ESTUDIO DE CASO: Creación de Metodología para Auditoría de Bases de Datos, basada en estándares.

Transcripción

1 ESTUDIO DE CASO: Creación de Metodología para Auditoría de Bases de Datos, basada en estándares. Estudio de caso que presenta: Ing. Sandra Saucedo Mejía Para obtener el grado de: Maestra en Tecnologías de Información Director de Tesis Dr. Luis Gutiérrez Díaz de León Guadalajara, Jalisco 01 septiembre de 2012

2 RESUMEN: PALABRAS CLAVE Auditoría para bases de datos, Seguridad en Tecnologías de Información, Estándares de seguridad de información, Gestión de la información, Seguridad en bases de datos. ABSTRACT KEYWORDS

3 CONTENIDO RESUMEN:... 2 ABSTRACT... 2 INTRODUCCIÓN... 4 MOTIVACION... 4 OBJETIVO GENERAL... 4 OBJETIVOS PARTICULARES... 5 ALCANCE... 5 CONTRIBUCIONES... 5 ESTRUCTURA... 6 MARCO TEORICO... 6 LEYES INFORMATICAS TRABAJOS ACTUALES SOBRE AUDITORIAS PLANTEAMIENTO DEL PROBLEMA JUSTIFICACION ESTADO DE MADUREZ DE UNA ORGANIZACIÓN REQUISITOS PREVIOS PARA REALIZAR UNA AUDITORIA RECURSOS ACTORES ETAPAS DE LA METODOLOGIA METODOLOGIA

4 LISTA DE ABREVIACIONES Y GLOSARIO DE TERMINOS ESTANDARES UTILIZADOS TABLA COMPRATIVA DE ESTANDARES IMPLEMENTACION DE LA METODOLOGÍA RESULTADOS CONCLUSIONES REFERENCIAS INTRODUCCIÓN Falta definir MOTIVACION Falta definir OBJETIVO GENERAL Generar una metodología basada en estándares para la realización de auditoría de base de datos que permita conocer el estado actual de los datos y con ello mitigar los riesgos asociados con el manejo inadecuado y fuga de información asegurando la integridad de la misma. Al proveer al administrador de base de datos de una serie de

5 procesos a seguir se logra la correcta aplicación de los elementos que integran la auditoría. OBJETIVOS PARTICULARES Obtener información de los accesos y movimientos que se generan en la base de datos. Mantener la integridad, confidencialidad y disponibilidad de la información. Asegurar el correcto entendimiento de los procesos que integran la metodología, documentar y ejecutar cada proceso de la auditoría para coadyuvar una mejor administración de la organización. ALCANCE Definir cada uno de los procesos que conforman la metodología, ejecutar cada uno y con base en los resultados obtenidos de la auditoría de la Base de datos, implementar los cambios con la finalidad de reducir las vulnerabilidades identificadas. Incorporar la metodología a los procesos ya definidos por la Coordinación de Operaciones para fortalecer la organización y así cumplir con uno de los objetivos de su misión, el cual consiste en implantar modelos de gestión junto con las instancias universitarias. CONTRIBUCIONES El trabajo desarrollado contribuye al beneficio de la institución en: Proveer de una metodología de auditoria de base de datos basado en los mejores estándares aceptados en Seguridad de Información. Es adaptable a los procesos con los que cuenta la Institución.

6 Crea plusvalía en su personal lo cual genera que el trabajo sea más productivo. ESTRUCTURA Falta por definir MARCO TEORICO Una base de datos es un almacén que permite guardar grandes cantidades de información de forma organizada para luego encontrarla y utilizarla fácilmente. El término de bases de datos fue escuchado por primera vez en 1963, en un simposio celebrado en California, USA. Una base de datos se puede definir como un conjunto de información relacionada que se encuentra agrupada ó estructurada. Desde el punto de vista informático, la base de datos es un sistema formado por un conjunto de datos almacenados en discos que permiten el acceso directo a ellos y un conjunto de programas que manipulen ese conjunto de datos. Cada base de datos se compone de una o más tablas que guarda un conjunto de datos. Cada tabla tiene una o más columnas y filas. Las columnas guardan una parte de la información sobre cada elemento que se quiere guardar en la tabla, cada fila de la tabla conforma un registro [3]. Al hablar de base de datos como un conjunto de datos almacenados, se desprende que los datos son el activo más importante de una empresa, por lo que la respuesta a las amenazas de seguridad debe ser proporcionada y enfrentada con una serie de procesos que permitan encontrar vulnerabilidades y así proteger la información, situación que es uno de las más grandes preocupaciones de una organización en la actualidad [1][12].

7 Hoy en día el éxito de una organización depende en gran parte de la Gestión de la Seguridad de la Información cuyo objetivo es proteger la información y garantizar su correcto uso. Por supuesto, la seguridad de los sistemas informáticos y los procedimientos juegan un papel muy importante en la consecución de dicho objetivo. En este contexto resulta indispensable aclarar algunos términos relevantes: Seguridad de la Información. Es la gestión de todos los riesgos relativos a la información. Esto implica identificar tanto usuarios autorizados y no autorizados, así como la alteración, destrucción ó divulgación de la información [1]. La seguridad de la información consiste en la protección activa de la información, de tal manera que sólo los usuarios autorizados puedan almacenarla y consultarla en el momento que lo requieran con oportunos niveles de integridad. Esto se logra normalmente a través de un Sistema de Gestión de Seguridad de la Información (SGSI). Integridad de la Información. Es la garantía de que la información no ha sido cambiada o modificada excepto por las personas y/o los proceso autorizados. Cubre cualquier forma de cambio no autorizado, ya sea de forma deliberada o accidental. Confidencialidad de la Información. Es la garantía de que sólo los usuarios y/o sistemas autorizados tienen acceso a la información. Un ejemplo podría ser la modificación de los datos almacenados en un ordenador mediante la acción de un virus informático. Disponibilidad de la Información.

