Vous êtes sur la page 1sur 33
UNIVERSIDAD LAICA ELOY ALFARO DE MANABÍ FACULTAD DE CIENCIAS INFORMÁTICAS AUDITORÍA INFORMÁTICA ESTUDIANTES: MACÍAS ESPINALES ADRIANA
UNIVERSIDAD LAICA ELOY ALFARO
DE MANABÍ
FACULTAD DE CIENCIAS INFORMÁTICAS
AUDITORÍA INFORMÁTICA
ESTUDIANTES:
MACÍAS ESPINALES ADRIANA VIRGINIA.
CURSO:
5 “A”
PROFESOR:
ING. MARCO AYOVÍ R.
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Contenido

2
2

Introducción

4

5

Objetivo

5

Objetivo

5

¿Qué es la Auditoría de Base de Datos?

 

6

Objetivos Generales de la auditoría de

7

Importancia de la auditoría de

7

Mediante la auditoría de base de datos se evaluará:

8

Planificación de la auditoria de

 

9

Metodologías para la auditoria de

9

  • Metodología

9

  • Metodología de evaluación de

10

Considerando los riesgos de:

10

Se pueden definir los siguientes:

10

Metadatos..........................................................................................................11

Control de acceso de

 

15

Consideraciones

16

Estudio previo y plan de

17

Concepción de la BD y selección del equipo

....................................................

19

Diseño y

20

Explotación y

21

Clasificación de los Objetos de control para la gestión de datos ISACA

21

Revisión

22

Otros procesos

 

22

ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS 23

SISTEMA DE GESTIÓN DE BASE DE

 

23

Software de Auditoría

24

Sistema

de monitorización y Ajustes

24

Sistema

Operativo

24

3 Adriana Macías Espinales 5”A” Control de Transacciones Protocolos y Sistemas Distribuidos Paquetes de Seguridad Diccionario
3
Adriana Macías Espinales 5”A”
Control de Transacciones
Protocolos y Sistemas Distribuidos
Paquetes de Seguridad
Diccionario de Datos
Herramientas CASE (Compuer Aided System/Software Engineering).
(Integrated Project Support Environments)
Lenguajes de Generación de Cuarta generación (L4G) independientes
Facilidades de Usuario
Herramientas de Minería de Datos
Aplicaciones
Técnicas para el Control de Base de Datos en un entorno complejo
Matrices de Control
Análisis de los Caminos de Acceso
25
25
26
26
IPSE
26
27
27
27
28
28
28
29
30
31
32
33
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Introducción

4
4

Las bases de datos son el activo más importante para las organizaciones, ya que poseen toda la información de la empresa, datos confidenciales que en manos ajenas puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y también denegarlos. Con la auditoría de bases de datos se busca monitorear y garantizar que la información está segura, además de brindar ayuda a la organización para detectar posibles puntos débiles y así tomar precauciones para resguardar aún más los datos.

Como ya se ha comentado, normalmente la auditoría informática se aplica dedos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología

Adriana Macías Espinales 5”A” Introducción 4 Las bases de datos son el activo más importante para
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Objetivos.

5
5

Objetivo General.

  • Consultar acerca de la Auditoria de Base de Datos, basándonos en trabajos ya realizados para realizar el documento escrito con su debida exposición y así conocer la importancia del estudio del tema y sus beneficios.

Objetivo Específico.

  • Realizar comparaciones entre trabajos para verificar los temas que tendrá nuestro documento.

  • Conocer y explicar conceptos utilizados, para poder obtener un mejor entendimiento de lo que se va a exponer.

  • Analizar cada uno de los puntos establecidos para comprender su contenido y la importancia de los mismos.

  • Plasmar la investigación realizada en un documento, se entregará y realizará diapositivas para la respectiva sustentación.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
6
6

¿Qué es la Auditoría de Base de Datos?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:

  • Quién accede a los datos

  • Cuándo se accedió a los datos

  • Desde qué tipo de dispositivo/aplicación

  • Desde que ubicación en la Red

  • Cuál fue la sentencia SQL ejecutada

  • Cuál fue el efecto del acceso a la base de datos.

