Pista de Auditoria

La pista de auditoría contiene archivos de auditoría binarios. La pista se crea mediante el daemon auditd. Una vez que el servicio de auditoría se haya habilitado con el comando orden bsmconv, el daemon auditd arranca cuando se inicia el sistema. El daemon auditd es responsable de recolectar los datos de la pista de auditoría y escribir los registros de auditoría.

Los registros de auditoría se almacenan en formato binario en los sistemas de archivos dedicados a los archivos de auditoría. Aunque se pueden ubicar físicamente directorios de auditoría en sistemas de archivos que no están dedicados a la auditoría, no lo haga, salvo para los directorios de último recurso. Los directorios de último recurso son directorios en los que los archivos de auditoría se escriben sólo cuando no hay ningún otro directorio adecuado disponible.

Existe otro escenario en el que ubicar directorios de auditoría fuera de los sistemas de archivos de auditoría dedicados puede ser aceptable. Puede hacerlo en un entorno de desarrollo de software en el que la auditoría sea opcional. Utilizar por completo el espacio en disco puede ser más importante que mantener una pista de auditoría. Sin embargo, en un entorno en el que la seguridad es una preocupación, colocar directorios de auditoría en otros sistemas de archivos no es aceptable.

También debe tener en cuenta los siguientes factores al administrar sistemas de archivos de auditoría:

• Un host debe tener al menos un directorio de auditoría local. El directorio local se puede utilizar como un directorio de último recurso si el host no se puede comunicar con el servidor de auditoría.
• Monte los directorios de auditoría con la opción de lectura-escritura (rw). Al montar directorios auditoría de forma remota, use también las opciones intr y noac.
• Visualice los sistemas de archivos de auditoría en el servidor de auditoría en el que residen. La lista de exportación debería incluir todos los sistemas que se están auditando en la ubicació

Pistas de Auditoria de Bases de Datos

Las Pistas de Auditoría o “Audit Trail” son un conjunto de transacciones que reflejan los cambios hechos a una base de datos. A partir del análisis de esta información se puede llegar a determinar la forma en la que los datos o elementos obtuvieron su valor actual. Son un componente fundamental para la implementación del “accountability” o rendición de cuentas.

En una base de datos de una aplicación estándar de una organización, se pueden generar pistas de auditoría para:

• Conexiones a la base de datos.
• Modificaciones al modelo de datos.
• Modificaciones a los datos.

Las pistas de auditoría, al contrario de lo que se podría suponer por su nombre, no son de utilidad únicamente para el auditor. El uso más provechoso es para proactivamente monitorear la seguridad de la base de datos. Esto puede ser realizado por el administrador de la base de datos o por usuarios finales de las aplicaciones, dependiendo de la forma en la que éstas sean presentadas y la facilidad para su uso y consulta.  

En una base de datos es posible definir distintos tipos de pistas de auditoría, cada una de ellas con diferente costo de almacenamiento, costo de implementación, facilidad de uso, etc. La definición del tipo de pistas de auditoría a utilizar depende de la organización, la criticidad de los datos y los estándares de seguridad establecidos. Los tipos de pistas de auditoría que encontramos en una base de datos son los siguientes:

Logs de base de datos: generalmente provistas con opciones que se configuran directamente en la base de datos (dependiendo del motor) e incluyen acciones como auditoría de sentencias, auditoría de privilegios y auditoría de objetos de la base de datos. La información generada se guarda en archivos propios de la base de datos. Es una opción costosa en recursos de almacenamiento y para revisar la información generada usualmente se requieren recursos adicionales tales como una herramienta para identificar y monitorear los eventos verdaderamente críticos.  

Registros de auditoría: requeridos únicamente cuando se modifican los datos en una tabla maestra o transaccional. A diferencia de los logs de base de datos son registros de “historia” y no se utilizan para registrar las conexiones a la base de datos o modificaciones al modelo de datos, sino que se enfocan en las modificaciones a los datos originadas desde cualquier origen. Su implementación es a través de “triggers”, típicamente antes o después de los eventos “insert”, “delete” o “update”. Se guarda la imagen del registro antes y después del evento, existiendo la opción de registrar la imagen de la fila entera, o registrar únicamente las columnas que han cambiado durante la operación. El crecimiento de los registros de auditoría estará determinado por la cantidad de transacciones que se realicen sobre los registros.

Pistas de auditoría basadas en aplicación: se implementan a través de procedimientos almacenados invocados desde las aplicaciones o directamente en el código de las aplicaciones. Consisten en agregar, y modificar cuando sea necesario, los siguientes campos en cada una de las tablas (maestras o transaccionales) de una aplicación:

• creado_por – nombre o código de identificación del usuario que creó el registro
• fecha_creación – fecha y hora en la que el registro fue creado
• modificado_por – nombre o código de identificación del último usuario que modificó el registro
• fecha_modificación – fecha y hora de la última modificación del registro
• origen – nombre de la función de la aplicación desde la que se realizó la última acción sobre el registro.

Para su funcionamiento se requiere que nunca se eliminen registros de la base de datos, sino que únicamente se les cambie el estado, de tal forma que para el usuario final estos registros ya no existan pero físicamente seguirán en la base de datos. No crecen con las transacciones que se realizan, ya que son campos fijos que se definen al crear las tablas en las bases de datos.

