Auditoria de Base de Datos Final

UNIVERSIDAD NACIONAL DE
HUANCAVELICA
ESCUELA PROFESIONAL DE INGENIERIA DE
SISTEMAS
PROFESOR: Dr. Jonh ROJAS BUJAICO

ESTUDIANTES: Rubén, ESCOBAR LANDEO
José L. ROJAS JURADO
Junior, LOPEZ RODRIGUEZ
CURSO: AUDITORIA DE SISTEMAS

CICLO: X
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS - UNH
ÍNDICE
........................................................................................................................... 1
1. Introducción ............................................................................................... 4
2. Qué es la Auditoría de Base de Datos?.................................................... 5
3. Objetivos Generales de la auditoría de BD. ............................................. 6
4. Importancia de la auditoría de BD. ........................................................... 6
4.1. Mediante la auditoría de base de datos se evaluará: ....................... 7
4.2. Planificación de la auditoria de BD.................................................... 7
5. Metodologías para la auditoria de BD. ..................................................... 8
5.1. Metodología Tradicional. .................................................................... 8
5.2. Metodología de evaluación de riesgos.............................................. 8
Considerando los riesgos de: ....................................................................... 8
Se pueden definir los siguientes: ................................................................. 9
6. Control de acceso de BD. ........................................................................ 10
6.1. Consideraciones generales. ..............................................................11
7. Estudio previo y plan de trabajo. .............................................................11
8. Concepción de la BD y selección del equipo. ....................................... 13
8.1. Diseño y carga. .................................................................................. 14
8.2. Explotación y Mantenimiento. .......................................................... 15
8.3. Clasificación de los Objetos de control para la gestión de datos
ISACA ........................................................................................................... 15
8.4. Revisión post-implementación. ....................................................... 16
8.5. Otros procesos auxiliares. ............................................................... 16
9. ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE
DATOS ............................................................................................................. 16
10. SISTEMA DE GESTIÓN DE BASE DE DATOS. .................................... 17
10.1.1. Software de Auditoría .................................................................... 17
10.1.2. Sistema de monitorización y Ajustes ........................................... 18
10.1.3. Sistema Operativo ......................................................................... 18
10.1.4. Control de Transacciones ............................................................. 18
10.1.5. Protocolos y Sistemas Distribuidos ............................................. 19
10.1.6. Paquetes de Seguridad ................................................................. 19
10.1.7. Diccionario de Datos ..................................................................... 19
10.1.8. Herramientas CASE (Compuer Aided System/Software
Engineering). IPSE (Integrated Project Support Environments) ........ 20
CURSO: AUDORTIA DE SISTEMAS

2
10.1.9. Lenguajes de Generación de Cuarta generación (L4G)

independientes ............................................................................................ 20
11. Facilidades de Usuario ..................................................................... 21
12. Herramientas de Minería de Datos................................................... 21
12.1. Aplicaciones ................................................................................... 21
13. Técnicas para el Control de Base de Datos en un entorno complejo
22
13.1. Matrices de Control ....................................................................... 22
14. Análisis de los Caminos de Acceso.................................................... 23
Conlusiones .................................................................................................... 23
15. CASO PRACTICO: ................................................................................ 25
AUDITORIA DE BASE DE DATOS DEL AREA DE INFORMATICA DE LA
MUNICIPALIDAD DISTRITAL DE DANIEL HERNADEZ ................................. 25
15.1. Introducción ...................................................................................... 25
15.2. Objetivo .............................................................................................. 25
15.3. Alcance .............................................................................................. 25
15.4. Metodología ....................................................................................... 26
CONCLUSIONES DE LA AUDITORIA ............................................................ 36
Bibliografía...................................................................................................... 37

3
1. Introducción
Las bases de datos son el activo más importante para las organizaciones, ya que
poseen toda la información de la empresa, datos confidenciales que en manos
ajenas puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales
en la seguridad de la misma, conceder privilegios respecto a los usuarios de los
datos y también denegarlos. Con la auditoría de bases de datos se busca
monitorear y garantizar que la información está segura, además de brindar ayuda
a la organización para detectar posibles puntos débiles y así tomar precauciones
para resguardar aún más los datos.
Como ya se ha comentado, normalmente la auditoría informática se aplica dedos

formas distintas; por un lado, se auditan las principales áreas del departamento
de informática: explotación, dirección, metodología de desarrollo, sistema
operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las
aplicaciones (desarrolladas internamente, subcontratadas o adquiridas) que
funcionan en la empresa. La importancia de la auditoría del entorno de bases de
datos radica en que es el punto de partida para poder realizar la auditoría de las
aplicaciones que utiliza esta tecnología

4
2. Qué es la Auditoría de Base de Datos?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los

accesos a la información almacenada en las bases de datos incluyendo la
capacidad de determinar:
 Quién accede a los datos

 Cuándo se accedió a los datos
 Desde qué tipo de dispositivo/aplicación
 Desde que ubicación en la Red
 Cuál fue la sentencia SQL ejecutada
 Cuál fue el efecto del acceso a la base de datos.
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada

a IT por la organización frente a las regulaciones y su entorno de negocios o
actividad.