Es

uno

de los procesos fundamentales para apoyar la responsabilidad

delegada a IT por la organización frente a las regulaciones y su entorno de

negocios o actividad.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A” 7 Objetivos Generales de la auditoría de BD.  Disponer de mecanismos
7
7

Objetivos Generales de la auditoría de BD.

  • Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:

  • Mitigar los riesgos asociados con el manejo inadecuado de los datos.

  • Apoyar el cumplimiento regulatorio.

  • Satisfacer los requerimientos de los auditores.

  • Evitar acciones criminales.

  • Evitar multas por incumplimiento.

La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.

Importancia de la auditoría de BD.

La auditoría de base de datos es importante porque:

8 Adriana Macías Espinales 5”A”  Toda la información financiera de la organización reside en bases
8
Adriana Macías Espinales 5”A”
Toda la información financiera de la organización reside en bases de
datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la información almacenada en
las bases de datos.
Las organizaciones deben mitigar los riesgos asociados a la pérdida de
datos y a la fuga de información.
La información confidencial de los clientes, son responsabilidad de las
organizaciones.
Los datos convertidos en información a través de bases de datos y
procesos de negocios representan el negocio.
Las organizaciones deben tomar medidas mucho más allá de asegurar
sus datos. Deben monitorearse perfectamente a fin de conocer quién o
qué les hizo exactamente qué, cuándo y cómo.
Mediante la auditoría de base de datos se evaluará:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programación en el uso de bases de datos.
Procedimientos de respaldo y de recuperación de datos.
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Planificación de la auditoria de BD.

Adriana Macías Espinales 5”A” Planificación de la auditoria de BD. 9 1. Identificar todas las bases
9
9
  • 1. Identificar todas las bases de datos de la organización

  • 2. Clasificar los niveles de riesgo de los datos en las bases de datos

  • 3. Analizar los permisos de acceso

  • 4. Analizar los controles existentes de acceso a las bases de datos

  • 5. Establecer los modelos de auditoría de BD a utilizar

  • 6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario.

Metodologías para la auditoria de BD.

  • Metodología Tradicional.

El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.

Adriana Macías Espinales 5”A” Planificación de la auditoria de BD. 9 1. Identificar todas las bases
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
1 0
1
0
  • Metodología de evaluación de riesgos.

Este tipo de metodología, conocida también por Risk oriented approach (Enfoque orientado al riesgo) es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.

Considerando los riesgos de:

  • Dependencia por la concentración de Datos o Accesos no restringidos en la figura del DBA

  • Incompatibilidades entre el sistema de seguridad de accesos del SGBD (sistema de gestión de base de datos) y el general de instalación

  • Impactos de los errores en Datos y programas o Rupturas de enlaces o cadenas por fallos del software.

  • Impactos por accesos no autorizados

  • Dependencias de las personas con alto conocimiento técnico

Se pueden definir los siguientes:

  • Objetivo de control: el SGBD deberá preservar la confidencialidad de la BD, Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos.

  • Técnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el control de acceso a la base datos. Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en su totalidad. Estas técnicas pueden ser preventivas

1 Adriana Macías Espinales 5”A” 1
1
Adriana Macías Espinales 5”A”
1

Metadatos

Los metadatos pueden describir colecciones de objetos y también los procesos en los que están involucrados, describiendo cada uno de los eventos, sus componentes y cada una de las restricciones que se les aplican. Por ejemplo, una fotografía en la boda de un amigo con nuestra cámara digital. La fotografía, una vez guardada en el disco duro de nuestro ordenador, es el dato. Si nos fijamos en las propiedades, hay toda una colección de datos asociados a la fotografía: el nombre, la fecha, el formato, el propietario,… (Y algunos de ellos ya son añadidos automáticamente por nuestra cámara). Ese tipo de información son metadatos. Es decir, información sobre un objeto que le proporciona un valor añadido.

