AUDITORIA BASES DE DATOS
Download
Report
Transcript AUDITORIA BASES DE DATOS
AUDITORIA
BASES DE DATOS
Datos, Bases de datos, Data WareHouse, Minería de Datos, Oracle, SQL,
SAS, IBM, Microsoft SQL, My SQL, Postgres
DATO
Datos son los hechos que describen sucesos entidades. Datos es una
palabra en plural que se refiere a más de un hecho. A un hecho simple
se le denomina "data-ítem« o elemento de dato.
Los datos son comunicados por varios tipos de Simbolos tales como las
letras del alfabeto, números, movimientos de labios, puntos y rayas,
señales con la mano, dibujos, etc. Estos símbolos se pueden ordenar y
reordenar de forma utilizable y se les denomina información.
la información en todas sus formas y estados se ha convertido en un
activo de altísimo valor, de tal forma que, la empresa no puede ser
indiferente y por lo tanto, se hace necesario proteger, asegurar y
administrar la información para garantizar su integridad,
confidencialidad y disponibilidad, de conformidad con lo establecido
por la ley.
OBJETIVOS
• Poder identificar como es el proceso del manejo de los
recursos informaticos
• Identificar que protocolos de seguridad usan para garantizar
integridad en la red
• Poder identificar el manejo de los perfiles de usuario y
contraseñas.
• Identificar el manejo que se le da al internet.
• Evaluar el manejo de perfiles.
PUNTOS A EVALUAR
•
•
•
•
•
•
Documentación sobre políticas de perfiles de usuario.
Documentación de manejo de hardware y software.
Documentación de manejo de internet.
Listado de usuarios con sus roles y privilegios.
Reglamento para usuarios de Sistemas.
Manejo del internet por parte del administrador y de los
usuarios.
• Planes de contingencia contra ataques.
• Medidas de seguridad para la información.
BASES DE DATOS
• Para la verificación de la seguridad, consistencia y reglas de
integridad en cualquier motor de bases de datos es necesario
verificar el ambiente de control establecido en la instalación de
este; en este contexto se deben tener presente las diferentes
características que pueden establecerse en este proceso, además
en el manejo de los motores se puede manejar un grado de
Seguridad, en el cual se maneja la exactitud, consistencia y
confiabilidad de la información;
OBJETIVOS
• Analizar la documentación existente con respecto a todos los
procesos de la Base de Datos.
• Evaluar el Soporte y mantenimiento de la Base de Datos.
• Verificar la red que accede a la Base de Datos.
• Identificar el manejo que se le da a los datos en la Base de
Datos.
• Identificar si está definido e implementado un Modelo Entidad
Relación (MER) para el modelo de negocios.
• Identificar el manejo de los perfiles de usuario para la Base de
Datos.
• Identificar de la arquitectura de red con acceso a la Base de
Datos.
PUNTOS A EVALUAR
• Manejo de datos en la base de datos (tablas, vistas,
procedimientos almacenados, triggers, etc.)
• Todas las conexiones clientes a la base de datos incluyendo
interfaces de red, direcciones IP, conexiones LAN y WAN.
• Manejo de espacio en disco.
• Información de archivos de logs.
• Documentación de la instalación del motor de Base de Datos.
• Documentación respaldo y restauración de la base de datos.
DATAWAREHOUSE
• Un Data Warehouse es un conjunto de datos integrados
orientados a una materia, que varían con el tiempo y que no
son transitorios, los cuales soportan el proceso de toma de
decisiones de la administración.
OBJETIVOS
• Identificar si la arquitectura del sistema Data Warehouse
corresponde a las necesidades del negocio.
• Evaluar la identificación de los requerimientos funcionales de
información, que generen una ventaja competitiva para la
empresa y faciliten la toma de decisiones por parte de la
administración.
• Identificar si se está tomando en cuenta los riesgos de cada
elemento del sistema Data Warehouse.
• Evaluar si la organización cuenta con los recursos necesarios
para la implementación del sistema Data Warehouse.
PUNTOS A EVALUAR
•
•
•
•
•
•
•
•
•
Datos Antiguos.
Datos Operacionales.
Extractores de Datos.
Bodega de Datos.
Metadatos.
Herramientas de Consultas y Extracción de Información.
Usuarios involucrados en el Sistema.
Plan de Riesgos.
Red.
MINERÍA DE DATOS
• La minería de datos (DM, Data Mining) consiste en la
extracción no trivial de información que reside de manera
implícita en los datos. Dicha información era previamente
desconocida y podrá resultar útil para algún proceso. En otras
palabras, la minería de datos prepara, sondea y explora los
datos para sacar la información oculta en ellos.
OBJETIVOS
•
•
•
•
Evaluar las técnicas empleadas en la minería de datos.
Evaluar la documentación presentada.
Identificar el proceso de minería de datos.
Identificar la forma de selección del grupo de datos.
PUNTOS A EVALUAR
•
•
•
•
•
Análisis aplicados a las propiedades de los datos.
Técnicas de minería de datos empleadas.
Documentación existen de minería de datos.
Clasificación de los datos.
Criterios de selección de datos.
ORACLE
Oracle es un sistema de gestión de base de datos relacional (o RDBMS
por el acrónimo en inglés de Relational Data Base Management
System), desarrollado por Oracle Corporation.
Se considera a Oracle como uno de los sistemas de bases de datos más
completos, destacando:
• Soporte de transacciones.
• Estabilidad.
• Escalabilidad.
• Soporte multiplataforma.
OBJETIVOS
• Evaluar el funcionamiento de la Base de Datos ORACLE.