5
3. Objetivos Generales de la auditoría de BD.
 Disponer de mecanismos que permitan tener trazas de auditoría

completas y automáticas relacionadas con el acceso a las bases de datos
incluyendo la capacidad de generar alertas con el objetivo de:
 Mitigar los riesgos asociados con el manejo inadecuado de los datos.
 Apoyar el cumplimiento regulatorio.
 Satisfacer los requerimientos de los auditores.
 Evitar acciones criminales.
 Evitar multas por incumplimiento.
La importancia de la auditoría del entorno de bases de datos radica en que es

el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza
esta tecnología.
4. Importancia de la auditoría de BD.
La auditoría de base de datos es importante porque:
 Toda la información financiera de la organización reside en bases de datos

y deben existir controles relacionados con el acceso a las mismas.
 Se debe poder demostrar la integridad de la información almacenada en
las bases de datos.

6
 Las organizaciones deben mitigar los riesgos asociados a la pérdida de

datos y a la fuga de información.
 La información confidencial de los clientes, son responsabilidad de las
organizaciones.
 Los datos convertidos en información a través de bases de datos y
procesos de negocios representan el negocio.
 Las organizaciones deben tomar medidas mucho más allá de asegurar
sus datos. Deben monitorearse perfectamente a fin de conocer quién o
qué les hizo exactamente qué, cuándo y cómo.
4.1. Mediante la auditoría de base de datos se evaluará:
 Definición de estructuras físicas y lógicas de las bases de datos.

 Control de carga y mantenimiento de las bases de datos.
 Integridad de los datos y protección de accesos.
 Estándares para análisis y programación en el uso de bases de datos.
 Procedimientos de respaldo y de recuperación de datos.
4.2. Planificación de la auditoria de BD.
1. Identificar todas las bases de datos de la organización

2. Clasificar los niveles de riesgo de los datos en las bases de datos

7
3. Analizar los permisos de acceso

4. Analizar los controles existentes de acceso a las bases de datos
5. Establecer los modelos de auditoría de BD a utilizar
6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario.
5. Metodologías para la auditoria de BD.
5.1. Metodología Tradicional.
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que
consta de una serie de cuestiones a verificar, registrando los resultados de su
investigación. En esta investigación se confecciona una lista de control de todos
los aspectos a tener en cuenta.
5.2. Metodología de evaluación de riesgos.
Este tipo de metodología, conocida también por Risk oriented approach (Enfoque
orientado al riesgo) es la que propone la ISACA y empieza fijando los objetivos
de control que minimizan los riesgos potenciales a los que está sometido el
entorno.
Considerando los riesgos de:

8
 Dependencia por la concentración de Datos o Accesos no restringidos en

la figura del DBA
 Incompatibilidades entre el sistema de seguridad de accesos del SGBD
(sistema de gestión de base de datos) y el general de instalación
 Impactos de los errores en Datos y programas o Rupturas de enlaces o
cadenas por fallos del software.
 Impactos por accesos no autorizados
 Dependencias de las personas con alto conocimiento técnico
Se pueden definir los siguientes:
 Objetivo de control: el SGBD deberá preservar la confidencialidad de la

BD, Una vez establecidos los objetivos de control, se especifican las
técnicas específicas correspondientes a dichos objetivos.
 Técnicas de Control: se establecen niveles y tipos de usuarios, privilegios

para el control de acceso a la base datos. Un objetivo de control puede
llevar asociadas varias técnicas que permiten cubrirlo en su totalidad.
Estas técnicas pueden ser preventivas

9
6. Control de acceso de BD.
 Requisitos del negocio para control de acceso.

 Política de control de acceso.
 Gestión de accesos de usuarios.
 Registros de usuarios.
 Gestión de Privilegios.
 Gestión de contraseñas de usuarios.
 Revisión de los derechos de acceso de los usuarios
 Responsabilidades de los usuarios
 Uso de contraseñas.
Si existen los controles sobre la BD se pueden diseñar pruebas de cumplimiento

que permitan verificar la consistencia de los mismos.
Prueba de Cumplimiento: listar privilegios y perfiles existentes en el SGBD Si

estas pruebas detectan inconsistencias en los controles, se diseñan otros tipos
de pruebas denominadas pruebas sustantivas.
Prueba sustantiva: Comprobar si la información ha sido corrompida

comparándola con otra fuente, o revisando, los documentos de entrada de datos

10
y las transacciones que se han ejecutado. Se valoran los resultados

obteniéndose conclusiones que serán comentadas y discutidas con los
responsables directos del área con el fin de comprobar resultados. En estos
comentarios se describe la situación, el riesgo existente y la deficiencia a
soluciones aportando en su caso la posible solución.
6.1. Consideraciones generales.
 Se deben tomar en cuenta todas las capas de acceso a la información

 Se debe tener importante atención en los accesos de los usuarios con
privilegios de acceso
 Se debe tratar de tener información contextual para determinar cómo se
creó la violación al control
 Se deben tener reglas de auditoría uniformes a través de todas las bases
de datos y sistema
 Se deben segregar las funciones entre los auditores y los usuarios con
privilegios de acceso.
7. Estudio previo y plan de trabajo.
Aquí se elaborará un estudio tecnológico de la viabilidad, donde se contemplarán

distintas alternativas para alcanzar los objetivos del proyecto acompañados de
un análisis coste-beneficio para cada una de las opciones. Se debe considerar
entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre
está justificada la implantación de un sistema de bases de datos).
Se debe comprobar que la alta dirección revisa los informes de los estudios de
viabilidad ya que es la que decide seguir adelante o no con el proyecto. Esto es

11
fundamental porque los técnicos han de tener en cuenta que si no existe una
decidida voluntad de la organización en un conjunto, impulsada por los directivos,
aumenta considerablemente el riesgo de fracasar en la implantación del sistema.
Si se decide llevar a cabo el proyecto es fundamental que se establezca un plan

director, debiendo el auditor verificar que éste plan se emplea para el
seguimiento y gestión del proyecto y que cumple con los procedimientos
generales de gestión del proyecto y que tenga aprobados la organización. Se
debe establecer en esta fase de aprobación la estructura orgánica del proyecto
y de la unidad que gestionará el control de la BD.
Se pueden establecer acerca de este tema dos objetivos de control
 Asignación de responsabilidades para la planificación, organización,

dotación de plantillas y control de los activos de datos de la organización
(DA).
1. Realizar el diseño conceptual y lógico de la base de datos.