Modelos de datos:

Un modelo de datos define las reglas generales para la especificación de la estructura de los datos y el conjunto de operaciones permitidas sobre ellos.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Estructuras:

1 2
1
2

Conjunto de conceptos que permiten representar las características estáticas de los datos. Las estructuras se pueden especificar de dos maneras:

  • Representación de los datos e interrelaciones entre ellos: descripción de empleado, departamento e interrelación.

  • Restricciones sobre los datos: ningún empleado cobra más que su jefe.

Beneficios de los metadatos:

  • Los metadatos adhieren contenido, contexto y estructura a los objetos de información, asistiendo de esta forma al proceso de recuperación de conocimiento desde colecciones de objetos.

  • Los metadatos permiten

generar

distintos

puntos

de

vista

conceptuales para sus usuarios o sistemas, y liberan a estos últimos de tener conocimientos avanzados sobre la existencia o

características del objeto que describen.

  • Los metadatos permiten el intercambio de la información sin la necesidad de que implique el intercambio de los propios recursos.

  • En cada proceso productivo, o en cada etapa del ciclo de vida de un objeto de información, se van generando metadatos para describirlos y metadatos para describir dichos metadatos (manual o automáticamente), generando de esta forma valor añadido a los recursos.

  • Los metadatos permiten

preservar

los

objetos

de

información

permitiendo migrar (gracias

a

la

información

estructural)

1 3
1
3
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

sucesivamente éstos, para su posible uso por parte de las futuras generaciones.

Clasificación:

Contenido. Subdividir metadatos por su contenido es lo más común. Se puede separar los metadatos que describen el recurso mismo de los que describen el contenido del recurso. Es posible subdividir estos dos grupos más veces, por ejemplo para separar los metadatos que describen el sentido del contenido de los que describen la estructura del contenido o los que describen el recurso mismo de los que describen el ciclo vital del recurso.

Variabilidad. Según la variabilidad se puede distinguir metadatos mutables (volátiles) e inmutables (No volátiles). Los inmutables no cambian. Los mutables difieren de parte a parte, por ejemplo el contenido de un vídeo.

Función. Los datos pueden ser parte de una de las tres capas de funciones:

subsimbólicos, simbólicos o lógicos. Estos no contienen información sobre su significado. Los simbólicos describen datos subsimbólicos, es decir añaden sentido. Los datos lógicos describen cómo los datos simbólicos pueden ser usados para deducir conclusiones lógicas, es decir añaden comprensión.

Ciclo de vida.

El ciclo de vida de los metadatos comprende las fases creación, manipulación y destrucción.

Creación

1 4
1
4
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Se pueden crear metadatos manualmente, semi automáticamente o automáticamente. El proceso manual puede ser muy laborioso, dependiente del formato usado y del volumen deseado, hasta un grado en el que los seres humanos no puedan superarlo. Por eso, el desarrollo de utillaje semiautomático o automático es más que deseable. En la producción automática el software adquiere las informaciones que necesita sin ayuda externa. Aunque el desarrollo de algoritmos tan avanzados está siendo objeto de investigación actualmente, no es probable que la computadora vaya a ser capaz de extraer todos los metadatos automáticamente. En vez de ello, se considera la producción semiautomática más realista; aquí un servidor humano sostiene algoritmos autónomos con la aclaración de inseguridades o la proposición de informaciones que el software no puede extraer sin ayuda.

Manipulación Si los datos cambian, los metadatos tienen que cambiar también. Aquí se hace la pregunta quién va a adaptar los metadatos. Hay modificaciones que pueden ser manejadas sencilla y automáticamente, pero hay otras donde la intervención de un servidor humano es indispensable. La meta producción, el reciclaje de partes de recursos para crear otros recursos, demanda atención particular. La fusión de los metadatos afiliados no es trivial, especialmente si se trata de información con relevancia jurídica, como por ejemplo la gestión de derechos digitales.

