Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Auditoria de Base de Datos

No description
by

Marcos Barrera

on 19 June 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Auditoria de Base de Datos

Auditoría de Base de Datos
Marcos Barrera
Importancia
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés
.

Metodologías
Tradicional
Evaluación de Riesgos
El auditor revisa el entorno con la ayuda de una lista de control, que consta de una serie de cuestiones por verificar. Ej

¿Existe una metodologia de diseño de Base de Datos ?
Si No N/A
También conocida como risk oriented aproach (enfoque orientado al riesgo) es la que propone ISACA (Information Systems Audit and Control Association) y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometiendo en el entorno
Por ejemplo
Objetivo de Control
El SGBD deberá preservar la confidencialidad de la base de datos
Una vez establecidos los objetivos de control, se van a especificar las técnicas correspondientes a dichos objetivos
Técnicas de Control
Se deberán estableces los tipos de
usuarios, perfiles y privilegios necesarios
para controlar el acceso a la base de datos
Estudio previo y plan de trabajo
Revisión y Post-Implementación
Concepción de la base de datos y seleccipon del equipo
Explotación y mantenimiento
Diseño y Carga
Objetivos de control en el ciclo de vida de una base de datos
Administrador de Datos
"Deben asignarse responsabilidades para la planificación, organización, dotación de plantillas y control de activos de los datos de la organización"
Formar al personal
Desarrollar documentacion incluida en el diccionario
Desarrollar políticas de gestion de datos
Proporcionar controles de seguridad
Administrador de la base de datos
"Debe asiganarse responsabilidad de la administración del entorno de la base de datos"
Asegurar la seguridad y confidencialidad
Monitorizar el rendimiento del SGBD
Asegurar la integridad de los datos
Realizar el diseño fisico del SGBD
Auditoria y control interno del entorno de una base de datos
Cuando el auditor se encuentra en el sistema de explotación, deberá estudiar el SGBD y su entorno. Como control, integridad y seguridad de los datos
El gran problema de la base de datos es que su entorno es cada vez mas complejo y no puede limitarse solo al propio SGBD
Auditoria de la base de datos de socios de AVEIT
Objetivo
El objetivo de esta auditoría consiste en medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en la bases de datos (seguridad fisica y logica) que aveit utiliza para gestionar la información de sus socios teniendo en cuenta:
Política de seguridad
Aspectos organizativos para la seguridad
Seguridad ligada al personal
Seguridad física y del entorno
Control de accesos
Seguridad Logica

Documentación sobre políticas de perfiles de usuario.
Documentación de manejo de hardware y software.
Documentación de manejo de internet.
Listado de usuarios con sus roles y privilegios.
Reglamento para usuarios de Sistemas.
Manejo del internet por parte del administrador y de los usuarios.
Planes de contingencia contra ataques.
Puntos a evaluar
Instrumentos
Para la recopilación de información:
Cuestionario
Entrevista.
Inventarios.
Para el análisis y la evolución de la información:
Guías de evaluación.
Lista de verificación o chequeo.
Comparación.
Cobit 4.1
Preguntas
Estructura nombre = título de cortesía + nombre
título de cortesía = [Sr. | Srta. | Sra. | Dr. | Prof.]
nombre = {carácter válido}
carácter válido = [ A-Z | a-z | ‘ | - ]
Diccionario
El diccionario de datos es una lista organizada de todos los datos pertinentes al sistema, con un conjunto de definiciones precisas y rigurosas para que tanto el analista como el usuario se entiendan.
Informe de Auditoria de la base de Datos de AVEIT
Duración de la auditoria: 4 horas
Listado de riesgos
Acceso Fisico
El servidor de la base de datos se encuentra en una habitación con ventana accesible a personal no autorizado y terceros
DS5.7 Protección de la Tecnología de Seguridad
Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria.
Recomendaciones:
Corto Plazo: Sistema de coble cerradura para la puerta y arreglar reja de la ventana
Largo Plazo: Tapar ventana de la habitación o mover el servidor a otro lugar con un solo acceso (puerta) para disminuir la probabilidad de sabotaje.
Vigilancia y Monitoreo:
El sistema de vigilacia por medio de un sensor infrarrojo conectado al sistema de toda la asociación.
DS5.5 Pruebas, Vigilancia y Monitoreo
Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.
Recomendaciones:
Contar con un sistema de monitoreo mas avanzado, con camaras de seguridad y conectado a la central de policia. Tener un registro de personas que acceden a la sala de cómputos y con que fin lo hacen.
Administracion de usuario
DS5.3 Administración de Identidad:
Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación.Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad.
Recomendaciones:
Revocar los derechos de acceso a usuarios que no son corespondientes a su rol dentro de la asociación.
DS5.4 Administración de cuentas del usuario

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. Debe incluirse un procedimiento que describa al responsable de los datos o del sistema como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relacionados al acceso a los sistemas e información de la empresa son acordados contractualmente para todos los tipos de usuarios. La gerencia debe llevar a cabo una revisión regular de todas las cuentas y los privilegios asociados.
Todos los usuarios se identifican de manera única y se les concede el permiso a traves de mecanismos de autenticacion pero los derechos de acceso no se coinciden con el rol que cumplen dentro de la asociacion
Politicas de Contraseñas
Cada usuario que accede a la base de datos tiene como usuario su legajo y como contraseña su DNI y no caduca a lo largo del tiempo.
DS5.8 Administración de llaves criptográficas
Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo de llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas.
Recomendación:
La contraseña debera ser alfanumerica de 8 digitos y con un periodo de caducidad de 15 dias. Además se debera revocar el acceso a exsocios que ya no participan en la asociación
Uso de internet y Seguridad de la red
El servidor donde se aloja la base de datos tiene conexion a internet y las tecnicas de seguridad de la red son minimas
DS5.9 Prevención, detección y corrección de software malicioso

Garantizar que se cuente con medidas de prevención, detección y corrección (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la organización para proteger a los sistemas de información y a la tecnología contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, etc.).
DS5.10 Seguridad de la red
Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes.
Recomendaciones:
Personal Auditado:
Presidente: Jorge Ignacio Lopez
Presidente Area de Cómputos: Martin Esteban Zurita
Vice Presidente Area de Cómputos: Juan Ruiz de Garibay
Tesorero: Mauro Esteban Poffo
Matriz RACI Seguridad de Sistemas
Perfiles Actuales:
Instalar un firewalls en la pc/servidor para contralar el flujo de los datos y deteccion de intrusos, restringir el acceso a internet ya que es una base de datos interna y no es necesario.
Conclusiones
Full transcript