Académique Documents
Professionnel Documents
Culture Documents
CARRERA:
Ingeniera en tecnologas de la informacin y comunicaciones
Reporte de Investigacin unidad 5:
Auditoria de base de datos
GRUPO: Octavo B
MATERIA: Auditoria
CATEDRATICO: Santibez Miguel Miguel
Integrantes del equipo 5:
Cruz Bustamante Karen Eugenia
Cayetano Castellanos Carlos Enrique
Hernndez Garca Miguel ngel
Santiago Pacheco Magali Gabriela
Morales Valencia Cecilia
INDICE
Contenido
INDICE................................................................................................................. 2
Introduccin........................................................................................................ 4
Objetivo general.................................................................................................. 4
Objetivos Especficos.......................................................................................... 4
Marco de referencia............................................................................................ 4
Tecnologas de bases de datos.........................................................................4
Definicin de Base de Datos............................................................................ 4
Caractersticas de las Bases de Datos.............................................................5
Auditoria de base de datos (BD).........................................................................5
Quines participan en la Auditora de Base de Datos......................................5
Normalmente estn orientados a:....................................................................5
Objetivos generales de la auditoria de BD.......................................................5
Importancia de la Auditoria de BD...................................................................6
Aspectos claves............................................................................................... 6
Instrumentos de la evaluacin.........................................................................7
Metodologas para la auditoria de la base de datos.........................................7
Metodologa........................................................................................................ 8
Objetivo de Control.......................................................................................... 8
Tcnica de Control............................................................................................ 8
Recomendaciones de los COBIT..........................................................................9
Objetivos de control......................................................................................... 9
Objetivos de las tecnologas de la informacin................................................9
Objetivos de los procesos:............................................................................. 10
Objetivos de las actividades..........................................................................10
Objeticos de control en el ciclo de vida.............................................................11
Concepcin de la base de datos y seleccin del equipo................................12
Diseo y carga............................................................................................... 12
Explotacin y mantenimiento........................................................................13
Revisin post-implantacin............................................................................ 13
Otros procesos auxiliares............................................................................... 13
2
Tabla de Ilustraciones
Ilustracin
Ilustracin
Ilustracin
Ilustracin
Ilustracin
Ilustracin
Ilustracin
1:
2:
3:
4:
5:
6:
7:
Objetivos....................................................................................... 7
Proceso de evaluacin...................................................................9
Objetivos de control.....................................................................10
Circulo de vida............................................................................. 13
Alcance........................................................................................ 14
SGBD........................................................................................... 16
Enfoques...................................................................................... 23
Introduccin
Las bases de datos se han convertido en el corazn de los sistemas de
informacin de las organizaciones, que cada da ms dependen del buen
funcionamiento de stos para su supervivencia. El control interno y la auditora
de bases de datos resultan fundamentales para el control y la auditora de las
aplicaciones que acceden a las mismas, y para proporcionar confianza sobre
todo del sistema de informacin.
ITGI (Information Technology Governance lnstitute) La informacin, definida en
el COBIT como "los datos en todos sus formatos, de entrada, procesados o de
salida de los sistemas de informacin sea cual sea la forma en que son usados
por la organizacin". La infraestructura, es decir, la tecnologa e instalaciones,
incluyendo el sistema de gestin de bases de datos.
Objetivo general
Analizar las metodologas para el control de la auditoria y los riesgos a las
bases de datos.
Objetivos Especficos
Marco de referencia
Tecnologas de bases de datos
Para comprender el proceso de una auditora de bases de datos, se debe
conocer su significado y su funcionamiento en los sistemas de informacin. Al
obtener una visin y conocimiento del entorno informtico, el auditor juzgar
de manera eficiente, la naturaleza de la problemtica y riesgos a los cuales se
ver enfrentado al planificar y realizar la auditora.