8 Por lo general, la disponibilidad se entiende como una cuestión de copia de seguridad y recuperación, y no como un problema de seguridad; sin embargo, los ataques de negación de servicio (DoS) intentan bloquear la capacidad de los usuarios autorizados para acceder y utilizar el sistema cuando lo necesitan. La prevención de los ataques de DoS es una cuestión de seguridad. Durante estos ataques, se suele tener acceso no autorizado a las computadoras que se utilizan para generar solicitudes que inundan el sistema destino. En ocasiones, la disponibilidad se ve mermada por las propias medidas de seguridad. Si el firewall es muy restrictivo, los recursos están protegidos, pero también se puede bloquear el acceso a los usuarios autorizados. Autenticidad de la Información. Significa asegurar que tanto las transacciones como la información y las comunicaciones son genuinas y que las identidades de las personas y los sistemas que acceden a la información, o participan en las comunicaciones son conocidas y verificadas. Un ejemplo es el robo de identidad, en la que una persona usurpa la identidad de una otra haciéndose pasar por ella, generalmente con fines de lucro fraudulento. De lo anterior se deduce que una política organizativa definirá las medidas exactas y las estructuras necesarias para satisfacer las necesidades de la organización y la política de seguridad será el resultado del análisis de riesgos que se llevará a cabo como parte de las actividades de aseguramiento de información. Si todas las copias de una base de datos cifrada permanecen en la posesión de los usuarios autorizados, pero por alguna razón la base de datos no puede ser

9 descifrados para su uso autorizado, entonces los datos están disponibles, pero no en una forma inmediatamente utilizable [1],[7],[15]. La auditoría es el mecanismo disponible que permite el ejercicio de funciones de control, evaluación o revisión de las operaciones de una empresa de manera profesional, independiente y confiable. La auditoría en una base de datos es apropiada para investigar actividades sospechosas y supervisar los movimientos en la misma. Los registros de auditoría pueden ser guardados ya sea en el sistema operativo donde reside la base de datos o en registros propios de ésta. Independientemente de si la auditoría de base de datos se produce, el servidor de la base de datos siempre auditará el inicio y el apagado de la instancia de base de datos, y cualquier conexión a la base de datos realizada con privilegios de administrador [2]. Los procesos de auditoría puede centrarse ya sea en sentencias de algún lenguaje estructurado como es SQL (por sus siglas en inglés Structured Query Language), o bien sobre los privilegios u objetos de la base de datos. Una auditoría interna hace referencia al proceso que es ejecutado por unidades de auditoría interna, es decir por auditores que tienen la condición de empleados de la entidad. La auditoría interna es un elemento competente del sistema de control interno de una entidad y como tal es un medio al servicio de la alta dirección, destinada a salvaguardar los recursos, verificar la exactitud y veracidad de la información de las operaciones, estimular la observancia de las políticas previstas y lograr el cumplimiento de las metas y objetivos programados [7]. Se espera que el auditor de tecnologías de información, que se abreviará como TI tenga conocimientos suficientes sobre los sistemas de gestión de base de datos

10 utilizados por el cliente ya que esto le será de utilidad en la identificación de los riesgos generales de la auditoría. El auditor de TI deberá asegurarse de que existen planes adecuados que aborden cada escenario y que éstos cumplen con el propósito de la auditoría. La protección del acceso a la base de datos de cuentas de usuario es uno de los aspectos más importantes de la seguridad de los datos en una base de datos. Por desgracia, el panorama de la seguridad no ha cambiado drásticamente en los últimos años. Cuando comenzaron a utilizarse los sistemas de gestión de base de datos, en realidad nadie hizo mucho para asegurar sus bases de datos, había problemas obvios relacionados con un diseño débil de cuenta de usuario y contraseñas, y esquemas de asignación de privilegios, aunado al fácil acceso a esas cuentas. Por ejemplo, era común que una base de datos de soporte de una aplicación tuviera definido un esquema propietario de un usuario con privilegios de DBA o privilegios excesivos. [6] En la sociedad de hoy en día toda empresa competitiva que actúa en un entorno de TI debe establecer el mejor uso de estándares de TI y prácticas con el fin de adaptarse a sus requisitos individuales. La creciente adopción de mejores prácticas de TI ha sido impulsada el establecimiento en el cumplimiento de ciertos requisitos en la industria de TI con la finalidad de mejorar la gestión de la calidad y la fiabilidad de la información [8]. Teniendo en cuenta el entorno actual y la multitud de normas que pueden ser aplicadas a los sistemas de información, es un desafío para cada organización elegir el conjunto más adecuado de normas que satisfagan sus necesidades. Un estándar sirve como tipo, modelo, norma, patrón o referencia [13] y en la actualidad se cuenta con una extensa familia de estándares y directrices.

