Tecnologico Nacional de Mexico

INSTITUTO TECNOLGICO DEL VALLE DE OAXACA

CARRERA:
Ingeniera en tecnologas de la informacin y comunicaciones
Reporte de Investigacin unidad 5:
Auditoria de base de datos
GRUPO: Octavo B
MATERIA: Auditoria
CATEDRATICO: Santibez Miguel Miguel
Integrantes del equipo 5:
Cruz Bustamante Karen Eugenia
Cayetano Castellanos Carlos Enrique
Hernndez Garca Miguel ngel
Santiago Pacheco Magali Gabriela
Morales Valencia Cecilia

Ex-hacienda de Nazareno Xoxocotln, Oaxaca

INDICE
Contenido
INDICE................................................................................................................. 2
Introduccin........................................................................................................ 4
Objetivo general.................................................................................................. 4
Objetivos Especficos.......................................................................................... 4
Marco de referencia............................................................................................ 4
Tecnologas de bases de datos.........................................................................4
Definicin de Base de Datos............................................................................ 4
Caractersticas de las Bases de Datos.............................................................5
Auditoria de base de datos (BD).........................................................................5
Quines participan en la Auditora de Base de Datos......................................5
Normalmente estn orientados a:....................................................................5
Objetivos generales de la auditoria de BD.......................................................5
Importancia de la Auditoria de BD...................................................................6
Aspectos claves............................................................................................... 6
Instrumentos de la evaluacin.........................................................................7
Metodologas para la auditoria de la base de datos.........................................7
Metodologa........................................................................................................ 8
Objetivo de Control.......................................................................................... 8
Tcnica de Control............................................................................................ 8
Recomendaciones de los COBIT..........................................................................9
Objetivos de control......................................................................................... 9
Objetivos de las tecnologas de la informacin................................................9
Objetivos de los procesos:............................................................................. 10
Objetivos de las actividades..........................................................................10
Objeticos de control en el ciclo de vida.............................................................11
Concepcin de la base de datos y seleccin del equipo................................12
Diseo y carga............................................................................................... 12
Explotacin y mantenimiento........................................................................13
Revisin post-implantacin............................................................................ 13
Otros procesos auxiliares............................................................................... 13
2

Auditora y control interno................................................................................ 13

Sistema de Gestin de Bases de Datos (SGBD).............................................14
Software de auditora..................................................................................... 14
Sistema de monitorizacin y ajuste (tuning)..................................................14
Sistema Operativo (SO)................................................................................. 15
Monitor de Transacciones............................................................................... 15
Protocolos y Sistemas Distribuidos................................................................15
Paquetes de seguridad................................................................................... 15
Diccionarios de datos..................................................................................... 15
Herramientas CASE (Computer Aided System/Software Engineering)/IPSE
(Integrated Project Support Environments)....................................................15
Lenguajes de Cuarta Generacin (L4G) independientes................................16
Facilidades de usuario.................................................................................... 16
Herramientas de "minera de datos"..............................................................16
Aplicaciones................................................................................................... 16
Tcnicas para el Control en Entorno Complejos.............................................16
Estndares........................................................................................................ 17
Estndar ISO 27001....................................................................................... 17
COBIT............................................................................................................. 17
Cinco formas normales de las bases de datos relacionales...........................18
Conclusin........................................................................................................ 21
Referencias....................................................................................................... 21

Tabla de Ilustraciones
Ilustracin
Ilustracin
Ilustracin
Ilustracin
Ilustracin
Ilustracin
Ilustracin

1:
2:
3:
4:
5:
6:
7:

Objetivos....................................................................................... 7
Proceso de evaluacin...................................................................9
Objetivos de control.....................................................................10
Circulo de vida............................................................................. 13
Alcance........................................................................................ 14
SGBD........................................................................................... 16
Enfoques...................................................................................... 23

Introduccin
Las bases de datos se han convertido en el corazn de los sistemas de
informacin de las organizaciones, que cada da ms dependen del buen
funcionamiento de stos para su supervivencia. El control interno y la auditora
de bases de datos resultan fundamentales para el control y la auditora de las
aplicaciones que acceden a las mismas, y para proporcionar confianza sobre
todo del sistema de informacin.
ITGI (Information Technology Governance lnstitute) La informacin, definida en
el COBIT como "los datos en todos sus formatos, de entrada, procesados o de
salida de los sistemas de informacin sea cual sea la forma en que son usados
por la organizacin". La infraestructura, es decir, la tecnologa e instalaciones,
incluyendo el sistema de gestin de bases de datos.

Objetivo general
Analizar las metodologas para el control de la auditoria y los riesgos a las
bases de datos.