2. Apoyar al personal de sistemas durante el desarrollo de aplicaciones.
3. Formar al personal.
4. Establecer estándares de diseño de BD desarrollo y contenido del
diccionario de datos.
5. Diseñar la documentación incluida en el diccionario.
6. Desarrollar normas para la denominación
7. Controlar la integridad y seguridad de los datos.
8. Planificar la elaboración de la BD de la empresa.
9. Identificar con los auditores en la auditoria de la base de datos
10. Proporcionar controles de seguridad.
 Asignación de la responsabilidad de administración de la Base de Datos

(DBA).
1. Realizar el diseño de la base de datos.

12
2. Asesorar en la adquisición de hardware/software.

3. Soportar el SGBD el software asociado
4. Monitorizar el rendimiento de SGBD
5. Ayudar en el desarrollo de planes que aseguren la capacidad del
hardware
6. Asegurar la integridad de los datos comprobando que se implantan
los controles adecuados.
7. Asegurar la seguridad y confidencialidad
8. Proporcionar facilidades de prueba
9. Integrar paquetes, procedimientos, utilidades, etc. De soporte al
SGBD
10. Desarrollar estándares, procedimientos y documentos.
En resumen, el DBA se encarga de autorizar el acceso a la base de datos, de

coordinar y vigilar su empleo, y de adquirir los recursos necesarios de software
y hardware. El DBA es la persona responsable cuando surgen problemas como
violaciones a la seguridad o una respuesta lenta del sistema.
Cuando se establecen las responsabilidades de estas funciones hay que tener

en cuenta uno de los principios fundamentales del control interno: la separación
de funciones. Se recomienda una separación de funciones entre:
 El personal de desarrollo de sistemas y el de explotación.

 Explotación y control de datos.
 Administración de bases de datos y desarrollo.
8. Concepción de la BD y selección del equipo.
La metodología de desarrollo de diseño de Base de Datos debería también

emplearse para

13
especificar los documentos fuentes, los mecanismos de control, las

características de seguridad y las pistas de auditoría a incluir en el sistema, estos
últimos aspectos generalmente se descuidan, lo que produce mayores costes y
problemas cuando se quieren incorporar una vez concluida la implementación
de la base de datos y la programación de las aplicaciones.
El auditor debe analizar la metodología de diseño para determinar si es no

aceptable, y luego comprobar su correcta utilización. Como mínimo una
metodología de diseño de BD debería contemplar dos fases de diseño: lógico y
físico. COBIT dedica importancia a la definición, de la arquitectura de la
información, que contempla cuatro objetivos de control relativos a:
 Modelo de arquitectura de información, y su actualización, que es

necesaria para mantener el modelo consistente con las necesidades de
los usuarios y con el plan estratégico de tecnología de la información.
 Datos y diccionario de datos corporativo.
 Esquema de clasificación de datos en cuanto a su seguridad. –
 Niveles de seguridad
Respecto de la selección de equipos se deberá realizar un procedimiento en que

se consideren:
 necesidades de la empresa (ponderadas)

 prestaciones que ofrecen los distintos SGBD candidatos
 impacto del software en cuanto a medidas de seguridad
8.1. Diseño y carga.
Se examinan si los diseños se han realizados correctamente, verificando la

estructura y las relaciones entre los datos, se controlan también las
especificaciones de almacenamiento de datos, la seguridad de los mismos. El
auditor tendrá que tomar una muestra de ciertos elementos (tablas, vistas,
índices) y comprobar que su definición es completa, que ha sido aprobada por el

14
usuario y que el administrador de la base de datos participó en su

establecimiento.
Aprobado el diseño de datos se procede a la carga ya sea manualmente, por

migración o con soporte técnico, esto merece especial atención ya que existen
riesgos de pérdida de información por lo que deberá estar correctamente
planificada la carga de la Base de datos. Se realizan pruebas paralelas, que
atienden a los criterios establecidos por la alta gerencia, y se establecen
controles que aseguren la integridad de los mismos. Se busca minimizar los
errores en la carga y de es especial tratamiento a estas entradas erróneas.
8.2. Explotación y Mantenimiento.
Pasadas las pruebas de Aceptación se establecen los procedimientos de

explotación y mantenimiento de la BD asegurando la congruencia y exactitud en
la aplicación de estos procedimientos, modificándose solo cuando sea necesario
y previa autorización.
COBIT establece que el auditor debe llevar a cabo una auditoria sobre el
rendimiento del sistema de BD verificando además de los ajustes y optimización
en el rediseño lógico y físico, el correcto funcionamiento del SO.
8.3. Clasificación de los Objetos de control para la gestión de datos

ISACA
 Procedimientos de preparaciones de datos.

