Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

Tema de conferencia:

Buenas Prácticas de Seguridad y Auditoría en Bases de Datos Oracle

Ing. Alvaro Machaca TolaISO 27001 AI, CEH, CCNA

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

Perfil del expositor

Soy Licenciado en Informática con mención en Ingeniería de Sistemas, cuento un Diplomado en Seguridad Informática, actualmente soy certificado internacionalmente como: ISO 27001 Auditor Interno, CEH y CCNA.

Trabajé en áreas de seguridad de la información, riesgo tecnológico, auditoria y cumplimiento en entidades financieras y una firma global de auditoria en Bolivia.

Contactos:

E-mail: alvaro_machaca@Hotmail.com

LinkedIn: https://bo.linkedin.com/in/alvaro-machaca-tola-00785b42

Twitter: @Alvaro_Machaca

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

Contenido

I. Entendiendo lo que es seguridad

II. Buenas prácticas de seguridad

III. Entendiendo lo que es auditoría

IV. Aspectos a considerar en un proceso de auditoría

V. Auditoría en Bases de Datos

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

VII. Conclusiones

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

I. Entendiendo lo que es seguridad

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

I. Entendiendo lo que es seguridad

• Es el estado o sensación de bienestarque percibe el ser humano.

• Lo que busca la seguridad es la gestión del riesgo y los planes de acción que se llevan a cabo para tratarlo.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

I. Entendiendo lo que es seguridad

• En el ámbito tecnológico se habla de seguridad informática, que trata sobre la gestión de riesgos tecnológicos que puedan impactar sobre los recursos tecnológicos.

• Al hablar de recursos tecnológicos nos referimos a infraestructura como servidores, equipos de telecomunicación, estaciones de trabajo, dispositivos móviles, centros de datos entre otros.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

I. Entendiendo lo que es seguridad

• En el ámbito de la información se habla de seguridad de la información, que trata sobre la gestión de riesgos en general que puedan impactar a los recursos o activos de información.

• Al hablar de activos de información nos referimos a hojas de cálculo, informes, presentaciones, planes de trabajo, estrategias corporativas entre otros.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

II. Buenas prácticas de seguridad

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

II. Buenas prácticas de seguridad

• Las buenas prácticas son acciones recomendadas por organizaciones y expertos de un ámbito específico, que permite reducir el riesgo de que una determinada amenaza se materialice y genere un impacto sobre algún activo.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

II. Buenas prácticas de seguridad

• En seguridad informática las buenas prácticas tienen el objetivo de fortalecer los activos tecnológicos y esto se logra a través de configuraciones segurasy una adecuada gestión de la tecnología enfocada en riesgos.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

II. Buenas prácticas de seguridad

• En seguridad de la información las buenas prácticas tienen el objetivo de fortalecer el uso adecuado y seguro de la información y esto se logra a través de hábitos de los usuarios para administrar la información y los medios que los contienen dentro y fuera del trabajo en base a una política de seguridad establecida.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

III. Entendiendo lo que es auditoría

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

III. Entendiendo lo que es auditoría

• Auditoría es el proceso de evaluar de manera independiente a un sistema o proceso de acuerdo a una metodología con el objetivo de emitir una opinión independientesobre la evaluación.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

III. Entendiendo lo que es auditoría

• Una auditoría de seguridad de sistemas de información, es la evaluación de los activos tecnológicos para identificar vulnerabilidades o debilidades en los sistemas o procesos y de esta manera evidenciar hallazgos que determinen que los sistemas salvaguardan la información que se procesa, transmite o almacena.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

IV. Aspectos a considerar en un proceso de

auditoría

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

IV. Aspectos a considerar en un proceso de auditoría

a. El auditor no tiene un conocimiento profundo de todos los procesos de la empresa.

b. El auditor da una opinión en base a estándares internacionales y mejores prácticas de la industria.

c. El auditor debe trabajar bajo un enfoque de riesgo.

d. El auditor tiene la última palabra al emitir el informe final, pero la empresa es la que toma la decisión final.

e. El auditor NO es tu enemigo.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

V. Auditoría en Bases de Datos

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

V. Auditoría en Bases de Datos

• La auditoría en Bases de Datos es la actividad que permite evaluar e identificar debilidades en la gestión de la Base de Datos. El objetivo principal es que pueda evidenciarse la alineación con el logro de los objetivos de la empresa y el resguardo de la confidencialidad, integridad y disponibilidad de los datos.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de

Datos Oracle

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

Actualización de Parches de seguridad

Es fundamental que se instalen las últimas versiones de parches de seguridad. Además debe existir una política de actualización de manera periódica.

