La auditoría de bases de datos no es una opción

En pleno 2021 pensar en que si es necesario auditar o no las bases de datos de una empresa no es un cuestionamiento aceptable. Los usuarios que proporcionan sus datos al adquirir productos o servicios de cualquier empresa, cada vez están mas preocupados por el uso que se les dé a estos y como afecta su privacidad, ante esto muchos paises han incluido en su legislación leyes que sancionen con multas severas e inclusive con cárcel a quienes hagan uso indebido de los datos que son confiados por sus clientes y por qué no, por sus colaboradores. Así que es estrictamente necesario que se procure monitorear permanente las bases de datos para poder saber, cuándo se necesite, quien tuvo acceso a los datos.

Entonces, la verdadera pregunta a plantearse debe ser: ¿Cuál es la opción que mejor se ajusta al contexto de la empresa?

Tomando como referencia Microsoft SQL Server se deben considerar al menos 3 opciones:

1. SQL Server Audit: recopila una única instancia de acciones y grupos de acciones de nivel de servidor o de base de datos para su supervisión. La auditoría se realiza en el nivel de instancia de SQL Server. Es posible tener varias auditorías por cada instancia de SQL Server. Las herramientas incluidas en SQL Server Audit pueden combinarse con las otras herramientas de SQL Server para mejorar los resultados.
    
2. Plugins de terceros: existen una serie de empresas que comercializan plugins, estos permiten implementar opciones de auditoría que SQL Server Audit no proporciona nativamente, algunas son anteriores a la inclusión de esta característica en Microsoft SQL Server en su versión 2008. Generalmente dichos plugins funcionan creando triggers a nivel de bases de datos o a nivel de table para registrar en otra tabla las pistas de auditoría. Cualquiera de estos plugins trae consigo el costo anual de licenciamiento.
    
3. Auditoría manual: esta opción recae expresamente sobre el personal especializado de las empresas. Este puesto require, además de la creación de las tablas, la codificación manual de los triggers y otros objetos que contienen todo el DML necesario para registrar las pistas de auditoría. En este punto debe de tenerse muy clara la segregación de funciones, el sistema de auditoría de base de datos no puede ser administrado por los DBA del área de IT.

Ninguna de las opciones antes mencionadas es infalible, cualquiera de ellas tiene tanto ventajas como desventajas. Algunos factores a considerar al elegir entre una o más de las opciones expuestas son:

1. Costo de implementación
   1. Costo de adquisición de nuevo hardware (cuando sea necesario)
   2. Costo de licencias (cuando aplique)
2. Compatibilidad con el motor de bases de datos
3. Disposición de personal especializado

Finalmente debe tenerse en cuenta que ninguna auditoría debería de afectar el desempeño de la base de datos, por esta razón debe de considerarse el nivel de crecimiento de los archivos de base de datos, el posible aumento del consumo de memoria RAM y el aumento de demanda sobre el procesador.