo recuperarse y qu medidas alternas aplicar.
EFECTO
Al no disponer de un plan de contingencias, la empresa dejar de funcionar si ocurre un
incidente, lo cual repercute directamente en prdidas econmicas.
CONCLUSIN
Se comprob que la empresa tiene un plan de contingencias que le garantiza la continuidad de
las operaciones bajo cualquier situacin adversa que se presente, y que la recuperacin sea
realizada en el menor tiempo posible para no perder mercado durante las actividades que el
equipo tcnico tenga que ejecutar.
30

Auditora en SI/TI
Ciclo Lectivo 2015
CUMPLIMIENTO DE CONTROLES
Las opciones de seguridad de la base de datos Oracle, dan cumplimiento a un amplio rango de
regulaciones y normativas entre las que se destacan las siguientes:
SARBANES OXLEY SECTION 404
Para la regulacin Sarbanes Oxley se aplican las mejores prcticas de Oracle para el
aseguramiento de la base de datos cumpliendo con los siguientes requerimientos:
Bloqueo y expiracin de cuentas por defecto

Designar una cuenta especfica de BD para la creacin de usuarios
Usar un nuevo almacn externo para contraseas donde sea posible realizar procesos
en lotes.
Asignar una cuenta especfica de BD para la administracin de todas las polticas VPD
(Virtual Private Database) que se tienen o se planean crear.
Designar una cuenta especfica de BD para Gestionar todas las polticas FGA que se
tienen o se planean crear.
Limitar conectividad como SYSDBA donde sea posible
31

Auditora en SI/TI
Ciclo Lectivo 2015
Auditora de Base de datos
Auditar operaciones del sys

Activar auditora granular fina para tablas sensibles
Activar auditora estndar
Considerar cuentas no propietarias al mnimo si su preocupacin es desempeo.
Auditar todas las sentencias DDL
Integrar con la solucin Oracle Audit Vault
ORACLE ORACLE ADVANCED SECURITY

Oracle Advanced Security es una opcin de seguridad de la BD para Oracle Database 11g.
Liberada desde la versin Oracle 8i, Oracle Advanced Security combina capacidades de Cifrado
en red, base de datos y autenticacin fuerte todos juntos para ayudar a resolver los retos de
las compaas en cuanto a requerimientos de privacidad cumplimiento:
1. Cifrado transparente de datos TDE.
2. Cifrado de Red
3. Autenticacin fuerte
TDE (TRANSPARENT DATA ENCRYPTION)

TDE est diseado para proveer a los clientes la habilidad de cifrar de manera transparente
dentro de la base de datos sin impactar a las aplicaciones existentes. Retorna los datos en
formato Cifrado podra impactar a las aplicaciones existentes. TDE provee la ventaja de Cifrar
sin el impacto asociados a soluciones tradicionales de base de datos que tpicamente
requieren triggers y vistas. Oracle Database Vault puede ser usado para proteger los datos de
las aplicaciones ante interacciones del DBA y otros usuarios privilegiados adems de
implementar robustos controles sobre el acceso a la base de datos y la aplicacin.
TDE no soporta Cifrado de columnas con restricciones en llaves forneas. Esto se debe al
hecho de que cada tabla tiene su propia y nica llave de Cifrado.
CUMPLIMIENTO DE REGULACIN PCI

Algunos de los controles proporcionados por Oracle Advanced Security Option resuelven
requerimientos de la norma PCI (Payment Card Industry) que aunque no tiene aplicacin por
tipo de mercado al que pertenece Ecopetrol apoya la implantacin de la definicin de
controles de seguridad.
32