Objetivos Especficos

Consultar fuentes bibliogrficas referentes a la prctica de la Auditora

de los Sistemas de Informacin y del diseo y anlisis de Metodologas
para auditorias de sistemas basadas en riesgos.
Conocer las normas nacionales e internacionales que dan soporte a las
auditoras de Sistemas de Informacin.
Conocer los riesgos y controles asociados a los diferentes tpicos de
sistemas informticos.

Marco de referencia
Tecnologas de bases de datos
Para comprender el proceso de una auditora de bases de datos, se debe
conocer su significado y su funcionamiento en los sistemas de informacin. Al
obtener una visin y conocimiento del entorno informtico, el auditor juzgar
de manera eficiente, la naturaleza de la problemtica y riesgos a los cuales se
ver enfrentado al planificar y realizar la auditora.

Definicin de Base de Datos

Se define una base de datos como una serie de datos organizados y
relacionados entre s, los cuales son recolectados y explotados por los sistemas
de informacin de una empresa o negocio en particular. El trmino de base de
5

datos fue escuchado por primera vez en 1963 en un simposio celebrado en

California, USA.

Caractersticas de las Bases de Datos

Entre las principales caractersticas de las bases de datos podemos mencionar:

Independencia lgica y fsica de los datos

Redundancia mnima
Acceso concurrente por parte de muchos usuarios
Integridad de los datos
Consulta complejas optimizadas
Seguridad de acceso y auditora
Respaldo y recuperacin
Acceso a travs de lenguajes de programacin estndar

Auditoria de base de datos (BD)

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar
los accesos a la informacin almacenada en las bases de datos incluyendo la
capacidad de determinar:

Quin accede a los datos

Cundo se accedi a los datos
Desde qu tipo de dispositivo/aplicacin
Desde que ubicacin en la Red
Cul fue la sentencia SQL ejecutada
Cul fue el efecto del acceso a la base de datos

Quines participan en la Auditora de Base de Datos

Auditores de Sistemas
Tecnologa de Informacin
Cumplimiento Corporativo
Riesgo Corporativo
Seguridad Corporativa

Normalmente estn orientados a:

Impedir el acceso externo

Impedir el acceso interno a usuarios no autorizados
Autorizar el acceso slo a los usuarios autorizados

Objetivos generales de la auditoria de BD

Mitigar los riesgos asociados con el manejo inadecuado de los datos

Apoyar el cumplimiento regulatorio
Satisfacer los requerimientos de los auditores
Evitar acciones criminales
Evitar multas por incumplimiento
Definicin de estructuras fsicas y lgicas de las bases de datos
Control de carga y mantenimiento de las bases de datos
Integridad de los datos y proteccin de accesos
Estndares para anlisis y programacin en el uso de bases de datos
Procedimientos de respaldo y de recuperacin de datos

Ilustracin 1: Objetivos

Importancia de la Auditoria de BD

Toda la informacin de la organizacin reside en bases de datos y

deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacin almacenada
en las bases de datos.
Las organizaciones deben mitigar los riesgos asociados a la prdida
de datos y a la fuga de informacin.
La informacin confidencial es responsabilidad de las organizaciones.
Los datos convertidos en informacin a travs de bases de datos y
procesos de negocios representan el negocio.
Las organizaciones deben tomar medidas mucho ms all de
asegurar sus datos.
Deben monitorearse perfectamente a fin de conocer quin o qu les
hizo exactamente qu, cundo y cmo.

Aspectos claves
No se debe comprometer el desempeo de las bases de datos

Soportar diferentes esquemas de auditora

Se debe tomar en cuenta el tamao de las bases de datos a auditar

Segregacin de funciones

El sistema de auditora de base de datos no puede ser administrado

por los DBA del rea de TI

Proveer valor a la operacin del negocio

Informacin para auditora y seguridad

Informacin para apoyar la toma de decisiones de la organizacin
Informacin para mejorar el desempeo de la organizacin

Auditora completa y extensiva

Cubrir gran cantidad de manejadores de bases de datos

Estandarizar los reportes y reglas de auditora

Instrumentos de la evaluacin
Investigacin Preliminar. Obtener el inventario de recursos (Hardware,
software, orgware y liveware) y la informacin relevante para apoyar el
examen que el equipo de Auditora realizara. El resultado de esta recopilacin
se organiza en un archivo de papeles de trabajo denominado archivo
permanentemente o expediente continuo de Auditora.

Conocimiento del negocio y del Sistema.

Informacin sobre la empresa y su objeto social, sobre sus polticas y
normas. Adems toda la informacin referente al Sistema de Bases
de Datos.

Definir grupos de riesgos

Escenarios de Riesgo Sistema de Bases de Datos.

Agrupacin.

Evaluacin del estado de control existente (checklist).

Problemas por seguridad en instalaciones y acceso fsico.

Riesgos relacionados con el acceso lgico y la privacidad a las bases
de datos.
Causado por la relacin Sistema Operativo - DBMS.
Riesgos asociados a las aplicaciones y utilitarios.