11 ITIL COMO CONJUNTO DE DIRECTRICES DE BUENAS PRÁCTICAS. ITIL se define como un conjunto de directrices de "mejores prácticas" que apoyan la planificación, seguimiento y control de servicios de TI. Constituida por una serie de libros, ITIL define el conjunto de procesos necesarios para la prestación de servicios de TI y proporciona reglas de buenas prácticas. ITIL tiene vocación de establecer un vocabulario común para el conjunto de actores de la industria de TI y proponer una medida estándar de ejecución de los servicios de TI de las organizaciones. También se ofrece como un marco general para que las organizaciones o sus agentes, puedan contar con una estructura dentro de la cual sea factible diseñar e implementar sus propios procedimientos. ITIL consiste de 5 publicaciones. 1. Estrategia del Servicio (SS) 2. Diseño del Servicio (SD) 3. Transición del Servicio (ST) 4. Operación del Servicio (SO) 5. Continua Mejora del Servicio (CSI) La estructura de ITIL es en la forma de un ciclo de vida. Es iterativa y multidimensional. Asegura que las organizaciones están preparadas para ejecutar sus capacidades en algunas áreas y para aprender y mejorar en otras áreas. Se espera que el core de ITIL provea estructura, estabilidad y fuerza a las capacidades de la administración de los servicios aportando principios duraderos, métodos y herramientas. Esto sirve para proteger las inversiones y para proveer las bases necesarias para las mediciones, para el aprendizaje y para la mejora. ITIL puede ser adaptado y aplicado en cualquier circunstancia ya sea un proveedor, cliente o aplicación, dependiendo de diversos factores tales como el tamaño, cultura,

12 los sistemas de gestión existentes, la estructura organizativa y la naturaleza del negocio. ITIL no es prescriptivo, no una hay rigidez en su aplicación que indique que las pruebas de cumplimiento son apropiadas. Por supuesto, los proveedores de servicios que utilizan ITIL no están obligados a buscar la certificación ISO, debido a que ITIL como marco de referencia es suficiente para permitir el diseño de una estructura con políticas y procesos para gestionar los servicios de TI con eficacia. [5],[9],[10]. ESTANDARES INTERNACIONALES Norma ISO / IEC Es el primer estándar internacional exclusivo para el área de Gestión de Servicios de TI, en él, se promueve la adopción de un enfoque de procesos integrados orientados a entregar efectivamente servicios gestionados que satisfagan los requerimientos de los negocios y sus clientes. Publicado por ISO (International Organization for Standardization) y el IEC (International Electrotechnical Commission), ISO/IEC permite a las organizaciones probar su capacidad para entregar servicios gestionados, medir sus niveles de servicio y evaluar su desempeño, así mismo, el estándar puede utilizarse como base para la realización de auditorías que pueden conducir a la certificación formal de la organización proveedora de servicios de TI. Ayudará a medir el nivel de servicio y evaluar su desempeño, reemplaza a BS ISO/IEC utiliza el enfoque basado en procesos de otras normas de sistemas de gestión, tales como 27001:2005, ISO 9001:2008 e ISO 14001:2004 Norma ISO / IEC 27000

13 La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las distintas normas que componen la serie ISO y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO Norma ISO / IEC 27001:2005 ISO/IEC 27001:2005 es un estándar basado en los riesgos de seguridad de información, lo que significa que las organizaciones deben contar con un proceso de gestión de riesgos en el lugar. ISO/IEC define formalmente los requisitos obligatorios para un Sistema de Gestión de Seguridad (SGSI). ISO/IEC incorpora un resumen de los controles de la norma ISO/IEC bajo su anexo A. En la práctica, las organizaciones que adoptan la norma ISO/IEC también sustancialmente adoptan la norma ISO/IEC El concepto clave de un SGSI es para una organización del diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la

14 accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información. Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno. La ISO/IEC por lo tanto incorpora el típico "Plan-Do-Check-Act" (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua: Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados. Do (hacer): es una fase que envuelve la implantación y operación de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento. La mejor definición de SGSI es descrito por la ISO/IEC y ISO/IEC y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO también define normas estandarizadas de distintos SGSI. Norma ISO / IEC 27002:2005

15 ISO/IEC 27002:2005 incluye la norma ISO/IEC 17799:2005 e ISO/IEC 17799:2005 Su contenido técnico es idéntica a la de la norma ISO/IEC 17799:2005. ISO/IEC 17799:2005 / Cor.1: 2007 cambia el número de referencia de la norma a ISO/IEC 27002:2005 es una norma internacionalmente aceptada de buenas prácticas para la seguridad de la información. ISO/IEC 27002, es relevante para todos los tipos de organizaciones, la norma se refiere explícitamente a seguridad de la información, es decir, la seguridad de los activos de información. ISO/IEC 27002:2005 establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos señalados proporcionar una orientación general sobre las metas comúnmente aceptadas de gestión de seguridad de la información. ISO / IEC 27002:2005 contiene las mejores prácticas de objetivos de control y controles en las siguientes áreas de gestión de la información de seguridad: Política de seguridad Organización de la seguridad de la información Gestión de activos Recursos de la seguridad humana Seguridad física y ambiental Comunicaciones y gestión de las operaciones Control de acceso Adquisición de sistemas de información, desarrollo y mantenimiento Seguridad de la información de gestión de incidentes Negocio de gestión de continuidad Cumplimiento Los objetivos de control y controles en la norma ISO/IEC 27002:2005 están destinados a ser implementados para cumplir con los requisitos señalados por la