Destrucción En algunos casos es conveniente eliminar los metadatos juntos con sus recursos, en otros es razonable conservar los metadatos, por ejemplo para supervisar cambios en un documento de texto.

Almacenamiento

1 5
1
5
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Hay dos posibilidades para almacenar metadatos: depositarlos internamente, en el mismo documento que los datos, o depositarlos externamente, en su mismo recurso. Inicialmente, los metadatos se almacenaban internamente para facilitar la administración. Hoy, por lo general, se considera mejor opción la localización externa porque hace posible la concentración de metadatos para optimizar operaciones de busca. Por contra, existe el problema de cómo se liga un recurso con sus metadatos. La mayoría de los estándares usa URIs, la técnica de localizar documentos en la World Wide Web, pero este método propone otras preguntas, por ejemplo qué hacer con documentos que no tienen URI.

Codificación Los primeros y más simples formatos de los metadatos usaron texto no cifrado o la codificación binaria para almacenar metadatos en ficheros. Hoy, es común codificar metadatos usando XML. Así, son legibles tanto por seres humanos como por computadoras. Además este lenguaje tiene muchas características a su favor, por ejemplo es muy simple integrarlo en la World Wide Web. Pero también hay inconvenientes: los datos necesitan más espacio de memoria que en formato binario y no está claro cómo convertir la estructura de árbol en un corriente de datos. Por eso, muchos estándares incluyen utilidades para convertir XML en codificación binaria y viceversa, de forma que se aúnen las ventajas de los dos. Vocabularios controlados y ontologías Para garantizar la uniformidad y la compatibilidad de los metadatos, muchos sugieren el uso de un vocabulario controlado fijando los términos de un campo.

Control de acceso de BD.

  • Requisitos del negocio para control de acceso.

1 Adriana Macías Espinales 5”A” 6  Política de control de acceso.  Gestión de accesos
1
Adriana Macías Espinales 5”A”
6
Política de control de acceso.
Gestión de accesos de usuarios.
Registros de usuarios.
Gestión de Privilegios.
Gestión de contraseñas de usuarios.
Revisión de los derechos de acceso de los usuarios
Responsabilidades de los usuarios
Uso de contraseñas.
Si existen
los
controles
sobre
la
BD
se
pueden
diseñar
pruebas
de
cumplimiento que permitan verificar la consistencia de los mismos.
Prueba de Cumplimiento: listar privilegios y perfiles existentes en el SGBD Si
estas pruebas detectan inconsistencias en los controles, se diseñan otros tipos
de pruebas denominadas pruebas sustantivas.
Prueba sustantiva: Comprobar si la información ha sido corrompida
comparándola con otra fuente, o revisando, los documentos de entrada de
datos y las transacciones que se han ejecutado. Se valoran los resultados
obteniéndose conclusiones que serán comentadas y discutidas con los
responsables directos del área con el fin de comprobar resultados. En estos
comentarios se describe la situación, el riesgo existente y la deficiencia a
soluciones aportando en su caso la posible solución.
Consideraciones generales.
Se deben tomar en cuenta todas las capas de acceso a la información
Se debe tener importante atención en los accesos de los usuarios con
privilegios de acceso
1 7
1
7
Adriana Macías Espinales 5”A” 
Adriana Macías Espinales 5”A”

Se debe tratar de tener información contextual para determinar cómo se creó la violación al control

Se deben tener reglas de auditoría uniformes a través de todas las bases de datos y sistema

Se deben segregar las funciones entre los auditores y los usuarios con privilegios de acceso.

Estudio previo y plan de trabajo.

Aquí se elaborara un estudio tecnológico de la viabilidad, donde se contemplaran distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre está justificada la implantación de un sistema de bases de datos).

Se debe comprobar que la alta dirección revisa los informes de los estudios de viabilidad ya que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los técnicos han de tener en cuenta que si no existe una decidida voluntad de la organización en un conjunto, impulsada por los directivos, aumenta considerablemente el riesgo de fracasar en la implantación del sistema.

