310 likes | 536 Views
AUDITORIA BASES DE DATOS. Datos, Bases de datos, Data WareHouse , Minería de Datos, Oracle, SQL, SAS, IBM, Microsoft SQL, My SQL, Postgres. DATO.
E N D
AUDITORIABASES DE DATOS Datos, Bases de datos, Data WareHouse, Minería de Datos, Oracle, SQL, SAS, IBM, Microsoft SQL, My SQL, Postgres
DATO Datos son los hechos que describen sucesos entidades. Datos es una palabra en plural que se refiere a más de un hecho. A un hecho simple se le denomina "data-ítem« o elemento de dato. Los datos son comunicados por varios tipos de Simbolos tales como las letras del alfabeto, números, movimientos de labios, puntos y rayas, señales con la mano, dibujos, etc. Estos símbolos se pueden ordenar y reordenar de forma utilizable y se les denomina información. la información en todas sus formas y estados se ha convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley.
OBJETIVOS • Poder identificar como es el proceso del manejo de los recursos informaticos • Identificar que protocolos de seguridad usan para garantizar integridad en la red • Poder identificar el manejo de los perfiles de usuario y contraseñas. • Identificar el manejo que se le da al internet. • Evaluar el manejo de perfiles.
PUNTOS A EVALUAR • Documentación sobre políticas de perfiles de usuario. • Documentación de manejo de hardware y software. • Documentación de manejo de internet. • Listado de usuarios con sus roles y privilegios. • Reglamento para usuarios de Sistemas. • Manejo del internet por parte del administrador y de los usuarios. • Planes de contingencia contra ataques. • Medidas de seguridad para la información.
BASES DE DATOS • Para la verificación de la seguridad, consistencia y reglas de integridad en cualquier motor de bases de datos es necesario verificar el ambiente de control establecido en la instalación de este; en este contexto se deben tener presente las diferentes características que pueden establecerse en este proceso, además en el manejo de los motores se puede manejar un grado de Seguridad, en el cual se maneja la exactitud, consistencia y confiabilidad de la información;
OBJETIVOS • Analizar la documentación existente con respecto a todos los procesos de la Base de Datos. • Evaluar el Soporte y mantenimiento de la Base de Datos. • Verificar la red que accede a la Base de Datos. • Identificar el manejo que se le da a los datos en la Base de Datos. • Identificar si está definido e implementado un Modelo Entidad Relación (MER) para el modelo de negocios. • Identificar el manejo de los perfiles de usuario para la Base de Datos. • Identificar de la arquitectura de red con acceso a la Base de Datos.
PUNTOS A EVALUAR • Manejo de datos en la base de datos (tablas, vistas, procedimientos almacenados, triggers, etc.) • Todas las conexiones clientes a la base de datos incluyendo interfaces de red, direcciones IP, conexiones LAN y WAN. • Manejo de espacio en disco. • Información de archivos de logs. • Documentación de la instalación del motor de Base de Datos. • Documentación respaldo y restauración de la base de datos.
DATAWAREHOUSE • Un Data Warehouse es un conjunto de datos integrados orientados a una materia, que varían con el tiempo y que no son transitorios, los cuales soportan el proceso de toma de decisiones de la administración.
OBJETIVOS • Identificar si la arquitectura del sistema Data Warehouse corresponde a las necesidades del negocio. • Evaluar la identificación de los requerimientos funcionales de información, que generen una ventaja competitiva para la empresa y faciliten la toma de decisiones por parte de la administración. • Identificar si se está tomando en cuenta los riesgos de cada elemento del sistema Data Warehouse. • Evaluar si la organización cuenta con los recursos necesarios para la implementación del sistema Data Warehouse.
PUNTOS A EVALUAR • Datos Antiguos. • Datos Operacionales. • Extractores de Datos. • Bodega de Datos. • Metadatos. • Herramientas de Consultas y Extracción de Información. • Usuarios involucrados en el Sistema. • Plan de Riesgos. • Red.
MINERÍA DE DATOS • La minería de datos (DM, Data Mining) consiste en la extracción no trivial de información que reside de manera implícita en los datos. Dicha información era previamente desconocida y podrá resultar útil para algún proceso. En otras palabras, la minería de datos prepara, sondea y explora los datos para sacar la información oculta en ellos.
OBJETIVOS • Evaluar las técnicas empleadas en la minería de datos. • Evaluar la documentación presentada. • Identificar el proceso de minería de datos. • Identificar la forma de selección del grupo de datos.
PUNTOS A EVALUAR • Análisis aplicados a las propiedades de los datos. • Técnicas de minería de datos empleadas. • Documentación existen de minería de datos. • Clasificación de los datos. • Criterios de selección de datos.
ORACLE Oracle es un sistema de gestión de base de datos relacional (o RDBMS por el acrónimo en inglés de Relational Data Base Management System), desarrollado por Oracle Corporation. Se considera a Oracle como uno de los sistemas de bases de datos más completos, destacando: • Soporte de transacciones. • Estabilidad. • Escalabilidad. • Soporte multiplataforma.