16 evaluación del riesgo. ISO/IEC 27002:2005 pretende ser una base común y orientación práctica para la elaboración de normas organizativas de seguridad y prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales. RELACION DE LA NORMA ISO/IEC CON LA NORMA ISO/IEC ISO/IEC define formalmente los requisitos obligatorios para un Sistema de Gestión de Seguridad (SGSI). Se utiliza la norma ISO/IEC para indicar adecuados controles de seguridad de la información dentro del SGSI, pero como ISO/IEC es más que un código de prácticas / directrices en lugar de una norma de certificación, las organizaciones son libres de seleccionar e implementar otros controles, o incluso adoptar alternativas completas de controles de seguridad de la información como mejor les parezca. [11][25]. CMMI CMMI se compone de cinco niveles de madurez, cada nivel de madurez representan el aumento de las capacidades del proceso, lo que resulta en una mayor probabilidad de que los objetivos de desarrollo o de mantenimiento se cumplan satisfactoriamente. Cada nivel de madurez consiste en una serie de áreas de proceso (AP). Cada área de proceso consta de un pequeño conjunto de "objetivos" seguido por una colección de prácticas que se debe realizar con el fin de alcanzar las metas. Un proceso cumple con un nivel de madurez determinado si los objetivos y prácticas de todos las AP de ese nivel están satisfechos [4]. COBIT Es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de

17 control con los aspectos técnicos y los riesgos del negocio, permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización. COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio. Además, COBIT proporciona las mejores prácticas y herramientas para el monitoreo y mapeo de procesos de TI, mientras que ITIL tiene como objetivo organizar servicios de TI a nivel de gestión e ISO proporciona directrices para la implementación de un marco de seguridad de información estandarizada [11]. COBIT se basa en los marcos establecidos, tales como, ISO 9000, ITIL e ISO Sin embargo no incluye los procesos y tareas, ya que, si bien está orientada a procesos de Tecnologías de Información, es un marco de control y gestión en lugar de normas de procedimiento. Dado que COBIT se centra en lo que la empresa tiene que hacer, y no en cómo debe hacerlo, su objetivo es la gestión de negocios de alto nivel, la alta gerencia y los auditores de TI. COBIT 5 proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar valor mediante un gobierno y una administración efectivos de la TI, COBIT es un producto de ISACA (Information Systems Audit and Control Association) [23] para impulsar la próxima generación de guías sobre el gobierno y la administración de la información y los activos tecnológicos de las organizaciones, construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5 para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias sobre técnicas de gobierno y administración relacionadas con la TI [14].

18 LEYES INFORMATICAS Resulta de suma importancia contextualizar el marco jurídico actual en el que se desarrolla la función de la auditoría Informática, y como punto de partida daremos una definición del concepto de Auditoría Informática. Auditoría Informática es aquella cuyo propósito es evaluar la función de la tecnología de información y su aportación al cumplimiento de los objetivos organizacionales, con la finalidad de garantizar la integridad de la información y la continuidad de la organización [22]. En México como en muchos países en los que hoy en día la tecnología de información constituye un medio indispensable para el desempeño de muchas de sus actividades, tales como la comercial, económica, científica, cultural, etc., se incorpora el término Derecho Informático a la actividad legislativa, aunque existen diversos puntos de vista respecto a este término, entre algunas de las definiciones los abogados han aportado se encuentra la siguiente: Julio Téllez ha afirmado que es el conjunto de leyes, normas y principios aplicables a los hechos y actos derivados de la informática [21]. Es importante diferenciar el derecho informático del concepto Jurídica informática, la cual ha sido definida por el Dr. Hector Fix Fierro como el conjunto de estudios e instrumentos derivados de la aplicación de la Informática al Derecho, o más precisamente, a los procesos de creación, aplicación y conocimiento del Derecho" [17].

19 En Jalisco existe el ITEI que es el Instituto de Transparencia e Información Pública del Estado de Jalisco (ITEI) es un organismo público autónomo, cuya función principal es garantizar el acceso de la sociedad a la información que se genera con recursos públicos. Es decir, el ITEI tiene la labor de vigilar que toda organización pública o privada que reciba o administre recursos públicos estatales o municipales, facilite su información a la sociedad. La Ley de Información Pública del Estado de Jalisco y sus Municipios denomina a todas estas organizaciones como sujetos obligados, pues son las que están obligadas a cumplir con dicha Ley. En este sentido, su principal obligación es publicitar toda su información fundamental a través de los medios que tenga a su alcance (páginas Web, gacetas, folletos, etc.). Además, los sujetos obligados deben establecer unidades de transparencia que se encarguen de dar trámite a las solicitudes de información. Ahora bien, cuando algún sujeto obligado no cumple con su deber en este sentido, el ITEI tiene la facultad de intervenir para dar respuesta satisfactoria al ciudadano. El Instituto de Transparencia también tiene la tarea de proteger la información personal de los ciudadanos que se encuentra en manos de los sujetos obligados. Debido a que se trata de datos personales, la revelación de esta información atenta contra la privacidad de las personas, y es por ello que se cataloga como información confidencial. El ITEI debe proteger que no se vulnere la privacidad de los individuos de la sociedad [26]. Estados Unidos: cuenta con la mejor base de datos jurídica a nivel mundial (LexisNexis), y existen proyectos desde hace años sobre el uso de la inteligencia artificial aplicada al derecho. Asimismo las demandas y juicios judiciales, debido a los temas propios derivados del derecho informático, son en realidad incontables en este país.