Metodologas para la auditoria de la base de datos

Existen dos tipos:

Metodologa tradicional (Checklist)

Metodologa de evaluacin de riesgos

Metodologa tradicional
El auditor revisa el entorno con la ayuda de una lista de control, que consta de
una serie de cuestionarios (S), cuando la respuesta es afirmativa, N en caso
contrario y NA no aplicable.
Metodologa de evaluacin de riesgos
El anlisis de riesgos es la consideracin del dao probable que puede causar
en el negocio un fallo en la seguridad de la informacin, con las consecuencias
potenciales de prdida de confidencialidad, integridad y disponibilidad de la
informacin. A continuacin se visualiza el proceso de evaluacin de riesgo en
una organizacin y la relacin de las diferentes etapas que participan en el
anlisis.

Ilustracin 2: Proceso de evaluacin

10

Metodologa
Objetivo de Control
El SGBD deber preservar la confidencialidad de la base de datos. Una vez
establecidos los objetivos de control, se especifican las tcnicas especficas
correspondientes a dichos objetivos.

Ilustracin 3: Objetivos de control

Tcnica de Control
Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios
para controlar el acceso a la base de datos. Un objetivo de control puede llevar
asociadas varias tcnicas que permiten cubrirlo en su totalidad. Estas tcnicas
pueden ser preventivas, detectivas (monitorizar los accesos a la BD) o
conectivas (copia de respaldo).
Si los controles existen, se disean pruebas de cumplimiento que permiten
verificar
la
consistencia
de
los
mismos.
Prueba de cumplimiento: (Si los controles existen verifican la consistencia de
los mismos) Listar los privilegios y perfiles existentes en el SGBD. Si estas
prueban detectan inconsistencias en los controles, o bien, si los controles no
existen, se pasa a disear otro tipo de pruebas (pruebas sustantivas) que
permitan dimensionar el impacto de estas deficiencias

11

Prueba sustantiva: Comprobar si la informacin ha sido corrompida

comparndola con otra fuente, o revisando los documentos de entrada de
datos y las transacciones que se han ejecutado. Valorados los resultados de las
pruebas se obtienen conclusiones que sern comentadas y discutidas con los
responsables directos de las reas afectadas con el fin de corroborar los
resultados.
El auditor deber emitir una serie de comentarios donde se describa la
situacin, el riesgo existente, la deficiencia a solucionar y, en su caso, sugerir
la posible solucin.

Recomendaciones de los COBIT

Objetivos de control
En COBIT los principales objetivos de control relacionados con las bases de
datos son los siguientes (ITGI, 2007a):
P02 Definir la Arquitectura de Informacin

P02.1 Modelo Corporativo de Arquitectura de Informacin.

P02.2 Diccionario de Datos Corporativo y Reglas de Sintaxis de Datos.
P02.3 Esquema de Clasificacin de Datos. P02.4 Gestin de Integridad.

DS 11 Gestionar Datos

DS 11.1 Requisitos de Negocio para la Gestin de Datos

DS 11.2 Planes de Almacenamiento y Retencin de Datos DS 11.3
Sistema de Gestin de Bibliotecas de Medios
DS 11.4 Eliminacin de Datos
DS 11.5 Copia de Respaldo y Restauracin
DS 11.6 Requisitos de Seguridad para Gestin de Datos

Para estos objetivos de control se definen diferentes objetivos y mtricas.

Objetivos de las tecnologas de la informacin

Optimizar la utilizacin de la informacin, asegurar que la informacin crtica y
confidencial es inaccesible para aquellos que no deben tener acceso a la
misma y asegurar la conformidad de las tecnologas de la informacin con las
leyes, regulaciones y contratos.
Mtricas

12

Nmero de ocurrencias de incapacidad para recuperar datos crticos

para los procesos de negocio.
Porcentaje de satisfaccin del usuario con la disponibilidad de los datos.

Nmero de incidentes de no conformidad con las leyes debido a

cuestiones de gestin de almacenamiento.

Objetivos de los procesos:

Mantener la complecin, exactitud, validez y accesibilidad de los datos
almacenados; asegurar los datos durante la entrega de medios, gestionar
efectivamente el almacenamiento de los medios.
Mtricas:

Porcentaje de restauraciones de datos exitosas

Nmero de incidentes en los que se recuperan datos sensibles despus
de disponer de los medios
Nmero de cadas de sistemas o incidentes de integridad de datos
causados.