OBJETIVOS • Evaluar el funcionamiento de la Base de Datos ORACLE. • Identificar debilidades. • Analizar funcionamiento de tablas, campos, etc
PUNTOS A EVALUAR • Estructura de base de datos Oracle. • Análisis de los Oracle Data Blocks. • Enumeración de usuarios. • Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario. • Consultar de intentos de iniciar sesiones. • Consultar si la Auditoria está habilitada. • Consultar información de los inicios de Sesión
SQL • El lenguaje de consulta estructurado (SQL) es un lenguaje de base de datos normalizado, utilizado por los diferentes motores de bases de datos para realizar determinadas peraciones sobre los datos o sobre la estructura de los mismos.
Existen dos tipos de comandos SQL: • DLL que permiten crear y definir nuevas bases de datos, campos e índices. • DML que permiten generar consultas para ordenar, filtrar y extraer datos de la base de datos
SAS • SAS es un sistema integrado de productos software proporcionados por SAS Institute Inc. Que permite a los programadores realizar: • Entrada de datos , recuperación , gestión , y minería • Informe escrito y gráfico • Análisis estadístico • Planificación empresarial , previsión y apoyo a las decisiones • Investigación de operaciones y gestión de proyectos • Mejora de la calidad • Aplicaciones de desarrollo • Almacenamiento de datos ( extracción, transformación, carga ) • Independiente de la plataforma y la informática a distancia.
MICROSOFT SQL • Microsoft SQL Server es un sistema de gestión de bases de datos relacionales (SGBD) basado en el lenguaje Transact-SQL, y específicamente en Sybase IQ, capaz de poner a disposición de muchos usuarios grandes cantidades de datos de manera simultánea, Soporte de transacciones.
Características: • Escalabilidad, estabilidad y seguridad. • Soporta procedimientos almacenados. • Incluye también un potente entorno gráfico de administración, que permite el uso de comandos DDL y DML gráficamente. • Permite trabajar en modo cliente-servidor, donde la información y datos se alojan en el servidor y las terminales o clientes de la red sólo acceden a la información. • Además permite administrar información de otros servidores de datos.
IBM – DB2 • DB2 UDB es un sistema para administración de bases de datos relacionales (RDBMS) multiplataforma, especialmente diseñada para ambientes distribuidos, permitiendo que los usuarios locales compartan información con los recursos centrales. • DB2 (R) Universal Database, es una base de datos universal, es completamente escalable, veloz y confiable, corre en modo nativo en casi todas las plataformas, como Windows NT (R), Sun Solaris, HP-UX, AIX(R), OS/400 y OS/2(R).
Ventajas: • Recuperación utilizando accesos de sólo índices. • Predicados correlacionados. • Tablas de resumen • Tablas replicadas • Uniones hash • DB2 utiliza una combinación de seguridad externa y control interno de acceso a proteger datos. • DB2 proporciona un juego de datos de acceso de las interfaces para los diferentes tipos de usuarios y aplicaciones.
MYSQL MySQL es un sistema de gestión de base de datos relacional, multihilo y multiusuario con más de seis millones de instalaciones. • Lenguajes de programación: Existen varias APIs que permiten, a aplicaciones escritas en diversos lenguajes de programación, acceder a las bases de datos MySQL, incluyendo C, C++, C#, Pascal, Delphi (viadbExpress), Eiffel, Smalltalk, Java (con una implementación nativa del driver de Java), entre otros
Aplicaciones • MySQLes muy utilizado en aplicaciones web, como Drupal o phpBB, en plataformas (Linux/Windows-Apache-MySQL-PHP/Perl/Python), y por herramientas de seguimiento de errores como Bugzilla. Su popularidad como aplicación web está muy ligada a PHP, que a menudo aparece en combinación con MySQL.
Características de la versión 5.0.22 • Un amplio subconjunto de ANSI SQL 99, y varias extensiones. • Soporte a multiplataforma • Procedimientos almacenados • Disparadores (triggers) • Cursores • Vistas actualizables • INFORMATION_SCHEMA • Soporte X/Open XA de transacciones distribuidas; transacción en dos fases como parte de esto, utilizando el motor InnoDB de Oracle • Motores de almacenamiento independientes (MyISAM para lecturas rápidas, InnoDB para transacciones e integridad referencial)
POSTGRESS PostgreSQL es un potente sistema de base de datos relacional libre (opensource, su código fuente está disponible) liberado bajo licencia BSD. Tiene más de 15 años de activo desarrollo y arquitectura probada que se ha ganado una muy buena reputación por su confiabilidad e integridad de datos. Funciona en todos los sistemas operativos importantes, incluyendo Linux, UNIX (AIX, BSD, HP-UX, SGIIRIX, Mac OSX, Solaris, Tru64) y Windows.
Características • Integridad transaccional, obedece completamente a la especificación ACID. • Acceso concurrente multiversión, MVCC Control de Concurrencia MultiVersión (MultiVersionConcurrency Control), no se bloquean las tablas, ni siquiera las filas, cuando un proceso escribe. Es la tecnología que PostgreSQL usa para evitar bloqueos innecesarios. Mediante el uso de MVCC, PostgreSQL evita el problema de que procesos lectores estén esperando a que se termine de escribir.