Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Control de Entradas, Salidas y Archivo Recopilación de textos Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Contents Introducción: ................................................................................... 3 Controles en la entrada de datos ..................................................... 3 Dentro del área de control de entrada de datos se localizan los siguientes......................................................................................... 5 - Puntos de Control ....................................................................... 5 Controles Internos En El Ingreso De Datos .................................. 10 Controles En Las Salidas De Datos ................................................ 22 Cinco aspectos esenciales a tener en cuenta en la seguridad de base de datos ................................................................................. 23 Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Introducción: En un sistema de información debemos tener en cuenta las tres actividades que debe realizar para poder producir la información que la organizacion requiere para la toma de decisiones y el control de las operaciones, y en cada una de estas actividades se debe ejercer un control, el cual posteriormente dara los parametros para la auditoría. Estos controles intentan asegurar que: 1- En un sistema computarizado solamente se ingresen datos completos, exactos, válidos y autorizados por unica vez. 2- La actualización de esos datos se efectúe en los momentos en que realmente corresponda y bajo las mismas condiciones de seguridad arriba señaladas. 3- El procesamiento se realice a tiempo y cumpliendo con el diseño aprobado del sistema, según sus objetivos. 4- Los datos se mantengan protegidos y actualizados 5- Las salidas, resultados de procesamiento, cumplan las espectativas formuladas en el momento de definición del proyecto. Controles en la entrada de datos Riesgos Inherentes a la entrada de datos: • Que se procesen mal los datos (exactitud) • Que no se procesen todos los datos (Completud) • Que se procesen sólo operaciones válidas (Legitimidad) • Que las operaciones se procesen una sola vez (Exactitud) • Que se ingresen en un período diferente al que se debe ingresar (Pertinencia) • Que los ingresen personas no autorizadas (Legitimidad) • Que se administren mal los documentos fuente Procedimiento de control de entrada de datos Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - La mayoría de las transacciones de procesamiento electrónico de datos comienza con procedimientos de entrada de datos. En términos generales, cualquiera que sea el ambiente en que se procesan los datos, se hace necesario efectuar el control de ingreso para asegurar que cada transacción a ser procesada cumpla con los siguientes requisitos: 1- Se debe recibir y registrar con exactitud e íntegramente. 2- Se deben procesar solamente datos válidos y autorizados. 3- Se deben ingresar los datos una vez por cada transacción. Los controles en el ingreso de datos son preventivos, pues tratan de evitar la producción de errores exigiendo el ajuste de los datos introducidos a patrones de formato y estructura (fecha valida, dato numérico, dato dentro de un rango específico, introducción de dígitos de chequeo, etc.). · Las pantallas de captura de datos deben ser diseñadas de manera similar consistente con los documentos fuente que son ingresados al sistema. El orden de los campos, en la pantalla y el documento, deben ser iguales para evitar errores de digitación. · En el ingreso de los datos, la aplicación debe tener adecuados mensajes de ayuda, con el fin de facilitar los ingresos de estos y advertir sobre algún error cometido, indicando la clase de error. · Restringir el acceso de los usuarios a las diferentes opciones de la aplicación, de tal forma que se definan los diferentes perfiles de acceso, de acuerdo a las funciones de cada cargo, logrando con esto, disminuir el riesgo de que personas no autorizadas puedan leer, modificar, adicionar, eliminar datos o transacciones. · Verificar en cada pantalla de captura que los campos de los datos importantes sea de obligatoria digitación. · En toda la aplicación, cada campo debe tener el formato de datos apropiado: numérico, alfabético o alfanumérico y la cantidad adecuada de caracteres. · Para los campos numéricos y campos fecha, implantar controles de limite o racionabilidad, para asegurar que los datos estén dentro de un limite. Por ejemplo: la fecha de vencimiento de un crédito debe ser posterior a la fecha de apertura del mismo. · En la captura o modificación de datos críticos debe dejarse una pista de auditoría (log) donde se identifique lo siguiente: nombre del usuario, fecha y hora, valor del campo y donde se realizo la transacción. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - · Verificar que los log´s de la aplicación sean revisados por los responsables para investigar accesos y manipulaciones no autorizadas. · Al ir ingresando los datos, el sistema debe ir comparando con los registros de los archivos maestros para determinar la validez de los datos ingresados, en caso de presentarse una inconsistencia, el sistema debe avisar al usuario inmediatamente a fin de que la misma sea corregida. · De acuerdo con cada aplicación, en las pantallas de captura de documentos fuente críticos y que tengan al menos una columna numérica, se debe incluir el ingreso de totales de control, con el fin de verificar la correcta digitación de cantidades. Los totales de control también se puede aplicar en el ingreso de los lotes de documentos, ingresando para cada lote, él número de documentos a ser procesados, con el fin de detectar documentos faltantes por ingresar o documentos ingresados mas de una vez. · La aplicación debe permitir imprimir listados de datos ingresados para que estos sean revisados por los usuarios, con el propósito de verificar la correcta inclusión de los datos. · La aplicación no debe permitir que los datos de los archivos maestros después de haber tenido movimiento pueden ser borrados del sistema. · Los números de documentos fuente o él numero del lote, no deben permitir ser ingresados para el procesamiento más de una vez. · Es importante tener en cuenta que los anteriores controles se aplican no solo cuando los datos se ingresan por primera vez, sino también, cuando ya estos existen en el sistema y lo que se quiere es modificarlos. · En el ingreso de los datos, se puede presentar que estos sean rechazados por el sistema; lo que la aplicación debe facilitar es el control sobre dicha transacción rechazada, manteniendo en un archivo, las transacciones rechazadas para que estas sean analizadas y corregidas por los usuarios. Dentro del área de control de entrada de datos se localizan los siguientes - Puntos de Control 1- Transacciones en línea. 2- Usuario y operador. 