20 Sarbanes-Oxley Act (SOX) requiere que las compañías que cotizan en bolsa en Estados Unidos refuercen y documenten los controles internos para impedir que nadie pueda cometer actos fraudulentos que puedan comprometer la posición financiera de una organización o la precisión de sus datos financieros. El director ejecutivo y el director financiero deben dar fe de la competencia de los controles internos y de la precisión del informe financiero. Estos directores están sujetos a multas y encarcelamiento por informes fraudulentos. Los requisitos de SOX incluyen, entre otros, proporcionar la información que se utiliza para generar los informes y proporcionar la documentación sobre los controles internos utilizados para garantizar la integridad de la información financiera. Otras leyes de EE.UU: Health Information Portability and Accountability Act (HIPAA) está destinada a proteger la información sanitaria identificable personalmente (PII) frente a su publicación o uso incorrecto. Las entidades que retienen esa información deben proporcionar pistas de auditoría de todas las personas que accedan a estos datos. Family Educational Rights and Privacy Act (FERPA) aborda la información sanitaria e identificable personalmente que conservan las escuelas. California Security Breach Notification Law requiere que una organización que posee información variada identificable personalmente (PII) (por ejemplo, tarjeta de crédito, permiso de conducir y números de identificación gubernamentales) proteja esta información. Si la información se ve comprometida, la organización deberá notificarlo al residente en California cuando existan motivos para creer que una persona no autorizada ha obtenido dicha información personal no cifrada. Hay dos leyes (CA-SB y CA-AB-1950) que se aplican a las organizaciones que poseen PII. Federal Information Security Management Act (FISMA) crea estándares y guías de seguridad mediante documentos del Federal Information Processing Standard (FIPS)

21 que gestiona el National Institute of Standards and Technology (NIST). Estos estándares se aplican a organizaciones que procesan información para el gobierno de Estados Unidos. España: Se dice que en el caso de España, sí se puede hablar de una verdadera autonomía en el derecho informático y que aunque esta materia como rama jurídica apenas nace y se encuentra en desarrollo, se está perfilando actualmente como una nueva rama jurídica autónoma. Asimismo, España cuenta con estudios a nivel posgrado especializados en derecho informático. Francia es otro caso situado en esta tendencia. España: Se dice que en el caso de España, sí se puede hablar de una verdadera autonomía en el derecho informático y que aunque esta materia como rama jurídica apenas nace y se encuentra en desarrollo, se está perfilando actualmente como una nueva rama jurídica autónoma. Asimismo, España cuenta con estudios a nivel posgrado especializados en derecho informático. Francia es otro caso situado en esta tendencia. Italia: Es otro caso de amplio desarrollo en legislación sobre derecho informático; considerado por algunos como el primer país que dio una solución integral al problema relativo a la autoridad de certificación, sobre la firma digital asimétrica. Se llevan a cabo cada año, congresos internacionales sobre inteligencia artificial y derecho. Es necesario destacar que la Universidad de Pisa (Universitá degli Studi di Pisa), está constituida como la coordinadora de la Red Chasqui [18],[19]. Japón: Potencia de desarrollo informático en el mundo, situado incluso en la quinta generación, que implica la comunicación con la computadora en lenguaje natural y

22 utilización de sistemas expertos. Con relación a la legislación informática, Japón contempla los siguientes aspectos en los sistemas jurídicos, al igual que algunos otros países que se listan a continuación: Daño de equipo de cómputo y uso ilegal de equipo de cómputo (Japón). Abuso fraudulento en el procesamiento de información (Austria, Japón). Lucrar utilizando inadecuadamente bases de datos (Japón, Nueva Zelanda). Sabotear negocios ajenos (Japón). Piratería y adquisición ilegal de programas (Francia, Alemania, Japón, Escocia, Gran Bretaña), que es el caso de México Ley Federal de derechos de Autor (LFDA). Fraude o robo de información confidencial y programas (Francia, Gran Bretaña, Austria, Suiza, Japón, Estados Unidos), expresada en la LFDA en México. Alteración de programas (Japón, Gran Bretaña), expresada en la LFDA en México [20]. TRABAJOS ACTUALES SOBRE AUDITORIAS ISACA con más de miembros en más de 160 países, ISACA es un proveedor líder global de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad de sistemas de información y seguridad, gobierno empresarial de TI relacionados con el riesgo y cumplimiento. ISACA ha diseñado y creado Características de Seguridad, Auditoría y Control de Oracle Database, 3 ª edición (Serie Técnica de Gestión y Riesgo) (la "Obra"), principalmente como un recurso educativo para los profesionales de control. Se espera adaptar este documento para los profesionales de auditoría y aseguramiento para el medio ambiente en el que se realiza un proceso de verificación. Este documento es para ser utilizado como una herramienta crítica y

23 punto de partida. Puede ser modificado por el aseguramiento y auditoría profesional, no se pretende que sea una lista de verificación o cuestionario [25]. También existe un requisito de Seguridad de Bases de Datos definido en base a la norma ISO / IEC generado por japoneses. ISO / IEC define los requisitos funcionales de seguridad que deben aplicarse para validar un sistema de información. La propuesta es un requisito de seguridad de base de datos de gestión basado en la norma internacional ISO / IEC 15408, llamada ISEDS (Seguridad de la Información Sistema de ingeniería de base de datos). "Los usuarios de ISEDS pueden recoger, gestionar y reutilizar los requisitos de seguridad. Así, ISEDS puede ayudar en el diseño y desarrollo seguro de sistemas de información, que satisfacen los criterios de seguridad de la norma ISO / IEC [16]. Una metodología es un camino que te lleva más allá del conocimiento, proviene del griego que significa o hace referencia al plan de investigación que permite cumplir ciertos objetivos en el marco de una ciencia. [24]. La metodología es una pieza esencial de toda investigación. Cuando se habla de metodología hablamos de un método científico que es un procedimiento para descubrir las condiciones en que se presentan sucesos específicos, caracterizado por ser tentativo, verificable, de razonamiento riguroso y observación empírica. El método científico no es otra cosa que la aplicación de la lógica a las realidades o hechos observados. Una de las ventajas más interesantes de crear una metodología basada en un marco estándar es que se publican cantidades de contenido siguiendo las convenciones

