AUDITORIA DE BASE DE DATOS La gran difusin de Sistemas de Gestin de Base de Datos (SGBD) Junto con la consagracin de los Datos

como uno de los recursos Fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoria cobren, cada da mayor inters. Para definir los aspectos mas importantes de la auditoria de Base de Datos es importante establecer los dos conceptos siguientes 1. BASE DE DATOS O BANCO DE DATOS Es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemticamente para su posterior uso. En este sentido, una biblioteca puede considerarse una base de datos compuesta en su mayora por documentos y textos impresos en papel. Actualmente, y debido al desarrollo tecnolgico de campos como la informtica y la electrnica, la mayora de las bases de datos estn en formato digital (electrnico), y por ende se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos. 2. SISTEMA DE GESTION DE BASES DE DATOS Es un tipo de Programa que permiten almacenar y posteriormente acceder a los datos de forma rpida y estructurada. Las propiedades de estos SGBD, as como su utilizacin y administracin, se estudian dentro del mbito de la informtica. Las aplicaciones ms usuales son para la gestin de empresas e instituciones pblicas. Tambin son ampliamente utilizadas en entornos cientficos con el objeto de almacenar la informacin experimental, existiendo los siguientes mtodos: 3. METODO TRADICIONAL En este tipo de Control el Auditor revisa su entorno con la ayuda de un checklist o lista de control, que consta de una serie de cuestionamientos a verificar.

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 2

Cuando el auditor realiza su proceso de investigacin debe de registrar el resultado mediante la utilizacin de letras: S si el resultado es afirmativo N si el resultado es negativo NA no aplicable Evaluara aspectos generales como: Parmetros de instalacin Riesgos mas importantes

4. METODOLOGIA DE EVALUACION DE RIESGOS Este tipo de metodologa es la que propone ISACA (Sistemas de Informacin Asociacin de Auditora y Control), y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno. Se sealan los riesgos ms importantes que lleva consigo la utilizacin de una base de datos. Considerando estos riesgos, se podra definir por ejemplo el siguiente: Objetivo de Control: El sistema de seguridad de base de datos deber preservar la confidencialidad de la base de datos. Una vez establecidos los objetivos de control, se especifican las tcnicas especficas correspondientes a dichos objetivos: Tcnica de Control: Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios para: Incremento de la dependencia del servicio informtico debido a la concentracin de datos. Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 3

Mayores posibilidades de acceso en la figura del administrador de la base de datos.

Incompatibilidades entre sistemas de seguridad de acceso propios del sistema de seguridad de la base de datos y el general de la instalacin.

Mayor impacto de los errores en datos o programas que en los sistemas tradicionales.

Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicacin.

Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional.

Mayor dependencia del nivel de conocimientos tcnicos del personal que realice tareas relacionadas con el software de base de datos.

Un objetivo de control puede llevar asociadas varias tcnicas que permiten cubrirlo en su totalidad. Estas tcnicas pueden ser preventivas, detectivas o correctivas. En caso de que los controles existan, se disean pruebas que permiten verificar la consistencia de los mismos denominadas pruebas de cumplimiento. Prueba de cumplimiento: Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a disear otro tipo de pruebas denominadas pruebas sustantivas que permiten dimensionar el impacto de estas deficiencias. Prueba sustantiva: Comprueba si la informacin ha sido corrompida comparndola con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado. Una vez valorados los resultados de las pruebas se obtienen conclusiones que sern comentadas y discutidas por los responsables de las reas afectadas con el fin de corroborar resultados. Por ltimo, el auditor deber emitir una serie de comentarios donde describa la situacin, el riesgo existente y la deficiencia a solucionar y sugerir una posible solucin, el resultado de la auditora es presentar Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 4