Si se decide llevar a cabo el proyecto es fundamental que se establezca un plan director, debiendo el auditor verificar que éste plan se emplea para el seguimiento y gestión del proyecto y que cumple con los procedimientos generales de gestión del proyecto y que tenga aprobados la organización. Se debe establecer en esta fase de aprobación la estructura orgánica del proyecto y de la unidad que gestionará el control de la BD.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
1 8
1
8

Se pueden establecer acerca de este tema dos objetivos de control

  • Asignación de responsabilidades para la planificación, organización, dotación de plantillas y control de los activos de datos de la organización (DA).

    • 1. Realizar el diseño conceptual y lógico de la base de datos.

    • 2. Apoyar al personal de sistemas durante el desarrollo de aplicaciones.

    • 3. Formar al personal.

    • 4. Establecer estándares de diseño de BD desarrollo y contenido del diccionario de datos.

    • 5. Diseñar la documentación incluida en el diccionario.

    • 6. Desarrollar normas para la denominación

    • 7. Controlar la integridad y seguridad de los datos.

    • 8. Planificar la elaboración de la BD de la empresa.

    • 9. Identificar con los auditores en la auditoria de la base de datos

10. Proporcionar controles de seguridad.

  • Asignación de la responsabilidad de administración de la Base de Datos (DBA).

    • 1. Realizar el diseño de la base de datos.

    • 2. Asesorar en la adquisición de hardware/software.

    • 3. Soportar el SGBD el software asociado

    • 4. Monitorizar el rendimiento de SGBD

    • 5. Ayudar en el desarrollo de planes que aseguren la capacidad del hardware

    • 6. Asegurar la integridad de los datos comprobando que se implantan los controles adecuados.

    • 7. Asegurar la seguridad y confidencialidad

1 Adriana Macías Espinales 5”A” 9 8. Proporcionar facilidades de prueba 9. Integrar paquetes, procedimientos, utilidades,
1
Adriana Macías Espinales 5”A”
9
8.
Proporcionar facilidades de prueba
9.
Integrar paquetes, procedimientos, utilidades, etc. De soporte al
SGBD

10. Desarrollar estándares, procedimientos y documentos.

En resumen, el DBA se encarga de autorizar el acceso a la base de datos, de coordinar y vigilar su empleo, y de adquirir los recursos necesarios de software y hardware. El DBA es la persona responsable cuando surgen problemas como violaciones a la seguridad o una respuesta lenta del sistema.

Cuando se establecen las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno: la separación de funciones. Se recomienda una separación de funciones entre:

  • El personal de desarrollo de sistemas y el de explotación.

  • Explotación y control de datos.

  • Administración de bases de datos y desarrollo.

Concepción de la BD y selección del equipo.

La metodología de desarrollo de diseño de Base de Datos debería también emplearse para

especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoría a incluir en el sistema, estos últimos aspectos generalmente se descuidan, lo que produce mayores

2 0
2
0
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

costes y problemas cuando se quieren incorporar una vez concluida la implementación de la base de datos y la programación de las aplicaciones.

El auditor debe analizar la metodología de diseño para determinar si es no aceptable, y luego comprobar su correcta utilización. Como mínimo una metodología de diseño de BD debería contemplar dos fases de diseño: lógico y físico. COBIT dedica importancia a la definición, de la arquitectura de la información, que contempla cuatro objetivos de control relativos a:

  • Modelo de arquitectura de información, y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnología de la información.

  • Datos y diccionario de datos corporativo.

  • Esquema de clasificación de datos en cuanto a su seguridad. –

  • Niveles de seguridad

Respecto de la selección de equipos se deberá realizar un procedimiento en que se consideren:

  • necesidades de la empresa (ponderadas)

  • prestaciones que ofrecen los distintos SGBD candidatos

  • impacto del software en cuanto a medidas de seguridad

Diseño y carga.