• Identificar debilidades.
• Analizar funcionamiento de tablas, campos, etc
PUNTOS A EVALUAR
•
•
•
•
Estructura de base de datos Oracle.
Análisis de los Oracle Data Blocks.
Enumeración de usuarios.
Consultar Ataques de Fuerza bruta o Diccionario a cuentas de
usuario.
• Consultar de intentos de iniciar sesiones.
• Consultar si la Auditoria está habilitada.
• Consultar información de los inicios de Sesión
SQL
• El lenguaje de consulta estructurado (SQL) es un lenguaje de
base de datos normalizado, utilizado por los diferentes
motores de bases de datos para realizar determinadas
peraciones sobre los datos o sobre la estructura de los
mismos.
• Existen dos tipos de comandos SQL:
• DLL que permiten crear y definir nuevas bases de datos,
campos e índices.
• DML que permiten generar consultas para ordenar, filtrar y
extraer datos de la base de datos
SAS
• SAS es un sistema integrado de productos software proporcionados
por SAS Institute Inc. Que permite a los programadores realizar:
• Entrada de datos , recuperación , gestión , y minería
• Informe escrito y gráfico
• Análisis estadístico
• Planificación empresarial , previsión y apoyo a las decisiones
• Investigación de operaciones y gestión de proyectos
• Mejora de la calidad
• Aplicaciones de desarrollo
• Almacenamiento de datos ( extracción, transformación, carga )
• Independiente de la plataforma y la informática a distancia.
MICROSOFT SQL
• Microsoft SQL Server es un sistema de gestión de bases de
datos relacionales (SGBD) basado en el lenguaje Transact-SQL,
y específicamente en Sybase IQ, capaz de poner a disposición
de muchos usuarios grandes cantidades de datos de manera
simultánea, Soporte de transacciones.
Características:
• Escalabilidad, estabilidad y seguridad.
• Soporta procedimientos almacenados.
• Incluye también un potente entorno gráfico de administración, que
permite el uso de comandos DDL y DML gráficamente.
• Permite trabajar en modo cliente-servidor, donde la información y
datos se alojan en el servidor y las terminales o clientes de la red
sólo acceden a la información.
• Además permite administrar información de otros servidores de
datos.
IBM – DB2
• DB2 UDB es un sistema para administración de bases de datos
relacionales (RDBMS) multiplataforma, especialmente
diseñada para ambientes distribuidos, permitiendo que los
usuarios locales compartan información con los recursos
centrales.
• DB2 (R) Universal Database, es una base de datos universal, es
completamente escalable, veloz y confiable, corre en modo
nativo en casi todas las plataformas, como Windows NT (R),
Sun Solaris, HP-UX, AIX(R), OS/400 y OS/2(R).
Ventajas:
•
•
•
•
•
•
Recuperación utilizando accesos de sólo índices.
Predicados correlacionados.
Tablas de resumen
Tablas replicadas
Uniones hash
DB2 utiliza una combinación de seguridad externa y control interno
de acceso a proteger datos.
• DB2 proporciona un juego de datos de acceso de las interfaces para
los diferentes tipos de usuarios y aplicaciones.
MYSQL
MySQL es un sistema de gestión de base de datos relacional,
multihilo y multiusuario con más de seis millones de
instalaciones.
• Lenguajes de programación:
Existen varias APIs que permiten, a aplicaciones escritas en
diversos lenguajes de programación, acceder a las bases de datos
MySQL, incluyendo C, C++, C#, Pascal, Delphi (via dbExpress),
Eiffel, Smalltalk, Java (con una implementación nativa del driver
de Java), entre otros
Aplicaciones
• MySQL es muy utilizado en aplicaciones web, como Drupal o
phpBB, en plataformas (Linux/Windows-Apache-MySQLPHP/Perl/Python), y por herramientas de seguimiento de errores
como Bugzilla. Su popularidad como aplicación web está muy ligada
a PHP, que a menudo aparece en combinación con MySQL.
Características de la versión 5.0.22
•
•
•
•
•
•
•
•
Un amplio subconjunto de ANSI SQL 99, y varias extensiones.
Soporte a multiplataforma
Procedimientos almacenados
Disparadores (triggers)
Cursores
Vistas actualizables
INFORMATION_SCHEMA
Soporte X/Open XA de transacciones distribuidas; transacción en
dos fases como parte de esto, utilizando el motor InnoDB de Oracle
• Motores de almacenamiento independientes (MyISAM para
lecturas rápidas, InnoDB para transacciones e integridad referencial)
POSTGRESS
PostgreSQL es un potente sistema de base de datos relacional
libre (opensource, su código fuente está disponible) liberado bajo
licencia BSD. Tiene más de 15 años de activo desarrollo y
arquitectura probada que se ha ganado una muy buena
reputación por su confiabilidad e integridad de datos. Funciona
en todos los sistemas operativos importantes, incluyendo Linux,
UNIX (AIX, BSD, HP-UX, SGIIRIX, Mac OSX, Solaris, Tru64) y
Windows.
Características
• Integridad transaccional, obedece completamente a la
especificación ACID.
• Acceso concurrente multiversión, MVCC Control de Concurrencia
MultiVersión (MultiVersion Concurrency Control), no se bloquean
las tablas, ni siquiera las filas, cuando un proceso escribe. Es la
tecnología que PostgreSQL usa para evitar bloqueos innecesarios.
Mediante el uso de MVCC, PostgreSQL evita el problema de que
procesos lectores estén esperando a que se termine de escribir.