24 que el marco establece (desde terminología hasta estructura de procesos). Este contenido puede incluir conceptos interesantes, ideas y mejores prácticas que se podría incorporar en la metodología. Se entiende por método un orden o procedimientos a partir de la lógica del pensamiento científico que surge de la teoría. Teoría y método van siempre juntos, mientras que la metodología es parte instrumental de la investigación, y como tal lleva al objeto de investigación. PLANTEAMIENTO DEL PROBLEMA El tema del presente trabajo es la definición de una metodología de auditoría de bases de datos fundamentada en los estándares de seguridad de información. La metodología pretende mejorar la comunicación de la organización tanto externa como interna y, con ello generar procesos y políticas concretas que permita delimitar roles y alcanzar objetivos o tareas específicas que requieren habilidades determinadas. Para el desarrollo de la misma se utilizará una base de datos que esta a cargo de la Unidad de Administración de Aplicaciones y Bases de Datos (UAAYBD) dependiente de la Coordinación de Operación de Servicios (COS) de la Coordinación General de Tecnologías de Información (CGTI) de la Universidad de Guadalajara. La COS como responsable de las tecnologías de información tiene entre sus atribuciones la administración de las bases de datos con el objeto de garantizar su disponibilidad, seguridad y buen desempeño, misión que está a cargo de la UAAYBD quien debe garantizar la seguridad de la información, las aplicaciones y las bases de datos en su integridad, disponibilidad y confidencialidad mediante la implementación

25 de políticas y normas que regulen el acceso de los usuarios de la red universitaria a dichas bases de datos. Por otro lado, la Universidad de Guadalajara está obligada a observar la Ley de Información Pública del Estado de Jalisco y sus Municipios (LIPEJM), que en su artículo 24 apartado XV señala como una obligación: Proteger la información pública en su poder contra acceso, utilización, sustracción, modificación, destrucción, eliminación no autorizados y en el apartado XVII del mismo artículo la obliga a Utilizar adecuada y responsablemente la información pública reservada y confidencial. Un proceso de auditoría de base de datos permite identificar y corregir las vulnerabilidades y los problemas u omisiones que se tengan en la configuración de las instancias de base de datos mediante el desarrollo e implementación de políticas efectivas que estén bien afinadas y adaptadas a las necesidades propias del ambiente de bases de datos de la institución, permite también establecer un mejor manejo en la asignación y mantenimiento de privilegios de acceso a los datos, definiendo distintos grados o niveles de control, al tiempo que posibilita la obtención de evidencia de la actividad que los usuarios privilegiados tienen en las bases de datos y permite la generación de alertas que informen sobre comportamientos inusuales o sospechoso por parte de los usuarios, de tal manera, la información que se obtiene del proceso de auditoría es útil para definir procedimientos de acción, ya sea automatizados o manuales, a ejecutar ante un escenario de violación de las políticas de seguridad vigentes en al ambiente de las bases de datos. El problema fundamental que da origen a este trabajo de tesis es que en la actualidad la UAAYBD no cuenta con un proceso para realizar la auditoría de las bases de datos que están a su cargo, si bien se llevan a cabo tareas en este sentido, por lo general dichas acciones son de orden reactivo y obedecen a eventos específicos reportados por los mismos usuarios de la red universitaria y no como

26 parte de un plan preventivo que se ejecute de manera periódica. En este contexto, la creación de una metodología para auditoría de base de datos representa una oportunidad para incorporar esta metodología a los procesos existentes referente a seguridad de la información lo cual es una de las actividades de la UAAYBD tendientes a cumplir la misión que tiene encomendada, y para coadyuvar al cumplimiento de las disposiciones de la LIPEJM (Ley de Información Pública del Estado de Jalisco y sus Municipios), y en consecuencia resulta ser el propósito fundamental de la tesis. Las condiciones en la que se conceptualizará la metodología para la elaboración del proceso de auditoría están enfocadas en los estándares de seguridad actuales. La COS basa sus procesos en ITIL por lo que el crear e implementar una metodología que se adapte a las necesidades de la UAAYBD resultará más fácil ya que el personal cuenta con el conocimiento acerca de las buenas prácticas de ITIL. Por qué utilizo una Metodología? Porque se necesita una manera sistemática, controlada y crítica para llevarla a cabo. Porque es necesario transformar los planteamientos iniciales en forma más precisa y estructura. Porque es necesario seleccionar la perspectiva de la investigación y asimismo conocer los antecedentes de estudios anteriores. JUSTIFICACION Al crear una metodología basada en estándares se definen requisitos obligatorios para la auditoría, se puntualiza el como lograr la implementación de los estándares, el utilizar un buen juicio profesional en su aplicación y justificar cualquier desviación de la misma. Proporcionar ejemplos de procedimientos que podría seguir un auditor,