Auditora en SI/TI
Ciclo Lectivo 2015
Los controles que resuelve la solucin Oracle Advanced Security Option son los siguientes:
Requerimiento 2: No usar valores por defecto provistos por el proveedor y otros parmetros
de seguridad. El Sub-requerimiento 2.1 trabaja con los parmetros por defecto establecidos
por los proveedores y el subrequerimiento 2.3 requiere cifrado de todos los accesos
administrativos no consola. La respuesta de Oracle a este punto la resuelve la funcionalidad de
cifrado provistas por Oracle Advanced Security tanto en el nivel de los datos en trnsito como
en los residentes en la base de datos.
Requerimiento 3: Proteger datos almacenados en la base de datos o que estn siendo
transmitidos en la red. Con la funcionalidad de Transparent Data Encryption se provee cifrado
de datos sensitivos en disco o en medios externos como cintas de manera transparente a las
aplicaciones y usuarios; gestin automatizada de llaves, la aplicacin no necesita
modificaciones y los desarrolladores pueden enfocar su inters en la lgica de negocios sin
requerir un entrenamiento profundo en temas de cifrado y gestin de llaves.
Requerimiento 4: Encriptar las transmisiones de datos a travs de redes pblicas.
33

Auditora en SI/TI
Ciclo Lectivo 2015
RECOMENDACIONES
Las empresas deben consolidar, administrar, monitorear y generar informes de los datos de
auditora para obtener una visin completa del acceso a los datos empresariales. El personal
de auditora y seguridad de IT debe tener la capacidad de analizar los datos en tiempo y forma
a travs de todos los sistemas dispares. Oracle aborda este requerimiento al consolidar los
datos de auditora de todos los sistemas en un repositorio seguro, escalable y altamente
disponible.
Oracle recopila los datos de auditora de la base de datos desde tablas de pistas de auditora
de la base de datos Oracle; las pistas de auditora de la base de datos desde archivos del
sistema operativo, y los registros de transacciones desde la base de datos para capturar
cambios anteriores/posteriores en el valor de las transacciones.
SE RECOMIENDA:
Que se guarden pistas de las acciones realizadas por el usuario genrico y por el sper
usuario, y que se puedan emitir reportes especficos donde consten estas
modificaciones.
Que las contraseas de estos usuarios sean cambiadas luego de cada transaccin o con
determinada periodicidad.
La implementacin de laboratorios para el anlisis de parches y actualizaciones de
software y hardware antes de su implementacin en los servidores de produccin.
Que exista un rea o una persona responsable a quienes se le pueda pedir reportes de
auditora y quienes revisen constantemente los logs de las aplicaciones y los rastros
que dejan los usuarios al realizar sus transacciones con el fin de encontrar anomalas.
Que se inicie un estudio para virtualizar servidores y as pensar en un mecanismo de
backup mucho ms econmico.
Se recomienda que los parches y actualizaciones al motor de base de datos y al
sistema operativo sea probado y sometido a pruebas de estrs en laboratorios antes
de su implementacin.
Que los afinamientos de la base de datos se realicen bajo un ambiente controlado y
luego de su implementacin que sean los usuarios que realicen pruebas del buen
funcionamiento y tiempo de respuesta de la aplicacin y los datos.
Que el administrador de base de datos haga un anlisis de los Querys y entidades que
vayan a pasar a produccin con el fin de detectar anomalas o incompatibilidad con las
estructuras residentes.
Que en lo posible se trate de tener un espejo de la base de datos de produccin, la
misma que est sincronizada y actualizada cada cierto tiempo y que sirva como
contingencia ante algn evento adverso.
34

