Auditoría práctica de bases de datos bajo INFORMIX

-

Documents
285 pages
Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

Description


Este Proyecto Fin de Carrera está enfocado a varios aspectos, por un lado la Auditoría de forma genérica, pero siempre enfocada en último término a las bases de datos y por otro lado Informix, como entorno, producto comercial muy importante en el mundo empresarial, actualmente disminuyendo su ámbito comercial, pero que ha sido y sigue siendo impulsor de las bases de datos. Y todo esto aplicado a la herramienta implementada.
Ingeniería Técnica en Informática de Gestión

Sujets

Informations

Publié par
Publié le 01 février 2009
Nombre de visites sur la page 353
Langue Español
Signaler un problème





UNIVERSIDAD CARLOS III DE MADRID
ESCUELA POLITÉCNICA SUPERIOR


INGENIERÍA TÉCNICA EN INFORMÁTICA DE GESTIÓN


PROYECTO FIN DE CARRERA



AUDITORÍA PRÁCTICA DE BASES DE DATOS BAJO
INFORMIX





Autor: Mª Isabel Romero Fernández
Tutor: Miguel Ángel Ramos González

Febrero, 2009



AGRADECIMIENTOS

Este proyecto ha constituido una meta muy importante a conseguir desde hace mucho
tiempo, ya que debido a diversas circunstancias lo he tenido que ir posponiendo, pero
con la ayuda de mis seres queridos, amigos y tutor, hoy es una realidad.
A todos mis amigos y familiares, pero muy en especial a mi madre que fue quien siempre
me dio fuerzas y ánimos para luchar y conseguir las cosas que me propusiese, aunque
ahora ya no está con nosotros, pero siempre estará en mi corazón, espero que desde
donde esté se sienta orgullosa de mí.
A mi tutor, Miguel Ángel Ramos González, por la dedicación y colaboración en este
Proyecto, ahora y en el pasado, así como por su interés y profesionalidad. Gracias a él
me ha dado la ilusión de volver a intentarlo, muchas gracias.
Por último, y no menos especial, a mi marido, que ha estado ahí apoyándome y
ayudándome para conseguirlo, esto y otros muchos momentos difíciles que nos ha
tocado vivir, no tengo palabras para agradecérselo.


Gracias a todos.