Objetivos de las actividades

Realizar copias de respaldo y pruebas de restauracin, gestionar
almacenamiento de datos on-site y offside, asegurar la disposicin de datos y
equipos.
Mtricas

Frecuencia de pruebas de copias de respaldo de los medios

Tiempo medio de restauracin de datos

En ITGI (2007b) se definen para cada objetivo de control los drivers de valor y
riesgo, y las pruebas de diseo del control correspondientes. En el caso del DS
11.6 de Requisitos de Seguridad para Gestin de Datos se proponen los
siguientes:

Drivers de valor: Informacin sensible asegurada y protegida

apropiadamente, capacidad de ver o alterar la informacin disponible a
los usuarios autorizados, complecin y exactitud de datos transmitidos.
Drivers de riesgo: Datos sensibles mal utilizados o destruidos, accesos
a datos no autorizados, falta de complecin e inexactitud de datos
transmitidos, datos alterados por usuarios no autorizados.

Pruebas de diseo del control: Preguntando y confirmando que:

13

Se dispone de proceso que identifica datos sensibles y aborda las

necesidades organizativas relativas a la confidencialidad de los datos,
conformidad con leyes y regulaciones aplicables, y que se ha acordado
la clasificacin de los datos con los propietarios de los procesos de
negocio.

Se define e implementa una poltica para proteger datos y mensajes

sensibles de accesos no autorizados y transmisiones y transportes
incorrectos, incluyendo: cifrado, cdigo de autenticacin de mensajes,
totales hash, etc.
Se han establecido requisitos para el acceso fsico y lgico a salidas de
datos y se define y se tiene en cuenta la confidencialidad de la salida.
Se han establecido reglas y procedimientos para el acceso por parte de
los usuarios finales a las salidas de datos y para la gestin y realizacin
de copias de respaldo de datos sensibles.

Objetivos de control en el ciclo de vida

Ilustracin 4: Circulo de vida

14

Estudio previo y plan de trabajo

Elaborar un estudio tecnolgico de viabilidad, acompaados de un
anlisis costo-beneficio para cada una de las opciones.
Disyuntiva entre desarrollar y comprar.
El auditor debe comprobar que la alta direccin revisa informes de
estudios de viabilidad y que es la que decide seguir adelante o no con el
proyecto.
Si se decide ejecutar el proyecto se debe establecer un plan director y
que se emplea para el seguimiento y gestin del proyecto, y que cumple
con los procedimientos generales de gestin de proyectos aprobados por
la organizacin.

Aprobacin de la estructura orgnica no slo del proyecto en particular,

sino tambin de la unidad que tendr la responsabilidad de la gestin y
control de la base de datos

Se recomienda una separacin de funciones entre:

Personal de desarrollo de sistemas y el de explotacin.

Explotacin y control de datos.
Administracin de bases de datos y desarrollo.

Ilustracin 5: Alcance

Concepcin de la base de datos y seleccin del equipo

En esta fase se empieza a disear la base de datos, por lo que deben
utilizarse los modelos y las tcnicas definidos en la metodologa de
desarrollo de sistemas de la empresa.
La metodologa de diseo debera emplearse para especificar
documentos fuentes, mecanismos de control, caractersticas de
seguridad y pistas de auditora a incluir en el sistema.
El auditor debe analizar la metodologa de diseo con el fin de
determinar si es o no aceptable, y luego comprobar su correcta
utilizacin. En cuanto a la seleccin del equipo, en caso de que la
empresa no disponga ya de uno, deber realizarse utilizando un
procedimiento riguroso, en el que se consideren las necesidades de la
empresa y las prestaciones que ofrecen los distintos SGBD candidatos.
Adems se debe tener en cuenta el impacto que el nuevo software tiene
en el sistema y, especialmente, en su seguridad.

Diseo y carga
En esta fase se llevarn a cabo los diseos lgico y fsico de la base de
datos. El auditor debe examinar si los diseos son correctos, si la
15

definicin de los datos contempla adems de su estructura, asociaciones

y restricciones oportunas, as como las especificaciones de
almacenamiento de datos y las cuestiones relativas a la seguridad. Una
vez diseada la BD, se proceder a su carga. Las migraciones o
conversiones de sistemas entraan un riesgo muy importante por lo que
debern estar claramente planificadas.

Entrada manual de datos, hay que establecer un conjunto de controles

que aseguren la integridad de los mismos.
Los procedimientos y diseo de documentos fuentes minimicen errores y
omisiones, as como el establecimiento de procedimientos de
autorizacin de datos.
El tratamiento de datos de entrada errneos, los datos se validen y
corrijan tan cerca del punto de origen como sea posible.
No toda la semntica de los datos puede siempre almacenarse en el
esquema de la base de datos, comprobar que los programas
implementan de forma adecuada esta integridad.

Explotacin y mantenimiento

Una vez realizadas las pruebas de aceptacin, con la participacin de los

usuarios, el sistema se pondr en explotacin.
Comprobar que se establecen procedimientos de explotacin y
mantenimiento que aseguren que los datos se tratan de forma
congruente y exacta y que el contenido de los sistemas slo se modifica
mediante la autorizacin adecuada.
El auditor podra ejecutar una auditora del rendimiento del sistema de
BD.

