Auditoría de Bases de Datos: el camino hacia la solución

Ricardo Sandoval

Introducción

Actualmente las empresas poseen gran cantidad de bases de datos que contienen información de alto valor. No solamente guardan datos sensibles para la compañía, como pueden ser registros financieros o cálculos de nómina de los empleados, sino que además almacenan entre otros, datos confidenciales de sus clientes como códigos de tarjetas de crédito o identificaciones fiscales.

La publicación sobre casos de fraude y robos de datos han generado cierta preocupación entre la opinión pública. Por este se han puesto en marcha diversas normas legales que den respuesta a este problema.

La combinación de la presión de la opinión pública y las normas legales obligan a la mayoría de empresas a proteger y auditar sus bases de datos más importantes. Hace algunos años, los administradores de bases de datos (DBAs) eran los encargados de salvaguardar la información, pero ahora se les ve como uno de los aspectos más vulnerables. Esta situación ha generado cierta tensión con parte de los auditores a la hora de encontrar una solución aceptable para todos.

El camino hacia el cumplimiento de normas

Hasta hace bien poco, las organizaciones no eran precisamente muy cuidadosas a la hora de cumplir con sus obligaciones respecto a la seguridad de la información contenida en sus bases de datos. No obstante, la forma tan repentina y sorprendente en que se han empezado a poner en evidencia los resultados de las auditorías y los requisitos de cumplimiento obligatorio e ineludible a que deben hacer frente tanto las organizaciones como las personas responsables, están ocasionando problemas realmente importantes.

El primero y más inmediato es el de la educación y la comunicación. ¿Qué significa proteger y auditar una base de datos? ¿Qué es lo que me pide el auditor? El uso de cierta terminología utilizada en auditoría que puede ser desconocida para los afectados obliga a aprender los conceptos básicos para poder comunicarse bien con los auditores.

Los DBAs no solo deben tener un conocimiento preciso de las bases de datos en uso, sino también de qué tipo de datos hay en cada una y quién accede a ellas. Cuando los DBAs se enfrentan a centenares de bases de datos, esta labor se convierte en un proceso largo, al cual se suele referir como “catalogación de activos”.

Una vez terminada la contabilización de todos los activos básicos –entre otros las bases de datos, los propios datos y los usuarios-, se pasa a la segunda fase. En ella se han de identificar las bases de datos con información sensible. Con su ayuda, los auditores pueden determinar qué bases de datos contienen información sujeta a medidas especiales de seguridad. Conforme aumenta el número de bases de datos de este tipo, también aumenta la carga de trabajo para garantizar su seguridad.

Mantener un estricto control de seguridad de una base de datos es una tarea complicada. Solamente puede darse acceso a aquellas personas que lo necesitan, y tiene que restringirse a aquel conjunto mínimo de objetos que cada uno necesita. Además es importante también documentar cada cambio que se haga sobre la configuración de la base de datos a partir de ese momento, y las políticas que lo garantizan, a fin de mantener a lo largo del tiempo el nivel de seguridad establecido inicialmente.

La auditoría exige la revisión de todas y cada una de las actividades producidas dentro de la base de datos y asegurarse de que se corresponden fielmente con las decisiones acordadas con los auditores. Si no se dispone de las herramientas necesarias, es simplemente imposible.

El problema de la auditoría

El concepto de auditoría abarca todo lo que tiene que ver con los riesgos y el control. Se tiene que identificar los riesgos y establecer los controles necesarios para mitigarlos. El riesgo mayor es, posiblemente, el que va ligado a la figura del administrador de bases de datos (DBA). Sus actividades dan cuenta de hasta un 80 por ciento de las amenazas que afectan a las bases de datos, y es lógico que sea así: ellos poseen todas las claves y conocen todas las puertas y ventanas de acceso. Es muy importante que exista una herramienta de gestión de la base de datos que un DBA pueda desactivar o puentear.

El mercado de auditoría de bases de datos tiene un gran potencial económico. Muchas empresas compiten actualmente por una porción de esta tarta. Aparte de las tecnologías más tradicionales, las herramientas de monitorización del rendimiento contienen información detallada sobre la actividad de la base de datos y por eso muchas de estas herramientas se venden ahora como soluciones de auditoría por lo que conviene identificar el origen de la tecnología.

En qué hay que fijarse a la hora de elegir una herramienta de auditoría

Tres cosas hay que tener en cuenta a la hora de comprar una herramienta de auditoría: los datos que se recopilan, la tecnología que se emplea para ello y las funcionalidades del producto.
Los datos a recabar son la base del sistema. Cuando hablamos de auditoría de base de datos, el asunto más importante es quién toca qué datos y cuándo los toca. El “cómo” no es tan importante y por tanto, el conocimiento del SQL subyacente puede considerarse un elemento secundario. Es relativamente importante saber cuántos datos han podido verse afectados (número de filas), pero no es tan importante como saber de qué tablas (el “qué”).

