Auditoria En Sistemas

Bases de Datos

Las bases de datos son el activo más importante para las organizaciones, ya que poseen toda la información de la empresa, datos confidenciales que en manos ajenas puede ser muy riesgoso.

Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y también denegarlos.

La seguridad de la información es uno de los temas mas comentados en todo tipo de negocios, sin embargo hay aspectos claves que no siempre se consideran, y de hacerlo rara vez se lleva a la practica, perjudicando al negocio, y a la empresa en su totalidad.

Considerar la seguridad frente a nuestras bases de datos, y por tanto de nuestra información, abordando tanto el aspecto lógico como el físico como un todo, requiere variado conocimiento y sobretodo valor de acción, ya que es una tarea que involucra desde procesos claros y seguros, acciones de control sobre los repositorios de información, y una cultura organizacional de buenas.

Accesos y Controles

El objetivo es proteger la Base de Datos contra accesos no autorizados lo cual se llama también privacidad.

Accesos

INCLUYE ASPECTOS DE:

Aspectos legales, sociales y éticos

Políticas de la empresa, niveles de información publica y privada

Controles de tipo físico, acceso a las instalaciones

Identificación de usuarios: voz, retina del ojo, etc.

Controles de sistema operativo

TIPOS DE USUARIOS:

DBA, están permitidas todas las operaciones,  conceder  privilegios  y  establecer usuarios

Usuario con derecho a crear,  borrar  y  modificar  objetos  y  que además puede conceder         privilegios a otros usuarios sobre los objetos que ha creado.

Usuario con derecho  a  consultar,  o  actualizar,  y  sin  derecho a crear  o  borrar objetos.

MEDIDAS DE SEGURIDAD

Físicas: Controlar el acceso al equipo. Tarjetas de acceso, etc

Personal: Acceso sólo del personal autorizado. Evitar sobornos, etc.

SO: Seguridad a nivel de SO

SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.

Autorizaciones  que  se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.

Discrecional:  Se  usa para otorgar  y  revocar privilegios  a  los  usuarios  a  nivel  de archivos, registros o campos en un modo determinado (consulta o modificación).

Obligatoria: sirve para imponer seguridad de varios niveles tanto para los usuarios como para los datos.

LAS TRES PRINCIPALES CARACTERÍSTICAS DE LA SEGURIDAD

confidencialidad,

la integridad y

la disponibilidad de la información

SERVICIOS DE SEGURIDAD Y ACCESOS

Autenticación: Se examinan las capacidades de logon único a la red, autenticación y seguridad

Sistema de Archivos Encriptado: El Sistema de Archivos Encriptado (Encrypted File System - EFS) proporciona la tecnología principal de encriptación de archivos para almacenar archivos del sistema de archivos NTFS de Windows NT encriptados en disco.

Seguridad IP: Windows IP Security, del Internet Engineering Task Force, proporciona a los administradores de redes un elemento estratégico de defensa para la protección de sus redes.

Servicios de seguridad en Windows 2000: se examinan los procedimientos relacionados con la gestión de cuentas, autenticación de red a nivel corporativo, así como el Editor de Políticas de Seguridad.

Tarjetas Inteligentes: se examinan los procesos de autenticación utilizando tarjetas inteligentes y los protocolos, servicios y especificaciones asociadas.

Tecnologías de Clave Pública: se revisa la infraestructura de clave pública incluida en los sistemas operativos de Microsoft y se proporciona información sobre criptografía.

Identificación y autentificación

En primer lugar el sistema debe identificar y autentificar a los usuarios utilizando alguno de las siguientes formas:

Código y contraseña

Identificación por hardware

Características bioantropométricas

...