3- Terminal o dispositivo de entrada de datos. Puntode control: transacciones en línea Los objetivos generales de este punto de control se apoyan en la necesidad de: Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - 1- Disponer de mecanismos de control que minimicen la exposición a riesgos derivados de amenazas como las siguientes: * ingreso de transacciones que no cumplan con lo establecido por las regulaciones vigentes. * ingreso de transacciones erróneas o incompletas. * ajustes indebidos a transacciones. * deterioros o degradación a la base de datos. * carencia de pistas de auditoría. 2- Asegurar la continuidad de las actividades mediante vías alternativas de entrada de datos. Los objetivos generales mencionados más arriba deben traducirse en objetivos específicos. Los mismos se indican a continuación 1- Asegurar la exactitud, razonabilidad y legalidad de las transacciones en línea. 2- Asegurar la consistencia de los datos de las transacciones. Verificar las aplicaciones de mecanismos adecuados de control de validación de datos de las transacciones, en cuanto a estructura, integridad, rango, fecha de ocurrencia. 3- Cerciorar que sólo transacciones aprobadas sean admitidas en las operaciones en línea. 4- Asegurar que no exista la posibilidad de perder la transmisión de transacciones. 5- Asegurar la eficacia de los mecanismos de detección de errores y de practicas de corrección de los mismos. 6- Asegurar que los mecanismos de transacciones en línea provean de pistas de auditoría para pruebas posteriores y que los mismos sirvan como medio de evidencia ante requerimientos legales o regulatorios. 7- Minimizar el riesgo de que se produzcan interrupciones durante la transmisión de transacciones. Las técnicas de control aplicables a estos objetivos son: 1- Identificar y registrar todos los tipos de transacciones aceptadas por el sistema 2- Identificar y registrar a los operadores autorizados para ingresar las transacciones aprobadas. 3- desplegar en pantalla formatos específicos para orientar al operador acerca de los datos que debe ingresar en cuanto a dimensión, secuencia, rango o limites dentro de los cuales se deben mantener los valores a ingresar. 4- Exhibir rangos de validez de los datos, de manera que sirvan de orientación también al operador. 5- Aplicar diálogos interactivos de control. 6- Controlar la presencia de anomalías estructurales de datos. 7- Evitar el ingreso, como dato, de fechas inexistentes. Por ejemplo, día superior a 31. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - 8- En el caso de procesamiento en linea, modalidad en lote, puede crearse un archivo de datos de entrada sin verificarlos en una primera instancia. 9- En el caso de procesamiento en línea, modalidad de tiempo real, la verificación de datos de entrada que acceden al azar, puede efectuarse por medio de una simulación de procesamiento en lote. 10- Efectuar previsiones de control en los procedimientos de transacciones trasmitidas en línea, bajo la modalidad en lote. Por ejemplo: Determinar una cantidad fija de transacciones a ser procesadas en lotes y conciliar la sumatoria de los valores de determinados campos con totales de esos mismos campos obtenidos por separado y registrados por fuera del sistema. 11- Mantener un conteo de transacciones ingresadas para conciliar el total de la cantidad de estas con un total obtenido por vía separada. Aplicar un criterio similar para el caso de procesamiento en línea, en el que se refiere a cantidad de lotes ingresados. 12- Establecer procedimientos específicos para administrar la corrección de errores detectados en el ingreso de datos y para asegurar su ingreso al proceso. Mantener registros de datos rechazados que están pendientes de corrección, e informar sobre los mismos a un tercero. 13- Suministrar pistas de auditoría de actividad. Por ejemplo mantener al final de cada archivo importes de control. 14- Mantener en las terminales logs que sirvan como pistas de auditoría para posibilitar la reconstrucción de transacciones desde todas las estaciones de usuarios. 15- Mantener registros de mensajes enviados y recibidos, identificados en un número de serie. 16- Prever la formulación de informes gerenciales diarios sobre tipos de transacciones desarrolladas, que incluyan totales de importes de determinados campos. 17- Mantener continuidad en el procedimiento en línea mediante la posible utilización de vías alternativas de procesamiento, de manera que se recurra a otra terminal en caso de in-operatividad de alguna de ellas, de no ser posible esta solución, prever mecanismos manuales o alternativas que incluyan el almacenamiento de transacciones durante el procesamiento de emergencia, la generación de pistas de auditoría respecto de esas transacciones y la consiguiente incorporación de las mismas al reiniciarse la transmisión normal a la base de datos. 18- Verificar que en las transacciones contables los débitos balanceen con los créditos. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - 19- Prever la efectivización de un profundo entrenamiento por parte de los usuarios y operadores de los sistemas en línea y en tiempo real, asegurar que los programas de entrenamiento no afecten los archivos de operación normal. PUNTO DE CONTROL: OPERADOR DE ENTRADA DE DATOS. Los objetivos generales de este punto de control se apoyan en la necesidad de: a) Minimizar la posibilidad de que se cometan errores humanos durante la transmisión de entrada de datos. b) Asegurar q las funciones que ejecutan los operadores de datos sobre áreas reservadas se ajustan a las políticas y prácticas de control de la organización. Los objetivos específicos: a) Restringir la posibilidad de ingresos de datos, consulta y actualización de archivos a personas exclusivamente autorizadas e identificadas. b) Desactivas la terminal desde la que se hayan intentado, frecuentemente, accesos no autorizados o erróneos, o bien, aquella que haya estado un determinado tiempo inactiva. c) Mantener registros de los cambios efectuados en las autorizaciones de accesos. d) Asegurar el mantenimiento confidencial de las claves de encriptación de datos o mensajes; hacer lo mismo con las contraseñas Técnicas de control aplicables a los objetos a) Facilitar y simplificar la tarea del operador. b) Utilizar opciones limitadas entre las posibles de un menú conforme a las autorizaciones otorgadas a cada usuario por medio de tablas, entregar a cada usuario una contraseña basada en algún favor. c) Introducir el software rutinas del bloqueo que solo pueda ser des afectadas por medio de contraseñas autorizadas. d) Desactivar terminales después de tres intentos fallidos de ingreso de datos, mantener registros internos frustrados. e) Disponer de procedimientos específicos de seguridad en el caso en que se restauren operaciones ocurridas luego de un periodo de inactividad por fallas de una terminal. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - f) Efectuar control de duplicación. PUNTO DE CONTROL: TERMINAL Objetivos generales: a) Asegurar, por medio de operadores autorizados y desde lugares autorizados. b) Asegurar la continuidad de los negocios (procesamiento de transacciones), aun en el caso de que se produzcan fallas en el sistema. c) Mantener la confidencialidad y privacidad de los datos agrupadosy transmitidos para su procesamiento dentro de un ambiente protegido. Objetivos específicos: a) Resguardar físicamente el área destinada a terminales. b) Asegurar el dispositivo de entrada de datos pueda ser identificado. c) Asegurar que antes de efectuar una conexión e iniciar una sesión de transmisión de datos, se verifique que la respectiva terminal sea autentica. d) Asegurar la autenticidad y legitimidad del operador/usuario- e) Verificar que los usuarios opere en una terminal que envié y reciba transacciones que están dentro de los límites de su autorización. f) Asegurar que la terminal, por medio del software de la computadora central, tenga la capacidad de aceptar o rechazar transacciones en conformidad con las reglas establecidas. g) Evitar la exposición de códigos de encriptación. h) Minimizar el riesgo de infidencias delimitado que es lo que cada operador puede hace y observar. i) Evitar que persona extrañas quieran obtener conocimiento de información confidencial. Técnicas de control aplicables: a) utilizar el software establecido. b) Separar técnicamente las terminales de uso general. c) Delimitar los menú Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - d) Evitar personas ajenas al operador autorizado. e) Registrar los datos a transmitir. f) Establecer procedimientos alternativos en caso de cualquier anomalía. g) Establecer límites de tiempo para el mantenimiento. h) Asignar llaves funcionales especiales a los usuarios. i) Utilizar cables blindados. j) Que solo la únicamente una persona autorizada sea quien cambie los códigos de encriptación. k) Verificar si todas las terminales quedan afuera de servicio al finalizar la jornada laboral. Controles Internos En El Ingreso De Datos Introducción Esta ampliamente difundido el criterio que es la información el principal de los activos con que cuentan actualmente las organizaciones. Recordemos que la información no es algo que viene dado, sino que es el resultado de un proceso que se genera a partir de datos que le sirven de entrada. Por lo tanto, la calidad de la información obtenida depende en gran medida de la calidad de esos datos de origen. Se acepta que la información para que sea eficiente, debe reunir una serie de requisitos. Raul Saroka destaca los siguientes: Economía: El costo de producir una información no debe ser superior al beneficio esperable de su utilización. Oportunidad: la información debe estar disponible en el momento en que se la requiera. Utilidad: Toda salida de un sistema de información debe satisfacer una necesidad. Comparabilidad: La información debe ser comparable en el espacio, en el tiempo y en el alcance. Flexibilidad: Todo sistema de información debe ser adaptable a los cambios del sistema objeto de análisis. Claridad: La información debe atender al nivel intelectual y técnico del destinatario. Confiabilidad: La información debe ser lo suficientemente confiable como para tomar decisiones basadas en ella. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - La mayoría de estos requisitos se verán totalmente afectados, si los datos que le dan origen a esa información son deficientes. Si bien esta eficiencia a la que nos referimos depende en ultima instancia de varios factores; los datos correctos de entrada son el punto de partida necesario para obtener buena información. Recordemos que un dicho afirma que “Si entra basura sale basura”. El presente trabajo tiene por objeto analizar una serie de controles que pueden ser incorporados en el proceso de captura de datos que permitan reducir los riesgos a niveles aceptables. El proceso de captura de datos El ingreso de datos constituye el componente variable externo, única fuente de las novedades que inciden en el procesamiento de los datos, modificando, adicionando y sustituyendo componentes preexistentes y/o aportando elementos adicionales como base del procesamiento. Producen, por definición, algún tipo de cambio tanto cualitativo como cuantitativo, en los contenidos preexistentes. Resume lo nuevo que no está integrado a lo almacenado, ni a los parámetros, tablas o funciones del sistema. No se origina como una acción del "llega de afuera"; se adiciona, y que por lo tanto es una fuente permanente de riesgos de control. Una falla en la entrada, contamina siempre la coherencia previa del sistema. La captura de datos es un proceso continuo que abarca varias etapas, cada una de las cuales tiene su propia identidad. Dicho proceso abarca las funciones de captación del dato, su posterior validación y por último el almacenamiento en el soporte. Es posible y necesario implementar controles en cada una de estas etapas. Se constituye en una de las etapas más costosas en el procesamiento de sistemas de Información, y además es en donde se produce una mayor cantidad de errores, debido quizás a la intensiva participación humana. No obstante, en la actualidad, debido principalmente a la reducción de costos, estos errores se han visto reducidos con motivo de la incorporación de nuevas tecnologías, que limitan la necesidad de participación humana en el proceso de captura. Algunas de las evoluciones que se perciben en los dispositivos de entrada de datos son: El tradicional teclado QWERTY se ha visto mejorado con la incorporación de teclas de función para determinadas tareas, con el adicional que permite la programación de las mismas para usos específicos. Se ha incorporado como elemento de ingreso de datos el reconocimiento de la escritura. Este método tiene dos vertientes; o Reconocimiento de escritura por trazos. Consiste en realizar los trazos de determinada forma, dirección y secuencia. En este método es el usuario el que debe entrenarse para adaptar su escritura a las exigencias del software. o Reconocimiento de la escritura natural. Es similar al anterior pero es el usuario el que entrena a la maquina para que identifique su forma de escribir. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Reconocimiento de la voz. Este sistema, si bien todavía tiene altos grados de rechazo, acelera sustancialmente la captura de datos en mas del doble de lo que puede llevarse a cabo mediante el ingreso por teclado. Además, el software de reconocimiento a través de la digitalización del sonido tiene un elevado consumo de memoria. Tiene la dificultad de que debe ser digitalizada la voz para cada uno de los usuarios que manipule el dispositivo. Reconocimiento de señales. Es el sistema típico en las lecturas de caracteres ópticos. Si bien es necesario adaptar los elementos de ingreso de datos a las características exigidas, está bastante estandarizada y generalizada la utilización de determinados sistemas, principalmente en productos comerciales. La utilización complementaria de tecnologías de computación y telecomunicaciones, ya es posible y día a día se extiende más la posibilidad de enviar datos a la distancia, sin la realización de tareas por parte del hombre. En resumen, se debe prestar una especial atención al momento de ingresar datos en el sistema, pues es crucial desde el punto de vista del procesamiento y el control, ya que: 1. Los datos son la materia prima que alimenta la información. Si son de mala calidad, el resultado que se obtendrá será también de baja calidad. 