auditoria de si

UNIVERSIDAD TECNOLGICA NACIONAL

Facultad Regional de Crdoba

Ingeniera en Sistemas de Informacin

Auditora de SI/TI

TRABAJO PRCTICO INTEGRADOR

AUDITORA DE BASE DE DATOS ORACLE

CURSO: 5K3

PROFESORES:

COORDINADORA: Delgado, Alicia Elena

ADJUNTO: Spesso, Aldo Jorge

JTP: Carrizo, Blanca Rosa

INTEGRANTES:

Caballero, Pablo. Legajo: 55056.

Duran, Dbora. Legajo: 54722.

Molina, Mariano. Legajo: 49472.

Universidad Tecnolgica Nacional Auditora en SI/TI

Facultad Regional de Crdoba Ciclo Lectivo 2015

2

CONTENIDO

Introduccin

Propsito

Objetivos Generales

Marco Terico

Porque auditamos?

Desafos de Privacidad y Cumplimiento

Desafos de Amenazas Internas

Base de Datos Oracle 10g

Caractersticas de Oracle 10g

Todos los datos, todas las aplicaciones

Rendimiento, Disponibilidad, Seguridad y Confiabilidad Comprobada

BENEFICIOS

Alcances de la Auditora

Normativa Aplicada

COBIT: ISO27001 e ISO27002

Proceso de Auditora

Subproceso Planificacin de Auditoras

Subproceso Ejecucin de Auditora

Roles

PLANIFICACIN DE AUDITORA

EVIDENCIAS DE AUDITORA

ANLISIS DE Empresa Bajo Estudio

DESCRIPCIN

TIPO DE ORGANIZACIN

ORGANIGRAMA FUNCIONAL

DESCRIPCION DE AREAS

Realizacin de auditora

Revisin EN REGISTROS Y CONTROL

Causa

Efecto

Conclusin

REVISIN DEL HARDWARE Y SOFTWARE INSTALADO EN LOS SERVIDORES.

Condicin

Criterio

Efecto



3

Conclusin

Revisin de los usuarios y permisos

Condicin

Causa

Efecto

Criterio

Conclusin

Revisin de la base de datos

Condicin

Criterio

Causa

Efecto

Conclusin

Revisin del ambiente del centro de cmputos

Revisin de polticas y planes de contingencias y respaldos

Condicin

Criterio

Causa

Efecto

Conclusin

Cumplimiento de controles

Sarbanes Oxley Section 404

Oracle Oracle Advanced Security

TDE (Transparent Data Encryption)

Cumplimiento de regulacin PCI

Recomendaciones

Se recomienda:

CONCLUSIONES

ANEXOS

ANEXO 1: CHECK LIST DE AUDITORIA

ANEXO 2: QUERYS DE AUDITORA



4

Introduccin

Auditar consiste principalmente en estudiar los mecanismos de control que estn

implantados en una empresa u organizacin, determinando si los mismos son adecuados y

cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se

deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser

directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.

La Auditora Informtica es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para

determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la

integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza

eficientemente los recursos, cumple con las leyes y regulaciones establecidas. Permiten

detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una

organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y

objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan

flujos de informacin eficientes.

La Auditora Informtica deber comprender no slo la evaluacin de los equipos de

cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los

sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos,

seguridad y obtencin de informacin. Sus principales objetivos, son: el control de la funcin

informtica, el anlisis de la eficiencia de los Sistemas Informticos, la verificacin del

cumplimiento de la normativa en este mbito, y la revisin de la eficaz. Esto contribuye a

mejorar ciertas caractersticas en las empresas, como el desempeo, la fiabilidad, la eficacia, la

rentabilidad, la seguridad y la privacidad.

Nos hemos propuesta como objetivo la realizacin de una auditora al rea de Base de

Datos en una empresa de desarrollo de software, para el cumplimiento del TPI de la ctedra de

Auditora SI/TI.



5

PROPSITO

Los objetivos del proyecto son:

Permitir el cumplimiento de los objetivos de negocio, de tal manera que la tecnologa est

acorde con las actividades de la compaa, proporcionando disponibilidad, confiabilidad y

seguridad de la informacin.

Realizar observaciones y recomendaciones que permitan al departamento de TI optimizar

el control, operacin y administracin de su infraestructura tecnolgica, y facilitar la

gestin de la mejora continua en cuanto a la administracin de la base de datos.

OBJETIVOS GENERALES

Realizar un estudio amplio del tema Auditora como punto focal y funcin relevante en

el desarrollo de las organizaciones.

Determinar y/o acotar la influencia de la tecnologa informtica en Auditora.

Establecer el punto de interaccin entre el profesional de sistemas informticos y

aquellos otros intervinientes en una Auditora.

Establecer el/los elementos esenciales dentro de Auditoria Informtica.

Establecer un mecanismo de control sobre los datos de la organizacin que permita

prevenir los riesgos de administracin de los mismos.

Auditoras en Base de Datos. Herramienta para rastros de actividad Activity Log

Generar diferentes reportes para que un usuario autorizado pueda analizar los activity

logs.

MARCO TERICO

PORQUE AUDITAMOS?

La auditora est alcanzando un rol cada vez ms importante en las reas de

cumplimiento, privacidad y seguridad. Satisfacer las regulaciones de cumplimiento como las de

Sarbanes-Oxley y mitigar los riesgos relacionados con las amenazas internas son algunos de los

desafos de seguridad ms importantes a los que se enfrentan las empresas de hoy.

Actualmente, el uso de los datos de auditora como recurso de seguridad contina siendo un

proceso manual que requiere que el personal de auditora y de seguridad de IT primero

recopile los datos de auditora y luego realice investigaciones sobre una gran cantidad de datos

de auditora dispersos utilizando scripts personalizados y otros mtodos.



6

DESAFOS DE PRIVACIDAD Y CUMPLIMIENTO

Los gobiernos de todo el mundo han promulgado una gran cantidad de regulaciones

relacionadas con los controles financieros, la asistencia mdica y la privacidad.

AMRICA

o Sarbanes-Oxley (SOX)

o Healthcare Insurance Portability and Accountability Act - HIPAA (Ley de

Transferencia y Responsabilidad de Seguros Mdicos)

o CA SB 1386 y otras Leyes Federales de Privacidad

o Payment Card Industry Data Security Act (Ley de Seguridad de Datos

de Tarjetas de Pago)

o FDA CFR 21 Seccin 11

o FISMA -Federal Info Security Mgmt Act (Ley Federal de Administracin

de Seguridad de la Informacin)

EUROPA, MEDIO ORIENTE Y FRICA

o Directivas de Privacidad de la UE

o UK Companies Act de 2006 APAC (Ley de Sociedades del Reino Unido)

o Financial Instruments and Exchange Law (J-SOX) (Ley de Intercambio e

Instrumentos Financieros)

o CLERP 9: Audit Reform and Corporate Disclosure Act (Australia) (Ley de

Privacidad Corporativa y Reforma de Auditoras)

GLOBAL

o Estndares Internacionales de Contabilidad

o Basilea II (Banca Global)

o Pautas COECD sobre Corporate Governance

Cada regulacin tiene sus propias caractersticas y requerimientos. La ley Sarbanes-Oxley

(SOX) requiere que los ejecutivos certifiquen la precisin de los estados financieros. Las

regulaciones de SOX exigen slidos controles internos para respaldar los estados

financieros. La ley Healthcare Insurance Portability and Accountability Act (HIPAA) requiere la

proteccin de la informacin sensible relacionada con el rea de asistencia mdica. Asimismo,

la ley Payment Card Industry Data Security Act (PCI) exige que los ejecutivos monitoreen el

acceso a los datos personales de los propietarios de tarjetas.

