Piloto Auditoría SISAAD
9 de febrero de 2010
Copyright © 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture.

1.
Presentación de AVALON
2.
Piloto de auditoría del SISAAD
Copyright © 2010 Accenture All Rights Reserved.
2

1. Presentación de AVALON
¿Qué es AVALON?
AVALON es una Solución de Auditoría que contiene además algunas funcionalidades básicas de Gestión de la
Seguridad en aplicaciones. El desarrollo de AVALON se ha basado en experiencias de éxito en la implantación de
soluciones de seguridad.
• Registro de transacciones de negocio y acceso a datos
(consultas realizadas y valores visualizados)
• Monitorización de actividad de usuarios concretos
• Control de acceso a datos sensibles o especialmente
protegidos
• Explotación de datos
 AVALON está desarrollado en J2EE bajo entorno open-source
con las siguientes características técnicas:
Ser. Aplicaciones
Ser. Web
AVALON Web Filter
AVALON Setup Manager
AVALON Parser
• Identificación del puesto de trabajo desde el que se
realizan las operaciones (dirección IP)
• Identificación de intentos de suplantación de
credenciales
• Validación básica de perfiles autorizados para el
acceso a datos
Seguridad
Auditoría
•
AVALON Audit Trail
Servidores Auditoria
• Multi-Aplicación: permite controlar distintas aplicaciones de
forma conjunta en un único repositorio de auditoría
• Multi-Plataforma: admite no sólo aplicaciones que utilicen el
protocolo HTTP, sino también aplicaciones desarrolladas en
otras tecnologías
• Independiente del gestor de base de datos.
• Escalable / fácil de configurar: la configuración de los
elementos a auditar es flexible y se realiza “en caliente”.
• Persistencia ante fallos: sus componentes pueden funcionar
de manera independiente en el caso de pérdidas eventuales de
conexión entre ellos.
• No intrusivo / desacoplado: basado en colas asíncronas, no
impacta en el rendimiento de las aplicaciones ni requiere en
gran parte de los casos, su modificación
AVALON puede definirse como una solución “intermedia” y complementaria entre el enfoque
Copyright © 2010 Accenture All Rights Reserved. tradicional y el enfoque basado en appliances.
3

1. Presentación de AVALON
Componentes
AVALON Web Filter*
* Disponible para aplicaciones web (J2EE
o .NET)
Otros componentes
• Sistemas de persistencia: Tanto AVALON Web Filter como AVALON
Parser utilizan sistemas de persistencia, que permiten almacenar la
información procesada en caso de que se produzca algún error de
comunicación o indisponibilidad eventual de los sistemas con los que
interactúan.
• Filtro Web que captura las peticiones enviadas por el servidor web al servidor de
aplicaciones y las llamadas HTTP que pudieran ser enviadas a AVALON por éste
último (opcional), genera los ficheros en formato XML y los transfiere a AVALON
Parser mediante un sistema de colas asíncronas.
AVALON Setup Manager
• Interfaz de administración para configurar los criterios a aplicar por AVALON Web
Filter y AVALON Parser en relación a los mecanismos de seguridad en aplicaciones
y de auditoría.
• Control de errores: AVALON Parser dispone de un mecanismo que
permite identificar errores en el procesamiento de datos de auditoría y
almacenarlos en un repositorio auxiliar si no es posible efectuar su
registro en el componente AVALON Audit Trail. De este modo, se
garantiza la persistencia de la información de auditoría incluso en el
caso de errores.
AVALON Setup Manager
Aplicaciones web
Otras aplicaciones
AVALON
Usuarios
Colas XML
asíncronas
AVALON Web Filter
Base de datos de
la aplicación web
Lógica de la
aplicación web
Colas XML asíncronas
Sistema de persistencia
Llamadas HTTP (opcional)
AVALON Parser
• Componente cuyo propósito es la identificación de los casos de uso a
auditar y de los datos que deben ser registrados, en base a la
configuración realizada por el administrador del sistema, y almacenarlos en
la base de datos de auditoría (AVALON Audit Trail), desechando los datos
recabados que no se consideren de utilidad.
Copyright © 2010 Accenture All Rights Reserved.
AVALON Parser
AVALON Audit Trail
Sistema de persistencia
Control de errores
AVALON Audit Trail
• Constituye la base de datos de auditoría. Se puede optar por utilizar el
modelo estándar (opción “Easy Plug & Play”) o configurar la base de datos de
auditoría en base a los principales casos de uso que se desean auditar (opción
“Custom”), facilitando así su exportación posterior a sistemas de reporting.
4