Auditora en SI/TI
Ciclo Lectivo 2015
CONCLUSIONES
La auditora est jugando un rol cada vez ms importante como mecanismo de ayuda para
abordar los problemas de amenazas internas y los requisitos del cumplimiento regulatorio.
Hoy, el uso de datos de auditora como fuente de seguridad sigue siendo, en gran medida, un
proceso manual, que exige al personal de auditora y de seguridad de IT recopilar primero los
datos de auditora y luego seleccionar enormes cantidades de datos de auditora dispersos
utilizando scripts personalizados y otros mtodos. Las empresas deben consolidar, administrar,
monitorear y realizar informes sobre los datos de auditora para obtener una visin completa
del acceso a los datos empresariales, brindando al personal de auditora y seguridad de IT la
capacidad de analizar los datos de auditora en tiempo y forma.
Oracle brinda una avanzada solucin de auditora que ayuda a simplificar los informes de
cumplimiento, detectar las amenazas con alertas anticipados, reducir el costo de cumplimiento
y garantizar los datos de auditora. Oracle Audit Vault automatiza el proceso de anlisis y
consolidacin, convirtiendo los datos de auditora en un recurso de seguridad clave para
ayudar a superar los desafos de cumplimiento y seguridad de la actualidad. Numerosos
informes previamente incorporados brindan fcil informacin de cumplimiento, y el depsito
de datos abierto proporciona informes amplios utilizando Oracle BI Publisher o soluciones de
informes comerciales de terceros.
Oracle aprovecha las capacidades comprobadas de particionamiento y depsito de datos para
alcanzar escalabilidad de almacenamiento masivo. Oracle utiliza las capacidades de seguridad
de Oracle lderes en el sector para proteger los datos de auditora, encriptar los datos de
auditora durante la transmisin e imponer la separacin de tareas dentro de Oracle Audit
Vault. Abordar los requerimientos de cumplimiento regulatorio y protegerse de las amenazas
internas en una economa global requiere un enfoque de seguridad exhaustiva (defense-indepth)
La realizacin de la auditora, es de suma importancia para los procesos auditados, ya que
proporciona los controles necesarios para que los mismos sean confiables, estables, y con un
buen nivel de seguridad. En este presente informe, pudimos detectar fortalezas, debilidades y
aspectos a mejorar, como tambin as observaciones y recomendaciones que permitirn
obtener mejores resultados y trabajar de la mejor forma en dicha rea.
La fase de exploracin ayud a comprender los diferentes aspectos y

conceptos a tener en cuenta durante todo este trabajo. La visita a las organizaciones y
el aporte realizado por los expertos permiti la identificacin de las necesidades del
proceso de auditora de sistemas de informacin.
El diseo de este proyecto permite enlazar los conceptos y lineamientos

administrativos con las implementaciones tcnicas, basndose en las diferentes
herramientas proporcionadas por el gestor de bases de datos de Oracle 10g .
35

Auditora en SI/TI
Ciclo Lectivo 2015
La funcionalidad planteada para la implementacin de polticas y roles dentro

de los sistemas de informacin se asemeja a la de una herramienta CASE, pues permite
el aumento de la productividad en el desarrollo del proceso de auditora y a su vez en
el tiempo de implementacin de los procesos tcnicos que este requiere.
A travs de las herramientas que proporciona el motor de base de datos

Oracle 10g es posible implementar un proceso de auditora tcnico sobre sistemas de
informacin y a su vez, estos mtodos proporcionados por Oracle pueden ser
utilizados para implementar un sistema intermediario ms amigable y de carcter ms
administrativo.
A pesar del enfoque dado en la fase de diseo, a implementar mtodos que

utilicen las herramientas de Oracle, la fase de definicin y anlisis puede ser utilizada
para implementaciones sobre diferentes gestores de base de datos, como SQL Server,
Informix o MySql.
Los estndares empresariales y de tecnologa, permiten que una organizacin

enfoque las TI con los objetivos propios del negocio. Estos estndares definen una
serie de objetivos donde las tecnologas de informacin van totalmente ligadas a las
metas organizacionales, lo que permite un mximo aprovechamiento de los recursos
tecnolgicos de una compaa.
36

Auditora en SI/TI
Ciclo Lectivo 2015
ANEXOS
ANEXO 1: CHECK LIST DE AUDITORIA
1. Existe algn archivo de tipo Log donde guarde informacin referida a las operaciones que
realiza la Base de datos?
X
Si
No
N/A
Observaciones:
2. Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)?