Las claves para respaldar las regulaciones de privacidad y cumplimiento son las polticas y

procedimientos de seguridad adecuados para controlar el acceso, la encriptacin, la

confeccin de informes y el monitoreo. Las polticas de control de acceso son importantes para

imponer polticas need-to-know (necesidad de conocimiento) respecto de los datos de

aplicaciones, especialmente para usuarios altamente privilegiados como los DBA. Las polticas

de encriptacin son un aspecto importante en cuanto a la proteccin de la informacin para

los datos relacionados con la privacidad, como por ejemplo, los nmeros de tarjeta de crdito

o del seguro social en los medios subyacentes de almacenamiento. Se han publicado

numerosos casos de gran relevancia con relacin a la prdida de cintas de backup y unidades



7

de disco. El proceso de informes y monitoreo ayuda a imponer la frase trust-but-verify (confe,

pero verifique) al realizar una auditora de las actividades de todos los usuarios,

especialmente de los usuarios privilegiados. Asimismo, estos datos de auditora pueden

utilizarse para alertar al personal de seguridad de IT sobre problemas que podran violar una

regulacin de cumplimiento especfica.

No obstante, en la actualidad, utilizar la informacin de auditora es un proceso costoso,

ineficiente y que lleva mucho tiempo debido al hecho de que los datos de auditora se

distribuyen a travs de mltiples sistemas. La informacin de auditora debe consolidarse, ser

segura y fcilmente accesible por parte del personal de auditoras y seguridad de IT.

DESAFOS DE AMENAZAS INTERNAS

La naturaleza cada vez ms sofisticada del robo de informacin y las amenazas internas exigen

a las empresas no slo proteger la informacin sensible, sino tambin monitorear el acceso a

esa informacin, con inclusin del acceso de usuarios privilegiados y con ms derechos. El

estudio de Seguridad y Delitos Informticos CSI/FBI 2005 ha demostrado que ms del 70% de

los ataques y las prdidas de datos de los sistemas de informacin se ha llevado a cabo por

parte de personas internas a la empresa, es decir, por aquellas personas autorizadas con al

menos algn nivel de acceso al sistema y sus datos. Las violaciones internas de seguridad

pueden resultar mucho ms costosas que los ataques producidos fuera de la empresa.

El anlisis de varios incidentes ha demostrado que el impacto resultante podra haber sido

sustancialmente menor si se hubieran examinado los datos de las auditoras. No obstante, se

ha comprobado que utilizar los datos de auditora es una tarea difcil debido a que los datos de

auditora se encuentran distribuidos, lo cual dificulta el anlisis, la confeccin de informes y la

emisin de alertas.

BASE DE DATOS ORACLE 10G

Oracle 10g es el sistema de gestin de base de datos relacional creado por Oracle Corp. Una

base de datos es el conjunto de datos en una o varias tablas relacionadas entre s. Oracle 10g

es la versin mejorada de la versin anterior y se compone de las funciones que le dan ms

control para almacenar, recuperar y procesar los datos. Puede utilizar las nuevas

caractersticas de SQL a travs de SQL * Plus , que es la interfaz fcil de usar para la extraccin

y manipulacin de datos .



8

CARACTERSTICAS DE ORACLE 10G

Oracle 10g ofrece una infraestructura de alto performance incluyendo:

Escalabilidad de departamentos a sitios empresariales de e-business

Robustez, confiabilidad, disponibilidad y arquitecturas seguras.

Un modelo de desarrollo de fcil despliegue.

Plataforma Oracle (Incluyendo SQL, PL/SQL, Java y XML)

Un manejo de interfaz para todas las aplicaciones.

Estndares tecnolgicos para las industrias, e interconectividad.

Oracle Database 10g est diseado para almacenar y manejar la informacin de la empresa,

recorta los costos de manejo y provee una alta calidad de servicio. Reduce los requerimientos

de configuracin y manejo y automatiza la afinacin de la parte de SQL, esto disminuye en

gran medida los costos de mantener todo el ambiente de su arquitectura.

Oracle Database maneja datos no estructurados tales como:

Hojas de Clculo

Documentos de Word

Presentaciones de Powerpoint

XML

Tipos de datos multimedia como MP3, grficos, video, fotos.

El Servidor de Aplicaciones provee una completa plataforma de infraestructura para desplegar

y desarrollar aplicaciones empresariales, integrando muchas funciones incluyendo un

ambiente en tiempo de ejecucin de J2EE y Web Services. Cuenta con un Portal empresarial,

que es una integracin de inteligencia de negocios, capturador web y servicios de manejo de

identidad.

OAS 10g es el nico servidor de aplicaciones que incluye servicios para todas diferentes

aplicaciones de servidor que quieras correr por ejemplo:

Portals o Web Sites

Aplicaciones transaccionales de Java

Aplicaciones de inteligencia de Negocios

Y por ltimo, provee integracin entre usuarios, aplicaciones y datos para toda tu

organizacin. Este es bsicamente el Administrador de Tareas de la Base de Datos, es decir es

una completa e integrada consola de manejo central, administra las tareas entre el conjunto

de sistemas en un ambiente en malla.

Oracle considera la disponibilidad y el rendimiento de la infraestructura de red como un todo

unificado, como una experiencia de usuario, en vez de aislarlos como unidades de

almacenamiento.



9

TODOS LOS DATOS, TODAS LAS APLICACIONES

Oracle como la base de datos lder del mercado soporta todos los tipos de datos relacionales

estndares, as como tambin datos nativos como XML, texto, imgenes, documentos, audio, y

datos espaciales. El acceso a la informacin es realizado a travs de interfaces estndares

como SQL, JDBC, SQLJ, ODBC.Net, OLE.Net y ODP.Net, SQL/XML, XQuery y WebDAV. Los

procedimientos almacenados pueden ser escritos en Java, PL/SQL o utilizando .Net CLR

support en Oracle Database 10g Release 2.

RENDIMIENTO, DISPONIBILIDAD, SEGURIDAD Y CONFIABILIDAD COMPROBADA

La base de datos Oracle asegura el mximo rendimiento para todas las cargas de trabajo.

Cuando se corre en un clster, la carga de trabajo es automticamente balanceada a travs de

las mquinas disponibles, asegurando la mxima utilizacin de su equipo. Implementando un

ambiente de clusters con Real Application Cluster protege sus aplicaciones de negocio ante

cadas de negocio. Cuando una mquina falla o necesita mantenimiento, sus aplicaciones de

negocio pueden continuar accediendo a los datos ininterrumpidamente en las otras mquinas

del clster.

BENEFICIOS

Soporte para Real Application Cluster para sistemas altamente disponibles.

Simple configuracin e instalacin, administracin automatizada.

Compatible con todo tipo de datos y con todas las aplicaciones.

Desempeo, disponibilidad, seguridad y confiabilidad comprobada.

ALCANCES DE LA AUDITORA

El objetivo principal de la revisin es determinar los elementos de seguridad de un entorno

cliente / servidor que ejecuta Oracle DB versin 10.2.0.4.0 como motor de base de datos. No

se pretende proporcionar una gua integral sobre otros elementos de un entorno de Oracle DB.

El entorno de trabajo est compuesto por una serie de elementos relacionados entre s como

son: Aplicaciones, Bases de datos, Sistemas operativos y Hardware.

Para garantizar la correcta funcionalidad de los procesos relacionados con la infraestructura

tecnolgica que soporta las actividades transaccionales de la compaa se ha decidido realizar

el proyecto de auditora de la base de datos en el rea de DBA, con el fin de verificar el

correcto funcionamiento de los procesos de acuerdo con las polticas del negocio, de tal

manera que los objetivos de TI y los del negocio estn alineados.

El alcance general de la presente auditora, es el anlisis y la evaluacin de la utilizacin

correcta, eficiente y oportuna del procedimiento general de base de datos. Comprender

desde el inicio del procedimiento con los subproceso de Planificacin de Auditoras y Ejecucin

de Auditora, hasta la actividad de cierre.



10

Para satisfacer las regulaciones de cumplimiento y mitigar el riesgo relacionado con las

amenazas internas son dos de los desafos de seguridad ms importantes a los que se

enfrentan las empresas hoy en da.

A continuacin, se presenta el alcance general desglosado en los tems que se van a analizar y

evaluar en la identificacin de correcciones y mejoras:

Evaluar el conocimiento y utilizacin de los procedimientos generales de base

de datos

Controlar que los Roles y Responsabilidades definidos.

Control de acciones seleccionadas que los usuarios efectan sobre la BD y se

utilizan para:

Investigar actividades dudosas sobre la BD

Recopilar informacin acerca de actividades especficas de la BD

Recopilar estadsticas sobre qu tablas se estn actualizando, cuantas E/S

lgicas se realizan y cuntos usuarios se conectan de forma simultnea en las horas de

mxima actividad.