27 esto es proveer de información con respecto a como cumplir con los estándares de auditoría de información. Con la auditoría de la base de datos se pretende mantener la seguridad e integridad de los datos, durante su proceso se revisarán usuarios y esquemas, estructuras de tablas, accesos, privilegios, rendimiento, almacenamiento lógico y físico, estructura lógica y física, archivos de respaldo, con la finalidad de contribuir a la prevención de accesos intencionados o accidentales por parte de usuarios no autorizados, así como a la investigación de actividades sospechosas. La auditoria de TI enfocada a las operaciones de SQL, permite entre otras cosas, evitar la liberación inapropiada de información, controlar el uso excesivo de recursos de CPU por parte de las sentencias SQL, garantizar el uso eficiente de las relaciones entre objetos de la base de datos a través de la afinación de las consultas, conocer las debilidades esto es, detectar como personas ajenas a la organización están accediendo a la información. ESTADO DE MADUREZ DE UNA ORGANIZACIÓN El modelo utilizado por COBIT para conocer el estado de madurez de una Organización es adaptado y se enfoca en encontrar el nivel que tiene la organización con respecto a la práctica de auditoría de base de datos. 1. NO EXISTENTE. No existe un proceso definido para realizar una auditoría de base de datos. 2. INICIAL: Existe cierto reconocimiento de la necesidad de realizar auditorías. El enfoque de los requisitos de riesgo y el control son desorganizados, sin comunicación o monitoreo. Las deficiencias no se identifican. Los empleados no son conscientes de sus responsabilidades.

28 3. REPETIBLE PERO INTUITIVO: El conocimiento sobre realizar auditorías es latente, pero no están documentados. Su funcionamiento depende del conocimiento y la motivación de los individuos. La efectividad no está suficientemente evaluada. Muchas debilidades existen y no se tratan adecuadamente, el impacto puede ser grave. 4. DEFINIDO: El proceso existe y esta documentado adecuadamente. Sin embargo, el proceso de evaluación no está documentado. Los empleados son conscientes de sus responsabilidades en materia de la administración de la información. 5. ADMINISTRADO Y MEDIBLE: Hay una evaluación formal y documentada sobre la auditoría y sobre los riesgos. El proceso de auditoría es revisado y documentado, pero no todos los problemas se identifican de forma rutinaria. 6. OPTIMIZADO: Existe una evaluación formal y documentada sobre la auditoría de la información, está el monitoreo en tiempo real sobre la actividad de la base de datos. Evaluaciones continúas sobre los privilegios y usuarios que existe en la base de datos. REQUISITOS PREVIOS PARA REALIZAR UNA AUDITORIA Conocer el estado de madurez de la Organización. Haber concientizado a los trabajadores de su responsabilidad en el área que desarrollan Haber documentado sus actividades. Haber definido las responsabilidades de la información para que estas sean claras. Haber detectado los puntos a auditar.

29 RECURSOS La Organización debe contar con personal calificado en el área de Base de datos. Definición de procesos establecidos Definición de los roles involucrados en la Organización. Cultura, ética y compromiso con las actividades a realizar. ACTORES. No definido. ETAPAS DE LA METODOLOGIA Pretendo adecuar el modelo de ISMS, ITIL,RMP y desarrollar cada punto. METODOLOGIA. Aquí se define el procedimiento de la metodología. LISTA DE ABREVIACIONES Y GLOSARIO DE TERMINOS. ESTANDARES UTILIZADOS. ISO/IEC 27001:2005 ISO/IEC 27002:2005 COBIT

30 ITIL como un conjunto de directrices y buenas prácticas. TABLA COMPRATIVA DE ESTANDARES. ISO/IEC / ITIL COBIT 4.1 [ISMS] Requerimientos generales (SD) Marco de seguridad 4.2 Establecimiento y gestión del SGSI Establecer el SGSI (SD) Seguridad Gestión de Sistemas de Información Implementar y operar el SGSI Monitorear y revisar el SGSI Mantener y mejorar el SGSI 4.3. Documentación de requerimientos General Control de documentos Control de archivos (SD) ISM salidas (SD) ISM Administración de la seguridad de la información 5 Gestión de la responsabilidad 5.1 Compromiso de la dirección 5.2 Gestión de los

31 recursos Disposición de los recursos Formación de conciencia y competencia 6 Auditorías internas SGSI 7 Revisión por parte de la dirección del SGSI 7.1 General 7.2 Revisión de entradas 7.3 Revisión de salidas 8 Mejora del SGSI 8.1 Mejora continua 8.2 Acciones correctivas 8.3 Acciones preventivas 0.1 Seguridad de la (SD) Propósito/ Información Meta/ Objetivos 0.2 Necesidad de la (SD) Valor del información negocio 0.3 Establecer (SD) Entradas requerimientos de seguridad 0.4 Evaluación de riesgos (SD) Seguridad de seguridad Gestión de Sistemas de Información 0.5 Selección de controles (SD) Controles de seguridad 0.6 Seguridad de la (SD) Actividad de los información como punto de procesos, métodos y

32 partida técnicas 0.7 Factores críticos de (SD) Retos, factores éxito críticos de éxito y riesgos 0.8 Desarrollando tus propias directrices A.1 Alcance (SD) Alcance A.4 Evaluación de riesgos (SD) ITSCM y tratamiento actividades de los A.4.1 Evaluación de métodos y técnicas de riesgos de seguridad proceso A.4.2 Tratamiento de (SO) 8.3 Evaluación y riesgos de seguridad administración en la operación de servicios A.5 Políticas de seguridad (SD) 3.5 Diseño de A.5.1 Información de actividades políticas de seguridad (SD) La información de políticas de seguridad (ME2.1) 1.3 Definir la seguridad A.6.1 Organización interna (De la seguridad de la información) (SD) Marco de seguridad (ME2.1) Determinar si existen lagunas en la política corporativa. (ME2.1) 1.3 Definir la seguridad. A Compromiso de la dirección de seguridad de (SD) Retos, factores críticos de éxito y riesgos

