6.2 Auditoría.
¿Qué es la auditoría de
BD?
Es un proceso implementado por los auditores de sistemas con el fin de auditar los accesos a los datos, por lo general siguiendo bien una metodología basada en un checklist que contempla los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales. se realiza un examen de los accesos a los datos almacenados en las bases de datos con el fin de poder medir, monitorear y tener constancia de los accesos a la información almacenada en las mismas.
Una auditoría tiene la capacidad de determinar:
- Quién accede a los datos
- Cuando se accedió a los datos
- Desde qué tipo de dispositivo/aplicación
- Desde que ubicación en la Red
- Cuál fue la sentencia SQL ejecutada
- Cuál fue el efecto del acceso a la base de datos
¿Quienes participan en la auditoría?
- Auditores de sistemas.
- Tecnología de información.
- Cumplimiento Corporativo.
- Riesgo Corporativa
- Estos en la mayor parte del tiempo están orientados a:
- Impedir el acceso externo
- Impedir el acceso interno a usuarios no autorizados
- Autorizar el acceso sólo a los usuarios autorizados
Técnicas de auditoría de SQL
- Auditoría manual: puede ser creada para cumplir con sus requerimientos específicos, pero consume tiempo y es proclive a errores.
- SQL Server Extended Events: fácil de configurar, un amplio rango de acciones puede ser auditadas, pero no ofrece información acerca de qué se eliminó/insertó ni tampoco valores antiguos y nuevos para actualizaciones; una auditoría detallada puede causar problemas de desempeño
- desencadenadores de SQL Server: fácil de configurar, pero puede causar problemas de desempeño en bases de datos de altas transacciones
- registros de transacciones: no hay captura de datos adicional, ya que SQL Server ya sigue estos cambios. Más espacio de almacenamiento es necesario, algunas de las acciones (como EXECUTEs) no son auditadas
- SQL Server Profiler y traces de SQL Server: flexible y complejo. Es difícil leer y filtrar los registros
- Mitigar los riesgos asociados con el manejo inadecuado de los datos
- Apoyar el cumplimiento regulatorio
- Satisfacer los requerimientos de los auditores
- Evitar acciones criminales
- Evitar multas por incumplimiento
La importancia de la auditoría del entorno de bases de datos radica en que
es el punto de partida para poder realizar la auditoría de las aplicaciones que
utiliza esta tecnología.
Importancia de la Auditoría de Base de Datos
- Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas
- Se debe poder demostrar la integridad de la información almacenada en las bases de datos
- Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información
- La información confidencial de los clientes, son responsabilidad de las organizaciones
- Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio
- Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos
Deben monitorearse perfectamente a fin de conocer quién o qué les hizo
exactamente qué, cuándo y cómo.
Datos a Evaluar por Medio de la Auditoría de la Base de Datos:
- Definición de estructuras físicas y lógicas de las bases de datos
- Control de carga y mantenimiento de las bases de datos
- Integridad de los datos y protección de accesos
- Estándares para análisis y programación en el uso de bases de datos
- Procedimientos de respaldo y de recuperación de datos
Aspectos Claves
- No se debe Comprometer el Desempeño de las Bases de Datos
- Soportar diferentes esquemas de auditoría.
- Se debe tomar en cuenta el tamaño de las bases de datos a auditar y los posibles SLA establecidos.
Segregación de Funciones
- El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de IT.
Proveer Valor a la Operación del Negocio
- Información para auditoría y seguridad.
- Información para apoyar la toma de decisiones de la organización.
- Información para mejorar el desempeño de la organización.
Auditoría Completa y Extensiva
- Cubrir gran cantidad de manejadores de bases de datos.
- Estandarizar los reportes y reglas de auditoría.
Comentarios
Publicar un comentario