NORMATIVA APLICADA

Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT), son

una agrupacin de buenas prcticas definidas sobre un conjunto de dominios y procesos los

cuales a su vez pueden ser representados por mltiples actividades. Fue creado debido a la

necesidad del aseguramiento del valor de TI, la administracin de los riesgos asociados a TI, y

tambin para gestionar el incremento de requerimientos para controlar la informacin. Es un

modelo que est enfocado directamente sobre el control (no la ejecucin) de la organizacin a

nivel de tecnologas de informacin, involucrando desde administradores de TI, hasta usuarios

y auditores encargados de los procesos.

Hoy en da las organizaciones tienen muy claro su estructura organizacional, sus polticas, su

forma de gobernar y administrar todo lo que a esta se refiere. De igual manera la tecnologa de

informacin debe tener mtodos y medidas para administrar sus activos con las TI sino

tambin del negocio y que permitan detectar y hacer correcciones a eventos no deseados.

COBIT: ISO27001 E ISO27002

La Ley Sarbanes -Oxley (SOX) establece los requisitos para la integridad de los datos de origen

utilizados en transacciones financieras e informes. En general, los auditores estn buscando

datos regulados que residen en bases de datos conectadas a aplicaciones empresariales como

SAP, Oracle E -Business Suite, PeopleSoft, y otras aplicaciones Web. Las principales preguntas

clave que los profesionales de TI deben responder durante una auditora de base de datos de

SOX son los siguientes:



11

PREGUNTAS

1. Es el proceso de auditora independiente del sistema de base de datos que est siendo auditada?

2. La pista de auditora establecer la rendicin de cuentas de usuario?

3. La pista de auditora incluyen detalle apropiado?

4. La pista de auditora a identificar las variaciones materiales de la actividad de referencia?

Las respuestas a estas preguntas varan dependiendo del mecanismo de auditora

propia. Desafortunadamente, muchos mecanismos de auditora de base de datos no fueron

diseados para satisfacer las necesidades de los auditores de SOX y por lo tanto no abordan

adecuadamente estas preguntas.

PUNTOS DE CONTROL

Auditora, Registro y

Control

Algn tipo de control que registra la actividad del usuario, administrativos o de

sistema. Cualquier control que ayuda a ver los sucesos del sistema de registro o

el control de la seguridad del sistema.

Tolerancia a fallos, de

respaldo y recuperacin

Cualquier control establecido para garantizar la disponibilidad del sistema de

base de datos, o reducir la cantidad del tiempo si el sistema tuviere algn tipo

de fallo.

Sistema de archivos de

acceso y de gestin

Un control que restrinja el acceso o proteja el sistema de archivos. Esto incluye

la configuracin de los permisos de archivos, directorios especficos del sistema

y los permisos, servicios pblicos sensibles del sistema, la configuracin

predeterminada de creacin de archivos y artculos relacionados.

Administracin de

contraseas

Un control que hace cumplir las normas de gestin de contraseas, tales como

longitud de la contrasea, historial de contraseas, caducidad de la contrasea,

y la composicin contrasea.

Sistema de privilegios y

servicios pblicos

Cualquier control para prevenir el uso no autorizado de los privilegios del

sistema sensible y servicios pblicos.

Red de controles Algn control establecido por los servicios de red y de acceso, pero con

exclusin de acceso remoto.

Gestin de usuarios Los controles para garantizar la adecuada administracin de usuarios y

asignacin de privilegios, incluyendo la gestin o la creacin de cuentas de

usuario.

Configuracin del sistema Un control que debe estar habilitado y puesto en prctica a travs de un

parmetro a nivel de sistema, o despus de la instalacin de la tecnologa que

afecta la tecnologa a nivel global del sistema. Esto incluye servicios de red de

activacin / desactivacin, los parmetros de secuencia de arranque, la

eliminacin de ciertos servicios del sistema (tales como compiladores,

herramientas de desarrollo, los ejecutables que no sean necesarios) y los

detalles de instalacin.



12

PROCESO DE AUDITORA

A continuacin se detalla el proceso que se lleva a cabo con sus respectivos subprocesos:

SUBPROCESO PLANIFICACIN DE AUDITORAS



13

SUBPROCESO EJECUCIN DE AUDITORA

ROLES

ROL DESCRIPCIN

Responsable

Auditoras

Determinar tipo y forma de auditora.

Asignar auditoras.

Acordar Plan.

Corregir documentos planeacin.

Auditor Lder Programar Auditora.

Comunicar Programa.

Analizar Respuesta.

Iniciar Auditora.

Registrar hallazgo de inicio.

Actualizar documentos de planeacin.

Analizar evidencia y Registrar hallazgos.

Generar informe.

Programar y ejecutar reunin de cierre.

Actualizar e informar cambios.

Registrar eventos.

Actualizar informe.

Publicar e informar resultados.

Auditado Comunicar Conformidad de Fecha.

Proporcionar evidencia.

Comunicar aceptacin informe.



14

PLANIFICACIN DE AUDITORA

PLANIFICACIN DE AUDITORIA: Auditoria de base de datos CALENDARIZACIN

Subproceso de planificacin de auditora 3 das

Subproceso de ejecucin de auditora 20 das

Revisin de base de datos 2 das

Hardware y software de los servidores de aplicacin y base de datos 3 das

Acceso a usuarios y administradores 2 das

Plan de mantenimiento 3 das

Gestin de respaldo 2 das

Chequeo de logs y auditoras 2 das

Plan de contingencia de base de datos 3 das

Cierre 1 da

Anlisis post- mortem: Recomendaciones y conclusin 2 das

EVIDENCIAS DE AUDITORA

Se define como evidencia de auditora al conjunto de informacin recopilada y disponible para

el auditor de sistemas informticos que permite determinar si el ente y los datos han cumplido

con los criterios previamente sealados. Se clasifica en:

Pistas de auditora en los programas.

Revisin del hardware y software instalado en los servidores.

Revisin de los usuarios y permisos sobre el hardware y software de servidores.

Revisin de Base de Datos

Revisin del ambiente del centro de computo

Revisin de polticas y planes de contingencias y respaldos



15

ANLISIS DE EMPRESA BAJO ESTUDIO

DESCRIPCIN

Kolektor es una UTE conformada por la firma SYC (Servicios y Consultora SA) y la CGAF

(Compaa de Gestin, Administracin y Fiscalizacin SA) con presencia operativa en Crdoba

desde enero de 2005, luego de ganar la licitacin pblica nacional e internacional que

promovi el Ministerio de Finanzas de la Provincia de Crdoba para reformar y fortalecer la

Direccin General de Rentas.

SYC posee 90% de participacin en Kolektor. Se dedica al recupero de acreencias fiscales desde

1994, cuando inici operaciones en Quilmes, provincia de Buenos Aires.

CGAF SA posee el 10% restante. Es una empresa especialista en administracin tributaria,

conformada por Guillermo y Patricio lvarez.

La empresa mejoro la infraestructura de las oficinas de atencin al contribuyente y abrieron

nuevos espacios de atencin en la provincia, donde el tiempo de espera promedio no supera

los 20 minutos.



16

El portal en Internet de Rentas permite hoy desarrollar ms de 30 trmites virtuales, se ofrece

asistencia tributaria permanente desde el call center y se han desarrollado sistemas

informticos especficos para la gestin impositiva, administrativa y laboral.

Los profesionales participan del ordenamiento y simplificacin de las normas tributarias que

rigen en la provincia de Crdoba.

La empresa aplica una gestin integral de la deuda por contribuyente y no por impuesto, que

permite el seguimiento de los pagos voluntarios y el trabajo temprano de la mora. Mejoraron

50% la calidad de los datos incluidos en la base de contribuyentes e incrementaron

sustancialmente la participacin de los recursos impositivos propios sobre el total de los

recursos tributarios con que cuenta la Provincia, dotando al Estado de mayor autonoma

financiera e independencia econmica.

Objetivos:

Fortalecer el sistema de administracin tributaria de la provincia de Crdoba, a travs

de la mejora de los procedimientos y mecanismos de control, optimizando los costos

de administracin.

