DE BASES DE DATOS
Fred Pinto PhD
fpinto@asesoftware.com
Asesoftware
f Ltda
OBJETIVOS
Implicaciones:
los dba deben tener cuentas particulares!
deben los usuarios web ser usuarios de la bd?
bd?
centralizacin en la gestin de cuentas
ASIGNACIN DE ACCIONES
Las acciones en la BD deben ser asignables a un
usuario
Que va en contra de esto?
Gestin de usuarios en sistemas multicapa (
frecuentemente se utiliza un usuario genrico en la
BD para atender las solicitudes WEB).
Los nombres y claves de los usuarios que ejecutan
procesos en lote estn alambrados en el cdigo
Los
L DBA comparten t ell uso dde cuentas
t privilegiadas
i il i d
de BD.
Las cuentas genricas de la BD no se aseguran.
ASIGNACIN DE ACCIONES
MONITOREAR Y EVALUAR
ME1 M it and
Monitor d Evaluate
E l t IT Processes
P
ME2 Monitor and Evaluate Internal Control
ME3 Ensure Regulatory Compliance
ME4 Provide IT Governance
CIRCULAR 014
CONTROL INTERNO
Eficiencia
Prevencin de fraudes
Gestin de riesgos
g
Confiabilidad y oportunidad de la informacin
Cumplimiento de regulaciones
ELEMENTOS
Ambiente de control
Gestin de riesgos
Actividades de control
Informacin y Comunicacin
Monitoreo
Evaluacin independiente
AREAS
Gestin contable
Gestin de tecnologa
g
OTROS ASPECTOS
Departamento de Gestin
Gestin de los datos
CIRCULAR 014
014--Normas
N para gestin
ti IT
Plan estratgico de tecnologa.
Infraestructura de tecnologa.
Relaciones con proveedores.
Cumplimiento de requerimientos legales para derechos de autor,
autor privacidad y comercio
electrnico.
Administracin de proyectos de sistemas.
Administracin de la calidad.
Adquisicin de tecnologa.
Adquisicin y mantenimiento de software de aplicacin.
Instalacin y acreditacin de sistemas.
Administracin de cambios.
Administracin de servicios con terceros.
Administracin desempeo
Administracin, desempeo, capacidad y disponibilidad de la infraestructura tecnolgica
tecnolgica.
Continuidad del negocio.
Seguridad de los sistemas.
Educacin y entrenamiento de usuarios.
Administracin de los datos.
Ad i i t
Administracin
i de
d instalaciones.
i t l i
Administracin de operaciones de tecnologa.
Documentacin.
CIRCULAR 014
Circular 014-
014-Seguridad
Autorizacin, autenticacin y control de acceso.
acceso.
Identificacin de usuarios y perfiles de autorizacin los cuales
debern ser otorgados de acuerdo con la necesidad de tener
y necesidad de conocer.
conocer.
Manejo de incidentes, informacin y seguimiento
seguimiento..
P
Prevencin
i y deteccin
d t i de
d cdigo
di malicioso,
li i virus,
i entre
t otros
otros.
t .
Entrenamiento de usuarios.
usuarios.
Administracin centralizada de la seguridad
CIRCULAR 014
Circular 014
014--Administracin de datos
Establecer controles de entrada, procesamiento y salida para garantizar la autenticidad e
integridad de los datos.
Verificar la exactitud, suficiencia y validez de los datos de transacciones que sean capturados
para su procesamiento (generados por personas, por sistemas o entradas de interface).
Preservar la segregacin de funciones en el procesamiento de datos y la verificacin rutinaria
del trabajo realizado. Los procedimientos debern incluir controles de actualizacin
adecuados, como totales de control "corrida a corrida" y controles de actualizacin de archivos
maestros.
Establecer procedimientos para que la validacin
validacin, autenticacin y edicin de los datos sean
llevadas a cabo tan cerca del punto de origen como sea posible.
Definir e implementar procedimientos para prevenir el acceso a la informacin y software
sensitivos de computadores, discos y otros equipos o medios, cuando hayan sido sustituidos o
se les haya dado otro uso. Tales procedimientos debern garantizar que los datos marcados
como eliminados no puedan ser recuperados por cualquier individuo interno o tercero ajeno a la
entidad.
Establecer los mecanismos necesarios para garantizar la integridad continua de los datos
almacenados.
Definir e implementar procedimientos apropiados y prcticas para transacciones electrnicas
que sean sensitivas y crticas para la organizacin, velando por su integridad y autenticidad.
Establecer controles para garantizar la integracin y consistencia entre plataformas.
REQUERIMIENTOS DE AUDITORIA EN BD
Quien?
C
Cuando?
d ?
Con que programa?
Donde?
Que SQL?
Fue exitoso?
Como cambiaron los datos?
QUE TABLAS AUDITAR
Auditar todas las acciones?
Demasiado costoso
Demasiada informacin no es realmente informacin
Aplicar COSO
Objetivos del negocio
Riesgos
V l
Vulnerabilidades
bilid d
Controles.. Entre otros
Controles
Auditora de BD
BD.. Nivel de detalle depende de los objetivos de control.
control.
Limitar acciones en la BD
Generar alertas para comportamiento anmalo
Evaluar peridicamente
COMO AUDITAR
Alternativas
Auditora de la aplicacin
No detecta actividad externa a la aplicacin
Auditora nativa de la BD
Posible impacto en desempeo(los motores han evolucionado para
reducir este impacto)
Herramientas que interceptan los llamados a la BD en la red
No detectan actividad desde el servidor
Como gestionar las trazas de auditora
Diferentes regulaciones exigen centralizar las trazas.
trazas.
Dif
Diferentes
t h
herramientas
i t recolectan
l t l
las t
trazas d
de auditora
dit y las
l
almacenan en repositorios independientes de las bases de datos
auditadas
COMO AUDITAR
Alternativas
Auditora de la aplicacin
No detecta actividad externa a la aplicacin
Auditora nativa de la BD
Posible impacto en desempeo(los motores han evolucionado para
reducir este impacto)
Herramientas que interceptan los llamados a la BD en la red
No detectan actividad desde el servidor
Como gestionar las trazas de auditora
Diferentes regulaciones exigen centralizar las trazas.
trazas.
Dif
Diferentes
t h
herramientas
i t recolectan
l t l
las t
trazas d
de auditora
dit y las
l
almacenan en repositorios independientes de las bases de datos
HERRAMIENTAS PARA GESTIN DE TRAZAS
Que caractersticas buscar?
Integracin de trazas de diferente motores de BD e instancias en
repositorio seguro
Integracin con el blindaje de la BD
Utilizacin de la auditora nativa de la BD con bajo impacto en el
desempeo
Gestin de los niveles de auditora en la BD
Configuracin de reglas para detectar comportamiento anmalo
Configuracin de alertas
Integracin con un sistema de WorkFlow para gestin de incidentes
Integracin con un sistema de gestin de riesgos y controles
RESUMEN
Hemos enfatizado los siguientes retos propuestos
por las regulaciones
Trazabilidad de las acciones en BD
Blindaje de la BD
Desarrollo y gestin de controles dentro del marco de alguna metodologa
Utilizacin de la auditora como base para la implementacin de controles
Gestin de trazas de auditora con herramientas que apoyen la
implementacin de controles
PREGUNTAS