PDF de programación - Auditoría práctica de bases de datos bajo Informix

UNIVERSIDAD CARLOS III DE MADRID
ESCUELA POLITÉCNICA SUPERIOR



INGENIERÍA TÉCNICA EN INFORMÁTICA DE GESTIÓN



PROYECTO FIN DE CARRERA



AUDITORÍA PRÁCTICA DE BASES DE DATOS BAJO

INFORMIX



Autor: Mª Isabel Romero Fernández
Tutor: Miguel Ángel Ramos González


Febrero, 2009





AGRADECIMIENTOS


Este proyecto ha constituido una meta muy importante a conseguir desde hace mucho
tiempo, ya que debido a diversas circunstancias lo he tenido que ir posponiendo, pero
con la ayuda de mis seres queridos, amigos y tutor, hoy es una realidad.

A todos mis amigos y familiares, pero muy en especial a mi madre que fue quien siempre
me dio fuerzas y ánimos para luchar y conseguir las cosas que me propusiese, aunque
ahora ya no está con nosotros, pero siempre estará en mi corazón, espero que desde
donde esté se sienta orgullosa de mí.

A mi tutor, Miguel Ángel Ramos González, por la dedicación y colaboración en este
Proyecto, ahora y en el pasado, así como por su interés y profesionalidad. Gracias a él
me ha dado la ilusión de volver a intentarlo, muchas gracias.

Por último, y no menos especial, a mi marido, que ha estado ahí apoyándome y
ayudándome para conseguirlo, esto y otros muchos momentos difíciles que nos ha
tocado vivir, no tengo palabras para agradecérselo.



Gracias a todos.





INDICE





INDICE

1. ORGANIZACIÓN DEL PROYECTO FIN DE CARRERA ............................................2

2.

INTRODUCCIÓN..........................................................................................................5

3. AUDITORÍA..................................................................................................................9

3.1.

INTRODUCCIÓN ..................................................................................................9

3.2.

IMPORTANCIA DE LA AUDITORÍA ...................................................................11

3.3. AUDITORÍA DE BASES DE DATOS ..................................................................12

3.4. TIPOS DE AUDITORÍAS.....................................................................................14
3.4.1. Auditoría Interna...........................................................................................14
3.4.2. Auditoría Externa .........................................................................................14

3.5. FASES DE LA AUDITORÍA INFORMÁTICA.......................................................16
3.5.1. Alcance y Objetivos de la Auditoría .............................................................16
3.5.2. Estudio Inicial...............................................................................................18
3.5.3. Plan de Auditoría..........................................................................................19
3.5.4.
Técnicas y Herramientas en la Auditoría Informática ..................................20
3.5.5. El Informe.....................................................................................................25

3.6. PERFIL DEL AUDITOR.......................................................................................27

3.7. ORGANISMOS Y NORMATIVA..........................................................................30
3.7.1. Agencia Española de Protección de Datos..................................................30
3.7.2.
Ley Orgánica de Protección de Datos .........................................................32
3.7.3.
ISACA ..........................................................................................................36
3.7.4. COBIT ..........................................................................................................39
3.7.5.
ISO/IEC 17799 (27002:2005).......................................................................47

4. BASE DE DATOS Y SISTEMA GESTOR DE BD .....................................................50

4.1. HISTORIA ...........................................................................................................50

4.2. LAS BASES DE DATOS .....................................................................................52
4.2.1. Diseño y creación de Bases de Datos .........................................................53
4.2.2. Explotación de la Base de Datos .................................................................55

i



4.2.3. Bases de Datos Orientadas a Objeto...........................................................57
4.2.4. Ventajas de las Bases de Datos ..................................................................58
4.2.5. Problemas fundamentales de las Bases de Datos ......................................59
4.2.6. Evaluación de la Seguridad .........................................................................61
Seguridad Física y Seguridad Lógica ...................................................64
4.2.6.1.
4.2.6.2.
Amenazas.............................................................................................65
4.2.6.3. Controles de Seguridad ........................................................................66

4.3. ESTRUCTURA DE LOS SISTEMAS DE BASE DE DATOS ..............................71

4.4. SISTEMA GESTOR DE BASE DE DATOS ........................................................72
4.4.1. Ventajas y Desventajas................................................................................75
4.4.2.
Funciones de un SGBD ...............................................................................77
4.4.3. Componentes de un SGBD..........................................................................80
Tipos de arquitectura de los SGBD..............................................................83
4.4.4.

4.5. SISTEMAS DE MONITORIZACIÓN Y AJUSTE DEL SISTEMA.........................86

4.6. LA FIGURA DEL ADMINISTRADOR ..................................................................90

5. AUDITORÍA, SEGURIDAD Y CONTROL EN INFORMIX .........................................93

5.1. PRODUCTOS DE INFORMIX.............................................................................94
5.1.1. Estrategia de IBM con respecto a Informix Dynamic Server........................96
5.1.2. Características del nuevo producto de Informix...........................................98

5.2. SEGURIDAD EN INFORMIX ............................................................................100

5.3. CONTROL Y GESTIÓN DE BASES DE DATOS..............................................103
5.3.1. Acceso a las Bases de Datos ....................................................................104
Privilegios............................................................................................104
5.3.1.1.
5.3.1.2. Rutinas SPL y rutinas externas...........................................................113
Vistas ..................................................................................................114
5.3.1.3.
5.3.2.
Integridad: control de seguridad de la información ....................................117
5.3.3. Optimización del rendimiento.....................................................................121

5.4. AUDITORÍA EN INFORMIX ..............................................................................127
5.4.1.
Introducción................................................................................................127
5.4.2. Análisis de la Auditoría...............................................................................127
5.4.3. Roles para la Auditoría...............................................................................129

ii



5.4.4.

5.4.4.1.
5.4.4.2.
5.4.4.3.

Tipos de gestión de la auditoría.................................................................131
Pistas de Auditoría..............................................................................131
Las máscaras de Auditoría .................................................................132
Los ficheros de Auditoría ....................................................................137
5.4.5. Configuración.............................................................................................138
5.4.6. Administración de la Auditoría ...................................................................141
5.4.7.
Implicaciones de la Auditoría .....................................................................143
5.4.8. Recomendaciones .....................................................................................143

6. COPIAS DE SEGURIDAD Y RESTAURACIÓN......................................................146

6.1.

INTRODUCCIÓN ..............................................................................................146
Las copias de Seguridad............................................................................146
La recuperación de una base de datos......................................................147
Técnicas de recuperación..........................................................................152

6.1.1.
6.1.2.
6.1.3.

6.2. COPIAS DE SEGURIDAD EN INFORMIX........................................................155
6.2.1. Sistemas de copias y restauración de Informix..........................................156
6.2.1.1.
Informix Storage Manager (ON-Bar)...................................................156
6.2.1.2. Ontape ................................................................................................163
6.2.2. Duplicación de disco ..................................................................................164
6.2.3. Duplicación de datos..................................................................................164
6.2.4. Enterprise Replication......................................