Hacer ms eficiente la cobranza extrajudicial en sede administrativa de los tributos

vencidos y otras obligaciones a cargo de la DGR.

Mantener y actualizar la informacin contenida en las bases de datos pertenecientes a

la DGR.

Optimizar en todas sus funciones del actual sistema de recaudacin la transferencia de

conocimientos y de gestin a la DGR.

Mantener los sistemas informticos propios.

Brindar un servicio de calidad a los contribuyentes que facilite el cumplimiento

voluntario de las obligaciones tributarias.

Optimizar los niveles de recaudacin.

Kolektor desde el ao 2008 certifica Normas IRAM ISO 9001 y ISO 90003, bsicamente la

calidad se construye sobre tres pilares principales:

Adopcin de estndares mundialmente reconocidos y aceptados: se trabaja de manera

sistmica con los estndares necesarios para soportar la criticidad de los servicios y

proyectos que se gestionan junto a los clientes. Eso facilita y alienta la inter-operatividad

metodolgica y tecnolgica con clientes, socios de negocios y proveedores, minimizando

costos de transaccin y optimizando la gestin de recursos.



17

Mejora continua: cada lder/referente de los procesos de la organizacin identifica,

planifica e implementa las mejoras necesarias para optimizar la performance de los

servicios. Esa mejora implica entrenamiento y coaching permanente, tanto a nivel

metodolgico como tecnolgico. El desafo permanente es incorporar en cada uno de los

integrantes de la compaa, la capacidad de reconocer aquellos procesos crticos que

influyen fuertemente sobre cada operacin, identificar los atributos que permiten

modificar los niveles de desempeo y calidad, y a partir de esto coordinar las adecuaciones

y ajustes que el negocio demanda por su constante evolucin y/o transformacin. El

objetivo de esto es consolidar la organizacin que aprende, estableciendo acciones

orientadas a incorporar buenas prcticas reconocidas y probadas por la industria,

estandarizar a la operacin a travs de procesos, y recolectar informacin sobre el

desempeo de procesos de manera sistemtica, como principal fuente de

retroalimentacin y mejora.

Benchmark permanente: el mercado de IT es uno de los ms competitivos de la

economa. La notable estandarizacin de insumos productivos (sean lenguajes de

programacin o hardware o comunicaciones), la existencia de talentos con posibilidades

globales y la normalizacin de metodologas, exige medir permanentemente la

performance contra las mejores prcticas de la industria.

TIPO DE ORGANIZACIN

La organizacin es de tipo formal, cuenta con una estructura jerrquica bien definida, que

describe relaciones de autoridad y responsabilidad, y los puestos de trabajo estn bien

especificados.

Segn su objetivo principal, la organizacin es de tipo econmica, ya que proporcionan bienes

y servicios a cambio de una remuneracin econmica.



18

ORGANIGRAMA FUNCIONAL



19

DESCRIPCION DE AREAS

GERENCIA GENERAL

OBJETIVO Representar a la empresa frente a terceros y coordinar todos los recursos a travs

del proceso de planeamiento, organizacin, direccin y control, para lograr los

objetivos establecidos.

PUESTO DE

TRABAJO

Gerente General

RELACIONES DE

AUTORIDAD

Ejerce la supervisin directa de las reas de Direccin de Produccin, Direccin

Comercial y el rea Administrativa.

FUNCIONES Planeamiento, organizacin, direccin y control, para lograr los objetivos

establecidos.

TAREAS

Dirigir la empresa.

Planear y llevar a cabo objetivos a corto, mediano y largo plazo.

Asignar tareas y responsabilidades a los empleados.

Evaluar los resultados obtenidos para verificar que se cumplan los objetivos.

Dirigir al trabajador en su trabajo.

Contactar a clientes y potenciales clientes.

CALIDAD

OBJETIVO Supervisar y organizar las actividades de calidad, para garantizar la eficacia del

producto y detectar posibles errores que el equipo de desarrollo pueda corregir; y

realizar el entrenamiento del personal de la organizacin.

PUESTO DE

TRABAJO

Gerente de Calidad.

RELACIONES

DE

AUTORIDAD

Testers.

FUNCIONES Supervisar y organizar las actividades y el equipo de calidad.

TAREAS

Dirigir y supervisar a los empleados del rea de calidad.

Llevar a cabo las actividades de calidad.

Planificar pruebas de calidad.

Comunicarle al Product Manager los resultados de las pruebas de calidad.

Asignar tareas y responsabilidades a los empleados que tiene a cargo.

Evaluar los resultados obtenidos para verificar que se cumplan los objetivos del

software.

Detectar errores que sern corregidos por el equipo de desarrollo.

Entrenar al personal de la organizacin.



20

REA ADMINISTRATIVA

OBJETIVO Planificar y llevar a cabo las actividades de administracin diaria de la empresa para

lograr un correcto funcionamiento de la misma.

PUESTO DE

TRABAJO

Gerente de Administracin.

RELACIONES

DE

AUTORIDAD

No aplica.

FUNCIONES Organizar, planificar y desarrollar las actividades referentes a la gestin

administrativa.

TAREAS

Gestionar la liquidacin de sueldos de los empleados.

Gestionar liquidacin de vacaciones y aguinaldo.

Manejar cobranzas.

Cargar Pagos.

Confeccionar y emitir facturas.

Realizar el pago de los impuestos.

RECURSOS HUMANOS

OBJETIVO Dotar a la organizacin de un recurso humano eficiente.

PUESTO DE

TRABAJO

Gerente de RRHH.

RELACIONES DE

AUTORIDAD

No aplica.

FUNCIONES Organizar, planificar y desarrollar las actividades referentes a la contratacin de

personal y documentaciones y trmites referentes a las relaciones laborales.

TAREAS

Reclutamiento de personal.

Seleccin de personal.

Anlisis y definicin de los puestos de trabajo.

Capacitacin del personal.

Incorporacin del nuevo personal a la empresa.

Planificar vacaciones.



21

CONTADURA

OBJETIVO Planificar, desarrollar, organizar y llevar a cabo la gestin contable de la organizacin

y de los asuntos impositivos.

PUESTO DE

TRABAJO

Contador.

RELACIONES

DE

AUTORIDAD

No aplica.

FUNCIONES Organizar, planificar y desarrollar las actividades referentes a la contadura de la

empresa.

TAREAS

Llevar a cabo el pago de los impuestos municipales y habilitaciones.

Verificar el cumplimiento al da de dichos impuestos.

Confeccionar balances.

Verificar el libro de ingresos y egresos.

REA DE PRODUCCIN

OBJETIVO Planificar las actividades de desarrollo.

PUESTO DE

TRABAJO

Director de Produccin.

RELACIONES

DE

AUTORIDAD

Ejerce la supervisin directa de las reas de Desarrollo y de Calidad.

FUNCIONES Planeamiento, organizacin, direccin y control de las actividades de desarrollo y

calidad.

TAREAS

Dirigir y supervisar a los empleados de las reas de desarrollo y calidad

Planear y las actividades de desarrollo y calidad.


Evaluar los resultados obtenidos para verificar que se cumplan los objetivos

establecidos.



22

DPTO. DE DESARROLLO

OBJETIVO Supervisar y organizar las actividades de desarrollo, para que el equipo pueda llevar a

cabo el producto final.

PUESTO DE

TRABAJO

Product Manager.

RELACIONES

DE

AUTORIDAD

Desarrolladores.

FUNCIONES Supervisar y organizar las actividades y el equipo de desarrollo.

TAREAS

Dirigir y supervisar a los empleados del rea de desarrollo.

Llevar a cabo las actividades de desarrollo.

Resolver conflictos que puedan surgir entre los desarrolladores.

Contactar clientes para resolver inconvenientes de integracin de los sistemas.


Evaluar los resultados obtenidos para verificar que se cumplan los objetivos del plan

de desarrollo del software.

Delinear nuevas funcionalidades.

ARQUITECTURA DE SOLUCIONES

OBJETIVO Planificar, desarrollar, organizar y llevar a cabo la performance del equipamiento y

del personal y desarrollar tcnicas para mejorarlas.

