Uso del Change Manager para Auditoría de Bases de Datos

La auditoría de Bases de Datos es una etapa importantísima del control interno y básica para mantener la seguridad de la información en la empresa.

A continuación voy a explicar parte del proceso más popular de hacerlo y el porqué del mismo.

En la mayoría de las empresas tenemos por lo menos 2 ambientes de base de datos: Desarrollo y Producción (en algunos casos se mantiene un tercer ambiente llamado pruebas).

El ambiente de producción es el ambiente estable y comprobado en el que se basa nuestro sistema y en el que dependemos para nuestras operaciones día a día.

El ambiente de desarrollo es el ambiente donde haremos los cambios que evolucionaran nuestro ambiente de producción.

Cada vez que se decide hacer una serie de cambios al ambiente de producción debido ya sea a nuevos procesos o evolución de funciones, éste debe de hacerse y probarse en el ambiente de desarrollo; una vez probado y refinado se puede considerar la implementación al ambiente de producción.

En los ambientes de bases de datos, tanto como en el ambiente de desarrollo de aplicaciones, no existe una estructura inmaculada y la base de datos puede cambiar varias veces por lo que una cultura de versionamiento es altamente recomendada.

Este proceso hace que la tarea de transformar exactamente la versión del ambiente de desarrollo a producción sea invaluable.

Esta explicación modela la primera circunstancia en la que el Change Manager de Embarcadero demuestra su utilidad para la empresa y para el ahorro de tiempo de los DBA.

El Change Manager compone 5 tareas básicas:

1.       El versionamiento de la configuración del motor de base de datos: ésta tarea nos permitirá guardar un documento con los valores del motor, tamaño de buffer, variables de sistema y demás.

2.       El versionamiento de los esquemas de la base de datos: ésta tarea nos permite respaldar la estructura de las tablas que le permitamos, así como el sql para reconstruirla desde cero.

3.       La comparación de la configuración del motor ya sea entre dos servidores en vivo o con un respaldo hecho con el change manager, lo cual nos permite ver las diferencias asi como el DDL necesario para transformar la versión destino a una copia perfecta de la versión fuente.

4.       La comparación entre esquemas de bases de datos ya sea en vivo o contra un archivo de versión hecho en Change Manager, éste proceso crea un informe de todas las diferencias y la codificación sql para implementar las diferencias e igualar los esquemas.

5.       La comparación de datos entre tablas idénticas en servidores en vivo diferentes, ahora ésta funcionalidad no solo permite la comparación, sino que también permite la sobreescritura de los datos y su enmascaramiento.

El enmascaramiento de los datos es una herramienta moderna para problemas modernos, en una sociedad empresarial con cada vez más costos, el uso de terceros para el desarrollo de nuevos procesos es imperativo, asimismo la protección de los datos, así que aunque nuestros desarrolladores requieren de una carga de datos similar a la de producción no necesariamente significa que le demos los datos exactos de nuestra BD, asi que podemos ocultar los datos que sean críticos de negocio y ofuscar los otros en los que su análisis pueda ser contraproducente, dando así una base de datos de desarrollo la cual sólo representa la cantidad de datos sin mostrar una imagen exacta de los movimientos en producción.

La ingenuidad y utilidad de una herramienta que hace bien su trabajo son las ventajas competitivas que ofrece el Change Manager de Embarcadero y recomiendo efectivamente su prueba para éste tipo de tareas en su empresa.

Ideas para la auditoría de Sistemas

La auditoría de sistemas es un tema que puede llegar a ser complejo en la empresa, como todo tópico tiende a ser abordado desde distintos puntos de vista y no deja de ser válido el aspecto técnico contra el aspecto administrativo.

Desde el aspecto administrativo se esperan tener números que demuestren la efectividad de las reglas tomadas y de los ahorros conseguidos.

El aspecto técnico implica la rapidez de las tareas y los ahorros de tiempo para permitir el hacer otras tareas.

Los gerentes esperan de sus jefes técnicos la generación de simulaciones con lo que costaría en tiempo vs dinero invertido vs posible impacto para asegurar la necesidad de fondos para sus actividades, es parte de su set de conocimientos y necesidades.

Para los Jefes Técnicos es implícita esa necesidad y es difícil el concepto de generar aún mas trabajo para las actividades críticas del negocio.

Los dos lados de la moneda son difíciles de conciliar pero no imposible, varias instituciones han diseñado modelos de gobernabilidad de TI basados en las diferencias de conceptualización, convirtiendo tareas criticas en métricas medibles.

Para una persona técnica a veces es complicado el convertir las posibilidades de desastre en algo cuantificable, tan sólo la pérdida o corrupcion de datos parcial implica una investigación costosa y una posible pérdida monetaria y de confianza.

La comparación de cambios, el seguimiento, la responsabilidad documentada  y una adecuada política de proceso ayuda a reducir la posibilidad de factores impredecibles, por otro lado permite una rápida recuperación ante accidentes.

Es importante para todos los responsables en una empresa  el involucrarse y tratar tanto de comprender a sus colegas como el facilitar la comprensión de sus responsabilidades para mejorar la eficacia de los procesos en la empresa.