Revisin post-implantacin
Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo y
recursos, se debera establecer el desarrollo de un plan para efectuar una
revisin post-implantacin de todo sistema nuevo o modificado, con el fin de
evaluar si:

Se han conseguido los resultados esperados

Se satisfacen las necesidades de los usuarios
Los costes y beneficios coinciden con los previstos.

Otros procesos auxiliares

A lo largo de todo el ciclo de vida de la base de datos se deber controlar la
formacin que precisan tanto los usuarios informticos como los no
informticos; ya que la formacin es una de las claves para minimizar el riesgo
en la implantacin de una base de datos.

16

El auditor tendr que revisar la documentacin que se produce a lo largo de

todo el proceso, para verificar si es suficiente y si se ajusta a los, estndares
establecidos por la metodologa adoptada en la empresa. A este respecto
resulta muy importante que se haya llevado a cabo un aseguramiento de
calidad.

Auditora y control interno

Cuando el auditor se encuentra el sistema en explotacin, deber estudiar el
SGBD y su entorno. El gran problema de las bases de datos es que su entorno
cada vez es ms complejo y no puede limitarse slo al propio SGBD.

Ilustracin 6: SGBD

Sistema de Gestin de Bases de Datos (SGBD)

Ncleo (kernel), catlogo (seguridad BD), utilidades del administrador
(usuarios, privilegios y confidencialidad); recuperacin de la BD:
Rearranque, copias de respaldo, ficheros diarios (log), etc. y algunas funciones
de auditora, y los lenguajes de cuarta generacin (L4G) que incorpora el
propio SGBD.

17

Productos del mercado permiten registrar operaciones realizadas sobre

la base de datos en un fichero de pistas de auditora (audit traif).
El auditor deber revisar la utilizacin de las herramientas que ofrece el
propio SGBD, las polticas y procedimientos que sobre su utilizacin haya
definido el administrador, para valorar si son suficientes o si deben ser
mejorados.

Software de auditora
Son paquetes que pueden emplearse para facilitar la labor del auditor, en
cuanto a la extraccin de datos de la base, el seguimiento de las
transacciones, datos de prueba, etc. Hay tambin productos muy interesantes
que permiten cuadrar datos de diferentes entornos, permitiendo realizar una
verdadera "auditora del dato".

Sistema de monitorizacin y ajuste (tuning)

Este tipo de sistemas complementan las facilidades ofrecidas por el propio
SGBD, ofreciendo mayor informacin para optimizar el sistema, llegando a ser
en determinadas ocasiones verdaderos sistemas expertos que proporcionan la
estructura ptima de la base de datos y de ciertos parmetros del SGBD y del
SO.

Sistema Operativo (SO)

El SGBD se apoyar en los servicios que ofrece el SO en control de memoria,
gestin de reas de almacenamiento intermedio (buffers), manejo de errores,
control de confidencialidad, mecanismos de interbloqueo, etc.

Monitor de Transacciones
Algunos autores lo incluyen dentro del propio SGBD actualmente puede
considerarse un elemento ms del entorno, con responsabilidades de
seguridad y, sobre todo, de rendimiento.

Protocolos y Sistemas Distribuidos

Cada vez ms se est accediendo a las bases de datos a travs de redes, con
lo que el riesgo de violacin de la confidencialidad e integridad se acenta.

18

Paquetes de seguridad
Existen productos que permiten la implantacin efectiva de una poltica de
seguridad, puesto que centralizan el control de accesos, definicin de
privilegios, perfiles de usuario, etc. Un grave inconveniente de este tipo de
software es que a veces no se encuentra bien integrado con el SGBD.

Diccionarios de datos
Se pueden auditar de manera anloga a las bases de datos, un fallo en una BD
puede atentar contra la integridad de datos y producir mayor riesgo financiero,
un fallo en un diccionario suele llevar consigo una prdida de integridad de los
procesos; siendo ms peligrosos los fallos en los diccionarios puesto que
pueden introducir errores de forma repetitiva a lo largo del tiempo.

Herramientas CASE (Computer Aided System/Software Engineering)/IPSE

(Integrated Project Support Environments)
Estas herramientas suelen llevar incorporado un diccionario de datos ms
amplio que los mencionados anteriormente en los que se almacenan adems
de informacin sobre datos, programas, usuarios, etc., los diagramas, matrices
y grafos de ayuda al diseo. Constituyen una herramienta clave para que el
auditor pueda revisar el diseo de la base de datos, comprobar si se ha
empleado correctamente la metodologa y asegurar un nivel mnimo de
calidad.