1. Presentación de AVALON
Arquitectura física
• La arquitectura de AVALON permite adoptar diferentes configuraciones físicas, en función de las
tecnologías utilizadas en las aplicaciones (J2EE, .NET, cliente/servidor, host, etc.), los medios
técnicos disponibles (por ejemplo, disponibilidad de servidores) y las necesidades de la organización.
I LU
Aplicaciones J2EE
Servidor web
Servidor de
aplicaciones J2EE
AVALON Web Filter
Aplicaciones .NET
Servidor web
Otras aplicaciones
(Host, cliente /
servidor, etc.)
Colas XML asíncronas
AVALON Web Filter
AVALON Parser
STR
ATI
V
O
AVALON Audit Trail
IIS
Generación de información
de auditoría en formato XML
C/S
Aplicaciones de gestión
Copyright © 2010 Accenture All Rights Reserved.
AVALON
5

1. Presentación de AVALON
Mecanismo de registro de operaciones
• AVALON permite efectuar el registro de las operaciones efectuadas por los usuarios de las
aplicaciones, mediante dos mecanismos, que pueden ser utilizados de forma alternativa o
complementaria:
– Por funcionalidad de negocio: definición de filtros que permiten establecer, de forma no intrusiva en
las aplicaciones, los casos de uso que se requieren auditar y los campos cuyo acceso debe ser
registrado.
– Por
transacción: definición de llamadas directas al sistema AVALON implementadas en la
funcionalidad de las ventanas cliente, mediante las que se registra información de solicitudes de acceso
a servicios.
Grado de cobertura
Solicitudes
(ida)
Por funcionalidad
de negocio
Por transacción
Respuestas
(vuelta)
Tipos de aplicación
Mecanismo
Sí, mediante filtro web (AVALON
Web Filter) que redirige las
peticiones al sistema de auditoría
Requiere el desarrollo a medida de
una clase que interprete la estructura
de datos proporcionada por el
servidor de aplicaciones
Aplicaciones web:
• J2EE
• .NET
Filtro (AVALON
Web Filter)
Sí, mediante llamadas efectuadas al
sistema AVALON desde la aplicación
para que se efectúe el registro de la
solicitud realizada
Sí, mediante llamadas efectuadas al
sistema AVALON desde la aplicación
para que se efectúe el registro de los
datos consultados
Cualquier tipo de
aplicación
• Llamadas HTTP
• Generación de
ficheros XML
Copyright © 2010 Accenture All Rights Reserved.
6

2. Piloto de auditoría del SISAAD
Objetivo y resultados esperados
Objetivo
• Prueba de integración de AVALON con el SISAAD, de modo que el IMSERSO pueda valorar la
utilización de esta solución como herramienta de auditoría, con independencia de que se
considere conveniente la utilización de otras soluciones complementarias basadas en productos
comerciales.
Resultados esperados
• Selección de dos casos de uso relevantes, y configuración de AVALON de modo que sea
posible obtener datos de auditoría, relativos tanto a las consultas efectuadas por los usuarios
como a la información que han podido visualizar, sin requerir modificar el código fuente del
SISAAD, y con un efecto mínimo en el rendimiento del sistema.
• Centralización de los datos de auditoría en un mismo repositorio.
• Construcción de un informe que facilite la visualización de los resultados obtenidos en alguno de
los casos auditados.
• Planteamiento de proyecto de adaptación y configuración de AVALON para la implementación
de la función de auditoría del SISAAD haciendo uso de dicha solución.
Copyright © 2010 Accenture All Rights Reserved.
7

2. Piloto de auditoría del SISAAD
Tareas y cronograma
Semana
Tareas
Gestión y seguimiento del proyecto
1. Arranque y preparación
Reunión de arranque
Revisión del entorno, instalación y configuración básica de AVALON
Selección de casos de uso a auditar
2. Desarrollo y pruebas
Desarrollo de adaptaciones para la integración AVALON - SISAAD
Configuración de casos de uso - ejemplo
Pruebas de integración AVALON - SISAAD
Diseño, desarrollo y pruebas de informes - ejemplo
Presentación de
conclusiones
3. Conclusiones
Informe de conclusiones - Demostración
Definición de próximos pasos
Copyright © 2010 Accenture All Rights Reserved.
…
8