2. Es una etapa donde existe un alto porcentaje de Intervención humana, con la consecuente probabilidad de error que ello implica. 3. Al ser la primera faz en el proceso de captura,procesamiento y posterior almacenamiento, el hecho de producirse un error implica que se reproduzcan errores en cascada en las etapas posteriores. 4. El costo de prevenir, evitar y/o solucionar errores en esta etapa es mucho menor que en las posteriores. De no contar con suficientes controles estaríamos asumiendo los riesgos de que se omita el ingreso de ciertos datos, de que ciertos datos sean ingresados con error, que se ingresen datos duplicados, o que el dato ingresado no sea el que corresponde al hecho que debe reflejar. Controles en el ingreso de datos: En el proceso de captura de datos existe la posibilidad de que los datos sean: Inexactos Incompletos Ingresados en un periodo incorrecto Ingresados mas de una vez Omitidos Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - a. Niveles de autorización Significa que, una vez que el usuario ingresó en el sistema, pueda realizar sólo aquello que está autorizado a hacer. Esto se consigue restringiéndole el acceso a determinados recursos del sistema (archivos, periféricos, etc.), y/o imposibilitándole que realice determinadas funciones (por ejemplo actualizar ciertos archivos, imprimir determinada información, etc.). El mecanismo más común utilizado es la utilización de perfiles de usuarios. Cada usuario tiene una clave que lo habilita a un menú de funciones que estará restringido a aquellas que están definidas para ese usuario, y no tendrá acceso a otras que le son incompatibles. b. Captura de datos en la fuente. Consiste en ingresar los datos al computador en el lugar y momento en que se genera la transacción que les da origen. Cuanto más amplia es la brecha entre los momentos del evento que genera el dato, y su registración, menor seguridad tendremos respecto de la veracidad de los datos ingresados. Los motivos que pueden argumentarse a favor de la captura de datos en la fuente son de distinta índole: organizativos, económicos, estructurales, etc. Centralizando el enfoque en la seguridad en la carga de datos, mediante este método se reducen los riesgos de que la información sea inexacta, incompleta e inoportuna. Respecto de la exactitud, si la información se captura en el momento en que se genera la transacción, pueden detectarse errores y solicitar su corrección en ese mismo momento; de esta manera aumenta el porcentaje de datos ingresados correctamente En cuanto a que sean completos, al reducir los traslados y manipulación de los comprobantes, se reducen también los riesgos de que no se procese alguna transacción, que se pierda algún comprobante en el camino, etc. En relación con la oportunidad, en el lugar en que se genera la transacción tenemos la posibilidad de captura en tiempo real, concepto que implica que el sistema computarizado estaría actualizando la información en el mismo momento Por esta razón es necesario que se implementen controles, cuyos objetivos deben ser: Conseguir que ingresen TODOS los datos que deben ser procesados, es decir que sean COMPLETOS. Que los datos que ingresan se correspondan con los hechos que debe representar, es decir que sean EXACTOS. Que los datos se procesen en el momento en que deben ser procesados, es decir que sean OPORTUNOS. Que no se ingresen los mismos datos más de una vez, es decir que NO ESTEN DUPLICADOS. Que los datos sólo sean ingresados por las personas autorizadas para ello, es decir que sean LEGITIMOS. Que sirva para generar información CONFIABLE para tomar decisiones. Que los datos sean accedidos sólo por aquellas personas que estén autorizados, y que realicen con ellos exclusivamente las operaciones que pueden realizar, es decir que los datos conserven su CONFIDENCIALIDAD. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - en que se produce el hecho que genera el movimiento, y consecuentemente estaría disponible para su utilización en forma inmediata. El estado y costo actuales de la tecnología posibilitan que esta manera de operar sea accesible, punto que se confirma a través de la generalización de los sistemas que trabajan de esta manera. i. Controles en los procedimientos administrativos. Es importante destacar que un proceso computadorizado es una parte de un sistema más amplio que puede incluir tareas manuales y/o semiautomatizadas. Todo procesamiento que se lleve a cabo alrededor del proceso computadorizado suele tener una incidencia directa sobre él. Pueden producirse hechos que generen pérdida de información, que haga que un dato se ingrese más de una vez, etc. Para limitar estos riesgos es posible y aconsejable implantar controles en los procedimientos administrativos que pueden ser llevados a cabo antes o después del ingreso de la información en el sistema. Con fines didácticos dividiremos el análisis en dos niveles: a) controles llevados a cabo en el procedimiento normal de captura y b) controles que se realizan para asegurarnos de que los ítems rechazados son ingresados al sistema ii. Controles en el procedimiento normal de captura Son aquellos procedimientos y métodos utilizados que tiendan a asegurar que: Se ingrese solo aquélla información que esté autorizada a ingresar Que no se generen documentos fuera del circuito normal Que exista un adecuado archivo de la documentación fuente a fin de que provean pistas de auditoría o que sean usados para recuperar datos en el computador Que exista un adecuado almacenamiento/archivo físico de aquellos documentos directamente legibles por la máquina (código de barra, caracteres magnéticos, caracteres ópticos, etc.), a fin de reducir la tasa de error en la captura y preservar su condición para una eventual recaptura. iii. Controles sobre datos rechazados Se incluyen aquellos que persiguen asegurar que los datos que fueron rechazados por el sistema sean identificados, analizados, corregidos y preservados para su ingreso. Principio clave: Debe controlar cada transacción rechazada manteniendo un registro de la misma hasta que sea corregido. Estas partidas pueden ser tratadas de tres maneras diferentes: Ser aceptadas por el sistema e incluidas en un informe que será remitido al sector en donde se originaron los datos para que se efectúen las correcciones correspondientes. Ser incluidos en un archivo separado de partidas rechazadas a la espera de corrección. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Este procedimiento también implica que existan informes que deben ser remitidos al sector en donde se originaron los datos para que se efectúen las correcciones correspondientes. El riesgo asociado con la corrección de transacciones rechazadas es menor si se manejan de esta manera. Ser rechazan sin que queden registros en archivos. En este caso revisten fundamental importancia los procedimientos de seguimiento para asegurar que las transacciones sean analizadas y corregidas. En todos los casos, al ser reingresadas las transacciones rechazadas, deben ser sometidas a los mismos controles que las transacciones originales. iv. Controles derivados de la arquitectura del hardware. Son aquellos que se ejercen automáticamente a través de circuitos electrónicos. Dentro de este tipo de controles podemos distinguir: Verificación de paridad. El equipamiento, mediante circuitos internos detecta si alguno de los bits que componen los datos fue modificado por medio del análisis de la cantidad de bits encendidos y apagados. Lectura doble. El equipo lee dos veces el dato y luego compara las dos lecturas. Verificación de validez. El equipo determina si ingresóun carácter válido. v. Controles en los programas Consiste en agregar algoritmos en los programas de ingreso de datos de tal forma que rechace aquellos que no reúnen los requisitos prefijados. Dividiremos este apartado en: a) controles de lotes y b) controles de validez Controles de lotes. Un lote es el agrupamiento de documentos de un mismo tipo, ordenados según un principio lógico. Si bien esta modalidad es cada vez menos utilizada, existen procesos en los que aun puede observarse. Un ejemplo de lote puede ser el agrupamiento de a 50 vales de almacenes, ordenados por número de vale. Se suelen utilizar en modos de captura fuera de línea o en línea diferido. En modo de procesamiento en línea en tiempo real no tiene sentido hacer lotes, ya que los formularios van capturándose a medida que se generan simultáneamente con las transacciones. Es conveniente que los lotes se armen con una carátula en donde se pueden poner, entre otros, los siguientes datos: 1.- Número de lote. 2.- Primer y último número de comprobante que contiene el lote. 3.- Fecha de preparación del lote. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - 4.- Firma de los responsables de los procesos de perfo/grabación, verificación y archivo del lote (quien generó el soporte). 5.- Totales de control del lote. Esta información permite que se programen, además de los controles propios de cada formulario (que veremos en el punto b), los controles relacionados con la información del los lotes, que pueden ser: Correlatividad de lotes. Permite detectar la falta de ingreso al circuito de algún lote, al controlar su correlatividad numérica de los mismos Rutinas de control de secuencia. Este control nos permite asegurar que las transacciones no se pierdan durante el procesamiento. Los programas de captura deben producir informes sobre documentos faltantes para su posterior seguimiento (ampliar para que quede mas claro). Una aplicación bien diseñada debe controlar cada transacción rechazada manteniendo un registro de la misma hasta que sea corregida. La efectividad de estos controles depende de la efectividad de los procedimientos de seguimiento por parte de los usuarios. Al ser reingresadas, las transacciones rechazadas deben ser sometidas a los mismos controles que las transacciones originales. Control de verificación de totales. Se preparan los totales de control de los campos críticos del lote, y luego se compara con los totales generados por el computador. Se efectúa a fin de asegurarnos que todos los documentos fueron procesados y no se ingresaron transacciones no autorizadas. Controles de validez. Son controles que nos permiten identificar errores en los datos, si alguno se ingresó más de una vez, o si no satisfacen criterios preestablecidos. Si el ingreso es interactivo, el usuario recibe de inmediato la identificación de los errores que se producen y de esta manera es posible corregirlos. Dentro de estos controles podemos mencionar: Dígito verificador. Consiste en uno o más números que se calculan en base a un algoritmo y que se coloca como prefijo, sufijo o incluso en medio del número a partir del cual fue obtenido. La forma de controlar el dígito verificador se lleva a cabo en el momento de ingresar los datos. Primeramente, se separa el dígito del número base, luego se recalcula el dígito, y por último se compara contra el dígito que fue separado inicialmente. Si coincide se sigue adelante, de lo contrario se rechaza Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - La utilización de dígitos verificadores en campos clave, reviste importancia en la actualidad, en donde prolifera la captura de información el línea ya que se pueden corregir datos instantáneamente. Existen varios métodos de cálculo de dígito verificador, siendo los mas difundidos los calculados en base a módulos 10 y 11, con variantes en cada caso. Este tipo de control se utiliza básicamente para detectar errores de transcripción y transposición de dígitos en la captura. Son muy útiles en caso de que el volumen de la información a procesar sea grande, o que el dato que se captura esté compuesto por muchos dígitos. Datos que se controlan contra parámetros. Consiste en comparar el dato que ingresa contra otro dato de referencia que se designa “parámetro” Las principales formas son: Validación contra archivos maestros. Consiste en controlar que el dato que ingresa se corresponde con los asentados en los archivos permanentes con que cuenta la organización. Validación de documentos únicos. Asegura que un mismo documento no sea ingresado más de una vez. Realiza el control en base a la comparación de un campo identificatorio del documento, o a la de todos los campos ingresados. Ingreso doble de campos críticos. Es un método que consiste en ingresar algún dato crítico dos veces en distintos lugares de la pantalla. Internamente el programa controla que ambos coincidan. Este método obliga a que el operador de captura mire dos veces el comprobante. Datos que se controlan aplicando criterios de razonabilidad. Control de correlación de campos. Consiste en controlar que dos campos vinculados de un registro de entrada tengan una relación lógica. Por ejemplo que no se intente ingresar como documento una libreta cívica a un individuo de sexo masculino. Control de balanceo. Implica controlar que dos campos o sumatoria de campos balanceen a cero. Es el caso típico de un asiento contable que debe ser rechazado si no coincide la suma de las cuentas deudoras y acreedoras Verificación de límites. Controla que el dato ingresado se mantenga dentro del entorno lógico que le corresponde. Este control impide el procesamiento de transacciones irrazonables y aun cuando puedan ser erróneas. Controles de edición Control de formato. Aseguran que cada campo ingrese con el tipo de dato con que fue definido (numérico, alfabético, etc.) Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Control de longitud. Aseguran que cada campo ingrese con la longitud con que fue definido. Control de campo faltante. Asegura que se haya ingresado un dato que fue definido previamente como obligatorio. Control de blancos, Datos numéricos Tendencias en la captura de datos y su incidencia en el análisis del control interno. Con fines didácticos, podemos dividir las modalidades de captura de datos en dos grandes grupos: Captura en diferido y Captura en tiempo real, cada una de las cuales tiene a su vez divisiones internas que le imparten características distintivas desde el punto de vista de las posibilidades, opciones y naturaleza de los controles que deben llevarse a cabo. Analizaremos detalladamente cada una de ellas. Captura en diferido En esta modalidad de captura se identifican claramente dos momentos: el del hecho que produce la generación del dato, y el del efectivo ingreso de dicho dato al sistema. Existe además un comprobante primario que le da entidad a los datos que se generan, y que sirve a su vez de base para la posterior carga en el sistema. Tienen una función adicional que es la de servir como pista para auditar las transacciones realizadas. En este escenario de trabajo, los objetivos de auditoría que debne perseguirse son Que no existan transacciones sin comprobantes primarios Que existan controles sobre los comprobantes en sí mismos y sobre el contenidos en cuanto a su validez en relación con la transacción que se ingresa Que se pueda identificar el universode comprobantes a ingresar. Que se eviten omisiones o alteraciones en el ingreso de datos Que se asegure la captación de todos los datos que necesitan los sistemas aplicativos Que se maximice la calidad de datos en el origen. Trasmisión remota de datos. o A traves de telecomunicaciones o Por mail o Por dispositivo optico remitido a traves de un envio fisico. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Captura tercerizada Nuevos dispositivos de captura de datos y su incidencia en el control interno. Los avances tecnológicos generan permanentemente dispositivos que automatizan la captura, produciendo una reducción significativa de la participación humana en el ingreso de datos. Estos avances producen efectos positivos en cuanto a la confiabilidad y calidad de los datos ingresados; no obstante, generan ambientes de trabajo que es necesario analizar desde el punto de vista de los controles, ya que pueden producirse situaciones no deseadas y que no están estrictamente relacionadas con el dispositivo. Analizaremos detenidamente alguno de estos dispositivos. Lectores de códigos de barra El uso de este tipo de dispositivo se ha generalizado a partir de la universalización de la codificación de productos a través de códigos de barra. Pero también es muy utilizado en otro tipo de sistemas, en donde se adhieren etiquetas con este tipo de códigos, por ejemplo en tarjetas de identificación personal, para asignar números de inventario a bienes, etc. Suele suceder en estos casos que con el tiempo las etiquetas se deterioran y pierde nitidez la impresión, tornándolas ilegibles. El auditor debe analizar esta situación, y asegurarse que ante este hecho va a existir un circuito alternativo para identificar el bien. Debería imprimirse el número arábigo conjuntamente con el código de barra, Para poder tipiar los datos a través de un teclado tradicional, en caso de que el lector de código de barra no lo identifique. Otro hecho que suele darse es que las etiquetas sean adheridas con dobleces que imposibiliten la lectura del código. Para este caso sirven las soluciones vertidas en el caso anterior. Además, hay que analizar la posibilidad de que las etiquetas se cambien de bienes para que uno sea identificado como otro. Para evitar estos casos existen etiquetas que luego de adheridas no pueden ser despegadas sin que se rompan, evitando de esta manera la maniobra. Un último caso que debemos analizar es aquél en que, a través de fotocopias de alta calidad, se duplicar el código. Esto puede dar lugar a situaciones tales como la del caso en que los empleados se les asigna una tarjeta identificatoria con código de barras, y que a través de las copias de las mismas se le da ingreso a Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - personal que no asistió. Para estos casos existen tarjetas que permiten establecer códigos de barra con una cobertura que no permite su copiado. Los objetivos de auditoría que deben perseguirse son: a) que la información sea completa (asegurarnos de que los rechazos por alguna de las circunstancias planteadas, sean efectivamente ingresados al sistema), y pertinente (que el dato ingresado se corresponda con el hecho que pretende representar). Las soluciones planteadas más arriba reducen el grado de riesgo que esto ocurra. Captura de caracteres ópticos Captura de imágenes y posterior conversión a OCR Se esta generalizando el uso de dispositivos que digitalizan documentos y, a través de un proceso permite el reconocimiento de los caracteres que están impresos en algún sector del documento. Lo que un auditor debe analizar es el grado de confianza que esos dispositivos tienen, dado que en algunos casos el porcentaje de rechazo y en el reconocimiento de lo leído es muy alto, (por la forma en que están escritos, por la similitud entre letras, etc.). El objetivo de auditoría que debe buscarse es: a) analizar si existe un circuito alternativo de captura de los datos rechazados, y b) verificar la exactitud de aquellos datos capturados que son significativos para el sistema, tales como los códigos que identifican imputaciones, importes, etc Computación móvil (Colectores, Palmtops, Notebooks, Laptops, etc.) Estos dispositivos tienen capacidad propia de procesamiento y permiten generar programas de captura que almacenan la información dentro del equipo. Posteriormente se transmiten al sistema que los va a procesar. Es un procedimiento muy utilizado para automatizar fuerza de ventas, que pueden ir acumulando los pedidos y los transmite al final del día. Lo que el auditor debe asegurarse es que lo que el empleado tiene en su equipo sea lo mismo que lo que recibió el equipo que lo recibe. En esto incide mucho el medio de transmisión que se utilice y, de acuerdo con cual sea tomar las pautas de control que se especifican en el capítulo de comunicaciones. Captura de imágenes. Existen diferentes formas de digitalizar imágenes, de la cual la más generalizada por su bajo costo es a través de escáners o a cámaras digitales. Por lo general, los errores en la captura de una imagen a través de estos medios no implica un riesgo grande en cuanto a las consecuencias que pueda provocar. Podrá Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - tener una menor nitidez, pero no produce, en principio, efectos en extremo negativos, ni situaciones críticas que hubiera que prevenir. Escaneos biométricos Existen casos en los cuales es imprescindible prestar una especial atención. Es el caso de captura de imágenes para controles de acceso a través de reconocimientos biométricos. En estos casos sí es necesario tomar recaudos para determinar la exactitud del escaneo, pues se corre el riesgo de identificar equivocadamente a una persona. Las empresas que realizan una inversión de este tipo es porque sus necesidades de seguridad son grandes, y tiene que asegurarse la identificación inequívoca de ciertas personas. Este tipo de identificación es mucho más segura que los identificaciones a través de claves o tarjetas, pues requiere de la presencia física del identificado. Este grado adicional de seguridad conlleva un costo asociado, que implica una mayor eficiencia de los dispositivos que escanean. No obstante, en ningún caso estos dispositivos aseguran un 100% de eficiencia. Hoy en día, existe una reducción significativa en los costos de determinados