 Procedimiento de autorización de documentos fuentes
 Recogida de datos de documentos fuentes
 Manejo de errores de documento fuentes
 Retención de documentos fuentes
 Procedimientos de autorización de datos
 Verificación de exactitud, compleción y autorización.

15
 Manejo de errores de entrada de datos

 Retención y manejo de salidas
 Manejo de errores de procesos de salida
 Gestión de almacenamiento.
 Copias de respaldo y recuperación
 Trabajos de copias de respaldo
 Almacenamiento de respaldo.
8.4. Revisión post-implementación.
Se debería establecer el desarrollo de un plan para efectuar una revisión post-

implantación de todo sistema nuevo o modificado con el fin de evaluar si:
 Se han conseguido los resultados esperados.

 Se satisfacen las necesidades de los usuarios.
 Los costes y beneficios coinciden con lo previsto
8.5. Otros procesos auxiliares.
Capacitar y formar a todo el personal no solo en el producto que se instala como

BD sino también sobre todo el contexto que hace al SGBD.
El auditor tendrá que revisar la documentación que se produce a lo largo de todo

el proceso, para verificar si es suficiente y si se ajusta a los estándares
establecidos por la metodología adoptada en la empresa.
9. ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE

BASE DE DATOS
Cuando el auditor, se encuentra en el sistema en explotación, deberá estudiar el

SGBD y su entorno. Como se señala en Menkus (1991Deberían considerarse el
control, la integridad y la seguridad de los datos compartidos por múltiples
usuarios.
Entorno de BD

16
10. SISTEMA DE GESTIÓN DE BASE DE DATOS.
Entre los componentes del SGBD podemos destacar el núcleo, el catálogo

(componente fundamental para asegurar la seguridad de la base de datos), las
utilidades para el administrador de la base de datos (entre la que se pueden
encontrar algunas para crear usuario, conceder privilegios y resolver otras
cuestiones relativas a la confidencialidad); las que se encargan de la
recuperación de la BD: re-arranque, copias de respaldo, ficheros diarios, Log_,
etc. Y algunas funciones de auditoría, así como los lenguajes de la cuarta
generación (L4G) que incorpora el propio SGBD. Se deberán auditar las ayudas
y procedimientos propios del SGBD evaluando su completitud.
10.1. Tipos de Software
10.1.1. Software de Auditoría

Software que ayudan a la extracción de datos, seguimientos de transacciones,
datos de prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes
desarrollados propios de la organización o comprados, por ejemplo: RSA The
Security División of EMC

17
10.1.2. Sistema de monitorización y Ajustes

Ofrecen mayor información para optimizar el sistema, pudiendo ser en
determinadas ocasiones verdaderos sistemas expertos que proporcionan la
estructura óptima de la base de datos y de ciertos parámetros del SGBD y del
SO.
10.1.3. Sistema Operativo
El SO es de suma importancia ya que el SGBD se apoyará en él, en mayor o

menor medida (según se trate de un SGBD dependiente o independiente) en los
servicios que le ofrezca; eso en cuanto a control de memoria, gestión de áreas
de almacenamiento intermedio (Buffers), manejo de errores, control de
confidencialidad, mecanismo de interbloqueo, etc.
10.1.4. Control de Transacciones
Es un elemento más del entorno del SGBD con responsabilidades de

confidencialidad y rendimiento. Existen controles de (además de los antes
mencionados):
 Control de accesos al sistema operativo

 Procedimientos de log-on seguro
 Identificación y autenticación de los usuarios
 Sistema de gestión de contraseñas
 Utilización de utilidades del sistema
 Timeout de sesiones
 Limitación del tiempo de conexión
 Control de acceso a la información y aplicaciones
 Restricción de acceso a la información
 Aislamiento de sistemas sensibles

18
10.1.5. Protocolos y Sistemas Distribuidos

Algunos objetivos de control a la hora de revisar la distribución de datos
 El sistema de proceso distribuido debe tener en función de administración

de datos centralizada, que establezca estándares generales para la
distribución de datos a través de aplicaciones.
 Deben establecerse unas funciones de administración de datos y de base
de datos fuertes, para que puedan controlar la distribución de los datos.
 Deben de existir pistas de auditoría para todas las actividades realizadas
por las aplicaciones contra sus propias bases de datos y otras
compartidas.
 Deben existir controles software para prevenir interferencias de
actualización sobre las bases de datos en sistemas distribuidos.
 Deben realizarse las consideraciones adecuadas de costes y beneficios
en el diseño de entornos distribuidos.
10.1.6. Paquetes de Seguridad

Existen en el mercado varios productos que permiten la implementación efectiva
de una política de seguridad, puesto que centralizan el control de acceso, la
definición de privilegios, perfiles de usuarios, etc.
10.1.7. Diccionario de Datos

 Juegan un papel primordial en el entorno de los SGBD en cuanto a la
integración de componentes y al cumplimiento de la seguridad de datos.