Lenguajes de Cuarta Generacin (L4G) independientes

El auditor puede encontrar una amplia gama de generadores de aplicaciones,
de formas, de informes, etc. que actan sobre la base de datos y que, por
tanto, tambin son un elemento importante a considerar en el entorno del
SGBD. Uno de los peligros ms graves de los L4G es que no se apliquen
controles con el mismo rigor que a los programas desarrollados con lenguajes
de tercera generacin.
El auditor deber estudiar los controles disponibles en los L4G utilizados en la
empresa, analizando con atencin si permiten construir procedimientos de
Control y auditora dentro de las aplicaciones

Facilidades de usuario
Se ha desarrollado toda una serie de herramientas que permiten al usuario
final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del
SGBD. El auditor deber investigar las medidas de seguridad que ofrecen
estas herramientas y bajo qu condiciones han sido instaladas; las
herramientas de este tipo deberan "proteger al usuario de sus propios
errores".

19

Herramientas de "minera de datos"

Ofrecen soporte a la toma de decisiones, sobre datos de calidad integrados en
el almacn de datos, debindose controlar la poltica de refresco y carga de los
datos en el almacn a partir de las bases de datos operacionales existentes, as
como la existencia de mecanismos de retroalimentacin (feedback), que
modifican las bases de datos operacional es a partir de los datos del almacn.

Aplicaciones
El auditor deber controlar que las aplicaciones no atentan contra la integridad
de los datos de la base.

Tcnicas para el Control en Entorno Complejos

Debilitar la seguridad global del sistema, reduciendo la fiabilidad e
introduciendo un conjunto de controles descoordinados y solapados, difciles de
gestionar".
El auditor puede
emplear, dos tcnicas de control:

Matrices de control: Sirven para identificar los conjuntos de datos del SI

junto con los controles de seguridad o integridad implementados sobre
los mismos.
Anlisis de los caminos de acceso: Se documentan el flujo,
almacenamiento y procesamiento de los datos en todas las fases por las
que pasan desde el mismo momento en que se introducen, identificando
los componentes del sistema que atraviesan (tanto hardware como
software) y los controles asociados.

Con este marco, el auditor puede identificar las debilidades que expongan los
datos a riesgos de integridad, confidencialidad y seguridad, los distintos
interfaces entre componentes y la complecin de los controles. En la prctica
se suelen utilizar conjuntamente ambas tcnicas, si bien la del anlisis de
caminos de acceso requiere unos mayores conocimientos tcnicos y se emplea
en sistemas ms complejos.

Estndares
Estndar ISO 27001
ISO 27001 es una norma internacional emitida por la Organizacin
Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de
la informacin en una empresa. La revisin ms reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La

20

primera revisin se public en 2005 y fue desarrollada en base a la norma

britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o
sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los
mejores especialistas del mundo en el tema y proporciona una metodologa
para implementar la gestin de la seguridad de la informacin en una
organizacin. Tambin permite que una empresa sea certificada; esto significa
que una entidad de certificacin independiente confirma que la seguridad de la
informacin ha sido implementada en esa organizacin en cumplimiento con la
norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la
seguridad de la informacin y muchas empresas han certificado su
cumplimiento; aqu se puede ver la cantidad de certificados en los ltimos
aos.

COBIT
Las mejores prcticas en auditoria recomiendan Cobit como la herramienta
estndar para tecnologas de informacin ms utilizada en la ejecucin de
auditoras; a continuacin se explica detalladamente algunos conceptos
manejados por sta y los dominios, procesos y actividades que lo conforman:

21

Efectividad: Se refiere a que la informacin relevante sea pertinente

para el proceso del negocio, as como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
Eficiencia: Se refiere a la provisin de informacin a travs de la
utilizacin ptima (ms productiva y econmica) de recursos.
Confidencialidad: Se refiere a la proteccin de informacin sensible
contra divulgacin no autorizada.
Integridad: Se refiere a la precisin y suficiencia de la informacin, as
como a su validez de acuerdo con los valores y expectativas del
negocio.
Disponibilidad: Se refiere a la disponibilidad de la informacin cuando
sta es requerida por el proceso de negocio ahora y en el futuro.
Tambin se refiere a la salvaguarda de los recursos necesarios y
capacidades asociadas.
Cumplimiento: Se refiere al cumplimiento de aquellas leyes,
regulaciones y acuerdos contractuales a los que el proceso de
negocios est sujeto, por ejemplo, criterios de negocio impuestos
externamente.
Confiabilidad de la informacin: Se refiere a la provisin de
informacin apropiada para la administracin con el fin de operar la

entidad y para ejercer sus responsabilidades de reportes financieros y

de cumplimiento.
Datos: Los elementos de datos en su ms amplio sentido, (por
ejemplo, externos e internos), estructurados y no estructurados,
grficos, sonido, etc.
Aplicaciones: Se entiende como sistemas de aplicacin la suma de
procedimientos manuales y programados.
Tecnologa: La tecnologa cubre hardware, software, sistemas
operativos, sistemas de administracin de bases de datos, redes,
multimedia, etc.
Instalaciones: Recursos para alojar y dar soporte a los sistemas de
informacin.
Personal: Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de informacin