un informe final donde se expongan las conclusiones ms importantes as como el alcance que ha tenido la auditora. Esta ser la tcnica a utilizar para auditar el entorno general de un sistema de base de datos, tanto en su desarrollo como durante la utilizacin del mismo. 5. OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS A continuacin expondremos algunos objetivos y tcnicas de control a tener en cuenta a lo largo del ciclo de vida de una base de datos que abarca desde el estudio previo has su explotacin 5.1 Estudio previo y plan de trabajo En esta fase es importante elaborar un estudio tecnolgico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto y un anlisis coste-beneficio, se debe de considerar la posibilidad de no llevar a cabo el proyecto (no siempre se implementa un sistema de bases de datos) En la actualidad en bastantes empresas este tipo de anlisis no se lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando, los sistemas demuestran, a veces, ser poco rentables. El auditor debe comprobar tambin que la alta direccin revisa los informes de los estudios del funcionamiento del sistema y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los tcnicos han de tener en cuanta que si no existe decisin de la organizacin, aumenta el riesgo de fracasar en la implantacin del sistema. En el caso que se decida llevar a cabo el proyecto es fundamental que se establezca un plan, debiendo el auditor verificar que efectivamente dicho plan se emplea para el seguimiento y gestin del proyecto y que cumple con los procedimientos generales de gestin de proyectos que tenga aprobados la organizacin.

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 5

Otro aspecto importante en esta fase es la aprobacin de la estructura orgnica no solo del proyecto en particular, sino tambin de la unidad que tendr la responsabilidad de la gestin y control de la base de datos, para que un entorno de base de datos funcione debidamente, esta unidad es imprescindible. Se pueden establecer acerca de este tema dos objetivos de control: Asignarse responsabilidades para la planificacin, organizacin,

administracin de plantillas y control de los activos de datos de la organizacin. Asignarse responsabilidad de la administracin del entorno de la base de datos. Al momento de detallar las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno: la separacin de funciones. Se recomienda una separacin de funciones entre: El personal de desarrollo de sistemas y el de explotacin Explotacin y control de datos Administracin de bases de datos y desarrollo

Tambin debe de existir una separacin de funciones entre el administrador de la seguridad y el administrador de la base de datos. No quiere decir que deben de ser desempeadas por personas distintas, pero si que es un aspecto importante de control a considerar, en caso que no se pueda separar debe debern establecerse controles alternativos, como por ejemplo una mayor atencin de la direccin y la comprobacin por parte de algn usuario del contenido y de las salidas mas importantes producidas a partir de la base de datos. La situacin que el auditor encuentra normalmente en las empresas es que al no existir una descripcin detallada de los puestos de trabajo, la separacin de funciones es muy difcil de verificar. Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 6

5.2 Concepcin de la base de Datos y seleccin del equipo En esta parte se inicia con el diseo de la base de datos, con lo que se aplica las tcnicas y modelos propios de la metodologa del desarrollo de sistemas para la empresa. El diseo debe incluir los documentos fuentes, mecanismos de control,

caractersticas de seguridad as como las pistas de auditoria necesarias en el sistema con el objeto de evitar costos mayores, al incluirse luego de la implementacin del sistema. El auditor debe analizar la metodologa de diseo con el fin de estimar si es objetiva o no, para luego comprobar su correcto uso. Para esto una metodologa debe contemplar tres fases de diseo: lgico, fsico, de diseo conceptual. 5.3 Diseo y carga En esta fase se llevaran a cabo los diseos lgico y fsico de la base de datos, por lo que se determina si estas se llevaron a cabo correctamente, determinando si la definicin de los datos contempla adems su estructura las asociaciones y restricciones oportunas as como las especificaciones del almacenamiento de datos y seguridad. Una vez diseada la base de datos, se procede a la carga ya sea de un dispositivo magntico o ingresndolos manualmente. Este procedimiento debe estar muy bien planificado, para evitar perdida de datos o transmitir datos errneos a la nueva base. Por lo que respecta a la entrada manual de datos, hay que establecer un conjunto de controles que aseguren la integridad de los mismos. Se debe asegurar que los datos se autorizan, recopilan, preparan, transmiten y comprueban de una forma apropiada.