INDICE
INDICE

1. ORGANIZACIÓN DEL PROYECTO FIN DE CARRERA ............................................2
2. INTRODUCCIÓN..........................................................................................................5
3. AUDITORÍA..................................................................................................................9
3.1. INTRODUCCIÓN ..................................................................................................9
3.2. IMPORTANCIA DE LA AUDITORÍA ...................................................................11
3.3. AUDITORÍA DE BASES DE DATOS ..................................................................12
3.4. TIPOS DE AUDITORÍAS.....................................................................................14
3.4.1. Auditoría Interna...........................................................................................14
3.4.2. Auditoría Externa .........................................................................................14
3.5. FASES DE LA AUDITORÍA INFORMÁTICA.......................................................16
3.5.1. Alcance y Objetivos de la Auditoría .............................................................16
3.5.2. Estudio Inicial...............................................................................................18
3.5.3. Plan de Auditoría..........................................................................................19
3.5.4. Técnicas y Herramientas en la Auditoría Informática ..................................20
3.5.5. El Informe.....................................................................................................25
3.6. PERFIL DEL AUDITOR.......................................................................................27
3.7. ORGANISMOS Y NORMATIVA..........................................................................30
3.7.1. Agencia Española de Protección de Datos..................................................30
3.7.2. Ley Orgánica de Protección de Datos .........................................................32
3.7.3. ISACA ..........................................................................................................36
3.7.4. COBIT39
3.7.5. ISO/IEC 17799 (27002:2005).......................................................................47
4. BASE DE DATOS Y SISTEMA GESTOR DE BD .....................................................50
4.1. HISTORIA ...........................................................................................................50
4.2. LAS BASES DE DATOS .....................................................................................52
4.2.1. Diseño y creación de Bases de Datos .........................................................53
4.2.2. Explotación de la Base de Datos .................................................................55
i
4.2.3. Bases de Datos Orientadas a Objeto...........................................................57
4.2.4. Ventajas de las Bases de Datos ..................................................................58
4.2.5. Problemas fundamentales de las Bases de Datos ......................................59
4.2.6. Evaluación de la Seguridad .........................................................................61
4.2.6.1. Seguridad Física y Seguridad Lógica ...................................................64
4.2.6.2. Amenazas.............................................................................................65
4.2.6.3. Controles de Seguridad ........................................................................66
4.3. ESTRUCTURA DE LOS SISTEMAS DE BASE DE DATOS ..............................71
4.4. SISTEMA GESTOR DE BASE DE DATOS ........................................................72
4.4.1. Ventajas y Desventajas................................................................................75
4.4.2. Funciones de un SGBD ...............................................................................77
4.4.3. Componentes de un SGBD..........................................................................80
4.4.4. Tipos de arquitectura de los SGBD..............................................................83
4.5. SISTEMAS DE MONITORIZACIÓN Y AJUSTE DEL SISTEMA.........................86
4.6. LA FIGURA DEL ADMINISTRADOR ..................................................................90
5. AUDITORÍA, SEGURIDAD Y CONTROL EN INFORMIX .........................................93
5.1. PRODUCTOS DE INFORMIX.............................................................................94
5.1.1. Estrategia de IBM con respecto a Informix Dynamic Server........................96
5.1.2. Características del nuevo producto de Informix...........................................98
5.2. SEGURIDAD EN INFORMIX ............................................................................100
5.3. CONTROL Y GESTIÓN DE BASES DE DATOS..............................................103
5.3.1. Acceso a las Bases de Datos ....................................................................104
5.3.1.1. Privilegios............................................................................................104
5.3.1.2. Rutinas SPL y rutinas externas...........................................................113
5.3.1.3. Vistas ..................................................................................................114
5.3.2. Integridad: control de seguridad de la información ....................................117
5.3.3. Optimización del rendimiento.....................................................................121
5.4. AUDITORÍA EN INFORMIX ..............................................................................127
5.4.1. Introducción................................................................................................127
5.4.2. Análisis de la Auditoría...............................................................................127
5.4.3. Roles para la Auditoría129
ii
5.4.4. Tipos de gestión de la auditoría.................................................................131
5.4.4.1. Pistas de Auditoría..............................................................................131
5.4.4.2. Las máscaras de Auditoría132
5.4.4.3. Los ficheros de Auditoría ....................................................................137
5.4.5. Configuración.............................................................................................138
5.4.6. Administración de la Auditoría ...................................................................141
5.4.7. Implicaciones de la Auditoría .....................................................................143
5.4.8. Recomendaciones .....................................................................................143
6. COPIAS DE SEGURIDAD Y RESTAURACIÓN......................................................146
6.1. INTRODUCCIÓN ..............................................................................................146
6.1.1. Las copias de Seguridad............................................................................146
6.1.2. La recuperación de una base de datos147
6.1.3. Técnicas de recuperación..........................................................................152
6.2. COPIAS DE SEGURIDAD EN INFORMIX........................................................155
6.2.1. Sistemas de copias y restauración de Informix..........................................156
6.2.1.1. Informix Storage Manager (ON-Bar)...................................................156
6.2.1.2. Ontape ................................................................................................163
6.2.2. Duplicación de disco ..................................................................................164
6.2.3. datos164
6.2.4. Enterprise Replication................................................................................164
6.3. GESTIÓN DE COPIAS DE SEGURIDAD .........................................................165
6.3.1. Tipos de Copias de Seguridad...................................................................165
6.3.2. Planificación de las copias de seguridad ...................................................168
6.3.3. Verificación de las copias de seguridad.....................................................170
6.3.4. Dispositivos de almacenamiento................................................................171
6.4. Restauración de datos ......................................................................................173
6.4.1. Recuperación rápida..................................................................................173
6.4.2. Planificación de una estrategia de recuperación .......................................174
6.4.3. Tipos de restauración.................................................................................175
6.4.4. Programas de utilidad de Informix Storage Manager.................................176
7. LISTAS DE COMPROBACIÓN ...............................................................................179
7.1. DIRECCIÓN ......................................................................................................180
iii
7.2. CALIDAD...........................................................................................................183
7.3. SEGURIDAD.....................................................................................................184
7.3.1. Seguridad Lógica .......................................................................................185
7.3.2. Seguridad Física ........................................................................................187
7.3.3. Seguridad referente a la Administración de la Base de Datos...................190
7.4. EVALUACIÓN DE LAS ÁREAS CRÍTICAS DE LA SEGURIDAD.....................191
7.5. BASES DE DATOS...........................................................................................196
7.6. ADMINISTRADOR DE LA BASE DE DATOS...................................................199
7.7. EL SISTEMA .....................................................................................................201
7.8. EXPLOTACIÓN DE LOS SISTEMAS ...............................................................205
7.9. COPIAS DE SEGURIDAD Y RESTAURACIÓN ...............................................206
7.10. RENDIMIENTO DE LA BASE DE DATOS .......................................................208
7.11. PERSONAL INFORMÁTICO ............................................................................209
7.12. DESARROLLO .................................................................................................210
7.13. MANTENIMIENTO............................................................................................212
8. APLICACIÓN ...........................................................................................................216
8.1. MANUAL DE USUARIO ....................................................................................217
8.1.1. Ventana principal .......................................................................................218
8.1.2. Opciones del Menú Auditoría.....................................................................219
8.1.3. el Menú Gestión Auditoría .......................................................225
8.1.4. Opciones del Menú Ir a..............................................................................228
8.1.5. el Menú Herramientas..............................................................236
8.1.6. Opciones del Menú Mantenimiento............................................................239
8.1.7. el Menú Ayuda.........................................................................247
8.2. Posibles líneas de desarrollo ............................................................................248
8.3. ANEXO APLICACIÓN.......................................................................................249
8.3.1. Menú Herramientas: Ayuda Técnica de Informix.......................................249
9. CONCLUSIONES.....................................................................................................267
iv
10. LÍNEAS FUTURAS DE DESARROLLO ..............................................................270
11. GLOSARIO...........................................................................................................272
12. BIBLIOGRAFÍA....................................................................................................276