X
Si
No
N/A
Observaciones:
3. Existe algn usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor?
X
Si
No
N/A
Observaciones:
4. Se encuentra un administrador de sistemas en la empresa que lleve un control de los

usuario?
Si
No
37

Auditora en SI/TI
Ciclo Lectivo 2015
N/A
Observaciones:
5. Son gestionados los perfiles de estos usuarios por el administrador?

Si
No
N/A
Observaciones: el manejo de usuarios se hace a travs de la aplicacin y esto se traslada al
nivel de la base de datos
6. Son gestionados los accesos a las instancias de la Base de Datos?

Si
No
N/A
Observaciones: la gestin de acceso se hace a nivel de aplicacin
7. Las instancias que contienen el repositorio, tienen acceso restringido?

Si
No
N/A
Observaciones:
8. Se renuevan las claves de los usuarios de la Base de Datos?

Si
No
N/A
38

Auditora en SI/TI
Ciclo Lectivo 2015
Observaciones:
9. Se obliga el cambio de la contrasea de forma automtica?
Si
No
N/A
Observaciones:
10. Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o

denegados a estructuras, tablas fsicas y lgicas del repositorio?
Si
No
N/A
Observaciones:
11. Posee la base de datos un diseo fsico y lgico?

X
Si
No
N/A
Observaciones:
12. Posee el diccionario de datos un diseo fsico y lgico?

Si
No
N/A
Observaciones:
39

Auditora en SI/TI
Ciclo Lectivo 2015
13. Existe una instancia con copia del Repositorio para el entorno de desarrollo?
X
Si
No
N/A
Observaciones:
14. Est restringido el acceso al entorno de desarrollo?

Si
No
N/A
Observaciones: se trabaja en forma conjunta
15. Los datos utilizados en el entorno de desarrollo, son reales?

Si
No
N/A
Observaciones: algunas veces si, ya que existen tablas con datos especficos que deben se
reales para realizar pruebas
16. Se llevan a cabo copias de seguridad del repositorio?

Si
No
N/A
Observaciones:
17. Las copias de seguridad se efectan diariamente?

40

Auditora en SI/TI
Ciclo Lectivo 2015
Si
No
N/A
Observaciones:
18. Las copias de seguridad son encriptadas?

Si
No
N/A
Observaciones:
19. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas
se encuentren bien hechas?
X
Si
No
N/A
Observaciones:
20. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de
la empresa?
Si
No
N/A
Observaciones:
41

Auditora en SI/TI
Ciclo Lectivo 2015
21. En caso de que el equipo principal sufra una avera, existen equipos auxiliares?
x
Si
No
N/A
Observaciones:
22. Cuando se necesita restablecer la base de datos, se le comunica al administrador?

X
Si
No
N/A
Observaciones:
23. La comunicacin se establece de forma escrita?

Si
No
N/A
Observaciones:
24. Una vez efectuada la restauracin, se le comunica al interesado?

X
Si
No
N/A
Observaciones:
42

Auditora en SI/TI
Ciclo Lectivo 2015
25. Se lleva a cabo una comprobacin, para verificar que los cambios efectuados son los
solicitados por el interesado?
X
Si
No
N/A
Observaciones: aunque es mnima, despus de un tiempo de uso surgen algunas dudas.
26. Se documentan los cambios efectuados?

X
Si
No
N/A
Observaciones: Mnimamente, algunos cambios suelen ser no documentados. No hay un
seguimiento exhaustivo de los cambios.
27. Hay algn procedimiento para dar de alta a un usuario?

X
Si
No
N/A
Observaciones:
28. Hay algn procedimiento para dar de baja a un usuario?

X
Si
No
N/A
Observaciones:
43

Auditora en SI/TI
Ciclo Lectivo 2015
29. Es eliminada la cuenta del usuario en dicho procedimiento?

Si
No
N/A
Observaciones: se realiza una eliminacin lgica
30. El motor de Base de Datos soporta herramientas de auditora?