Riesgo

Un atacante podría explotar una determinada vulnerabilidad por la ausencia de instalación de parches de seguridad.

cd $ORACLE_HOME/Opatch

./opatch lsinventory

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

Sitios a consultar

Algunos sitios para consultar sobre vulnerabilidades son los siguientes:

https://web.nvd.nist.gov

https://cve.mitre.org

https://support.oracle.com

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

Contraseñas por defecto

Es fundamental que las cuentas por defecto con contraseñas predeterminadas sean modificadas.

Riesgo

Un atacante podría utilizar alguna de estas cuentas debido a que no se modificó la contraseña por defecto.

SELECT USERNAME

FROM DBA_USERS_WITH_DEFPWD

WHERE USERNAME NOT LIKE

'%XS$NULL%';

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

Sitios a consultar

Algunos sitios donde encontrar herramientas de auditoria y creación de contraseñasseguras son los siguientes:

https://www.secure-bytes.com

https://identitysafe.norton.com/password-generator

http://passwordsgenerator.net/

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

AUDIT_SYS_OPERATIONSEs fundamental que esta opción sea activada para registrar las pistas de auditoría emitidas por los usuarios bajo las cuentas SYSOPER y SYSDBA.

RiesgoNo sería posible tener trazabilidad sobre las acciones realizadas por usuarios con privilegios de SYSDBA y SYSOPER.

Nota: En Oracle 12c esta opción viene por defecto en TRUE

SELECT UPPER(VALUE)

FROM V$PARAMETER

WHERE UPPER(NAME) =

'AUDIT_SYS_OPERATIONS';

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

AUDIT_TRAIL

Es fundamental que esta opción se encuentre configurada con alguna de las siguientes opciones OS, DB, DB EXTENDED, XML O XML EXTENDED.

Riesgo

No contaríamos con registros de auditoría de la base de datos.

SELECT UPPER(VALUE)

FROM V$PARAMETER

WHERE

UPPER(NAME)='AUDIT_TRAIL';

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

FAILED_LOGIN_ATTEMPTS

Es importante que el valor de este parámetro sea menor o igual a cinco intentos.

Riesgo

Podrían generarse ataques de fuerza bruta en el proceso de login.

SELECT PROFILE,

RESOURCE_NAME, LIMIT

FROM DBA_PROFILES

WHERE

RESOURCE_NAME='FAILED_LOG

IN_ATTEMPTS'

AND

(

LIMIT = 'DEFAULT'

OR LIMIT = 'UNLIMITED'

OR LIMIT > 5

);

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

PASSWORD_LIFE_TIME

Es importante que el valor de este parámetro sea menor o igual a 90 días.

Riesgo

Podrían generarse ataques de fuerza bruta sobre las cuentas de usuarios.

SELECT PROFILE,

RESOURCE_NAME, LIMIT

FROM DBA_PROFILES

WHERE

RESOURCE_NAME='PASSWORD_L

IFE_TIME'

AND

(

LIMIT = 'DEFAULT'

OR LIMIT = 'UNLIMITED'

OR LIMIT > 90

);

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VI. Buenas prácticas de seguridad en Bases de Datos Oracle

Privilegios y cuentas de usuarios

Es importante que la empresa defina los perfiles y privilegios que se otorgaran a los usuarios. Esto debe ser aprobado por la alta dirección y ser monitoreado periódicamente.

Riesgo

Usuarios no autorizados podrían tener acceso a información crítica.

Tablas importantes a revisar:

DBA_USERS

DBA_ROLE_PRIVS

DBA_SYS_PRIVS

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VII. Conclusiones

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VII. Conclusiones

1. Realice una administración de Bases de Datos con un enfoque en Riesgos.

2. Utilice Security Benchmarks para lineamientos y buenas prácticas de seguridad actuales.

3. Consulte sitios oficiales de normas y estándares de seguridad.

4. Consulte sitios oficiales para realizar una gestión adecuada de vulnerabilidades.

5. Piense de forma segura tanto en el trabajo como en la vida real.

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

VII. Conclusiones

https://benchmarks.cisecurity.org/

http://www.iso.org/iso/iso27001

http://www.iso27000.es/

https://www.pcisecuritystandards.org/pci_security/

https://www.owasp.org/index.php/OWASP_Backend_Security_Project_Oracle_Hardening

Av. Arenales 395 Oficina 403 – 405 / 43376948 – 3327162 / info@cjavaperu.com CJava, siempre para apoyarte.

Gracias