19
 Los diccionarios de datos se pueden auditar de manera análoga a las

bases de datos, ya que, después de todo, son bases de datos de
metadatos.
 Un fallo en la BD puede atentar contra la integridad de los datos y

producir un mayor riesgo financiero, mientras que un fallo en un
diccionario (o repositorios), suele llevar consigo un perdida de integridad
de los procesos; siendo más peligrosos los fallos en los diccionarios
puesto que pueden introducir errores de forma repetitiva a lo largo del
tiempo y son más difíciles de detectar.
10.1.8. Herramientas CASE (Compuer Aided System/Software

Engineering). IPSE (Integrated Project Support
Environments)
• Constituyen una herramienta clave para que el auditor pueda revisar el

diseño de la DB, comprobar si se ha empleado correctamente la
metodología y asegurar un nivel mínimo de calidad.
10.1.9. Lenguajes de Generación de Cuarta generación (L4G)

independientes
Son elementos a considerar en el entorno del SGBD.
De los objetivos de control para los L4G, destacan los siguientes:
– El L4G debe ser capaz de operar en el entorno de proceso de datos con

controles adecuados.
– Las aplicaciones desarrolladas con L4G deben seguir los mismos
procedimientos de automatización y petición que los proyectos de desarrollo
convencionales.

20
– Las aplicaciones desarrolladas con L4G deben sacar ventajas de las

características incluidas en el mismo.
– Uno de los peligros más graves de los L4G es que no se aplican controles con
el mismo rigor que a los programas desarrollados con lenguajes de tercera
generación.
– Otros problemas pueden ser la ineficacia y elevado consumo de recursos
– El Auditor deberá estudiar los controles disponibles en los L4G, en caso
negativo, recomendar su construcción con lenguajes de tercera generación.
11. Facilidades de Usuario
El auditor deberá investigar las medidas de seguridad que ofrecen estas

herramientas (Interfaz gráfica de usuario) y bajo qué condiciones han sido
instaladas; las herramientas de este tipo deberían proteger a los usuarios de sus
propios errores.
12. Herramientas de Minería de Datos
 Estas herramientas ofrecen soporte a la toma de decisiones sobre datos

de calidad integrados en el almacén de datos
 Se deberá controlar la política de refresco y carga de los datos en el

almacén a partir de las bases de datos operacionales existentes, así como
la existencia de mecanismos de retroalimentación que modifican las bases
de datos operacionales a partir de los datos del almacén.
12.1. Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan contra la integridad

de los datos de la base.

21
13. Técnicas para el Control de Base de Datos en un entorno complejo
 Existen muchos elementos del entorno del SGDB que influyen en la

seguridad e integridad de los datos, en los que cada uno de apoya en la
operación correcta y predecidle de otra.
 El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo

la fiabilidad e introduciendo un conjunto de controles descoordinados y
solapados, difíciles de gestionar”.
Cuando el auditor se enfrenta a un entorno de este tipo, puede emplear, entre

otras, dos técnicas de control:
13.1. Matrices de Control
Sirven para identificar los conjuntos de datos del SI juntos con los controles de
seguridad o integridad implementados sobre los mismos.
CONTROLES DE SEGURIDAD
DATOS PREVENTIVO DETECTIVO CORRECTIVO

S S S
TRANSACCIONE Informe de
S DE ENTRADA Verificación Reconciliació
n
REGISTRO DE Informe de Copia de
Cifrado
BASE DE DATOS excepción seguridad
Los controles se clasifican como se puede observar en detectives, preventivos y

correctivos.

22
14. Análisis de los Caminos de Acceso
Con esta técnica se documentan el flujo, almacenamiento y procesamiento de

los datos en todas las fases por las que pasan desde el mismo momento en que
se introducen, identificando los componentes del sistema que atraviesan (tanto
Hardware como Software) y los controles asociados.
ORDENADOR
PERSONAL ORDENADOR
MONITOR PAQUET PROGRA SGB

DA
TO SO
DE E MA D
MULTIPROC DE
USUARIO C
*
Seguridad T
Cifrado ontrol de Acceso Control de Acceso
Formación Control de A Controles Registro de * Control de
* Controles * Cifrado Integridad ransacciones De datos
* Procedimientos * Control de Acceso
Control de cceso * Registro de Acceso Copias de Seguridad
* Informe de Excepciones Fichero diario de
Integridad de
Integridad Datos
Conlusiones
 Se consultó acerca del tema auditoria de base de datos, y se comparó los

contenidos entre trabajos ya realizados.
 Se explicó la definición de los conceptos utilizados para el mejor

entendimiento de los mismos.

23
 Se analizó cada uno de los puntos establecidos.
 Se desarrolló un documento escrito y diapositivas para la sustentación del

trabajo.

24
15. CASO PRACTICO:
AUDITORIA DE BASE DE DATOS DEL AREA DE INFORMATICA

DE LA MUNICIPALIDAD DISTRITAL DE DANIEL HERNADEZ
15.1. Introducción
El siguiente informe, muestra los resultados de la evaluación efectuada a la

Base de datos del área de informática de la municipalidad distrital de Daniel
Hernández
Con ésta auditoría de bases de datos la institución evaluada busca monitorear

y garantizar que la información está segura, además de detectar posibles
puntos débiles y así tomar precauciones para resguardar aún más los datos.
15.2. Objetivo
 Comprobar los niveles de seguridad y control de acceso definidos en las
bases de datos, con el fin de identificar oportunidades de mejora para
que se implementen planes de acción que mitiguen los riesgos
observados.
 Verificar distribución, integridad, conservación y transporte de la
información en las bases de datos.
 Evaluar el nivel de servicio y soporte tecnológico con que cuenta las
bases de datos para su disponibilidad y funcionalidad.
15.3. Alcance
La evaluación a la administración de la base de datos, se realiza a la base datos
(DH-DB) instaladas en el ambiente de informática, a los recursos de apoyo
disponibles para la operación, conservación y mantenimiento de la información
allí contenida, teniendo en cuenta las disposiciones normativas y las mejores
prácticas para el manejo de esta información. La revisión se realiza del 13 de
diciembre al 15 de diciembre de 2017.