Para responder al “quién”, el producto debe ser capaz de capturar todo el contexto de sesión sin excepciones. Tanto si se trata de conexiones BEQ (en entornos Oracle), o conexiones de memoria compartida (en SQL Server) o cualquier otra modalidad de conexión. La posibilidad de pasar por alto algún tipo de conexión puede convertirse en un tremendo agujero de seguridad, por lo que hay que asegurarse de que el DBA conoce todas las posibles formas de conectarse a la base de datos. La captura de conexiones fallidas a la base de datos es obviamente importante, ya que nos puede ayudar a detectar intentos de intrusión, pero se trata de algo secundario en comparación con la necesidad de capturar todas las sesiones.
Para responder a la pregunta “qué”, el producto debe ser capaz de identificar todos los accesos a las tablas físicas y saber si el acceso ha sido para lectura o para escritura. Al final de la jornada, los datos confidenciales que requieren protección están dentro de tablas. El producto tiene que registrar todos los accesos a estas tablas, tanto si se hace a través de vistas o de un sinónimo. Tampoco es relevante el dato de si se accede a la información desde procedimientos almacenados, a consecuencia de un trigger o desde SQL dinámico generado desde un bloque de código. Hay muchas formas de acceder a los datos y todas ellas tienen que estar registradas habida cuenta de que el DBA se las conoce.

La tecnología elegida es también esencial para una solución de auditoría. Hay que asegurarse de que la tecnología no permite que un DBA la desactive, como sucede con las herramientas de auditoría nativas. Además, es preciso asegurarse de que realmente captura todos los datos considerados críticos (conexiones de red, conexiones BEQ, SQL dinámico, procedimientos almacenados, triggers, sinónimos y vistas). Finalmente, es esencial que no se pierda ni se pase por alto ningún dato, independientemente de la duración de las transacciones (sentencias SQL cortas), nivel de carga del sistema o cualquier limitación más inusual.

A diferencia de lo que sucede cuando se inspeccionan los registros financieros, resulta imposible revisar a mano todas y cada una de las sentencias ejecutadas en la base de datos. En consecuencia, estamos a merced del motor de reglas que incorpora el producto. Este motor tiene que ser capaz de identificar las actividades sospechosas que tratamos de localizar y evitar en lo posible los falsos positivos.

La facilidad de gestión del producto es otro detalle muy importante. Existen cientos de bases de datos con distintos tipos de usuarios y datos. El producto debe gestionar de manera razonable todos estos activos con un nivel adecuado de escalabilidad. La aplicación de las reglas acordadas con los auditores a todas las bases de datos corporativas es el reto al que nos enfrentamos y resulta extremadamente importante que el producto nos deje ejecutar esta labor de una manera razonable.

Conclusión

El mercado de auditoría de bases de datos está en una etapa muy inicial de desarrollo. Esperar al producto más nuevo y maduro probablemente solo conduce a la decepción. Su decisión debe basarse en los requisitos que determinan qué es lo que necesita tener y a partir de ahí puede buscar una herramienta que cumpla con estos requisitos. Esa es la mejor manera de tener lo que realmente necesita. No se distraiga con funcionalidades muy bonitas que, sin darse cuenta, le pueden lleva.

Anuncios

7 thoughts on “Auditoría de Bases de Datos: el camino hacia la solución

  1. La combinación de herramientas de auditoría de base de datos con herramientas de explotación de información, considero que es un camino hacia la solución exitoso, pues permite ahorrar tiempo, recursos y presentar los registros de auditoría de manera personalizada, fáciles de interpretar y hasta realizar predicciones de los cambios que pueda sufrir una base de datos en un futuro, y vale la pena mencionar que la mayoría de las organizaciones se están enfocando en este tipo de técnica, especialmente entidades financieras.

  2. el problema de la auditoria me ha dado muchos dolores de cabeza, empece a desarrollar scripts para controlar las modificaciones y borrados de las tablas y guardarlos en una tabla de auditoria, he desarrollado un generador de las mismas para generarlas en cualquier base de datos, me gustaria comentarios y aportes de la comunidad, para ello escribir a mi correo gduffoo@hotmail.com
    el paquete esta desarrollado en powerbuilder y actualmente funciona con sql 2000,2005,2008 postgres y estaba trabajandolo para oracle

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s