Auditoría de instancias de SQL Server, objetos de base de datos e inicios de sesión en Amazon RDS y Amazon EC2 - AWS Guía prescriptiva
Resultados empresariales específicos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Auditoría de instancias de SQL Server, objetos de base de datos e inicios de sesión en Amazon RDS y Amazon EC2

Ashish Srivastava, Bhavani Akundi y Sreenivas Nettem, Amazon Web Services (AWS)

abril de 2023 (historial de documentos)

En esta guía se explica cómo implementar el proceso de auditoría de SQL Server en Amazon Elastic Compute Cloud (Amazon EC2) y Amazon Relational Database Service (Amazon RDS) para instancias de bases de datos de SQL Server.

La auditoría de bases de datos es un método de auditoría de TI para certificar que los datos de la organización están protegidos. Implica evaluar datos y registrar las principales operaciones empresariales críticas en bases de datos.

La auditoría de bases de datos se ha convertido en obligatoria, especialmente cuando los datos incluyen información de identificación personal (PII) y deben adecuarse a las directrices de seguridad y cumplimiento. Algunas directrices incluyen los tipos de datos y las recomendaciones que emiten las políticas de gobernanza de un país. Un proceso de auditoría requiere pruebas, que se pueden extraer de los registros de bases de datos. La auditoría ayuda a evitar el acceso no autorizado a los datos. Al hacer un seguimiento del uso de los datos, puede investigar si hay actividades falsas y tomar las medidas adecuadas. Las auditorías de bases de datos para garantizar la confidencialidad, integridad y accesibilidad de los datos ayudan a garantizar su protección. Para evitar infracciones de datos, la práctica recomendad es contar con la seguridad y la auditoría de bases de datos.

La auditoría de SQL Server es un requisito para cumplir con estándares de seguridad, financieros y sanitarios, como la ISO/IEC 27001, el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS), BASEL III, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la Gobernanza de la Información (IG) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).

Resultados empresariales específicos

Las organizaciones implementan la auditoría de SQL Server y bases de datos por varios motivos, entre los que se incluyen los siguientes:

  • Los auditores necesitan datos contextuales y significativos para el cumplimiento y la auditoría. Los registros de auditoría de bases de datos son adecuados para los equipos de DBA, pero no para los auditores.

  • La capacidad de generar alertas críticas en caso de infracción de seguridad es un requisito básico para el software a gran escala. Puede utilizar los registros de auditoría para este fin, ya que la información de registro ayuda a identificar las comprobaciones de control y hacer un seguimiento de ellas.

  • La auditoría de bases de datos proporciona información como la siguiente:

    • ¿Quién accedió a los datos (por ejemplo, DBA, desarrolladores, auditores, procesos de extracción, transformación y carga (ETL) o ingenieros de DevOps)?

    • ¿Cuál era el estado previo de los datos?

    • Cuando se actualizaron los datos, ¿qué se modificó y por qué?

    • ¿Una persona autorizada aprobó la solicitud?

    • ¿Los usuarios internos utilizan sus privilegios correctamente?

  • Como los registros de auditoría ayudan a identificar si hay infiltrados, ayudan a disuadir a las personas internas. Es menos probable que las personas que saben que sus acciones son objeto de escrutinio accedan a bases de datos no autorizadas o manipulen datos específicos.

  • Las finanzas, la salud, la energía, los servicios de alimentación, las obras públicas y muchos otros sectores necesitan analizar el acceso a los datos y producir informes detallados con regularidad para las agencias gubernamentales. Por ejemplo, las normas de la HIPAA exigen que los proveedores de servicios sanitarios publiquen registros de auditoría en los que se detalle quién accedió a los datos de sus registros, tanto por fila como por registro. El RGPD tiene requisitos similares. La Ley Sarbanes Oxley (SOX) impone una amplia gama de normas contables a las empresas públicas. Estas organizaciones deben analizar el acceso a los datos y producir informes detallados con regularidad.