Auditores de Sistemas
Tecnologa de Informacin
Cumplimiento Corporativo
Riesgo Corporativo
Seguridad Corporativa
Ilustracin 1: Objetivos
Importancia de la Auditoria de BD
Aspectos claves
No se debe comprometer el desempeo de las bases de datos
Segregacin de funciones
Instrumentos de la evaluacin
Investigacin Preliminar. Obtener el inventario de recursos (Hardware,
software, orgware y liveware) y la informacin relevante para apoyar el
examen que el equipo de Auditora realizara. El resultado de esta recopilacin
se organiza en un archivo de papeles de trabajo denominado archivo
permanentemente o expediente continuo de Auditora.
Metodologa tradicional
El auditor revisa el entorno con la ayuda de una lista de control, que consta de
una serie de cuestionarios (S), cuando la respuesta es afirmativa, N en caso
contrario y NA no aplicable.
Metodologa de evaluacin de riesgos
El anlisis de riesgos es la consideracin del dao probable que puede causar
en el negocio un fallo en la seguridad de la informacin, con las consecuencias
potenciales de prdida de confidencialidad, integridad y disponibilidad de la
informacin. A continuacin se visualiza el proceso de evaluacin de riesgo en
una organizacin y la relacin de las diferentes etapas que participan en el
anlisis.
10
Metodologa
Objetivo de Control
El SGBD deber preservar la confidencialidad de la base de datos. Una vez
establecidos los objetivos de control, se especifican las tcnicas especficas
correspondientes a dichos objetivos.
Tcnica de Control
Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios
para controlar el acceso a la base de datos. Un objetivo de control puede llevar
asociadas varias tcnicas que permiten cubrirlo en su totalidad. Estas tcnicas
pueden ser preventivas, detectivas (monitorizar los accesos a la BD) o
conectivas (copia de respaldo).
Si los controles existen, se disean pruebas de cumplimiento que permiten
verificar
la
consistencia
de
los
mismos.
Prueba de cumplimiento: (Si los controles existen verifican la consistencia de
los mismos) Listar los privilegios y perfiles existentes en el SGBD. Si estas
prueban detectan inconsistencias en los controles, o bien, si los controles no
existen, se pasa a disear otro tipo de pruebas (pruebas sustantivas) que
permitan dimensionar el impacto de estas deficiencias
11
DS 11 Gestionar Datos
12
En ITGI (2007b) se definen para cada objetivo de control los drivers de valor y
riesgo, y las pruebas de diseo del control correspondientes. En el caso del DS
11.6 de Requisitos de Seguridad para Gestin de Datos se proponen los
siguientes:
13
14
Ilustracin 5: Alcance
Diseo y carga
En esta fase se llevarn a cabo los diseos lgico y fsico de la base de
datos. El auditor debe examinar si los diseos son correctos, si la
15
Explotacin y mantenimiento
Revisin post-implantacin
Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo y
recursos, se debera establecer el desarrollo de un plan para efectuar una
revisin post-implantacin de todo sistema nuevo o modificado, con el fin de
evaluar si:
16
Ilustracin 6: SGBD
17
Software de auditora
Son paquetes que pueden emplearse para facilitar la labor del auditor, en
cuanto a la extraccin de datos de la base, el seguimiento de las
transacciones, datos de prueba, etc. Hay tambin productos muy interesantes
que permiten cuadrar datos de diferentes entornos, permitiendo realizar una
verdadera "auditora del dato".
Monitor de Transacciones
Algunos autores lo incluyen dentro del propio SGBD actualmente puede
considerarse un elemento ms del entorno, con responsabilidades de
seguridad y, sobre todo, de rendimiento.
18
Paquetes de seguridad
Existen productos que permiten la implantacin efectiva de una poltica de
seguridad, puesto que centralizan el control de accesos, definicin de
privilegios, perfiles de usuario, etc. Un grave inconveniente de este tipo de
software es que a veces no se encuentra bien integrado con el SGBD.
Diccionarios de datos
Se pueden auditar de manera anloga a las bases de datos, un fallo en una BD
puede atentar contra la integridad de datos y producir mayor riesgo financiero,
un fallo en un diccionario suele llevar consigo una prdida de integridad de los
procesos; siendo ms peligrosos los fallos en los diccionarios puesto que
pueden introducir errores de forma repetitiva a lo largo del tiempo.