v

CAPÍTULO 1

ORGANIZACIÓN DEL
PROYECTO FIN DE CARRERA
Capítulo 1 Organización del Proyecto Fin de Carrera
1. ORGANIZACIÓN DEL PROYECTO FIN DE CARRERA
Antes de empezar a escribir este proyecto fin de carrera, uno de los objetivos que me
planteé era que este trabajo fuera algo más técnico, que aportara una guía práctica al
auditor para afrontar el estudio de un sistema de bases de datos, presentando
aquellos aspectos más intrínsecos a Informix, así como una herramienta que lo llevase
a cabo.
Aunque mi objetivo inicial fue el indicado anteriormente, a lo largo del proyecto y a
través de mí experiencia profesional me he dado cuenta que la empresas tienen un
control muy exhaustivo de los programas que se ejecutan en sus máquinas y sobre
todo en aquellos que acceden directamente a los datos. Todos aquellos procesos que
van contra la base de datos deben pasar un conjunto de pruebas muy exhaustivo y
ejecutados por determinadas personas, que tienen dichos privilegios, y en horarios
que no afecten al rendimiento del sistema. Además de la gran variedad de
arquitecturas que existen, cada organización desarrolla un sistema que se ajusta a sus
necesidades y en función de esto y de las decisiones estratégicas de la empresa
desarrollan un entorno de almacenamiento y gestión de la información. Todo esto me
ha demostrado que la probabilidad de que se permita ejecutar un programa en los
sistemas de una empresa y la cantidad de parámetro a parametrizar para que se
ajuste al entorno hace de esto que sea bastante baja. Creo que dicha tarea solo sería
encomendada al equipo de auditoría interna del organismo o a una empresa
especializada en base de datos Informix, bajo su exhaustiva supervisión.
Para poder conseguir mi objetivo inicial, aportar ayuda en el ámbito técnico, se
exponen un conjunto de herramientas de Informix, que dan información del sistema y
considero que no habría ninguna dificultad en su ejecución, ya que son propias del
sistema Informix. Esta relación de herramientas, así como su funcionamiento y la
información que aportan queda recogida tanto en el Proyecto Fin de Carrera como en
la aplicación implementada del mismo.
Por todo lo expuesto con anterioridad, he desarrollado una aplicación que gestiona y
ayuda a la creación de toda la documentación, pudiendo utilizar o diseñar plantillas
que nos ayuden, permitiendo adaptarlos a las preferencias del equipo de auditoría.
Auditoría Práctica de BD Bajo Informix 2 Mª Isabel Romero