X
Si
No
N/A
Observaciones:
31. Existe algn tipo de documentacin referida a la estructura y contenidos de la Base de

Datos?
X
Si
No
N/A
Observaciones: documentacin extrada de la pgina oficial del motor de base de datos
32. Se cuenta con niveles de seguridad para el acceso a la Base de Datos?

x
Si
No
N/A
Observaciones:
44

Auditora en SI/TI
Ciclo Lectivo 2015
33. Se encuentra la Base de Datos actualizada con el ltimo Set de Parches de Seguridad?
x
Si
No
N/A
Observaciones:
34. Existe algn plan de contingencia ante alguna situacin no deseada en la Base de Datos?
Si
No
N/A
Observaciones: solo se restauran los backup realizados
35. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de
las base de datos?
X
Si
No
N/A
Observaciones:
36. Se usan los generados por el DBMS?

X
Si
No
N/A
Observaciones:
45

Auditora en SI/TI
Ciclo Lectivo 2015
37. Se usan los generados por el Sistema Operativo?

Si
No
N/A
Observaciones:
38. Se han configurado estos logs para que slo almacenan la informacin relevante?
Si
No
N/A
Observaciones:
39. Se tiene un sistema de registro de acciones propio, con fines de auditora?

Si
No
N/A
Observaciones:
40. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por
agua?
Si
No
N/A
Observaciones:
46

Auditora en SI/TI
Ciclo Lectivo 2015
41. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por
el fuego?
Si
No
N/A
Observaciones:
42. La ubicacin del centro de cmputo es acorde con las mnimas condiciones de seguridad?
X
Si
No
N/A
Observaciones:
43. Existe y es conocido un plan de actuacin para el personal del centro de cmputo, en
caso de incidentes naturales u otros que involucren gravemente la instalacin?
Si
No
N/A
Observaciones:
44. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?
X
Si
No
N/A
Observaciones: este tipo de control se usa solo para casos particulares
47

Auditora en SI/TI
Ciclo Lectivo 2015
45. La informacin que poseen en la base de datos es real?

Si
No
N/A
Observaciones: algunas veces s, ya que existen tablas con datos especficos que deben ser
reales para realizar pruebas
46. Existe un contrato de confidencialidad con las terceras partes?

X
Si
No
N/A
Observaciones:
47. Se notifican las acciones realizadas a nivel de mantenimiento de hardware?

Si
No
N/A
Observaciones:
48

Auditora en SI/TI
Ciclo Lectivo 2015
ANEXO 2: QUERYS DE AUDITORA

Que Mirar Cuando Auditamos una Base de Datos Oracle?
Cuando se realiza una auditora, siempre es recomendable seguir una serie de pasos para no pasar
por alto ningn detalle que pueda resultar crucial para nuestra investigacin, a continuacin les dejo
un pequeo listado de las cosas a las que debemos echarle una ojeada cuando auditamos una base
de datos Oracle.
1). Determinar si en la BD est activo el modo de operacin en ARCHIVELOG o
NONARCHIVELOG. Si este no est activo, la evidencia de ataque o cambios
sern sobrescritos por un nuevo redo.
Se puede determinar realizando una sentencia SQL a la BD:
SELECT VALUE V$PARAMETER WHERE FROM
NAME=archiv_log_start;
2). Anlisis de los Oracle Data Blocks, para determinar:
Registros eliminados
Localizar bloques asignados a tablas (OBJETOS DE INTERS)
Seguimiento de Objetos creados y eliminados
Localizacin de tablas eliminadas
Localizacin de Funciones eliminadas
3). Obtencin del SID de la BD
4). Enumeracin de usuarios
SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM
SYS.AUD$;
SELECT USERID, COMMENT$TEXT FROM SYS.AUD$;
5). Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario
SQL> SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM
SYS.AUD$;
SELECT NAME, LCOUNT FROM USER$ WHERE LCOUNT>0;
SELECT NAME, LTIME FROM USER$ WHERE ASTATUS = 4;
6). Consulta de Ataques de Fuerza Bruta a la cuenta SYS
7). Consulta de intentos del exploit AUTH_ALTER_SESSION
SYS.AUD$;
8). Consulta de intentos de iniciar una sesin la base de datos a travs de XML
(XDB)
SYS.AUD$;
SELECT COMMENT$TEXT FROM SYS.AUD$ WHERE USERID =
DBSNMP;
SELECT TERMINAL,SPARE1,TIMESTAMP# FROM SYS.AUD$ WHERE
USERID=DBSNMP;
49