Actualidad 101 o como nuestros datos se interconectaron

Actualidad 101 o como nuestros datos se interconectaron

Hace tan solo 20 años la mayoría de nuestros datos (por lo menos en América Latina) eran compilados en papel y almacenados en archivos (cajas físicas) de metal, los procesos para tener acceso a esa información estaba diseñado como todo en esa época en acceso físico, asimismo las personas que entraron en esa época a trabajar fueron entrenados con esa mentalidad.

Poco a poco, conforme las computadoras fueron convirtiéndose en las herramientas que son hoy en día,  la información fue transfiriéndose a archivos digitales, pero no se conectaban a las computadoras entre sí, de manera que mantenían un estatus similar al archivo físico en cuanto a que se necesitaba acceso a la máquina específica que contenía los datos y generalmente se imprimían ya que no había otro proceso diseñado para utilizarlos más que en su forma física.

Ahora las computadoras y oficinas están interconectadas, y además de entre ellas, la mayoría está también conectada a la autopista de la información: Internet.

Lamentablemente un hecho olvidado por el personal entrenado en la época donde no existía ésta interconexión es el hecho de que internet es una autopista de dos vías.

Ventajas de la interconexión

La interconexión con internet presenta una forma barata y comparativamente eficiente de enviar archivos y mensajes a colegas en otras partes del mundo.

Acelera el intercambio de información permitiéndonos ser más eficientes y tomar decisiones informadas en un lapso de tiempo menor.

Nos permite consultar más fuentes de contenido y hacer investigaciones más profundas en menor tiempo.

Desventajas de la interconexión

Es más difícil mantener la privacidad de los datos que utilizamos día a día, existen cientos de personas en el mundo que hacen de su trabajo el investigar sobre personas y empresas buscando la manera de acceder a los datos privados, la seguridad ya no se limita a poner un guarda o colocar cámaras, éstas conexiones son invisibles y necesitan aparatos de análisis de conexión y cortafuegos (firewalls) para detener a éstas personas y proteger los datos.

Como se conectan éstas personas a mis datos, la computadora del trabajo y/o al servidor de almacenamiento?

La respuesta es simple y concisa, de la misma manera en que usted lo hace!

Las personas que intentan éste tipo de operaciones tienden a ser gente con gran conocimiento técnico y acceso parcial o total al ambiente de alguna manera, sea física o digital.

Se empieza por analizar a la empresa ya sea de manera remota: utilizando programas de análisis de vulnerabilidades o colocando programas de análisis de tráfico. O de manera física: haciendo ingeniería social, colocando aparatos de bitácora de teclas (keylogers), analizando el contenido de los cubículos (claves escritas en papel, fotografías y demás).

La meta es lograr algún nivel de acceso a los archivos de la compañía y determinar si tienen algún tipo de valor monetario para alguien y ofrecerlo al mejor postor.

Es responsabilidad de cada persona de seguir los comportamientos de seguridad recomendados para evitar el robo de información en la empresa o en su hogar.

Conceptos administrativos de la gestión de seguridad en la empresa

Desde el punto de vista de seguridad de la información hay muchos conceptos que pueden sonar conflictivos y confusos al compararse con sus contrapartes y que dependen del contexto de la arquitectura de servicios implementada.

Una infraestructura bien definida es dividida en capas para controlar el acceso tanto interno a información privilegiada como externo a la red entrante y saliente, esto se hace para delimitar la cantidad de puntos críticos que permitan el acceso. La idea es simple, hay que mantener el servicio sin abrir demasiados nodos, muchas empresas utilizan clusters como gateways de salida para que aunque son reconocidos como un solo servidor en caso de que falle cuenta con un respaldo que tiene su misma configuración.

¿Qué tiene esto que ver con la gestión de la seguridad?

Uno de los aspectos más importantes de la gestión es el llamado “Inventario de activos”, el cual identifica la configuración, nivel de parches, software instalado, función, nombre del nodo y demás detalles relevantes. Este documento es la guía para todo lo que hay que actualizar en la infraestructura tecnológica y es compuesto por varios procesos:

Inventario Físico: es la toma física de recursos, ejemplo: el registro de servidores, monitores y demás activos físicos de la empresa asimismo comprende la configuración de cableado utilizado.

Inventario lógico: es el registro de las funciones de cada nodo y la configuración recomendada así como el nivel de parche recomendado.

Auditoría de vulnerabilidad: se utilizan herramientas de ataque de penetración para comprobar vulnerabilidades conocidas y sus arreglos

¿Por qué agrego la auditoría de vulnerabilidad entre los procesos que componen el Inventario de Activos?

Todos los días se descubren nuevas vulnerabilidades a los sistemas más utilizados comúnmente denominadas como “0-day”, estas vulnerabilidades son publicadas y no se limitan a los sistemas operativos, pueden afectar a gestores de contenido como Joomla y Wordpress, incluso el firmware de ciertos firewalls.

La auditoría de vulnerabilidad es un proceso que debe hacerse periódicamente para evitar que una de estas vulnerabilidades descubiertas sea utilizada por algún operador malicioso y cerrar cualquier agujero.

De identificarse una situación donde un ataque constante o focalizado es importante implementar un protocolo de auditoría de vulnerabilidades enfocándose en las vulnerabilidades atacadas, es importante garantizar la impermeabilidad en contra de éstos ataques y la seguridad de la información de la empresa.

Es extremadamente importante mantenerse al día con la protección que le damos a nuestra empresa y una infraestructura adecuada es la mejor manera de hacerlo de manera eficiente.