Auditoría de sistemas heterogéneos Sybase-Oracle

Cuando se audita un sistema en el que existen distintos sistemas de gestión de base de datos, como por ejemplo Sybase y Oracle , se dan una serie de circunstancias que complican algo los trabajos.

No sólo por el hecho de que tanto Sybase como Oracle son productos complejos de por sí, sino por el hecho de que el patrón específico de auditoría cambia radicalmente para ambos sistemas. Al igual que el patrón general no cambia, ya que por ejemplo, una de las cosas que debemos solicitar al auditado es un listado de usuarios de las bases, tengamos el gestor de base de datos que tengamos, sin embargo, si pueden cambiar los métodos o las consultas a introducir en el sistema para obtener ese listado. Para que se entienda mejor, citar por ejemplo una prueba de auditoría de un sistema operativo. En un entorno Windows podemos abrir el command (menú ejecutar –> cmd) y teclear ver, mientras que un UNIX tendremos que usar uname. Ambos comandos nos darán información de la versión de nuestro sistema operativo, pero la obtención de esa información varía sustancialmente según el sistema que estemos auditando.

La lista de tareas para auditar la base de datos se hace siempre larga, y dependiendo del sistema que auditemos, las cosas se harán de un modo u otro. Lo realmente complejo es muchas veces aunar conceptos, lo que tradicionalmente se llama hacer un mapeo. Esta labor es necesaria cuando los sistemas coexisten, ya que si vamos a auditar ambas bases, tenemos que tener claro qué hace cada una, cómo, y que métodos no son transformables (operativas que se pueden hacer con un gestor pero con otro no) a consecuencia de las arquitecturas de los gestores. No podemos permitirnos pedirle al DBA un listado o pista de auditoría determinada, y que la respuesta sea «ese gestor no puede extraer de modo inmediato lo que me pide». Hay que saber qué le pedimos al DBA y qué puede ofrecernos. Ni podemos hacerle perder el tiempo, ni podemos perderlo nosotros (por no hablar de lo mal que quedaría demostrarle que no conocemos lo que estamos auditando)

Si os interesa el tema, podéis ojear este ejercicio práctico en el que se transforman Privilegios de Grupo de Sybase a Roles de Oracle. Una vez hecha la transformación, ya sólo resta ordenar a Oracle que nos facilite los listados que emanan de, DBA_ROLES, DBA_ROLE_PRIVS, DBA_COL_PRIVS, DBA_SYS_PRIVS, DBA_TAB_PRIVS, ROLE_ROLE_PRIVS, ROLE_SYS_PRIVS y ROLE_TAB_PRIVS, todas relativas a Roles y Privilegios.

También podéis leer este programa general de auditoría para Oracle, en el que se describen, con mucho acierto, las pautas a seguir para auditar el sistema. Lamento no ofreceros un programa para Sybase, pero no dispongo de él. Quizás haya alguno desperdigado en Google. No obstante, caso de no hallarlos, siempre se pueden transformar los procedimientos del que enlazo y hallar las equivalencias en Sybase. La clave está en lo que comentaba al principio: el patrón general no varía, sólo lo hace el específico.

Por cierto, con esta entrada estreno la sección de Auditoría. Anteriormente había metido este tipo de textos en las categorías de Seguridad y en la de Tecnologías de la Información. Creo que era necesario abrir este nuevo tópico, sobre todo en previsión de que de vez en cuando, a partir de ahora, publique cosas estrictamente vinculadas con la auditoría de sistemas :)

Un saludo.

7 comentarios sobre “Auditoría de sistemas heterogéneos Sybase-Oracle

  1. Hola, me ha encantado cada uno de los articulos publicados… sobre todo por el area de auditoria de oracle… y respecto a este tema, no he podido encontrar un software gratuito, que audite o escanee una bd oracle, si pudieran ayudarme con algun link y descargarlo… se los agredeceria un monton…
    Atte gracias..
    Erik Riquelme de chile.

  2. Erik,

    Yo te ayudaría, pero no ejecuto nunca las auditorías con herramientas, al menos las de este tipo. Estos trabajos tienen demasiadas condiciones de contorno debidas al factor humano, con lo que fiarse del resultado de una herramienta, en estos casos, es poco fiable.

    Aún así, en http://www.auditnet.org/freeap.htm hay una aplicación gratuíta de auditoría Oracle. Requiere registro :)

    Saludos,

  3. Sergio me encuentro realizando una auditoria para oracle para mi proyecto final de semestre, me párese interesante todo lo que dices en esta pagina, lo malo es que cuando quiero ingresar al link «programa general de auditoria para Oracle» no me despliega la pagina, me puedes ayudar gracias.

  4. Sergio, yo tampoco puedo ver el link, lo que pasa es el nombre del documento tiene espacios en blanco. Es por esto que el enlace no permite desplegar el archivo. Existe otra forma de verlo.

    Gracias

    VM

Comentarios cerrados.