25
15.4. Metodología
Durante la auditoría se desarrollaron:
 Recolección de información en la fuente (cuestionario CHECKLIST) y
acceso a la base de datos del área de informática
 Análisis de información recibida.
 Reuniones con el responsable de la administración de la base de datos.
15.5. Desarrollo de Auditoría
Con base en la información recolectada y las entrevistas efectuadas se

realizaron las siguientes actividades:
 Análisis y evaluación de la información suministrada y cuestionario

realizada al administrador de la base de datos, los cuales proporcionaron
datos para la revisión, así mismo y determinaron elementos (tareas,
información) de apoyo a la evaluación.
 Análisis de información de la base de datos puesta en producción.
 Evaluación de los resultados realizados a las pruebas funcionales del
software.
Para la recopilación de datos se aplicó un cuestionario (CHECKLIST

AUDITORIA DE BASE DE DATOS)
1. Se realiza copias de seguridad (diariamente, semanalmente,
mensualmente, etc.)?
X Si
No
N/A
Observaciones: Semanalmente.
2. Existe algún usuario que no sea el DBA pero que tenga asignado el rol
DBA del servidor?
X Si
No
N/A
Observaciones: El gerente.

26
3. Se encuentra un administrador de sistemas en la empresa que lleve un

control de los usuario?
X Si
No
N/A
Observaciones:
4. Son gestionados los perfiles de estos usuarios por el administrador

X Si
No
N/A
Observaciones: el manejo de usuarios se hace a través de la aplicación
(sistema para agencia de viajes) y esto se traslada al nivel de la base de
datos
5. Son gestionados los accesos a las instancias de la Base de Datos:

Si
X No
N/A
Observaciones: la gestión de acceso se hace a nivel de aplicación
6. Se renuevan las claves de los usuarios de la Base de Datos:

Si
X No
N/A
Observaciones:
7. Se obliga el cambio de la contraseña de forma automática:

Si
X No
N/A
Observaciones:

27
8. Se encuentran listados de todos aquellos intentos de accesos no

satisfactorios o denegados a estructuras, tablas físicas y lógicas del
repositorio:
Si
X No
N/A
Observaciones:
9. Posee la base de datos un diseño físico y lógico

X Si
No
N/A
Observaciones:
10. Posee el diccionario de datos un diseño físico y lógico

Si
X No
N/A
Observaciones:
11. Existe una instancia con copia del Repositorio para el entorno de
desarrollo
Si
X No
N/A
Observaciones:
12. Está restringido el acceso al entorno de desarrollo

Si
X No
N/A
Observaciones: se trabaja en forma conjunta

28
13. Los datos utilizados en el entorno de desarrollo, son reales

X Si
No
N/A
Observaciones: algunas veces si, ya que existen tablas con datos
específicos que deben se reales para realizar pruebas
14. Se llevan a cabo copias de seguridad del repositorio

X Si
No
N/A
Observaciones:
15. Las copias de seguridad se efectúan diariamente

Si
X No
N/A
Observaciones:
16. Se ha probado restaurar alguna vez una copia de seguridad, para

probar que las mismas se encuentren bien hechas
Si
X No
N/A
Observaciones:
17. En caso de que el equipo principal sufra una avería, existen equipos
auxiliares
Si
X No
N/A
Observaciones:

29
18. Cuando se necesita restablecer la base de datos, se le comunica al

administrador
X Si
No
N/A
Observaciones:
19. Se lleva a cabo una comprobación, para verificar que los cambios
efectuados son los solicitados por el interesado?
X Si
No
N/A
Observaciones: aunque es mínima, después de un tiempo de uso surgen
algunas dudas y cuestiones
20. Se documentan los cambios efectuados

X Si
No
N/A
Observaciones: Minimante. Algunos cambios suelen ser no documentados.
No hay un seguimiento exhaustivo de los cambios
21. Hay algún procedimiento para dar de alta a un usuario

X Si
No
N/A
Observaciones:
22. Hay algún procedimiento para dar de baja a un usuario

X Si
No
N/A
Observaciones:

30
23. Es eliminada la cuenta del usuario en dicho procedimiento

Si
X No
N/A
Observaciones: se realiza una eliminación lógica
24. El motor de Base de Datos soporta herramientas de auditoria

X Si
No
N/A
Observaciones:
25. Se cuenta con niveles de seguridad para el acceso a la Base de Datos

Si
X No
N/A
Observaciones:
26. Se encuentra la Base de Datos actualizada con el último Set de

Parches de Seguridad
Si
X No
N/A
Observaciones:
15.6. Resultados
De la revisión realizada a las bases de datos del área de Informátic , se observó

la siguiente situación:

