6.2 Auditoria
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos.
– Cuándo se accedió a los datos.
– Desde qué tipo de dispositivo/aplicación.
– Desde que ubicación en la Red.
– Cuál fue la sentencia SQL ejecutada.
– Cuál fue el efecto del acceso a la base de dato
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad
Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
– Mitigar los riesgos asociados con el manejo inadecuado de los datos.
– Apoyar el cumplimiento regulatorio.
– Satisfacer los requerimientos de los auditores.
– Evitar acciones criminales.
– Evitar multas por incumplimiento
La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
TECNICAS DE AUDITORIA
o SQL Server profiler y las trazas de SQL Server
o Registros de transacciones de SQL Server
o Auditoria manual
o Eventos extendidos de SQL Server
o
TABLAS TEMPORALES
o Auditoria manual
o ApexSQL Trigger
o ApexSQL Audit
o Mediante la auditoría se intenta monitorizar y registrar acciones en la base de datos con el fin de:
· Investigar actividades maliciosas (borrado de tablas)
· Detectar privilegios incorrectamente otorgados a usuarios (que permiten realizar acciones inapropiadas, las cuales son detectadas).
· Recoger datos sobre actividades concretas (tablas que se actualizan, usuarios concurrentes.)
· Detectar problemas con la implementación de políticas de seguridad (puntos débiles que generan registros).
Una auditoría a BD consiste en realizar un seguimiento constante y detallado de los controles establecidos a los sistemas de BD para garantizar la seguridad y el correcto uso de los datos almacenados por los usuarios. El monitoreo y pruebas a los controles determinan la pertinencia y suficiencia de éstos, permitiendo entonces ajustar, eliminar o implementar nuevos controles para asegurar su adecuada utilización.
Seguridad en bases de datos. La mayor parte de los datos sensibles alrededor del mundo se encuentran almacenados en BD, para un delincuente esto se convierte un objetivo a atacar. En 2009 los ataques externos por inyección SQL aumentaron un 345%, esto debido a que la mayoría de la información se encuentra almacenada en gestores de bases de datos comerciales. Actualmente cada vez más organizaciones se dedican a proteger las BD de accesos y cambios no autorizados.
Existen muchas formas de proteger las BD de una organización. Dentro de los mecanismos de seguridad se encuentra el de la política de control de acceso, la cual se encuentra basada en la identidad del usuario, o la seguridad obligatoria que restringe el acceso a información confidencial
Identifique su seguridad.
“No se puede asegurar lo que no se conoce”. En este punto es necesario identificar la información sensible de las BD, automatizando el proceso de identificación previendo que pueda cambiar dependiendo de diversos casos. Contar con herramientas de identificación que protejan las BD del Malware, colocando en la BD el resultado de los ataques de Inyección SQL.
Evaluación de la vulnerabilidad y la configuración.
Se debe asegurar que no existen huecos de seguridad en la configuración de la BD, desde su instalación y al del sistema operativo, de la misma forma, los archivos con parámetros de configuración y programas ejecutables.
“Además, es necesario verificar que no se está ejecutando la base de datos con versiones que incluyen vulnerabilidades conocidas; así como impedir consultas SQL desde las aplicaciones o capa de usuarios. Para ello se pueden considerar (como administrador):
· Limitar el acceso a los procedimientos a ciertos usuarios.
· Delimitar el acceso a los datos para ciertos usuarios, procedimientos y/o datos.
· Declinar la coincidencia de horarios entre usuarios que coincidan”
Endurecimiento.
Al finalizar la evaluación de la vulnerabilidad se realizan algunas recomendaciones, lo que empieza a endurecer la BD. Para continuar con el endurecimiento es necesario eliminar las funciones y opciones que no sean utilizadas. Se debe crear una política clara en la que se establezca lo que es permitido o no hacer, además de mantener desactivado lo que no se necesita.
El siguiente paso es realizar autoevaluaciones y seguimiento a las recomendaciones de auditoría para garantizar la seguridad de la BD. Se debe registrar cualquier cambio que se realice en la BD y generar una alerta cada vez que esto ocurra, para esto se debe automatizar el control de la configuración
Supervisión.