dispositivos, como por ejemplo los escáners de huellas digitales que tienen un alto grado de eficiencia en relación con su costo. Esta reducción permite que sean incorporados dentro de otros dispositivos, como el caso de los mouses que tienen incorporados escaners de huellas digitales. Lectores de caracteres magnéticos El uso de caracteres magnéticos está muy difundido en cheques, boletas de deuda de organismos oficiales, etc. El inconveniente adicional que se produce con este tipo de documentos es que por la manipulación que sufren, deterioran la nitidez de los caracteres e imposibilitan su lectura. El porcentaje de rechazo que producen suele ser alto. Para asegurarse de que la información que ingresa es completa, el auditor debe analizar si existe un circuito alternativo de captura de los rechazos Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Controles En Las Salidas De Datos La información de salidade un procesamiento computarizado se refleja en listados o tabulados impresos en papel o formularios continuos. A continuación se explicaran algunos de los controles de salida más habituales. 1. Custodia de los formulario críticos o negociables Los formularios en blanco que serán destinados para ser impresos por computadora deben estar protegidos adecuadamente contra robos o daños. También deberán mantenerse adecuados registros sobre la existencia y uso de los mismos, y cumplirse con planes de recuentos físicos periódicos. 2. Conciliación entre formularios salidos del inventario y aquellos procesados (impresos) Una persona ajena a quien genere la impresión deberá conciliar y fundamentar las razones de las diferencias por errores de impresión, mutilaciones, etc. 3. Conciliación de importes totales contenidos en las salidas El encargado de Mesa de Control o de la sección Control de Datos deberá conciliar los importes totales de salida con los respectivos importes totales de datos de entrada. Al auditor de sistemas tendrá que verificar si en el diseño del sistema la existencia de pistas de auditoria permitirá el rastreo del procesamiento de las transacciones en caso de ausencia de balanceo. 4. Control de distribución y verificación de recepción El control de distribución obedece a la necesidad de mantener la confidencialidad de la información reservada. Debido a que actualmente la mayoría del procesamiento de información pasa por procesos computarizados. 5. Tiempo de retención de informes La política de retención deberá determinar los tiempos fijados desde el punto de vista legal y desde la normativa interna de la empresa. 6. Información de salida para corrección de errores Los programas prevén métodos de detención de errores, en estos casos, los errores se imprimen en un listado o bien se muestran por pantalla pero lo realmente importante es verificar que los mismos queden registrados en almacenamiento transitorio hasta tanto se verifique su corrección y reingreso al proceso. El auditor revisara el procedimiento que utiliza el usuario para corregir y retornar los datos al proceso. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - Cinco aspectos esenciales a tener en cuenta en la seguridad de base de datos Las bases de datos son una de las grandes desconocidas en el mundo de la auditoría de sistemas y en las revisiones de seguridad. No es fácil encontrarse con auditores experimentados en este campo, y eso quizás responde a la enorme complejidad, tecnológica y no tecnológica que tienen las bases de datos empresariales, por no hablar de que cada entorno es hijo de su padre y su madre, y la uniformidad de la tecnología es algo que brilla por su ausencia. Por desgracia, dada esta complejidad, el normal ver planteamientos de auditoría basados en verificar la configuración de seguridad de los motores, la presencia de cifrado, y con un poco de suerte, los hay que se aventuran a mirar las tripas de los procesos y dictaminar si existe una adecuada segregación de funciones. Todos son factores importantes, pero no son por sí mismos representativos del estado de seguridad de una base de datos. Es muy frecuente que los dictámenes se basen en auditar aspectos aislados de la base de datos y no en su conjunto, y lo que es peor: ni pararse a pensar en los datos, estudiando solamente si la plataforma que contiene los datos es o no acorde a una determinada guía de militarización. La lista puede ser interminable ya que cada cual tiene su modo de proceder, pero voy a sintetizar en 5 los puntos que hay que mirar cuando se analiza una base de datos. Cubren lo que considero mínimo, y en su ausencia yo al menos, salvo casos muy aislados, consideraría que la seguridad de los datos es deficiente. 1. El modelo de protección de datos Cuando se planifica la seguridad de una base de datos, la única manera de hacerlo bien es acorde a una definición previa de algo tan básico como qué es lo que queremos proteger, dónde y cómo. Este modelo, aunque lo podemos impulsar desde el departamento de seguridad, quien tiene que autorizarlo es el propietario de los datos, muchas veces con ayuda de especialistas, como el departamento legal para el caso de cumplimiento normativo. Es una tarea dura, ingrata y tediosa, pero es estrictamente necesario hacerlo, como veremos a continuación. Si pedís el modelo y no obtenéis respuesta, mala señal. Las probabilidades de fallar protegiendo los datos sin un modelo consensuado de qué hay que proteger son casi de 1 a 1. Las medidas técnicas que describiremos después dependen de este modelo, con lo que si este no existe, repito, alerta roja. Yo sería muy escéptico a la hora de confiar en la veracidad de que los privilegios, segregación, cifrado y enmascaramiento en un clúster de 10 motores con 60.000 tablas sean correctos sin que nadie se haya sentado a escribir que hay que proteger y cómo. Os van a contar de todo, que casualmente están terminando el borrador del plan, que no pasa nada porque todo está cifrado, que no merece la pena documentar algo tan extenso, que no hay riesgo porque en esta casa todos somos amigos y tomamos cañas juntos, etc. Atentos a este factor, es siempre el humo que indica que hay fuego en las proximidades. http://www.sahw.com/wp/archivos/2010/09/29/5-aspectos-esenciales-a-tener-en-cuenta-en-la-seguridad-de-base-de-datos/ http://www.sahw.com/wp/archivos/2010/09/29/5-aspectos-esenciales-a-tener-en-cuenta-en-la-seguridad-de-base-de-datos/ Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - 2. El cifrado de los datos Este es uno de los puntos cruciales y que genera más confusión y controversia. Qué duda cabe que si queremos proteger datos, los razonable es acudir al cifrado. Lo razonable y lo único que sirve, siempre y cuando se acompañe al cifrado de otras medidas que describiremos. Pequeño corolario: los datos críticos que no están cifrados NO ESTÁN PROTEGIDOS. Y peor aún: el cifrado tiene que afectar a todos los elementos que protegen a los datos, da igual que sea un campo de la base de datos, una fila, una columna, una tabla o la base completa. Y señores, el sistema de ficheros del sistema operativo también tiene que estar cifrado. Y las comunicaciones de la base de datos con