33 la información A Coordinación de la seguridad de la información A Asignación de responsabilidades seguridad de la información A Proceso de autorización de las instalaciones de procesamiento de información A Acuerdos de confidencialidad A Contacto con autoridades A Contacto con los grupos de interés A Revisión independiente de seguridad de la información A.6.2 Partes externas A Identificación de riesgos relacionados con las partes externas (SD) Seguridad Gestión de Sistemas de Información (SD) ISM Problemas en la gestión de proveedores (SD) ISM salidas

34 A Abordar la seguridad al tratar con los clientes A Seguridad frente a contratos de terceros A.7 Administración de activos A.7.1 Responsabilidad de los activos A Inventario de activos A Propiedad de los activos A Uso aceptable de los activos A.7.2 Clasificación de la Información A.8 Seguridad de los (SD) Anexo F: Manejo de acuerdos de nivel de servicio (SLA) y acuerdos de operación de servicios (OLA) (ST) 4.3 Activos del Servicio y Administración de la Configuración (ST) 4.3 Activos del Servicio y Administración de la Configuración (ST) Sistema de Administración de Configuraciones (ST) Anexo A Descripción de tipo de activos (ST) Identificar la configuración (ST) Activos del servicio y Administración de la configuración de políticas. (SD) Seguridad Gestión de Sistemas de Información

35 Recursos Humanos A.8.1 Antes del empleo A Roles y responsabilidades Selección A Términos y condiciones del empleado A.8.2 Empleados activos A Manejo de responsabilidades A Conocimiento sobre la seguridad de la información, educación y formación A Proceso disciplinario A.8.3 Termino del ciclo de un empleado A Termino de responsabilidades A Retorno de activos (SO) Selección e investigación (SO) Formación y conocimiento (PO7.8, DS5.4) Obtener una lista de los empleados despedidos de RH Comparar la lista empleado despedido a la lista de usuarios en el sistema para garantizar que las cuentas se terminan en una manera oportuna.

36 A Eliminación de los derechos de acceso A.9 Seguridad física y del entorno A.9.1 Áreas seguras. Objetivo: Impedir el acceso físico no autorizado, daño e interferencia a las instalaciones de la organización y información. A Controles físicos de entrada A Seguridad en oficinas e instalaciones A Trabajar en áreas seguras A Suministro de acceso público y áreas de carga A.9.2 Seguridad en equipo A Equipo de localización y protección A Seguridad de los equipos fuera de las instalaciones A.10 Administración de las comunicaciones y operaciones. (SO) Anexo F: Control de acceso físico (SO) Control de operación de servicios (SO) Control de operación de servicios E7 Envío y recepción (SO) 5.12 Instalaciones y Centros de datos (SD) Seguridad Gestión de Sistemas de Información

37 A.10.1 Los procedimientos operacionales y las responsabilidades. Objetivo: garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información. A Realizar la documentación de los procedimientos A Gestión del cambio. A Separación de los roles de desarrollo, pruebas y operaciones. A.10.3 Planificación de sistemas y aceptación A Administración de la capacidad A Aceptación de sistemas A.10.4 Protección contra código malicioso. Objetivo: Proteger la integridad del software y de la información (SO) 5.13 Administración de la seguridad de la información y operación del servicio (SO) Consola de administración (SO) Documentación (ST) Administración de cambios (ST) (Validación de servicio y pruebas) Consideraciones de diseño (SD) Administración de la capacidad (ST) Desarrollo de triggers, entrada y salida de procesos (SD) Seguridad Gestión de Sistemas de Información (ME2.7) 1.5 Definir el proceso de cambio.

38 A Controles contra código malicioso. A.10.5 Respaldo. Objetivo: Mantener la integridad y disponibilidad de las instalaciones de procesamiento de información A Realizar copias de seguridad de la información Administración de la seguridad de la red Controles de red Seguridad y servicios de red (SO) Respaldo y recuperación (SD) Anexo K: Pasos para un plan recuperación. (SO) 5.5 Administración de la red (DS1.3, DS4.2, DS11.2, DS11.3, DS11.5) 5.1 Una estrategia de copia de seguridad y recuperación. (PO2, AI2.4, AI2.5, AI3.2, DS5.9, DS5.10, DS9.3, ME1.1, ME1.3, ME2.6) 8.1 Los controles están en el lugar para proteger la información de base de datos comunicados por una red. (PO2, DS5.10, ME2.6)8.1.1 Revisar un diagrama de la arquitectura de red que muestra la relación lógica entre la base de datos y otros sistemas y redes dentro de la empresa.

39 A.10.8 Intercambio de información. Objetivo: Mantener la seguridad de la información y el software intercambiados dentro de una organización y con cualquier entidad externa. A Intercambio de información políticas y procedimientos A Establecer acuerdos de intercambio de información entre la organización y la parte externa. A Medios físicos. Los medios que contienen información deben estar protegidos contra acceso no autorizado, mal uso o corrupción durante el transporte. Asegúrese de que la base de datos está protegida por un firewall de un tercero o los puntos de acceso a Internet.

40 A Monitoreo. Objetivo: detectar actividades no autorizadas de procesamiento de información. A Registro de auditoría. (SO) 5.13 Administración de la seguridad de la información y operación del servicio (ME2.1) 1.1 Definir Auditoría/Asegurar Objetivos Revise los objetivos de la auditoría / seguridad en la introducción de este programa de auditoría / seguridad Modificar los objetivos de la auditoría / seguridad para alinearse con el universo de auditoría / aseguramiento (ME2.1) 1.7 Definición de auditoría / aseguramiento de los recursos necesarios. (ME1) 2.1 Revisión de auditorías / exámenes Control: Revise el informe previo, si existe, y verificar la realización de las