PUESTO DE

TRABAJO

Arquitecto de soluciones

RELACIONES

DE

AUTORIDAD

No aplica.

TAREAS

Planificar, organizar, dirigir, controlar y ejecutar el procesamiento de

informacin correspondiente a todos los Sistemas de la Empresa.

Asegurar el suministro de insumos necesarios para satisfacer todos los

requerimientos de procesamiento, tanto del equipo central (Mainframe) y/o Servidor

como de las terminales asociadas a l.

Realizar la captura de datos y obtener informacin correspondiente a todas las reas

de la Empresa.

Disear y planificar procedimientos de ejecucin y generacin de copias de respaldo

o backups, rutinas de diagramacin de re procesos, restauracin de cintas, etc.



23

ADMINISTRADOR DE BASE DE DATOS

OBJETIVO Planificar, desarrollar, organizar y llevar a cabo el estado y los accesos de la red y

mantener la disponibilidad de la misma dentro del sistema de restricciones y

excepciones fijados por el Gte de Seguridad Informtica.

PUESTO DE

TRABAJO

Administrador de Base de datos

RELACIONES

DE

AUTORIDAD

No aplica.

TAREAS

Implementar procedimientos y tcnicas para mejorar la eficiencia fijadas bajola

supervisin del jefe de telecomunicaciones y el de soporte tcnico.

TESTERS

OBJETIVO Llevar a cabo las pruebas del sistema, de calidad, e informarle los resultados al

Gerente de calidad.

PUESTO DE

TRABAJO

Tester.

RELACIONES

DE

AUTORIDAD

No aplica.

FUNCIONES Realizar las pruebas de calidad, de manera tal que puedan detectarse posibles errores

o funcionalidades que pueden ser cambiadas o agregadas.

TAREAS

Realizar las pruebas del sistema.

Registrar dichas pruebas.

Comunicarle al gerente de calidad el resultado de las pruebas.

Detectar posibles errores e inconvenientes.

Sugerir nuevas o mejores funcionalidades del sistema.

DESARROLLADORES

OBJETIVO Desarrollar el producto, en este caso, el sistema de informacin.

PUESTO DE

TRABAJO

Desarrollador.

RELACIONES

DE

AUTORIDAD

No aplica.

FUNCIONES Desarrollar el sistema, y relacionarse con los dems desarrolladores para obtener el

objetivo final deseado.

TAREAS

Desarrollar el sistema de informacin.

Relacionarse con los dems desarrolladores.

Informarle al Product Manager cualquier inconveniente que pueda surgir.

Comunicarle al Product Manager sobre el desarrollo del sistema.



24

REALIZACIN DE AUDITORA

REVISIN EN REGISTROS Y CONTROL

La tarea de controlar el flujo de informacin de aplicaciones y base de datos es del rea de

Seguridad de Datos, para esto se implement una solucin denominada ORACLE ADVANCED

SECURITY.

Esta proporciona total visibilidad y control para aplicaciones y bases de datos. Proteccin de

extremo a extremo para aplicaciones y bases de datos, a fin de atender todos los aspectos del

ciclo de vida de la seguridad de la informacin. SecureSphere contribuye a que las empresas:

Proporcionen una cadena independiente de auditora y parmetros inteligentes de

auditora.

Protejan tanto a las aplicaciones como las bases de datos

Identifiquen a los usuarios de las aplicaciones que realizan transacciones en las bases

de datos

Agilicen los procesos de auditora y de conformidad

Se implementa en forma transparente en todo entorno, con cero impactos en el

desempeo. SecureSphere Data Security Suite marca la pauta en seguridad Web y de

bases de datos, de auditora y de conformidad de la informacin, al integrar las

tecnologas lderes del mercado.

ORACLE ADVANCED SECURITY lleva a cabo inspecciones en mltiples niveles, para la deteccin

de:

Violaciones de uso, mediante los perfiles dinmicos

Huellas de ataques a aplicaciones

Seguridad basada en la reputacin, mediante ThreatRadar

Violaciones del protocolo http

Ataques de red y de plataforma

Ataques a los servicios Web (XML)

Ataques a puntos dbiles de acceso

Huellas de fugas de informacin

CAUSA

Para la deteccin de anomalas es importante que los programas garanticen una seguridad

razonable registrando informacin de eventos tales como actualizaciones, eliminacin y

modificacin de datos por parte del usuario y grabando el registro en el log.



25

EFECTO

Facilidad en la deteccin de fallos en los programas y detectar al autor de cada operacin

sobre datos o transacciones.

CONCLUSIN

Se comprob que la solucin implementada mediante ORACLE ADVANCED SECURITY permite:

Proteger a las aplicaciones de ataques de alta complejidad tcnica. Bloquea en forma precisa

las inyecciones SQL, el scripting inter-sitios (XSS) y el acceso (login) por fuerza bruta, detiene el

robo de identidad en lnea y previene de fugas de informacin a travs de las aplicaciones. El

seguimiento de las transacciones SQL para efectos de investigaciones forenses, evita las fugas

de informacin de las bases de datos y garantiza la integridad de la informacin, mediante el

establecimiento de cadenas independientes de auditora de las actividades de los usuarios.

A fin de evaluar la posicin de las organizaciones en cuanto a la seguridad y la conformidad,

ORACLE ADVANCED SECURITY hace exploraciones de las bases de datos en busca de ms de

1000 vulnerabilidades y malas configuraciones. Los resultados de todas las evaluaciones se

presentan en informes fciles de entender, que jerarquizan los riesgos, dan apoyo a acciones

correctivas especficas y documentan el estado de la conformidad.

Proporcionar un nico punto para la agregacin de la poltica de seguridad, gestin de la

seguridad jerrquica, el seguimiento en tiempo real, el registro, auditora y los informes de

cumplimiento.

La entrega de las reglas de auditora predefinidas, evaluaciones de vulnerabilidad, la

conciencia estructura de tablas, e informes grficos para aplicaciones empresariales y los

mandatos de cumplimiento. Explorar las bases de datos en busca de vulnerabilidades

conocidas y fallas de configuracin.

REVISIN DEL HARDWARE Y SOFTWARE INSTALADO EN LOS SERVIDORES.

Durante el proceso de revisin de controles se hizo uso de una herramienta instalada en la

compaa IBM Tivoli Software, la cual indica detalladamente qu software est instalado en el

equipo, cules son las incompatibilidades de software que posee y cul es su caracterstica

fsica.

Algunas de las caractersticas de esta herramienta utilizada son:

Supervisa de manera proactiva los recursos del sistema para detectar problemas

potenciales y responde automticamente a eventos. Al identificar os problemas

pronto, Tivoli Monitoring permite arreglarlos rpidamente antes de que los usuarios

notan alguna diferencia en el rendimiento.



26

Proporciona un umbral dinmico y anlisis de rendimiento para mejorar la prevencin

de riesgos. Este sistema de "avisos con anticipacin" le permite empezar a trabajar en

un incidente antes de que afecte a los usuarios y a las aplicaciones o servicios

empresariales.

Mejora la disponibilidad y la media de tiempo de recuperacin gracias a la

visualizacin rpida de incidentes y la bsqueda histrica de investigacin rpida de

incidentes. Puede identificar y resolver una interrupcin de rendimiento o servicio en

minutos en vez de horas.

Recoge datos que puede utilizar para dirigir las actividades de rendimiento y

planificacin de la capacidad a tiempo y as evitar interrupciones debidas al exceso de

uso de recursos. El software supervisa, alerta e informa de futuros atascos en la

capacidad.

Facilita la supervisin del sistema con una interfaz de navegacin comn, flexible e

intuitiva y espacios de trabajo personalizables. Adems incluye un almacn de datos

fcil de utilizar y funciones avanzadas de creacin de informes.

CONDICIN

El Software y Hardware de los servidores cumple con los estndares necesarios y estn

legalmente adquiridos y actualizados.

CRITERIO

El Software instalado en los servidores est legalmente adquirido.

El Software instalado est actualizado y correctamente instalado.

Se mantiene actualizados listado de sucesos en los servidores.

El Hardware est legalmente adquirido.

Las anomalas que presente el Hardware se registran en logs.