Facilidades de usuario
Se ha desarrollado toda una serie de herramientas que permiten al usuario
final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del
SGBD. El auditor deber investigar las medidas de seguridad que ofrecen
estas herramientas y bajo qu condiciones han sido instaladas; las
herramientas de este tipo deberan "proteger al usuario de sus propios
errores".
19
Aplicaciones
El auditor deber controlar que las aplicaciones no atentan contra la integridad
de los datos de la base.
Con este marco, el auditor puede identificar las debilidades que expongan los
datos a riesgos de integridad, confidencialidad y seguridad, los distintos
interfaces entre componentes y la complecin de los controles. En la prctica
se suelen utilizar conjuntamente ambas tcnicas, si bien la del anlisis de
caminos de acceso requiere unos mayores conocimientos tcnicos y se emplea
en sistemas ms complejos.
Estndares
Estndar ISO 27001
ISO 27001 es una norma internacional emitida por la Organizacin
Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de
la informacin en una empresa. La revisin ms reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La
20
COBIT
Las mejores prcticas en auditoria recomiendan Cobit como la herramienta
estndar para tecnologas de informacin ms utilizada en la ejecucin de
auditoras; a continuacin se explica detalladamente algunos conceptos
manejados por sta y los dominios, procesos y actividades que lo conforman:
21
24
Redundancias inevitables
La normalizacin ciertamente no remueve todas las redundancias. Ciertas
redundancias parecen ser inevitables, particularmente aquellas que contienen
diferentes valores ya definidos son ms dependientes que independientes.
Redundancias entre registros
Las formas normales que acabamos de ver tratan solo con redundancias
ocurridas dentro de un registro. La quinta forma normal es considerada la
ltima forma normal con respecto a tales redundancias. La redundancia entre
registros ha sido reconocida durante algn tiempo y recientemente ha sido
direccionado en trminos de la forma normal y la normalizacin.
Ilustracin 7: Enfoques
25
Conclusin
El auditor debe verificar que todos estos componentes trabajan conjunta y
coordinadamente para asegurar que los sistemas de bases de datos continan
cumpliendo los objetivos de la empresa y que se encuentran controlados de
manera efectiva. Los sistemas aumentan su complejidad y alcance con mayor
rapidez que los procedimientos y tcnicas para controlados. La de Gestin de
Recursos de Informacin (IRM, Information Resource Management), logra
convertir los datos en el activo ms importante de empresas; lleva consigo que
medidas de control y auditora pasen a un primer plano; y que se alineen con
las estrategias de las mismas y con el gobierno de sus tecnologas y sistemas
de informacin.
26
Referencias
La auditora en el contexto actual. Catalina Rivas de las Casas - Gerente de
Auditoria - Sucursal Ciudad Habana, CIMEX, Cuba.
www.gestiopolis.com/recursos/documentos/fulldocs/fin/auditcontxactual.htm
Auditoria de Sistemas. Carmen D'Sousa.
http://www.monografias.com/trabajos
Auditoria Informtica. Un enfoque Prctico, 2 Edicin ampliada y
revisada.
Mario G. Piattini, Emilio del Peso y otros. Editorial Alfaomega Ra-Ma.
F13 Auditoria Informtica. Oscar Coltell. Departamento de Lenguajes y
Sistemas Informticos. Universitat Jaume I. Castelln.
http://www3.uji.es/~coltell/F13/OCX_F13.html
Auditoria Informtica. 2 Edicin. Paraninfo. Thomas A.J., Douglas I.J
.Madrid
1988.
Decreto 1558/2001 Reglamentacin Ley 25326.
http://www.jus.gov.ar/dnpdpnew/
Decreto 163/2005 Ministerio de Justicia y Derechos Humanos. Organigrama,
Misiones y Funciones.
http://www.jus.gov.ar/dnpdpnew/
Disposicin 7/2005 Clasificacin de Infracciones y Graduacin de
Sanciones.
http://www.jus.gov.ar/dnpdpnew/
Disposicin 11/2006 Medidas de Seguridad para el Tratamiento y
Conservacin de los Datos Personales contenidos en Archivos, registros Bancos
y Bases de Datos no estatales y Privados.
http://www.jus.gov.ar/dnpdpnew/
27
Activity
Pgina: 107
28