La comparación de los tres tipos de pistas de auditoría en bases de datos es:

Características de una pista de Auditoria

• La complejidad de la pista de auditoria variará en función del tipo de empresa, de su actividad principal y de la transacción que este siendo evaluada por el auditor.

• Es una secuencia cronológica, que contiene las pruebas relacionadas directamente con cada operación económica de la empresa.

• Permiten la supervisión interna de la empresa.

• Las pistas de auditoria le brindan la información necesaria al auditor para realizar su opinión sin inconvenientes.

Características de los Programas para la generación de las pistas de auditoria

Cada aplicación debe contar con el software que suministre los elementos para el diseño de las pistas de auditoria, que está sustentado en cuatro aspectos básicos, que son:

• Generación: que la pista se pueda generar a partir de cualquier punto en el sistema.

• Modificación, que se pueda modificar, ya sea obteniendo una copia y cambiando lo que se desea en ella, con lo que se genera una nueva de ellas, dejando la original como estaba, o cambiando la original para obtener una nueva, con lo que la original se desecha.

• Borrado: que se permita borrar todo lo referente a una pista existente, que pueda ser porque ya no se necesite más, o porque se haga un cambio radical en ella.

• Recuperación: que se permita recuperar una pista que se haya desechado a partir de un respaldo (back up) o por medio de una reconstrucción.

Necesidad de las Pistas de Auditoria

Lo que se persigue es poder determinar a ciencia cierta que toda transacción sea procesada, almacenada y presentada sin ninguna transgresión, que no haya cambios o modificaciones en ella, y los resultados que produce sean autorizados y sean producto fiel y cabal de la transacción que le dio origen.

Normalmente una pista de auditoria tiene dos propósitos:

- Consultas.
- Para cumplir con necesidades legales.
- Para propósitos de seguimiento.
- Para descubrir fraudes.
- Como elemento de control.
- Para determinar las consecuencias de un
error.
- Para fines de respaldo y recuperación.

Pistas de auditoria en Sistemas

Debido a la gran ayuda que proporciona este tipo de pistas, tanto a la auditoria como a la administración, se ha hecho indispensable su implantación y utilización.

Existen muchas razones que hacen necesario que las pistas de auditoria estén presentes en todo proceso que se lleve a cabo en las empresas; algunas de ellas son:

En todos los sistemas, sean automatizados o no, las pistas de auditoria deben estar siempre presentes, y deben de cumplir con tres requisitos básicos:

1. Que cualquier transacción pueda ser seguida, desde el documento fuente que la originó, por medio del proceso a que es sometida, hasta las salidas (archivos, consultas por pantalla o informes) y los totales a los cuales se agrega.

2. Que cada salida o resumen de datos, se pueda seguir hacia atrás, hasta la transacción o cálculos que los produjeron.

3. Que cualquier transacción generada automáticamente, se pueda rastrear hasta el evento o condición que la generó.

Utilización de Bitácoras

Las bitácoras que tienen incorporados la mayoría de los sistemas operativos, así como administradores de bases de datos, aunque ofrecen facilidades para obtener información valiosa para una auditoria, también están muy limitadas con respecto al proceso de las transacciones en sí, que es lo que.

Propósito de las pistas de auditoria

• El propósito de implosión que permite rastrear una transacción desde su origen, pasando por el proceso de transformación a que es sometida, hasta su almacenamiento y presentación.

• El propósito de explosión que permite la reconstrucción de las diferentes operaciones a que ha sido sometida una transacción.

Como una herramienta de gestión

En muchos sentidos, las pistas de auditoría a menudo pueden ser herramientas eficaces para la supervisión de una empresa o las finanzas de la organización y otros recursos.

Con todo, las pistas de auditoria son una buena manera de saber si las transacciones se llevan a cabo sin problemas y representando la imagen fiel de la empresa.

Claridad de objetivos:
Su definición clara, precisa, alcanzable y cuantificada.


Compatibilidad de objetivos:
Su correcta priorización y el grado de coordinación de todos los objetivos.


Calidad de las decisiones tomadas:
Clarificar las decisiones en base a las características de la situación, los recursos disponibles y la aplicación que se deriva de los mismos.

El proceso

Una pista de auditoría incluirá una lista cronológica de los pasos que se requieren a fin de iniciar una transacción, así como de llevarlo hasta el final.

Una pista de auditoría puede ser simple o muy compleja; esto depende de la cantidad de pasos involucrados en la transacción. Por ejemplo, la realización de una auditoría en una factura emitida por un proveedor sería un proceso relativamente simple.

Una pista de auditoría generalmente comienza con la recepción de la factura y, a continuación, la operación es seguida a través de cuentas a pagar, y finalmente a través de un pago que se realiza para saldar la deuda.

Sin embargo, una pista de auditoria puede contener muchos más pasos y ser difícil de seguir, dependiendo de la compañía y de la transacción.

Que es pista de auditoria?

Consiste en la serie de documentos, archivos informáticos, y otros elementos de información que se examinan durante una auditoría, y muestran cómo las transacciones son manejadas por una empresa de principio a fin.

Una pista de auditoría puede ser un rastro de papel o un rastro electrónico que proporciona la historia documental de la actividad en una empresa.

Una pista de auditoría permite a un auditor rastrear los datos financieros relevantes llegando así al documento de origen (factura, recibo, bono, etc.)

La presencia de pistas de auditorias fiables y fáciles de seguir es un indicador del buen control interno establecido por una empresa, y constituye la base de la objetividad.