el resto de la infraestructura. Incluso la memoria de la máquina donde se ubica el gestor, idealmente. Cifrar es cifrar todo, si algo en la cadena no está cifrado el resultado es datos críticos no protegidos. Contentar a un auditor con un SELECT de la tabla de recursos humanos que muestra únicamente un galimatías y no los datos reales es tremendamente fácil. Y el auditor se irá dando palmas con las orejas, y pondrá en su informe que la base de datos está cifrada. Luego, cuando el auditor se va, el DBA se queda pensando qué pasa con el clon de producción que envían todos los martes por FTP a un outsourcing de Murcia, y que lógicamente, no está cifrado. O que pasa con las copias de seguridad que van a cartucho, que ni están cifrados ni pasan por un canal cifrado. O qué pasa con una aplicación que comunica con el motor en un canal no cifrado. O qué pasa con él mismo, que como es DBA apaga y enciende el cifrado de la base de datos según le viene en gana sin que se entere nadie, o que descifra lo que quiere y cuando quiere porque las llaves maestras están en el propio sistema operativo -sin cifrar-, sistema al que casualmente también tiene acceso root. Incluso, aunque esperemos que no, podría preguntarse si debería haber hecho el SELECT en la base de datos real, y no en una vista enmascarada preparada a tal efecto para quitarse de encima a los auditores. El cifrado es crucial para montarun esquema de seguridad, y aquí, si se trata de datos críticos, tolerancia cero. En el momento que exista un sólo punto en el que los datos circulen en claro sin una adecuada protección criptográfica, se resquebraja todo. Cifrar sólo una tabla, poner únicamente HTTPS en las aplicaciones que tiran del motor o aplicar el cifrado sólo cuando el dato pasa a cartucho es un cifrado de pandereta, y no es aceptable. Este es el campo donde la tradicional excusa de que el cifrado echa por tierra el rendimiento sale a relucir instantáneamente, argumento ante el cual hay que ser firme alegando que no hay por qué cifrar el motor completo y que hay soluciones hardware que aceleran la gestión criptográfica, empezando por los propios procesadores. El rendimiento, cuando se cifra selectivamente (acorde al plan, acordaos) y no a lo loco, no tiene por qué verse deteriorado significativamente. 3. Control de superusuarios y otros usuarios privilegiados Muy atentos a este factor. Da igual lo que hagas respecto a cifrar, y da igual lo que exista o no un plan de protección. Si los superusuarios no están controlados, no existe seguridad. Esto aplica a cada uno de los usuarios que tienen relación con los Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - datos, ya sea el DBA, el root del sistema donde corre la base de datos o el amiguete que controla las llaves maestras del HSM donde reside la criptografía. Un superusuario sin control puede hacer lo que quiera con la base de datos, y la única manera de controlar esto es declarar las medidas de control allí donde el superusuario no tiene privilegio alguno. ¿Que necesitan acceso a producción para resolver emergencias? Sin problema. Lo pueden tener. Pero supervisado y controlado por un tercero independiente. ¿Que se queja y patalea porque no puede hacer un SELECT * en la tabla de salarios? No necesita verlos. Es vital y necesario que existan reglas que definan qué pueden hacer, y qué eventos requieren autorización o monitorización especial. Tener superusuarios que pueden entrar cuando quieren y hacer lo que quieren sin que exista control alguno es equivalente a tener una base de datos insegura. Y da igual que sean de la casa, de fuera, que tomen o dejen de tomar cañas con quien sea. No hay necesidad alguna, y en ausencia de reglas que delimiten el comportamiento de un superusuario y el control de sus acciones, no existe seguridad. Evidentemente, las medidas de control hay que implementarlas en el bajo nivel, en el propio núcleo, o con mecanismos que impidan que el superusuario tenga acceso a dichos controles, de lo contrario, no habremos solucionado nada. Hay una manera muy rápida de ver si esto está o no controlado. Te sientas con el DBA, hola que tal, buenos días. Yo soy Sergio, encantado. Mira, por favor, haz un SELECT de la tabla de recursos humanos, y saca en pantalla los DNI y los sueldos brutos anuales. Acto seguido, te vas a los de seguridad y les dices, a ver, enseñadme las trazas del DBA en los últimos 30 minutos. Si hay trazas, o si no te da tiempo a ir a buscarlos porque ellos se presentan o llaman al DBA antes de que tú recojas los papeles, hay esperanza. De lo contrario, más humo, y más fuego. 4. Auditoría Una instalación de seguridad que protege a datos críticos sin trazas de auditoría es inútil. Si no sabemos quien ha hecho qué, y en qué momento, no es posible armar un sistema de monitorización acorde y lógicamente, se pierde toda la traza en caso de ser necesaria una investigación. La auditoría ha de ser completa, no sólo para el motor de la base de datos, sino para el sistema operativo, y para los datos críticos, debe quedar claramente registrado quién ha leído, modificado o borrado un dato. Obviamente, para proteger adecuadamente la auditoría, es preciso moverla a una consola segura y monitorizada donde los superusuarios de la base de datos y sus componentes satelitales no tengan acceso de ningún tipo. Y por favor, seamos congruentes. No se trata de grabar TODO lo que pasa en la base de datos, se trata de que la operativa con datos críticos quede registrada, así que tened esto en cuenta cuando os digan que no hay manera de poner en marcha la recomendación, que la auditoría se come tera y medio de espacio en disco en 24 horas, y que el almacenamiento está muy caro, y que mover los logs ralentiza la red, y que los operadores del SIEM no pueden mirar 50.000 alertas por hora, y bla bla bla. Auditoría inteligente, suficiente y protegida. Con eso basta. Universidad de Buenos Aires Facultad de Ciencias Económicas Auditoría y Seguridad de los Sistemas de Información 1659-02 Licenciatura en Sistemas de Información - - 5. Monitorización Hemos definido un plan, hemos cifrado, hemos segregado funciones y tenemos el mejor registro de auditoría de la historia. Pongamos la guinda al pastel monitorizando los elementos críticos, por ejemplo, consultas inusuales, comandos privilegiados, procesos que no acaban a su hora, uso de credenciales privilegiadas, operativas de mantenimiento de la base de datos, etc. Pensemos qué cosas pueden hacer que todo lo que hayamos montado se rompa, que no será mucho después de habernos esforzado en todo lo anterior, y convirtamos estos eventos en alertas en el SIEM. Creemos un pequeño saco de eventos no convencionales e imprevistos que merecen ser investigados. Y hagámoslo porque no existe la seguridad al 100%, y es imposible contemplar a priori todo lo que puede pasar en un entorno complejo, con lo que por lo menos, pongámosle las cosas difíciles a los malos de la película. Y esto es factible seleccionando con criterio las alertas que queremos generar basadas en los eventos que creemos pueden hacernos pensar que nuestro planteamiento ha sido vulnerado.
Compartir