Auditora en SI/TI
Ciclo Lectivo 2015
9). Consulta si la Auditora est habilitada SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM
SYS.WRH$_ACTIVE_SESSION_HISTORY ORDER BY SAMPLE_TIME;
SYS.AUD$;
SELECT USERID,ACTION#,TIMESTAMP#,LOGOFF$TIME FROM AUD$;
10). Consulta del archivo sqlnet.log, Agntsrvc.log, spfilesid.ora, o el init.ora todas
las ubicaciones referentes a estos parmetros:
audit_file_dest -> Sistema de Auditora
(ORACLE_HOME/rdbms/audit)
background_dump_dest -> archivo alert.log y tracer de procesos
($ORACLE_HOME/admin/$ORACLE_SID/bdump)
core_dump_dest -> archivos Oracle core dump
($ORACLE_HOME/DBS/)
db_recovery_file_dest -> redo logs, flashback logs, y RMAN
backups
user_dump_dest -> Archivos trace debuggin procesos/usuarios
(/Oracle/utrc)
utl_file_dir -> Especifica uno o ms directorios que Oracle debe
utilizar para PL/SQL archivos E/S.
control_files -> Especifica uno o varios nombres de archivos de
control de Oracle
db_create_file_dest -> Especifica la ubicacin predeterminada de
archivos de datos administrados por Oracle.
db_create_online_log_dest_n-> Especifica la ubicacin de los redo logs y file
control
log_archive_dest -> Es aplicable solo si la BD esta en modo de
ARCHIVELOG
log_archive_dest_n -> Define hasta 10 archivos de registros logs.
11). Consulta de archivos Log Listener
(ORACLE_HOME/network/admin/listener.ora) (lsnrctl status me dara la ubicacin
actual)
12). Revisin de los LOGS de sentencias(SQL
$ORACLE_HOME/bin/LOGIN.SQL,$ORACLE_HOME/dbs/LOGIN.SQL,$ORACLE
_HOME/SQLPlus/admin/glogin.sql)
13). Consultando informacin de los inicios de Sesion:
SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM
SYS.WRH$_ACTIVE_SESSION_HISTORY
14). Consultar una lista de usuarios y roles, usuarios con funcin de DBA, para
buscar inconsistencias,o usuarios creados por un atacante y la generacin de
contraseas fuertes con la validacin de los hash, cuentas bloqueadas, tiempos de
password
50

Auditora en SI/TI
Ciclo Lectivo 2015
SELECT USER#, NAME, ASTATUS, PASSWORD, CTIME, PTIME, LTIME