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 7

Los documentos fuentes deben disearse de tal forma que minimicen los errores y omisiones, y que el tratamiento de estas situaciones no disminuya los controles, y que se traten de concentrar lo mas apegado al origen de los datos. 5.4 Explotacin y mantenimiento Una vez realizado las pruebas de aceptacin, con la participacin de los usuarios, el sistema se pondr (mediante las siguientes autorizaciones y siguiendo los procedimientos establecidos para ello) en explotacin. En esta fase, debe comprobar que se establecen lo procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante autorizacin adecuada. En los nuevos COBIT se dedica un apartado completo a detallar los objetivos de control para la gestin de datos, clasificarlos en un conjunto de apartados. Procedimientos de preparacin de datos. Procedimientos de autorizacin de documentos fuente recogida de datos y de documentos fuente. Manejo de errores y de documentos fuente. Retencin de documentos fuente. Procedimientos de autorizacin de datos. Verificacin de exactitud. Manejo de errores de entrada de datos. Integridad de procesamientos de datos. Edicin y validacin de procesamiento de datos. Manejo de errores de procesamiento de datos. Retencin y manejo de salidas. Distribucin de salidas. Reconciliacin y balanceo de salidas. Manejo de errores y revisin de salidas. Medidas de seguridad para informes de salida. Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 8

Proteccin de informacin sensible. Proteccin de informacin sensible y dispuesta. Gestin de almacenamiento. Periodos de retencin y trminos de almacenamiento. Sistema de gestin de bibliotecas de medios. Copias de respaldo y recuperacin. Trabajos de copias de respaldo. Almacenamiento de respaldos.

6. REVISION POST-IMPLANTACION Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo se deber, establecer el desarrollo de un plan para efectuar una revisin postimplantacin de todo sistema nuevo, o modificado con el fin de evaluar si: Se han encontrado los resultados esperados.

Se satisfacen las necesidades de los usuarios 6.1 Otros Procesos Auxiliares A lo largo de todo el ciclo de vida de la base de datos se deber controlar la formacin que precisan tanto usuarios informativos, como no informticos ya que la formacin es una de las claves para minimizar el riesgo en la implementacin de una base de datos. Esta formacin no se puede basar simplemente en cursos sobre el producto que se est instalando, sino que suele ser precisa una formacin de base que resulte imprescindible cuando; se pasa de trabajar en un entorno de archivos orientado al proceso a un entorno de base de datos, por lo que supone cambio filosfico lo mismo puede decirse si se camba de tipo de SGBD. Hay que tener en cuenta que usuarios poco formados constituyen uno de los

peligros ms importantes de un sistema. Esta formacin no debera limitarse al rea

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 9

de las bases de datos, sino que tendra que ser complementada con formacin relativa a los conceptos de control y seguridad. El auditor tendr que revisar la documentacin que se produce a lo largo de todo proceso, para verificar si es suficiente y si se ajusta a los estndares establecidos por la metodologa adoptada en la empresa. A este respecto resulta muy importante que se haya llevado acabo un aseguramiento de calidad, lo ideal sera que en la propia empresa existiera un grupo de calidad que se encargara entre otras cosas de asegurar la calidad para una base de datos. 6.2 Auditora y Control Interno en un entorno de base de datos Cuando el Auditor se encuentra el sistema en explotacin, deber estudiar el SGBD y su entorno. El gran problema de la base de datos es que su entorno cada vez es ms complejo y no puede limitarse solo al propio SGBD 6.2.1 Sistema de Base de Datos (SGBD) Un Sistema de Gestin de Bases de Datos (SGBD1) consiste en una coleccin de datos interrelacionados y un conjunto de programas para acceder a los mismos. Esta definicin es prcticamente idntica a la de los Sistema de Informacin, de hecho normalmente en el ncleo de un SI se sita un SGBD. En principio se utilizaron para almacenar los atributos temticos asociados a un conjunto de entidades espaciales almacenadas en formato vectorial, hoy en da se estn empezando a utilizar adems para el almacenamiento de la informacin geomtrica (conjunto de coordenadas) de las entidades espaciales. Aunque se han hecho algunos intentos para almacenar informacin en formato rastr en un SGBD, esta opcin no resulta eficiente.

Con respecto a las funciones de la auditoria que ofrece el propio sistema, principalmente todos los productos del mercado permiten registrar ciertas operaciones que se realizaron sobre la base de datos de algunos archivos, el SGBD

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 10

seala un requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos se puedan verificar.

6.2.2 Software de Auditoria El Software de Auditora, es el procedimiento a seguir, para el examen a de los archivos de la forma ms fcil y confiable, mismo que es planeado y elaborado con anticipacin y debe ser de contenido flexible, sencillo y conciso, de tal manera que los procedimientos empleados en cada Auditora estn de acuerdo con las circunstancias del examen.