Cinco formas normales de las bases de datos relacionales

Las reglas de normalizacin estn diseadas para prevenir anomalas de
actualizacin e inconsistencia de datos.
Primera forma normal
La primera forma normal trata con la forma del registro. Bajo la primera forma
normal, todas las ocurrencias de tipo registro deben contener el mismo nmero
de campos. La primera forma normal excluye campos repetidos y grupos.
Segunda y tercera formal normal
La segunda y tercera forma normal trata con las relaciones entre campos clave
y campos no clave. Bajo la segunda y tercera forma normal un campo no clave
debe de proveer un hecho (valor) referente al campo clave. Adems el registro
debe satisfacer la primera forma normal.
Segunda forma normal
La segunda forma normal es violada cuando un campo que no es clave tiene un
valor de un subconjunto del campo de la clave. Es solo relevante cuando el
campo clave es compuesto por varios campos.
Cuando el diseo de datos es cambiado para reemplazar registros no
normalizados por registros normalizados, a estos procesos se le llama
normalizacin.
El diseo normalizado refuerza la integridad de los datos minimizando la
inconsistencia y redundancia de datos.
22

Tercera forma normal

La tercera forma normal es violada cuando un campo no clave contiene un
valor de otro campo no clave.
Dependencias funcionales
En la teora de las bases de datos relacionales, la segunda y la tercera forma
normal son definidas en trminos de dependencias funcionales. Un campo Y es
funcionalmente dependiente de un campo (o campos) X si es invalido tener dos
registros con el mismo valor de X pero diferentes valores en Y. Cuando X es el
campo clave, entonces todos los campos son por definicin funcionalmente
dependientes en X, siempre y cuando no existan dos registros que tengan el
mismo valor en X.
Las dependencias funcionales solo existen cuando las cosas involucradas
tienen identificadores nicos y singulares. Es importante puntualizar que las
dependencias funcionales y las varias formas normales son realmente solo
definidas por situaciones en donde existen identificadores nicos y singulares.
Cuarta y Quinta formas normales
La cuarta y quinta formas normales tratan con campos que pueden tener
diferentes valores. Un campo que puede tener diferentes valores debe
corresponder a una relacin muchos a muchos o muchos a uno. En ese sentido
la cuarta y la quinta forma normal son tambin llaves compuestas. Estas llaves
normales intentan minimizar el nmero de campos involucrados en la llave
compuesta.
Cuarta forma normal
Bajo la cuarta forma normal, un registro no debe contener campos que acepten
diferentes valores independientes en una entidad. Adems el registro debe
satisfacer la tercera forma normal.
El problema principal con violar la cuarta forma normal es que lleva hacia
incertidumbres en las polticas de mantenimiento. Varias polticas son posibles
para el mantenimiento de dos campos que aceptan diferentes valores
independientes en un registro.
Otros problemas causados por violar la cuarta forma normal son similares a
esos mencionados antes por violar la segunda y tercera forma normal. Estos
toman diferentes variaciones dependiendo de las polticas de mantenimiento
seleccionadas.
Si hay repeticiones, entonces la actualizacin debe hacerse en mltiples
registros, y los registros pueden volverse inconsistentes.
23

Dependencias multivaluadas son definidas esencialmente como una relacin

que acepta la poltica de mantenimiento del producto cruzado. La dependencia
multivaluadas y la cuarta forma normal tambin aplica a las relaciones que
involucran a ms de dos campos.
Quinta forma normal
La quinta forma normal trata con casos donde la informacin puede ser
reconstruida de piezas pequeas de informacin que puede ser mantenida con
menos redundancia. La segunda, tercera y cuarta formas normales tambin
sirven a este propsito, pero la quinta forma normal generaliza los casos no
cubiertos por las otras.
En otras palabras podemos decir que un registro si cumple con la quinta forma
normal cuando la informacin que contiene no puede ser reconstruida de
varios registros pequeos (de registros que cada uno tienen menos campos
que el registro original). El caso donde todos los registros pequeos tienen la
misma llave es excluido. Si un registro puede ser solo descompuesto en
registros pequeos donde todos tienen la misma llave, entonces el registro es
considerado dentro de la quinta forma normal sin descomposicin. Un registro
que cumple con la quinta forma normal cumple tambin con la cuarta, tercera,
segunda y primera forma normal.
La quinta forma normal no difiere de la cuarta forma normal a menos de que
exista una limitacin simtrica.
Una ventaja de la quinta forma normal es que ciertas redundancias pueden ser
eliminadas.
Debe de observarse que la normalizacin involucra mas registros, deben existir
un total menor de ocurrencias. La ventaja es notoria cuando se almacenan un
numero grandes de registros, mientras que las bases de datos normalizadas
crecen en forma sumatoria, las bases de datos no normalizadas crecen en
forma multiplicativa.
La cuarta y quinta formas normales tratan con combinaciones de cambios que
contienen valores diferentes. Si un registro viola la cuarta forma normal, el
proceso de normalizacin asociado lo descompone en dos registros, cada uno
contiene menos campos que el registro original. Cualquiera de estas
violaciones a la cuarta forma normal son descompuestos en dos registros y as
sucesivamente hasta que todos los registros resultantes cumplan con la cuarta
forma normal. En cada etapa el conjunto de registros despus de la
composicin contiene exactamente la misma informacin que antes de la
descomposicin.