EFECTO

Si no se dispone de software y hardware legal se corre el riesgo de acarrear graves

consecuencias a la institucin paralizando sus operaciones y obligando a pagar elevadas

multas.

Los accesos y manipulacin indebidos a los servidores pueden causar graves daos a los

mismos. El software no actualizado puede causar mal funcionamiento del equipo.



27

CONCLUSIN

Se comprob que:

La empresa posee software y hardware legalmente adquirido e instalado por terceros.

Existen responsable de la compaa que monitorean a travs de la herramienta

descrita anteriormente los eventos y sucesos que se puedan producir en los

servidores, y un responsable por la solucin de los distintos incidentes.

REVISIN DE LOS USUARIOS Y PERMISOS

Para identificar cules son los usuarios que tienen acceso a los servidores se ha usado el

software Tivoli Identity Manager. Esta herramienta es utilizada en la compaa y les permite

gestionar las identidades de usuarios y sus derechos de acceso a recursos en todo el ciclo de

vida de identidad. Estos productos dan soporte a la administracin automtica, la inscripcin,

la aprobacin, el suministro, la recertificacin y la retirada de los usuarios. Obtendr un control

de identidades completo, gestin de roles, inicio de sesin nico y auditora. Es importante

mencionar en este punto que la empresa maneja la seguridad integrada con la herramienta

Active Directory de Microsoft, lo cual facilita la labor de los encargados de la seguridad lgica.

CONDICIN

Identificacin de los usuarios que tienen acceso al Software y Hardware de los servidores.

Identificacin de las polticas y procedimientos de control.

CAUSA

La empresa puede sufrir paralizacin en sus operaciones por causa de algn tipo de siniestro o

incidente debido a cambios en la configuracin, intencional o no, del sistema operativo o por

la eliminacin o traslado de archivos del sistema.

EFECTO

Si no se dispone de seguridades en los accesos al software y hardware de los servidores se

corre el riesgo de que se corrompan por uso inapropiado. Deben existir responsables para

administrar los accesos fsicos y lgicos.



28

CRITERIO

Identificar: Qu usuarios y qu accesos lgicos tienen a los servidores. Qu usuarios y

qu accesos fsicos (directorios) tienen a los servidores

CONCLUSIN

Se comprob que la empresa posee software y hardware seguro. La empresa cuenta con la

herramienta de Microsoft Active Directory para brindar la seguridad necesaria a los equipos y

usuarios del dominio. Existen polticas en la administracin y mantenimiento de contraseas y

accesos limitados a los segmentos de red.

REVISIN DE LA BASE DE DATOS

Previo a la revisin de la base de datos, se realizaron entrevistas a los responsables del rea de

TI y se obtuvieron los resultados mostrados en el cuestionario. Se realizaron preguntas acerca

del DBMS para evaluar su estado y la proyeccin de crecimiento.

CONDICIN

Oracle proporciona un mdulo dentro de su instalacin que se pueden utilizar para auditar las

actividades y los cambios en el sistema o la base de datos. Este mdulo puede estar

desactivado o activado dependiendo de la actividad transaccional de la base de datos. Estas

caractersticas permiten a los administradores implementar una estrategia de defensa y

optimizar los riesgos de seguridad especficos de su entorno. Para verificar todas estas

caractersticas se realizaron un conjunto de Querys al motor de base de datos y se aplic un

checklist al encargado.

Cabe aclarar que la base de datos auditada tiene activado el mdulo de auditora propia del

DBMS Oracle, pero no est siendo utilizado actualmente. La auditora es una de las funciones

del servidor de Oracle, con la finalidad de proporcionar la capacidad de rastrear el flujo de

informacin dentro de una base de datos, incluidos los intentos de conexin, las sentencias

DDL y DML.

Tenemos la opcin de seleccionar los acontecimientos que se desee monitorear, cabe recalcar

que una serie de eventos en Oracle son auditados por defecto, por ejemplo: inicio, lugar de

cierre, y los intentos de conexin a la base de datos con privilegios administrativos. Se puede

optar por especificar las opciones personalizadas de auditora para controlar otros eventos.



29

CRITERIO

Identificar:

Usuarios activos.

Acceso al motor y servidor de base de datos.

Mantenimientos y afinamientos.

Actualizacin del log de sucesos del motor de base de datos.

Respaldos y contingencias.

CAUSA

La empresa puede sufrir paralizacin en sus operaciones por algn siniestro o incidente en el

motor de la base de datos.

EFECTO

No contar con una base de datos confiable y estable puede perjudicar gravemente a la

empresa al no poder realizar sus operaciones diarias, y consecuentemente, no disponer de

estadsticas para la toma de decisiones. Tenemos la opcin de seleccionar los acontecimientos

que se desee monitorear, cabe recalcar que una serie de eventos en Oracle son auditados por

defecto, por ejemplo: inicio, lugar de cierre, y los intentos de conexin a la base de datos con

privilegios administrativos. Se puede optar por especificar las opciones personalizadas de

auditora para controlar otros eventos.

CONCLUSIN

Se comprob que la base de datos es robusta y las estructuras se actualizan slo bajo las

directrices del grupo de DBA y las actualizaciones que demanda el rea de desarrollo son

analizados por la misma rea. El grupo de DBA, bsicamente est encargado del

mantenimiento y afinamiento de la base de datos. Por lo general antes de pasar algn nuevo

programa a produccin el revisa que cumpla con los estndares definidos y las polticas de la

compaa.

REVISIN DEL AMBIENTE DEL CENTRO DE CMPUTOS

La empresa cuenta con dos grandes centro de cmputo, en donde residen los servidores

necesarios para que la compaa funcione adecuadamente. Los servidores no se apagan y los

mantenimientos se realizan a demanda de acuerdo a las necesidades de cambios que obliguen

al reinicio de los mismos. Estos cambios se realizan de acuerdo a polticas de mantenimiento

de la compaa y deben estar autorizados por la direccin.



30

REVISIN DE POLTICAS Y PLANES DE CONTINGENCIAS Y RESPALDOS

Segn lo conversado con el responsable del rea de TI, se ha podido constatar que la empresa

posee un plan de contingencia bien definido que respeta polticas de la compaa y es

difundido. Se realizan backup de la base de datos, uno full o incremental de nivel 0 al mes, un

incremento de nivel 1 por semana y cada hora se hace respaldo de los archivos generados por

la base de datos, estos backup se realizan directamente a cinta mediante la utilizacin de una

herramienta especializada denominada NETBACKUP, que permite el respaldo en distintos

medios de resguardo, como as tambin la rotulacin del mismo para su posterior almacenaje.

Este plan de contingencia sirve para en caso de eventualidades y siniestros la base de datos se

recupera al momento de la ocurrencia y as evitar que las operaciones del negocio se

paralicen.

CONDICIN

Existe un plan de contingencias para asegurar la continuidad del negocio y de las operaciones

crticas de la empresa en caso de eventualidades. Los respaldos se almacenan dentro del nico

centro de cmputo.

CRITERIO

Se aplic un cuestionario o check list para determinar si la empresa dispone de un plan alterno

para sus operaciones, y conocer cmo se manejan los respaldos de la base de datos.

CAUSA

La empresa puede sufrir paralizacin en sus operaciones por causa de siniestros o incidentes, y

no se dispone de informacin para saber cmo recuperarse y qu medidas alternas aplicar.

EFECTO

Al no disponer de un plan de contingencias, la empresa dejar de funcionar si ocurre un

incidente, lo cual repercute directamente en prdidas econmicas.

CONCLUSIN

Se comprob que la empresa tiene un plan de contingencias que le garantiza la continuidad de

las operaciones bajo cualquier situacin adversa que se presente, y que la recuperacin sea

realizada en el menor tiempo posible para no perder mercado durante las actividades que el

equipo tcnico tenga que ejecutar.



31

CUMPLIMIENTO DE CONTROLES

Las opciones de seguridad de la base de datos Oracle, dan cumplimiento a un amplio rango de

regulaciones y normativas entre las que se destacan las siguientes:

SARBANES OXLEY SECTION 404

Para la regulacin Sarbanes Oxley se aplican las mejores prcticas de Oracle para el

aseguramiento de la base de datos cumpliendo con los siguientes requerimientos:

Bloqueo y expiracin de cuentas por defecto

Designar una cuenta especfica de BD para la creacin de usuarios

Usar un nuevo almacn externo para contraseas donde sea posible realizar procesos

en lotes.