FROM SYS.USER$ WHERE TYPE#=1;
SELECT U.NAME AS GRANTEE, U2.NAME AS ROLE FROM
SYS.USER$ U,SYS.USER$ U2, SYS.SYSAUTH$ A WHERE U.USER# =
A.GRANTEE# AND PRIVILEGE# = U2.USER#;
15). Consultar una lista de objetos y privilegios en el sistema
SELECT U.NAME AS GRANTEE, P.NAME AS PRIVILEGE, U2.NAME
AS OWNER, O.NAME AS OBJECT FROM SYS.USER$ U, SYS.USER$
U2,SYS.TABLE_PRIVILEGE_MAP P, SYS.OBJ$ O, SYS.OBJAUTH$ A WHERE
U.USER# =A.GRANTEE# AND A.OBJ# = O.OBJ# AND P.PRIVILEGE =
A.PRIVILEGE# AND O.OWNER#=U2.USER#;
SQL> SELECT OBJ#, OWNER#, NAME, TYPE#, CTIME, MTIME, STIME
FROM SYS.OBJ$ ORDER BY CTIME ASC;
16). Consulta de tablas eliminadas
SELECT U.NAME, R.ORIGINAL_NAME, R.OBJ#, R.DROPTIME,
R.DROPSCN FROM SYS.RECYCLEBIN$ R, SYS.USER$ U WHERE
R.OWNER#=U.USER#;
17). Consulta de Directorios, archivos datos, archivos externos, tablas externas,
buscando elementos perdidos o ubicados en sitios diferentes por el atacante.
SELECT T.NAME AS TABLESPACE, D.NAME AS FILNAME FROM
V$DATAFILE D, TS$ T WHERE T.TS#=D.TS#;
SELECT U.NAME AS OWNER, O.NAME AS DIRECTORY, D.OS_PATH
AS PATH FROM SYS.OBJ$ O, SYS.USER$ U, SYS.DIR$ D WHERE
U.USER#=O.OWNER# AND O.OBJ#=D.OBJ#;
SELECT O.NAME, D.DEFAULT_DIR FROM SYS.OBJ$ O,
SYS.EXTERNAL_TAB$ D WHERE D.OBJ# = O.OBJ#;
18). El Monitor del Sistema (SMON) MON_MOD$ Table
SELECT U.NAME AS OWNER, O.NAME AS OBJECT, M.OBJ#,
M.INSERTS,M.UPDATES, M.DELETES, M.TIMESTAMP FROM
SYS.MON_MODS$ M, SYS.USER$ U,SYS.OBJ$ O WHERE O.OBJ#=M.OBJ#
AND U.USER#=O.OWNER#;
19). Revision de Triggers al encendido, apagado, inicio y terminacin de sesion
SELECT U.NAME AS OWNER, O.NAME AS
ENABLED_TRIGGER_NAME,DECODE(T.TYPE#, 0, BEFORE,2,
AFTER,'NOTSET) AS WHEN FROM SYS.OBJ$ O, SYS.TRIGGER$ T,
SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND
ENABLED=1;
ENABLED_TRIGGER_NAME FROM SYS.OBJ$ O, SYS.TRIGGER$ T,
ENABLED=1 AND BITAND(T.SYS_EVTS,1) = 1;
51

Auditora en SI/TI
Ciclo Lectivo 2015

20). Consulta de librerias, que puedan estar ejecutando cdigo
arbitrario(malicioso)
SELECT U.NAME AS OWNER, O.NAME AS LIBRARY, L.FILESPEC AS
PATH FROM SYS.LIBRARY$ L, SYS.USER$ U, SYS.OBJ$ O WHERE
O.OBJ#=L.OBJ# AND O.OWNER#=U.USER#;
21). Consultas de FlashBack (nuevos privilegios, derechos asignados, nuevos
objetos, objetos eliminados) entre la tabla actual y la anterior en un tiempo
determinado.
SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ MINUS
SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ AS OF
TIMESTAMP(SYSDATE INTERVAL 3600 MINUTE);
SELECT NAME FROM SYS.OBJ$ MINUS SELECT NAME FROM
SYS.OBJ$ AS OF TIMESTAMP(SYSDATE INTERVAL 156 MINUTE);
SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE
INTERVAL 156 MINUTE) MINUS SELECT NAME FROM SYS.OBJ$;
22). Consulta de las tablas RECYLEBIN$ y OBJ$
SQL> SELECT MTIME, NAME, OWNER#, OBJ# FROM SYS.OBJ$
WHERE NAME LIKE BIN$%;
23). Consultas la Administracin automtica Deshacer ( UNDOTBS01.DBF)
SELECT
SEGMENT_NAME,HEADER_FILE,HEADER_BLOCK,EXTENTS,BLOCKS FROM
DBA_SEGMENTS WHERE SEGMENT_NAME LIKE _SYSSMU%$;
24). Consulta de los logs del Apache (Oracle Application Server)
52