31
15.6.1. Calificación
La denominación que se otorgará a los niveles de hallazgos son:
NIVELES DE CALIFICACIÓN
SATISFACTORIO SATISFACTORIO NO SATISFACTORIO
EXCEPTO POR
1. No hay hallazgos 1. De 1 a 4 hallazgos 1. Incumplimiento de las
importantes. importantes y cualquier políticas tanto establecidas
hallazgo menor, por el Ministerio, como por
recomendaciones o leyes y reglamentos.
comentarios.
2. Sólo hallazgos menores. 2. Numerosos hallazgos 2. Posible pérdida de

menores, ingreso patrimonial.
recomendaciones o
comentarios.
3. Sólo recomendaciones
y/o comentarios.
15.6.2. Niveles de excepciones de los hallazgos
TIPO DE DESCRIPCIÓN
EXCEPCIÓN
Las clasificadas dentro de esta categoría son consideradas de
la más alta importancia, las excepciones citadas pueden tener
un impacto negativo en la seguridad de datos, desviación total
de las políticas ya establecidas, violación a las leyes y
I
regulaciones y la aplicación inapropiada de principios, se
consideran de gran importancia. Las excepciones de esta
naturaleza deben recibir la prioridad y pronta atención de parte
de la gerencia, a fin de tomar acciones correctivas.
Las excepciones dentro de esta categoría son clasificadas de

mediana importancia, son consideradas menor que las de tipo
II
I, pero no menos en su naturaleza. Las excepciones no han
causado omisión o error en el desenvolvimiento de la operación

32
diaria actual; sin embargo, tales excepciones requieren la

atención de la gerencia para así evitar futuros o posibles
errores.
Las excepciones citadas en esta categoría deben considerarse

de naturaleza menor, pueden incluir desviaciones de los
III
procedimientos operativos, como errores de trascripción en la
entrada de los datos.
15.6.3. Política y organización de seguridad de la información
La municipalidad distrital de Daniel Hernández es una institución destinada a

velar por el desarrollo del pueblo y toma de decisiones hacia el bienestar de la
población del distritol. En vista de la importancia de la información que se está
que éste maneja, es necesario llevar a cabo el cumplimiento de las políticas de
seguridad de la información.
HALLAZGO: El Sistema (DH-DB), no cumple a cabalidad las políticas de

seguridad de la información correspondientes, almacenada en la base de datos.
Nuestro equipo comprobó que existe un bajo nivel de confianza en cuanto a la
manera como debe ser tratada la información. No establecen estrategia de
gestión para asegurar la información cargada en la base de datos del sistema.
No existe un manual de Normas y procedimientos del Sistema de Información.
RECOMENDACIONES: elaborar un documento de política de seguridad la

organización para tener unos objetivos de seguridad bien definidos y una
estrategia de gestión de seguridad de la información previamente aceptada. Si
se abre ésta posibilidad sobre los contenidos de la política, se extenderá a cada
intento de ponerla en práctica. Al Departamento de Organización y Métodos junto
con el de Tecnología de la Información, elaborar un Manual de Normas y
Procedimientos para el sistema.
La calificación sobre el aspecto evaluado es Satisfactorio. Excepción Tipo III.

33
15.6.4. GESTIÓN DE ACTIVOS DE INFORMACIÓN
La gestión de los activos está enfocada tanto al hardware como al software,

asegurando que la organización tiene la capacidad de gestionar estos activos
durante todo su ciclo de vida. En el caso del software hay el elemento añadido
de asegurar que se cumplen las licencias de los programas.
HALLAZGO: La institución de salud se encuentra en la necesidad de mejorar

sus activos y explotarlos del mejor modo posible; ya que, a medida que los fallos
en el servicio se vuelven más costosos, tanto a nivel de pérdida de datos como
a nivel de mala publicidad, las organizaciones intentan mejorar los ciclos de vida
de sus activos mediante unos correctos programas de mantenimiento. No
cuentan con buen empleo para el uso de sus activos.
RECOMENDACIONES: establecer un plan adecuado para la gestión d los

activos. Proteger contra pérdida o daño
La calificación sobre el aspecto evaluado es Satisfactorio. Excepción Tipo II.
15.6.5. CONTROL DE ACCESOS
El control de acceso constituye uno de los servicios de seguridad que es

indispensable.
HALLAZGO: La base de datos del sistema que maneja la municipalidad distrital

de Daniel Hernández para el registro y control de datos, no cuenta con controles
de accesos físicos (para proteger a los equipos de amenazas externas) ni lógicos
(aplicación de barreras y procedimientos que resguarden el acceso a los datos y
sólo se permita acceder a ellos a las personas autorizadas para hacerlo). Es muy
fácil acceder al sistema y verificar sus datos, pues, solamente está protegidos

34
los equipos con contraseña de apertura al mismo pero una vez habiendo
ingresado, se puede explorar el entorno y manipular la información del sistema
y su base de datos puesto que no cuenta con seguridad de acceso al sistema.
No cuenta con módulos de seguridad para acceder a los datos. No cuenta con
mecanismos de acceso como: Identificación, Autenticación y Autorización.
RECOMENDACIONES: La seguridad de las Bases de Datos se concreta

mediante mecanismos, tanto "hardware" como "software". Así estos mecanismos
son: Identificación, que procede a asemejar a los sujetos (procesos,
normalmente transacciones que actúan en su nombre o usuarios) que pretenden
acceder a la base de datos. Autenticación, proceso usual es mediante
contraseñas, constituidas por un conjunto de caracteres alfanuméricos y
especiales que sólo el sujeto conoce. Autorización, se encarga de denegar o
conceder dichos accesos en base a unas reglas, que establecen en qué
condiciones el sujeto puede acceder y realizar ciertas operaciones sobre el
objeto especificado. Por ésta razón y por la confidencialidad e importancia de los
datos que maneja la institución, es imprescindible aplicar controles de acceso a
la base de datos del SIVIGILA.
Excepción Tipo I. La calificación es Satisfactorio excepto por. La Gerencia

acepta aplicar mecanismos de acceso a la base de datos del sistema de
información.
15.6.6. GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Es la actividad que se lleva a cabo en una organización para asegurar que todos
los procesos de negocio críticos estarán disponibles para los usuarios,
proveedores, y otras entidades que deben acceder a ellos.