Asignar una cuenta especfica de BD para la administracin de todas las polticas VPD

(Virtual Private Database) que se tienen o se planean crear.

Designar una cuenta especfica de BD para Gestionar todas las polticas FGA que se

tienen o se planean crear.

Limitar conectividad como SYSDBA donde sea posible



32

Auditora de Base de datos

Auditar operaciones del sys

Activar auditora granular fina para tablas sensibles

Activar auditora estndar

Considerar cuentas no propietarias al mnimo si su preocupacin es desempeo.

Auditar todas las sentencias DDL

Integrar con la solucin Oracle Audit Vault

ORACLE ORACLE ADVANCED SECURITY

Oracle Advanced Security es una opcin de seguridad de la BD para Oracle Database 11g.

Liberada desde la versin Oracle 8i, Oracle Advanced Security combina capacidades de Cifrado

en red, base de datos y autenticacin fuerte todos juntos para ayudar a resolver los retos de

las compaas en cuanto a requerimientos de privacidad cumplimiento:

1. Cifrado transparente de datos TDE.

2. Cifrado de Red

3. Autenticacin fuerte

TDE (TRANSPARENT DATA ENCRYPTION)

TDE est diseado para proveer a los clientes la habilidad de cifrar de manera transparente

dentro de la base de datos sin impactar a las aplicaciones existentes. Retorna los datos en

formato Cifrado podra impactar a las aplicaciones existentes. TDE provee la ventaja de Cifrar

sin el impacto asociados a soluciones tradicionales de base de datos que tpicamente

requieren triggers y vistas. Oracle Database Vault puede ser usado para proteger los datos de

las aplicaciones ante interacciones del DBA y otros usuarios privilegiados adems de

implementar robustos controles sobre el acceso a la base de datos y la aplicacin.

TDE no soporta Cifrado de columnas con restricciones en llaves forneas. Esto se debe al

hecho de que cada tabla tiene su propia y nica llave de Cifrado.

CUMPLIMIENTO DE REGULACIN PCI

Algunos de los controles proporcionados por Oracle Advanced Security Option resuelven

requerimientos de la norma PCI (Payment Card Industry) que aunque no tiene aplicacin por

tipo de mercado al que pertenece Ecopetrol apoya la implantacin de la definicin de

controles de seguridad.



33

Los controles que resuelve la solucin Oracle Advanced Security Option son los siguientes:

Requerimiento 2: No usar valores por defecto provistos por el proveedor y otros parmetros

de seguridad. El Sub-requerimiento 2.1 trabaja con los parmetros por defecto establecidos

por los proveedores y el subrequerimiento 2.3 requiere cifrado de todos los accesos

administrativos no consola. La respuesta de Oracle a este punto la resuelve la funcionalidad de

cifrado provistas por Oracle Advanced Security tanto en el nivel de los datos en trnsito como

en los residentes en la base de datos.

Requerimiento 3: Proteger datos almacenados en la base de datos o que estn siendo

transmitidos en la red. Con la funcionalidad de Transparent Data Encryption se provee cifrado

de datos sensitivos en disco o en medios externos como cintas de manera transparente a las

aplicaciones y usuarios; gestin automatizada de llaves, la aplicacin no necesita

modificaciones y los desarrolladores pueden enfocar su inters en la lgica de negocios sin

requerir un entrenamiento profundo en temas de cifrado y gestin de llaves.

Requerimiento 4: Encriptar las transmisiones de datos a travs de redes pblicas.



34

RECOMENDACIONES

Las empresas deben consolidar, administrar, monitorear y generar informes de los datos de

auditora para obtener una visin completa del acceso a los datos empresariales. El personal

de auditora y seguridad de IT debe tener la capacidad de analizar los datos en tiempo y forma

a travs de todos los sistemas dispares. Oracle aborda este requerimiento al consolidar los

datos de auditora de todos los sistemas en un repositorio seguro, escalable y altamente

disponible.

Oracle recopila los datos de auditora de la base de datos desde tablas de pistas de auditora

de la base de datos Oracle; las pistas de auditora de la base de datos desde archivos del

sistema operativo, y los registros de transacciones desde la base de datos para capturar

cambios anteriores/posteriores en el valor de las transacciones.

SE RECOMIENDA:

Que se guarden pistas de las acciones realizadas por el usuario genrico y por el sper

usuario, y que se puedan emitir reportes especficos donde consten estas

modificaciones.

Que las contraseas de estos usuarios sean cambiadas luego de cada transaccin o con

determinada periodicidad.

La implementacin de laboratorios para el anlisis de parches y actualizaciones de

software y hardware antes de su implementacin en los servidores de produccin.

Que exista un rea o una persona responsable a quienes se le pueda pedir reportes de

auditora y quienes revisen constantemente los logs de las aplicaciones y los rastros

que dejan los usuarios al realizar sus transacciones con el fin de encontrar anomalas.

Que se inicie un estudio para virtualizar servidores y as pensar en un mecanismo de

backup mucho ms econmico.

Se recomienda que los parches y actualizaciones al motor de base de datos y al

sistema operativo sea probado y sometido a pruebas de estrs en laboratorios antes

de su implementacin.

Que los afinamientos de la base de datos se realicen bajo un ambiente controlado y

luego de su implementacin que sean los usuarios que realicen pruebas del buen

funcionamiento y tiempo de respuesta de la aplicacin y los datos.

Que el administrador de base de datos haga un anlisis de los Querys y entidades que

vayan a pasar a produccin con el fin de detectar anomalas o incompatibilidad con las

estructuras residentes.

Que en lo posible se trate de tener un espejo de la base de datos de produccin, la

misma que est sincronizada y actualizada cada cierto tiempo y que sirva como

contingencia ante algn evento adverso.



35

CONCLUSIONES

La auditora est jugando un rol cada vez ms importante como mecanismo de ayuda para

abordar los problemas de amenazas internas y los requisitos del cumplimiento regulatorio.

Hoy, el uso de datos de auditora como fuente de seguridad sigue siendo, en gran medida, un

proceso manual, que exige al personal de auditora y de seguridad de IT recopilar primero los

datos de auditora y luego seleccionar enormes cantidades de datos de auditora dispersos

utilizando scripts personalizados y otros mtodos. Las empresas deben consolidar, administrar,

monitorear y realizar informes sobre los datos de auditora para obtener una visin completa

del acceso a los datos empresariales, brindando al personal de auditora y seguridad de IT la

capacidad de analizar los datos de auditora en tiempo y forma.

Oracle brinda una avanzada solucin de auditora que ayuda a simplificar los informes de

cumplimiento, detectar las amenazas con alertas anticipados, reducir el costo de cumplimiento

y garantizar los datos de auditora. Oracle Audit Vault automatiza el proceso de anlisis y

consolidacin, convirtiendo los datos de auditora en un recurso de seguridad clave para

ayudar a superar los desafos de cumplimiento y seguridad de la actualidad. Numerosos

informes previamente incorporados brindan fcil informacin de cumplimiento, y el depsito

de datos abierto proporciona informes amplios utilizando Oracle BI Publisher o soluciones de

informes comerciales de terceros.

Oracle aprovecha las capacidades comprobadas de particionamiento y depsito de datos para

alcanzar escalabilidad de almacenamiento masivo. Oracle utiliza las capacidades de seguridad

de Oracle lderes en el sector para proteger los datos de auditora, encriptar los datos de

auditora durante la transmisin e imponer la separacin de tareas dentro de Oracle Audit

Vault. Abordar los requerimientos de cumplimiento regulatorio y protegerse de las amenazas

internas en una economa global requiere un enfoque de seguridad exhaustiva (defense-in-

depth)

La realizacin de la auditora, es de suma importancia para los procesos auditados, ya que

proporciona los controles necesarios para que los mismos sean confiables, estables, y con un

buen nivel de seguridad. En este presente informe, pudimos detectar fortalezas, debilidades y

aspectos a mejorar, como tambin as observaciones y recomendaciones que permitirn

obtener mejores resultados y trabajar de la mejor forma en dicha rea.