Supervisar en tiempo real todas las actividades que se generen en la BD evita que esta quede expuesta, para ello es recomendable contar con agentes inteligentes de monitoreo, detección de intrusiones y uso indebido. La creación de alertas puede informar oportunamente sobre un acceso o cambio no autorizado, un ataque de inyección SQL, cambios en privilegios, etc. (Villalobos, 2012). “El monitoreo dinámico es también un elemento esencial de la evaluación de vulnerabilidad, le permite ir más allá de evaluaciones estáticas o forenses”
Pistas de auditoría.
“Aplique pistas de auditoría y genere trazabilidad de las actividades que afectan la integridad de los datos, o la visualización los datos sensibles”
Autenticación, control de acceso, y gestión de derechos.
“No todos los datos y no todos los usuarios son creados iguales. Usted debe autenticar a los usuarios, garantizar la rendición de cuentas por usuario, y administrar los privilegios para de limitar el acceso a los datos. Implemente y revise periódicamente los informes sobre de derechos de usuarios, como parte de un proceso de formal de auditoría. Utilice el cifrado para hacer ilegibles los datos confidenciales, complique el trabajo a los atacantes, esto incluye el cifrado de los datos en tránsito, de modo que un atacante no puede escuchar en la capa de red y tener acceso a los datos cuando se envía al cliente de base de datos”.
Auditoría basada en riesgos.
Este modelo de auditoría cuenta con elementos de auditoría interna, por lo que es necesario que quién va a realizar la auditoría tenga conocimiento de la organización, esto para identificar fácilmente los riesgos. La auditoría basada en riesgos otorga valor a la organización ya que apoya el alcance de los objetivos empresariales, establecer primacía a los hallazgos además de las recomendaciones necesarias, se mitigan los riesgos y una utilización más objetiva de recursos.
Características.
Priorizar los riesgos relevantes.
· “Desarrolla las diferentes revisiones de conformidad con lo que la organización tiene identificado como riesgos relevantes.
· Todo riesgo relevante debe tener una política, estrategia, límites y estructura clara de cómo la organización lo administra.
· El equipo de auditoría debe concentrar sus horas, revisiones y entendimiento con las áreas de negocio o monitoreo de la entidad, pues en la medida que los riesgos más importantes tengan un mayor control es más probable que la entidad se encuentre entre los límites aceptados”
Enfoque en procesos.
· “El mapeo de los procesos críticos de la organización es fundamental previo a la gestión del riesgo operativo.
· En los procesos críticos, desde el punto de vista de continuidad o de impacto, la auditoría debe focalizar sus revisiones, posibles errores o posibles mejoras en el proceso. · Una auditoría preocupada por ir al detalle de las transacciones y generalmente vinculada a temas estrictamente financieros no es la que predomina”. (Actualicese, 2019)
Especialización en el negocio.
· “Planes de auditoría efectivos entienden el funcionamiento de las líneas de negocio y evalúan la integridad de los riesgos, comprendiendo la especificidad y alcance de cada uno, donde la regulación es cada vez más extensa y detallada.
· El enfoque estándar de auditoría que aplicaba las mismas pruebas en cualquier industria dejó de ser efectivo, motivo por el cual los planes de capacitación de los auditores ahora deben estar diseñados para fortalecer el análisis cuantitativo y de datos, la evaluación de metodologías y modelos de gestión”. (Actualicese, 2019)
Es integral.
“Los planes de auditoría deben evaluar la gestión de cada riesgo, o bien de cada proceso crítico desde tres perspectivas: Gobierno, para asegurar que la estructura de roles y responsabilidades funciona; riesgo, para comprender si los tomadores de decisiones siguen la estrategia del riesgo de la organización; y control, para asegurar que las medidas preventivas o mitigadores forman parte de la cultura de todos los colaboradores”
Genera valor.
o “El auditor moderno comprende que en sus revisiones el objetivo final no
es encontrar observaciones o darse por satisfecho en cuanto a si las actividades de los procesos están de acuerdo a los procedimientos.
o El auditor también debe preocuparse por entender el negocio para poder generar recomendaciones y valor de alternativas con las que podría mejorarse la gestión de la organización.
o Conservando su independencia, el auditor puede dar recomendaciones o sugerencias de acuerdo a su experiencia