Se examinan si los diseños se han realizados correctamente, verificando la estructura y las relaciones entre los datos, se controlan también las especificaciones de almacenamiento de datos, la seguridad de los mismos. El auditor tendrá que tomar una muestra de ciertos elementos (tablas, vistas, índices) y comprobar que su definición es completa, que ha sido aprobada por el usuario y que el administrador de la base de datos participó en su establecimiento.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
2 1
2
1

Aprobado el diseño de datos se procede a la carga ya sea manualmente, por migración o con soporte técnico, esto merece especial atención ya que existen riesgos de pérdida de información por lo que deberá estar correctamente planificada la carga de la Base de datos. Se realizan pruebas paralelas, que atienden a los criterios establecidos por la alta gerencia, y se establecen controles que aseguren la integridad de los mismos. Se busca minimizar los errores en la carga y de es especial tratamiento a estas entradas erróneas.

Explotación y Mantenimiento.

Pasadas las pruebas de Aceptación se establecen los procedimientos de explotación y mantenimiento de la BD asegurando la congruencia y exactitud en la aplicación de estos procedimientos, modificándose solo cuando sea necesario y previa autorización.

COBIT establece

que el auditor debe

llevar a

cabo una auditoria sobre el

rendimiento del sistema de BD verificando además de los ajustes y optimización en el rediseño lógico y físico, el correcto funcionamiento del SO.

Clasificación de los Objetos de control para la gestión de datos ISACA

  • Procedimientos de preparaciones de datos.

  • Procedimiento de autorización de documentos fuentes

  • Recogida de datos de documentos fuentes

  • Manejo de errores de documento fuentes

  • Retención de documentos fuentes

  • Procedimientos de autorización de datos

2 Adriana Macías Espinales 5”A” 2  Verificación de exactitud, compleción y autorización.  Manejo de
2
Adriana Macías Espinales 5”A”
2
Verificación de exactitud, compleción y autorización.
Manejo de errores de entrada de datos
Retención y manejo de salidas
Manejo de errores de procesos de salida
Gestión de almacenamiento.
Copias de respaldo y recuperación
Trabajos de copias de respaldo
Almacenamiento de respaldo.
Revisión post-implementación.
Se debería establecer el desarrollo de un plan para efectuar una revisión
postimplantación de todo sistema nuevo o modificado con el fin de evaluar si:
Se han conseguido los resultados esperados.
Se satisfacen las necesidades de los usuarios.
Los costes y beneficios coinciden con lo previsto

Otros procesos auxiliares.

Capacitar y formar a todo el personal no solo en el producto que se instala como BD sino también sobre todo el contexto que hace al SGBD.

El auditor tendrá que revisar la documentación que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por la metodología adoptada en la empresa.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
2 3
2
3

ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS

Cuando el auditor, se encuentra en el sistema en explotación, deberá estudiar el SGBD y su entorno. Como se señala en Menkus (1991Deberían considerarse el control, la integridad y la seguridad de los datos compartidos por múltiples usuarios.

Entorno de BD

Adriana Macías Espinales 5”A” 2 3 ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE

SISTEMA DE GESTIÓN DE BASE DE DATOS.

Entre los componentes del SGBD podemos destacar el núcleo, el catálogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidades para el administrador de la base de datos (entre la que se pueden encontrar algunas para crear usuario, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad); las que se encargan de la

2 4
2
4
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

recuperación de la BD: re-arranque, copias de respaldo, ficheros diarios, Log_, etc. Y algunas funciones de auditoría, así como los lenguajes de la cuarta generación (L4G) que incorpora el propio SGBD. Se deberán auditar las ayudas y procedimientos propios del SGBD evaluando su completitud.

Tipos de Software

Software de Auditoría

Software que ayudan a la extracción de datos, seguimientos de transacciones, datos de prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes

desarrollados propios de la organización o comprados por ejemplo: RSA The Security Division of EMC

Sistema de monitorización y Ajustes

Ofrecen mayor información para optimizar el sistema, pudiendo ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y del SO.