35
HALLAZGO: No se encontró base de gestión sobre la continuidad del sistema

de información SIVIGILA, no se evidenció políticas, guías, estándar y/o
procedimientos implementados por una organización.
RECOMENDACIÓN: Diseñar, implementar, soportar y mantener la base de

datos del sistema, fundamentado en la obtención de un buen plan de continuidad
del negocio, recuperación de desastres y en algunos casos, soporte al sistema.
La calificación es No Satisfactorio. Excepción Tipo II. La Gerencia aprobó la

sugerencia de desarrollar un plan de continuidad del negocio.
CONCLUSIONES DE LA AUDITORIA
Como resultado de la evaluación realizada a la base de datos productiva,

presentamos la siguiente conclusión:
 Se encuentran implementados niveles de seguridad para el acceso a las
bases de datos productivas, sin embargo, se observan algunas
debilidades, como las arriba mencionadas, de administración de acceso
a usuarios y de definición de parámetros de control de password y de
recursos al sistema que afectan la protección de la información y
requieren ser tratadas.
 Se tienen definidos procedimientos de réplicas automáticas de

información de las bases de datos y procesos de respaldo de datos, no
obstante no se han realizado pruebas de interrupción que constaten la
continuidad de operación de las bases de datos.

36
Bibliografía.
(2011, 04). Auditoria De Bases De Datos. Recuperado 04, 2011, de

http://www.buenastareas.com/ensayos/Auditoria-De-Bases-De-
Datos/2025850.html

37

Auditoria de Base de Datos Final

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria de Base de Datos Final

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSIDAD NACIONAL DE

PROFESOR: Dr. Jonh ROJAS BUJAICO

CURSO: AUDITORIA DE SISTEMAS

CURSO: AUDORTIA DE SISTEMAS

10.1.9. Lenguajes de Generación de Cuarta generación (L4G)

CURSO: AUDORTIA DE SISTEMAS

Como ya se ha comentado, normalmente la auditoría informática se aplica dedos

CURSO: AUDORTIA DE SISTEMAS

2. Qué es la Auditoría de Base de Datos?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los

 Quién accede a los datos

Es uno de los procesos fundamentales para apoyar la responsabilidad delegada

CURSO: AUDORTIA DE SISTEMAS

3. Objetivos Generales de la auditoría de BD.

 Disponer de mecanismos que permitan tener trazas de auditoría

La importancia de la auditoría del entorno de bases de datos radica en que es

4. Importancia de la auditoría de BD.

La auditoría de base de datos es importante porque:

 Toda la información financiera de la organización reside en bases de datos

CURSO: AUDORTIA DE SISTEMAS

 Las organizaciones deben mitigar los riesgos asociados a la pérdida de

4.1. Mediante la auditoría de base de datos se evaluará:

 Definición de estructuras físicas y lógicas de las bases de datos.

4.2. Planificación de la auditoria de BD.

1. Identificar todas las bases de datos de la organización

CURSO: AUDORTIA DE SISTEMAS

3. Analizar los permisos de acceso

5. Metodologías para la auditoria de BD.

5.1. Metodología Tradicional.

5.2. Metodología de evaluación de riesgos.

Considerando los riesgos de:

CURSO: AUDORTIA DE SISTEMAS

 Dependencia por la concentración de Datos o Accesos no restringidos en

Se pueden definir los siguientes:

 Objetivo de control: el SGBD deberá preservar la confidencialidad de la

 Técnicas de Control: se establecen niveles y tipos de usuarios, privilegios

CURSO: AUDORTIA DE SISTEMAS

6. Control de acceso de BD.

 Requisitos del negocio para control de acceso.

Si existen los controles sobre la BD se pueden diseñar pruebas de cumplimiento

Prueba de Cumplimiento: listar privilegios y perfiles existentes en el SGBD Si

Prueba sustantiva: Comprobar si la información ha sido corrompida

CURSO: AUDORTIA DE SISTEMAS

y las transacciones que se han ejecutado. Se valoran los resultados

6.1. Consideraciones generales.

 Se deben tomar en cuenta todas las capas de acceso a la información

7. Estudio previo y plan de trabajo.

Aquí se elaborará un estudio tecnológico de la viabilidad, donde se contemplarán

CURSO: AUDORTIA DE SISTEMAS

Si se decide llevar a cabo el proyecto es fundamental que se establezca un plan

Se pueden establecer acerca de este tema dos objetivos de control

 Asignación de responsabilidades para la planificación, organización,

1. Realizar el diseño conceptual y lógico de la base de datos.

 Asignación de la responsabilidad de administración de la Base de Datos

CURSO: AUDORTIA DE SISTEMAS

2. Asesorar en la adquisición de hardware/software.

En resumen, el DBA se encarga de autorizar el acceso a la base de datos, de

Cuando se establecen las responsabilidades de estas funciones hay que tener

 El personal de desarrollo de sistemas y el de explotación.

8. Concepción de la BD y selección del equipo.

La metodología de desarrollo de diseño de Base de Datos debería también

CURSO: AUDORTIA DE SISTEMAS

especificar los documentos fuentes, los mecanismos de control, las