El software de Auditora, significa la tarea preliminar trazada por el Auditor y que se caracteriza por la previsin de los trabajos que deben ser efectuados en cada servicio profesional que presta, a fin de que este cumpla integralmente sus finalidades dentro de la Normas cientficas de la Contabilidad y las Normas y Tcnicas de la Auditora. 6.2.3 Sistema de Monitorizacin y Ajuste (tuning) Este tipo de sistema complementan las facilidades ofrecidas por el propio SGBD, que ofrece mayor informacin para optimizar el sistema, que llega a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del SGBD y del SO. La optimizacin de la base de datos, es fundamental, puesto que se acta en un entorno concurrente puede degradarse fcilmente el nivel de servicio que haya podido establecerse con los usuarios. 6.2.4 Sistema Operativo El SO es una pieza clave del entorno, puesto que el SGBD se apoyar en mayor o menor medida (segn se trate de un SGBD dependiente o independiente) en los servicios que le ofrezca. El auditor informtico tiene serias dificultades para controlar de manera rigurosa la interfaz entre el SGBD y el SO, debido a que, en parte, Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 11

constituye informacin reservada de los fabricantes de los productos, adems de requerir unos conocimientos excepcionales que entran en el campo de la tcnica de sistemas, 6.2.5 Monitor de Transacciones Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede considerarse un elemento ms del entorno con responsabilidades de

confidencialidad y rendimiento de informacin. 6.2.6 Protocolos y sistemas Distribuidos Siguiendo la tendencia actual la base de datos a travs de las redes se torna ms accesible por lo que el riesgo de perder la confidencialidad es ms frecuente, as como las bases de datos distribuidas pueden presentar graves riesgos de seguridad. Se establece cinco objetivos de control a la hora de revisar la distribucin de datos: 1. El Sistema de proceso distribuido debe tener una funcin de administracin de datos centralizada que establezca estndares generales para la distribucin de datos a travs de las aplicaciones. 2. Deben establecerse unas funciones de administracin de datos y de base de datos fuertes, para que puedan controlar la distribucin de los datos. 3. Deben de existir pistas de auditora para todas las actividades realizadas por las aplicaciones contra sus propias bases de datos y otras compartidas. 4. Deben existir controles software para prevenir interferencias de actualizacin sobre las bases de datos en sistemas distribuidos. 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseo de entornos distribuidos. Respecto a este ltimo punto, es importante destacar como, por ejemplo, muy pocas empresas han considerado rentables implementar base de datos realmente Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 12

distribuidas; siendo bastante ms econmico y usual actualizar bases de datos distribuidas mediante transferencia de archivos y procesos por lotes que hacerlo en lnea. 6.2.7 Paquete de Seguridad La informacin almacenada en una base de datos puede llegar a tener un gran valor. Los SGBD deben garantizar que esta informacin se encuentra segura de permisos a usuarios y grupos de usuarios, que permiten otorgar diversas categoras de permisos. Existen en el mercado varios productos que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos la definicin de privilegios, perfiles de usuario, etc. Un grave inconveniente de este tipo de software es que a veces no se encuentra bien integrado con el SGBD pudiendo resultar poco til su implantacin si los usuarios pueden saltarse los controles a travs del propio SGBD. 6.2.8 Diccionario de Datos Este tipo de sistemas, empezaron a implantarse en los aos 70, tambin juegan un papel primordial en el entorno de los SGBD en cuanto a la investigacin de los componentes y al cumplimiento de la seguridad de los datos. Los propios diccionarios se pueden auditar de forma anloga a las bases de datos, las diferencias de unos a otros, residen principalmente en que un fallo en una base de datos puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario. 6.2.9 Herramientas Case (Computer Aided Sistem/Sofware Engineering). IPESE (Integrated Project Support Envinments) Desde la dcada pasada venimos asistiendo a una gran difusin de este tipo de herramientas como soporte al diseo y concepcin de los sistemas de informacin. Suelen llevar incorporado un diccionario de datos enciclopedia o repositorios ms Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 13