Auditoria de SI

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria de SI

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD TECNOLGICA NACIONAL

Facultad Regional de Crdoba

TRABAJO PRCTICO INTEGRADOR

Universidad Tecnolgica Nacional

Universidad Tecnolgica Nacional

Universidad Tecnolgica Nacional

Universidad Tecnolgica Nacional

Universidad Tecnolgica Nacional

DESAFOS DE PRIVACIDAD Y CUMPLIMIENTO

Universidad Tecnolgica Nacional

de disco. El proceso de informes y monitoreo ayuda a imponer la frase trust-but-verify (confe,

Universidad Tecnolgica Nacional

CARACTERSTICAS DE ORACLE 10G

Escalabilidad de departamentos a sitios empresariales de e-business

Robustez, confiabilidad, disponibilidad y arquitecturas seguras.

Un modelo de desarrollo de fcil despliegue.

Plataforma Oracle (Incluyendo SQL, PL/SQL, Java y XML)

Un manejo de interfaz para todas las aplicaciones.

Estndares tecnolgicos para las industrias, e interconectividad.

Tipos de datos multimedia como MP3, grficos, video, fotos.

Portals o Web Sites

Aplicaciones transaccionales de Java

Aplicaciones de inteligencia de Negocios

Universidad Tecnolgica Nacional

TODOS LOS DATOS, TODAS LAS APLICACIONES

Soporte para Real Application Cluster para sistemas altamente disponibles.

Universidad Tecnolgica Nacional

Evaluar el conocimiento y utilizacin de los procedimientos generales de base

Controlar que los Roles y Responsabilidades definidos.

Control de acciones seleccionadas que los usuarios efectan sobre la BD y se

Investigar actividades dudosas sobre la BD

Recopilar informacin acerca de actividades especficas de la BD

Recopilar estadsticas sobre qu tablas se estn actualizando, cuantas E/S

Universidad Tecnolgica Nacional

Las respuestas a estas preguntas varan dependiendo del mecanismo de auditora

Configuracin del sistema

Algn tipo de control que registra la actividad del usuario, administrativos o de

Universidad Tecnolgica Nacional

SUBPROCESO PLANIFICACIN DE AUDITORAS

Universidad Tecnolgica Nacional

SUBPROCESO EJECUCIN DE AUDITORA

Determinar tipo y forma de auditora.

Universidad Tecnolgica Nacional

Subproceso de planificacin de auditora

Subproceso de ejecucin de auditora

Revisin de base de datos

Hardware y software de los servidores de aplicacin y base de datos

Acceso a usuarios y administradores

Chequeo de logs y auditoras

Plan de contingencia de base de datos

Anlisis post- mortem: Recomendaciones y conclusin

Pistas de auditora en los programas.

Universidad Tecnolgica Nacional

ANLISIS DE EMPRESA BAJO ESTUDIO

Universidad Tecnolgica Nacional

El portal en Internet de Rentas permite hoy desarrollar ms de 30 trmites virtuales, se ofrece

Fortalecer el sistema de administracin tributaria de la provincia de Crdoba, a travs

Hacer ms eficiente la cobranza extrajudicial en sede administrativa de los tributos

Mantener y actualizar la informacin contenida en las bases de datos pertenecientes a

Optimizar en todas sus funciones del actual sistema de recaudacin la transferencia de

Mantener los sistemas informticos propios.

Brindar un servicio de calidad a los contribuyentes que facilite el cumplimiento

Optimizar los niveles de recaudacin.

Universidad Tecnolgica Nacional