24

Redundancias inevitables
La normalizacin ciertamente no remueve todas las redundancias. Ciertas
redundancias parecen ser inevitables, particularmente aquellas que contienen
diferentes valores ya definidos son ms dependientes que independientes.
Redundancias entre registros
Las formas normales que acabamos de ver tratan solo con redundancias
ocurridas dentro de un registro. La quinta forma normal es considerada la
ltima forma normal con respecto a tales redundancias. La redundancia entre
registros ha sido reconocida durante algn tiempo y recientemente ha sido
direccionado en trminos de la forma normal y la normalizacin.

Ilustracin 7: Enfoques

25

Conclusin
El auditor debe verificar que todos estos componentes trabajan conjunta y
coordinadamente para asegurar que los sistemas de bases de datos continan
cumpliendo los objetivos de la empresa y que se encuentran controlados de
manera efectiva. Los sistemas aumentan su complejidad y alcance con mayor
rapidez que los procedimientos y tcnicas para controlados. La de Gestin de
Recursos de Informacin (IRM, Information Resource Management), logra
convertir los datos en el activo ms importante de empresas; lleva consigo que
medidas de control y auditora pasen a un primer plano; y que se alineen con
las estrategias de las mismas y con el gobierno de sus tecnologas y sistemas
de informacin.

26

Referencias
La auditora en el contexto actual. Catalina Rivas de las Casas - Gerente de
Auditoria - Sucursal Ciudad Habana, CIMEX, Cuba.
www.gestiopolis.com/recursos/documentos/fulldocs/fin/auditcontxactual.htm
Auditoria de Sistemas. Carmen D'Sousa.
http://www.monografias.com/trabajos
Auditoria Informtica. Un enfoque Prctico, 2 Edicin ampliada y
revisada.
Mario G. Piattini, Emilio del Peso y otros. Editorial Alfaomega Ra-Ma.
F13 Auditoria Informtica. Oscar Coltell. Departamento de Lenguajes y
Sistemas Informticos. Universitat Jaume I. Castelln.
http://www3.uji.es/~coltell/F13/OCX_F13.html
Auditoria Informtica. 2 Edicin. Paraninfo. Thomas A.J., Douglas I.J
.Madrid
1988.
Decreto 1558/2001 Reglamentacin Ley 25326.
http://www.jus.gov.ar/dnpdpnew/
Decreto 163/2005 Ministerio de Justicia y Derechos Humanos. Organigrama,
Misiones y Funciones.
http://www.jus.gov.ar/dnpdpnew/
Disposicin 7/2005 Clasificacin de Infracciones y Graduacin de
Sanciones.
http://www.jus.gov.ar/dnpdpnew/
Disposicin 11/2006 Medidas de Seguridad para el Tratamiento y
Conservacin de los Datos Personales contenidos en Archivos, registros Bancos
y Bases de Datos no estatales y Privados.
http://www.jus.gov.ar/dnpdpnew/
27

Normas Generales de Control Interno (ngci.pdf).

http://www.sigen.gov.ar/main/index.html
Normas de Control Interno para Tecnologa de Informacin.
http://www.sigen.gov.ar/main/index.html
Auditoras en Base de Datos. Herramienta para rastros de actividad
Log
Ingravallo Gabriel Entraigas Valeria

Activity

Pgina: 107

Ayuda on-line de Visual Basic 6.0

Ayuda on-line de Postgres
Ayuda on-line de SQL Server
http://msdn2.microsoft.com/en-us/library/bb418499.aspx
http://msdn2.microsoft.com/en-us/library/ms187929.aspx
Pagina Oficial MySQL
http://dev.mysql.com/doc/refman/4.1/en/myodbc-examplesprogramming.html
Pgina Oficial IBM
http://www-306.ibm.com/common/ssi/fcgi-bin/ssialias
Pgina Oficial Oracle
http://www.oracle.com/index.html
Pgina Oficial Postgres
http://www.postgresql.org/docs/8.2/static/dynamic-trace.html
http://perso.wanadoo.es/aldomartin1/tic1.html

28