Sistema Operativo

El SO es de suma importancia ya que el SGBD se apoyará en él, en mayor o menor medida (según se trate de un SGBD dependiente o independiente) en los servicios que le ofrezca; eso en cuanto a control de memoria, gestión de áreas de almacenamiento intermedio (Buffers), manejo de errores, control de confidencialidad, mecanismo de interbloqueo, etc.

2 Adriana Macías Espinales 5”A” 5 Control de Transacciones Es un elemento más del entorno del
2
Adriana Macías Espinales 5”A”
5
Control de Transacciones
Es
un
elemento
más
del
entorno
del
SGBD
con
responsabilidades
de

confidencialidad y rendimiento. Existen controles de (además de los antes mencionados):

  • Control de accesos al sistema operativo

  • Procedimientos de log-on seguro

  • Identificación y autenticación de los usuarios

  • Sistema de gestión de contraseñas

  • Utilización de utilidades del sistema

  • Timeout de sesiones

  • Limitación del tiempo de conexión

  • Control de acceso a la información y aplicaciones

  • Restricción de acceso a la información

  • Aislamiento de sistemas sensibles

Protocolos y Sistemas Distribuidos

Algunos objetivos de control a la hora de revisar la distribución de datos

El

sistema

de

proceso

distribuido

debe

tener

en

función

de

administración de datos centralizada, que establezca estándares generales para la distribución de datos a través de aplicaciones. Deben establecerse unas funciones de administración de datos y de base de datos fuertes, para que puedan controlar la distribución de los

datos. Deben de existir pistas de auditoría para todas las actividades realizadas por las aplicaciones contra sus propias bases de datos y otras compartidas.

Deben existir controles software

para

prevenir

interferencias

de

actualización sobre las bases de datos en sistemas distribuidos.

2 6
2
6
Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuidos.

Paquetes de Seguridad

Existen en el mercado varios productos que permiten la implementación efectiva de una política de seguridad, puesto que centralizan el control de acceso, la definición de privilegios, perfiles de usuarios, etc.

Diccionario de Datos

  • Juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de datos.

  • Los diccionarios de datos se pueden auditar de manera análoga a las bases de

datos, ya que,

después de

todo,

son

bases de

datos de

metadatos.

Un fallo

en

la

BD

puede atentar contra la integridad de los datos y

producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo más peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son más difíciles de detectar.

Herramientas CASE (Compuer Aided System/Software Engineering). IPSE (Integrated Project Support Environments)

• Constituyen una herramienta clave para que el auditor pueda revisar el diseño de la DB, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
2 7
2
7

Lenguajes de Generación de Cuarta generación (L4G) independientes

Son elementos a considerar en el entorno del SGBD. De los objetivos de control para los L4G, destacan los siguientes:

El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados. Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatización y petición que los proyectos de desarrollo convencionales. Las aplicaciones desarrolladas con L4G deben sacar ventajas de las características incluidas en el mismo. Uno de los peligros más graves de los L4G es que no se aplican controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generación. Otros problemas pueden ser la ineficacia y elevado consumo de recursos El Auditor deberá estudiar los controles disponibles en los L4G, en caso negativo, recomendar su construcción con lenguajes de tercera generación.

Facilidades de Usuario

El auditor deberá investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz gráfica de usuario) y bajo qué condiciones han sido instaladas; las herramientas de este tipo deberían proteger a los usuarios de sus propios errores.