amplios que los mencionados anteriormente en los que se almacenan adems sobre la informacin de los datos, programas, usuarios, etc. Los diagramas matrices y grafos ayudan al diseo. Construyen una herramienta clave para que el auditor pueda revisar el diseo de la base de datos y comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad. 6.2.10 Lenguaje de Cuarta Generacin (L4G) Independientes Adems de las herramientas que ofrezca el propio SGBD, el auditor se puede encontrar con una amplia gama de generadores de aplicaciones, de formas de informes, etc. Que actan sobre la base de datos y que por tanto, tambin son un elemento importante a considerar en el entorno de SGBD. El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados. El auditor deber estudiar los controles disponibles en los L4G utilizados en la empresa, analizando con atencin si permiten construir procedimientos de control y auditoria dentro de las aplicaciones y en caso negativo, recomendar su construccin utilizando lenguajes de tercera generacin. 6.2.11 Facilidades de usuario Con la aparicin de interfaces grficas fciles de usar (con mens, ratn, ventanas, etc.) se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD. La documentacin de las aplicaciones desarrolladas por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro puedan operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobacin de la direccin y deben documentarse de forma completa. El auditor debe prestar atencin a los procedimientos de carga y descarga de datos de la base los paquetes ofimticos, comprobando, por ejemplo, si se puede

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 14

actualizar la base de datos desde cualquiera de stos o si la descarga se realiza con datos correctamente actualizados. 6.2.12. Herramientas de minera de datos En los ltimos aos ha explosionado el fenmeno de los almacenes de datos datawarehouses y las herramientas para la explotacin o minera de datos

(datamining). Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacn de datos. La auditoria de los EIS/DSS, cuyos principios se pueden aplicar a las herramientas de minera debindose controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin (feedback) que modifican las bases de datos operacionales a partir de los datos del almacn: 6.2.13. Aplicaciones El auditor deber controlar que las aplicaciones no atentan contra la integridad de los datos de la base. 7. TECNICAS PARA EL CONTROL DE BASE DE DATOS EN UN ENTORNO COMPLEJO Razn de Ser de las Tcnicas Existen varios elementos del entorno del SGBD que afectan en la base de datos, por lo que hacen que el sistema no sea fiable, por lo que el Auditor debe tomar medidas de prevencin, deteccin y correctivos para que toda la informacin sea muy fiable y segura, pero debe tomar en cuenta que por ningn motivo estas tcnicas afecten la base de datos.

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 15

Entre otras tcnicas, podemos mencionar la siguiente: 7.1 Matrices De Control Sirve para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos. Como referamos anteriormente esta tcnica, antes de implementarse debe ser estudiada y analizada por el auditor para que no afecte la base de datos del sistema. Los pasos a seguir son: 1. Preventivos: Como su misma palabra lo dice, debe prevenir el mal uso del sistema o la carga de archivos daados a la base de datos. 2. Detectivos: Crear informes de manera tal que se verifique algn dao ya hecho en la base de datos para poder corregirlo. 3. Correctivos: La copia de seguridad, una de las cosas ms importantes de esta tcnica, debido a que cualquier problema que exista con la base de datos se pueda arreglar al momento en el que se encontraba bien.

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 16

CONCLUSIONES Los avances tecnolgicos han dado paso a la creacin y desarrollo de sistemas de gestin de base de datos SGBD, los cuales en la actualidad son elementales en la evaluacin de riesgos de las empresas. Es importante elaborar un estudio tecnolgico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompaados de una evaluacin de costo beneficio que contemplen las reas a examinar. Las empresas deben establecer procedimientos de revisin post-implantacin de los diferentes sistemas de control que se establezcan luego de la Auditora de Base de datos.

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 17

RECOMENDACIONES

Todas las empresas deben adoptar Sistemas de Gestin de Base de Datos SGBD, para llevar un control eficiente de las bases de datos y lograr con ello el objetivo de salvaguardar los activos. El Contador Pblico y Auditor CPA, deber revisar una planificacin del desarrollo de su auditoria el cual debe incluir objetivos, alcances, reas a auditar, costo beneficio. El auditor debe examinar la utilizacin de todas las herramientas que ofrece el propio SGBD y las polticas y procedimientos que sobre su utilizacin haya definido el administrador para valorar si son suficientes o si debe ser mejorados.

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 18

BIBLIOGRAFIA

AUDITORIA INFORMATICA UN ENFOQUE PRACTICO Mario G. Piattini Emilio del Peso 2da Edicin Alfaomega Grupo Editor Capitulo 14 pagina 312 a 333

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5

Pg. 19