La fase de exploracin ayud a comprender los diferentes aspectos y

conceptos a tener en cuenta durante todo este trabajo. La visita a las organizaciones y

el aporte realizado por los expertos permiti la identificacin de las necesidades del

proceso de auditora de sistemas de informacin.

El diseo de este proyecto permite enlazar los conceptos y lineamientos

administrativos con las implementaciones tcnicas, basndose en las diferentes

herramientas proporcionadas por el gestor de bases de datos de Oracle 10g .



36

La funcionalidad planteada para la implementacin de polticas y roles dentro

de los sistemas de informacin se asemeja a la de una herramienta CASE, pues permite

el aumento de la productividad en el desarrollo del proceso de auditora y a su vez en

el tiempo de implementacin de los procesos tcnicos que este requiere.

A travs de las herramientas que proporciona el motor de base de datos

Oracle 10g es posible implementar un proceso de auditora tcnico sobre sistemas de

informacin y a su vez, estos mtodos proporcionados por Oracle pueden ser

utilizados para implementar un sistema intermediario ms amigable y de carcter ms

administrativo.

A pesar del enfoque dado en la fase de diseo, a implementar mtodos que

utilicen las herramientas de Oracle, la fase de definicin y anlisis puede ser utilizada

para implementaciones sobre diferentes gestores de base de datos, como SQL Server,

Informix o MySql.

Los estndares empresariales y de tecnologa, permiten que una organizacin

enfoque las TI con los objetivos propios del negocio. Estos estndares definen una

serie de objetivos donde las tecnologas de informacin van totalmente ligadas a las

metas organizacionales, lo que permite un mximo aprovechamiento de los recursos

tecnolgicos de una compaa.



37

ANEXOS

ANEXO 1: CHECK LIST DE AUDITORIA

1. Existe algn archivo de tipo Log donde guarde informacin referida a las operaciones que

realiza la Base de datos?

X

Si

No

N/A

Observaciones:

2. Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)?

X

Si

No

N/A

Observaciones:

3. Existe algn usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor?

X

Si

No

N/A

Observaciones:

4. Se encuentra un administrador de sistemas en la empresa que lleve un control de los

usuario?

Si

No



38

X

N/A

Observaciones:

5. Son gestionados los perfiles de estos usuarios por el administrador?

Si

X

No

N/A

Observaciones: el manejo de usuarios se hace a travs de la aplicacin y esto se traslada al

nivel de la base de datos

6. Son gestionados los accesos a las instancias de la Base de Datos?

Si

X

No

N/A

Observaciones: la gestin de acceso se hace a nivel de aplicacin

7. Las instancias que contienen el repositorio, tienen acceso restringido?

Si

No

X

N/A

Observaciones:

8. Se renuevan las claves de los usuarios de la Base de Datos?

Si

x

No

N/A



39

Observaciones:

9. Se obliga el cambio de la contrasea de forma automtica?

Si

No

X

N/A

Observaciones:

10. Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o

denegados a estructuras, tablas fsicas y lgicas del repositorio?

Si

No

X

N/A

Observaciones:

11. Posee la base de datos un diseo fsico y lgico?

X

Si

No

N/A

Observaciones:

12. Posee el diccionario de datos un diseo fsico y lgico?

Si

X

No

N/A

Observaciones:



40

13. Existe una instancia con copia del Repositorio para el entorno de desarrollo?

X

Si

No

N/A

Observaciones:

14. Est restringido el acceso al entorno de desarrollo?

Si

X

No

N/A

Observaciones: se trabaja en forma conjunta

15. Los datos utilizados en el entorno de desarrollo, son reales?

Si

x

No

N/A

Observaciones: algunas veces si, ya que existen tablas con datos especficos que deben se

reales para realizar pruebas

16. Se llevan a cabo copias de seguridad del repositorio?

Si

No

x

N/A

Observaciones:

17. Las copias de seguridad se efectan diariamente?



41

x

Si

No

N/A

Observaciones:

18. Las copias de seguridad son encriptadas?

Si

X

No

N/A

Observaciones:

19. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas

se encuentren bien hechas?

X

Si

No

N/A

Observaciones:

20. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de

la empresa?

Si

X

No

N/A

Observaciones:



42

21. En caso de que el equipo principal sufra una avera, existen equipos auxiliares?

x

Si

No

N/A

Observaciones:

22. Cuando se necesita restablecer la base de datos, se le comunica al administrador?

X

Si

No

N/A

Observaciones:

23. La comunicacin se establece de forma escrita?

Si

X

No

N/A

Observaciones:

24. Una vez efectuada la restauracin, se le comunica al interesado?

X

Si

No

N/A

Observaciones:



43

25. Se lleva a cabo una comprobacin, para verificar que los cambios efectuados son los

solicitados por el interesado?

X

Si

No

N/A

Observaciones: aunque es mnima, despus de un tiempo de uso surgen algunas dudas.

26. Se documentan los cambios efectuados?

X

Si

No

N/A

Observaciones: Mnimamente, algunos cambios suelen ser no documentados. No hay un

seguimiento exhaustivo de los cambios.

27. Hay algn procedimiento para dar de alta a un usuario?

X

Si

No

N/A

Observaciones:

28. Hay algn procedimiento para dar de baja a un usuario?

X

Si

No

N/A

Observaciones:



44

29. Es eliminada la cuenta del usuario en dicho procedimiento?

Si

X

No

N/A

Observaciones: se realiza una eliminacin lgica

30. El motor de Base de Datos soporta herramientas de auditora?

X

Si

No

N/A

Observaciones:

31. Existe algn tipo de documentacin referida a la estructura y contenidos de la Base de

Datos?

X

Si

No

N/A

Observaciones: documentacin extrada de la pgina oficial del motor de base de datos

32. Se cuenta con niveles de seguridad para el acceso a la Base de Datos?

x

Si

No

N/A

Observaciones:



45

33. Se encuentra la Base de Datos actualizada con el ltimo Set de Parches de Seguridad?

x

Si

No

N/A

Observaciones:

34. Existe algn plan de contingencia ante alguna situacin no deseada en la Base de Datos?

Si

X

No

N/A

Observaciones: solo se restauran los backup realizados

35. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de

las base de datos?

X

Si

No

N/A

Observaciones:

36. Se usan los generados por el DBMS?

X

Si

No

N/A

Observaciones:



46

37. Se usan los generados por el Sistema Operativo?

Si

X

No

N/A

Observaciones:

38. Se han configurado estos logs para que slo almacenan la informacin relevante?

Si

X

No

N/A

Observaciones:

39. Se tiene un sistema de registro de acciones propio, con fines de auditora?

Si

No

X

N/A

Observaciones:

40. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por

agua?

Si

X

No

N/A

Observaciones:



47

41. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por

el fuego?

Si

X

No

N/A

Observaciones:

42. La ubicacin del centro de cmputo es acorde con las mnimas condiciones de seguridad?

X

Si

No

N/A

Observaciones:

43. Existe y es conocido un plan de actuacin para el personal del centro de cmputo, en

caso de incidentes naturales u otros que involucren gravemente la instalacin?

Si

No

X

N/A

Observaciones:

44. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?

X

Si

No

N/A

Observaciones: este tipo de control se usa solo para casos particulares



48

45. La informacin que poseen en la base de datos es real?

Si

X

No

N/A

Observaciones: algunas veces s, ya que existen tablas con datos especficos que deben ser

reales para realizar pruebas

46. Existe un contrato de confidencialidad con las terceras partes?

X

Si

No

N/A

Observaciones:

47. Se notifican las acciones realizadas a nivel de mantenimiento de hardware?

Si

X

No

N/A

Observaciones:



49

ANEXO 2: QUERYS DE AUDITORA

Que Mirar Cuando Auditamos una Base de Datos Oracle?

Cuando se realiza una auditora, siempre es recomendable seguir una serie de pasos para no pasar

por alto ningn detalle que pueda resultar crucial para nuestra investigacin, a continuacin les dejo

un pequeo listado de las cosas a las que debemos echarle una ojeada cuando auditamos una base

de datos Oracle.

1). Determinar si en la BD est ac

auditoria de si

Documents