Herramientas de Minería de Datos

2 Adriana Macías Espinales 5”A” 8  Estas herramientas ofrecen soporte a la toma de decisiones
2
Adriana Macías Espinales 5”A”
8
Estas herramientas ofrecen soporte a la toma de decisiones sobre datos
de calidad integrados en el almacén de datos
Se deberá controlar la política de refresco y carga de los datos en el
almacén a partir de las bases de datos operacionales existentes, así
como la existencia de mecanismos de retroalimentación que modifican
las bases de datos operacionales a partir de los datos del almacén.
Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan contra la integridad
de los datos de la base.
Técnicas para el Control de Base de Datos en un
entorno complejo
Existen muchos elementos del entorno del SGDB que influyen en la
seguridad e integridad de los datos, en los que cada uno de apoya en la
operación correcta y predecidle de otra.
El efecto de esto es: “debilitar la seguridad global del sistema,

reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados, difíciles de gestionar”.

Cuando el auditor se enfrenta a un entorno de este tipo, puede emplear, entre otras, dos técnicas de control:

Matrices de Control

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
2 9
2
9

Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos.

 

CONTROLES DE SEGURIDAD

 

DATOS

PREVENTIVOS

DETECTIVOS

CORRECTIVOS

TRANSACCIONES

 

Informe de

 

DE ENTRADA

Verificación

Reconciliación

REGISTRO DE

Cifrado

Informe de

Copia de

BASE DE DATOS

excepción

seguridad

Los controles se clasifican como se puede observar en detectivos, preventivos y correctivos.

Análisis de los Caminos de Acceso

Con esta técnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hardware como Software) y los controles asociados

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”
3 0
3
0
ORDENADOR PERSONAL ORDENADOR MONITOR PAQUET PROGRA SGB S O DA DE E MA D TO MULTIPROC
ORDENADOR
PERSONAL
ORDENADOR
MONITOR
PAQUET PROGRA
SGB
S O
DA
DE
E
MA
D
TO
MULTIPROC
DE
C
US U A R I O
*
Se g u r i d a d
Ci f r a d o
T
ontrol de Acceso Control de Acceso Controles Registro de
* Control de Integridad ransacciones De datos
Fo r m a c i ó n
Co n t r o l de A
Control de Acceso
*
Controles
* Cifrado
cceso
* Registro
de Acceso
Copias de Seguridad
* Procedimientos * Control de
* Informe de Excepciones Fichero diario de Integridad de
Integridad
Datos
Glosario de Términos

Base de datos:

Es un conjunto de datos relacionados entre sí. Por datos

entendemos hechos conocidos que pueden registrarse y que tienen un

significado implícito.

Sistema

de

gestión

de

bases

de

datos

(SGBD):

Es

un conjunto

de

programas que permite a los usuarios crear y mantener una base de datos.

Diccionario de Datos o Repositorio de una aplicación, proyecto, etc. Consiste en una Base de Datos o Catálogo de los propios datos de la aplicación a la que pertenece. Por tanto guarda información imprescindible para el funcionamiento de dicha aplicación y para su uso, o en el caso de un proyecto para el desarrollo del mismo, de ésta forma damos la importancia que se merece al Repositorio y así en los objetivos destacaremos los aspectos fundamentales de la seguridad.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Conlusiones

3 1
3
1

Se consultó acerca del tema auditoria de base de datos, y se comparó los contenidos entre trabajos ya realizados.

Se explicó la definición de los conceptos utilizados para el mejor entendimiento de los mismos.

Se analizó cada uno de los puntos establecidos.

Se desarrolló un documento escrito y diapositivas para la sustentación del trabajo.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Recomendacones

3 2
3
2
  • Establecer una correcta lectura, que sea comprensiva para poder llevar a cabo el proceso de investigación.

  • Diferenciar la Auditoría de Desarrollo con otros tipos de Auditoría Informática, que se irán conociendo en el transcurso de las exposiciones que le competen a la materia.

  • Tratar siempre de sintetizar lo que se lee, investiga y aprende, para un mejor entendimiento del tema.

Adriana Macías Espinales 5”A”
Adriana Macías Espinales 5”A”

Bibliografía.

3 3
3
3

(2011, 04). Auditoria De Bases De

Recuperado 04, 2011, de

 

http://www.buenastareas.com/ensayos/Auditoria-De-Bases-De-Datos/2025850.html