UNIVERSIDAD LAICA ELOY ALFARO DE MANABI

FACULTAD: CIENCIAS INFORMTICAS

AD. CENTRO COMP. YAUDITORIA INFORMATICA

TEMA: MARCO JURIDICO DE LA AUDITORIA INFORMATICA

PERTENECIENTE A: JIMENEZ MANTUANO CESAR ENRIQUE

5 B

PARCIAL: 2 PARCIAL

ndice: Introduccin ...............................................................................................3 La Auditora de BD es importante porque ......................................................4 Qu es la Auditora de BD?.........................................................................4 Objetivos Generales de la Auditora de BD.....................................................4 Aspectos Claves ..........................................................................................5 Mediante la auditora de bases de datos se evaluar ......................................5 Metodologas para la auditora de Base de Datos ...........................................6 Planificacin de la Auditoria de BD................................................................6 Metadatos .......................................................................................................... 7 Consideraciones Generales......................................................................... 12 Objetivos de Control en el ciclo de vida de una Base de Datos ...................... 12 Estudio previo y Plan de Trabajo ................................................................ 12 Concepcin de la Base de Datos y Seleccin del Equipo................................ 14 Diseo y Carga ......................................................................................... 15 Explotacin y Mantenimiento...................................................................... 15 Revisin post-implantacin......................................................................... 16 Sistema de Gestin de Base de Datos SGBD ................................................ 17

Propsito:
Dar a conocer los conceptos ms claros y universales sobre la auditoria de base de datos. Brindar informacin detallada y precisa sobre la auditoria de base de datos. Mostrar los lineamientos que existen para el diseo de este tipo de auditora. Facilitar conceptos y maneras de ptima utilizacin, sobre la auditoria de base de datos.

Objetivos:
Entender los conceptos bsicos y la importancia de la auditoria de base de datos en los procesos de una organizacin. Conocer e implementar la metodologa de auditoria de base de datos para una aplicacin en funcionamiento.

Introduccin Las bases de datos son el activo ms importante para las organizaciones, ya que Poseen toda la informacin de la empresa, datos confidenciales que en manos ajenaspuede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y tambin denegarlos. Con la auditora de bases de datos se busca monitorear y garantizar que la informacin est segura, adems de brindar ayuda a la organizacin para detectar posibles puntos dbiles y as tomar precauciones para resguardar an ms los datos.

Qu es la Auditora de BD? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar: Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organizacin frente a las regulaciones y su entorno de negocios o actividad. Objetivos Generales de la Auditora de BD Disponer de mecanismos que permitan tener trazas de auditora completas y automticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de: Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento La importancia de la auditora del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditora de las aplicaciones que utiliza esta tecnologa. La Auditora de BD es importante porque: Toda la informacin financiera de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.

 Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial de los clientes, son responsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo. Metodologa de evaluacin de riesgos Este tipo de metodologa, conocida tambin por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno. Considerando los riesgos de: Dependencia por la concentracin de Datos Accesos no restringidos en la figura del DBA Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalacin Impactos de los errores en Datos y programas Rupturas de enlaces o cadenas por fallos del softw. Impactos por accesos no autorizados Dependencias de las personas con alto conocimiento tcnico Se pueden definir los siguientes Controles: Objetivo de control: el SGBD deber preservar la confidencialidad de la BD Tcnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el control de acceso a la base datos

Metadatos: Modelos de datos: Un modelo de datos define las reglas generales para la especificacin de la estructura de los datos y el conjunto de operaciones permitidas sobre ellos. Estructuras: Conjunto de conceptos que permiten representar las caractersticas estticas de los datos. Las estructuras se pueden especificar de dos maneras: Representacin de los datos e interrelaciones entre ellos: descripcin de empleado, departamento e interrelacin. Restricciones sobre los datos: ningn empleado cobra ms que su jefe. Metadatos: Metadatos (del griego , meta, encima de y latn datum, lo que se da, dato), literalmente sobre datos, son datos que describen otros datos, metadatos son datos sobre datos. Otro concepto que algunos autores siguen es, que los metadatos son datos estructurados y codificadas que describen caractersticas de instancias (objetos) conteniendo informaciones para ayudar a identificar, descubrir, valorar y administrar las instancias descritas. Los metadatos pueden describir colecciones de objetos y tambin los procesos en los que estn involucrados, describiendo cada uno de los eventos, sus componentes y cada una de las restricciones que se les aplican. Por ejemplo, una fotografa en la boda de un amigo con nuestra cmara digital. La fotografa, una vez guardada en el disco duro de nuestro ordenador, es el dato. Si nos fijamos en las propiedades, hay toda una coleccin de datos asociados a la fotografa: El nombre, la fecha, el formato, el propietario, (y algunos de ellos ya son aadidos automticamente por nuestra cmara). Ese tipo de informacin son metadatos. Es decir, informacin sobre un objeto que le proporcionan un valor aadido. Los datos lgicos describen cmo los datos simblicos pueden ser usados para deducir conclusiones lgicas, es decir aaden comprensin.

Ciclo de vida: El ciclo de vida de los metadatos comprende las fases creacin, manipulacin y destruccin. Creacin Se pueden crear metadatos manualmente, semi automticamente o automticamente. El proceso manual puede ser muy laborioso, dependiente del formato usado y del volumen deseado, hasta un grado en el que los seres humanos no puedan superarlo. Por eso, el desarrollo de utillaje semiautomtico o automtico es ms que deseable. En la produccin automtica el software adquiere las informaciones que necesita sin ayuda externa. Aunque el desarrollo de algoritmos tan avanzados est siendo objeto de investigacin actualmente, no es probable que la computadora vaya a ser capaz de extraer todos los metadatos automticamente. En vez de ello, se considera la produccin semiautomtica ms realista; aqu un servidor humano sostiene algoritmos autnomos con la aclaracin de inseguridades o la proposicin de informaciones que el software no puede extraer sin ayuda. Manipulacin Si los datos cambian, los metadatos tienen que cambiar tambin. Aqu se hace la pregunta quien va a adaptar los metadatos. Hay modificaciones que pueden ser manejadas sencilla y automticamente, pero hay otras donde la intervencin de un servidor humano es indispensable. La meta produccin, el reciclaje de partes de recursos para crear otros recursos, demanda atencin particular. La fusin de los metadatos afiliados no es trivial, especialmente si se trata de informacin con relevancia jurdica, como por ejemplo la gestin de derechos digitales. Destruccin En algunos casos es conveniente eliminar los metadatos juntos con sus recursos, en otros es razonable conservar los metadatos, por ejemplo para supervisar cambios en un documento de texto. Almacenamiento Hay dos posibilidades para almacenar metadatos: depositarlos internamente, en el mismo documento que los datos, o depositarlos externamente, en su mismo recurso.

Inicialmente, los metadatos se almacenaban internamente para facilitar la administracin. Hoy, por lo general, se considera mejor opcin la localizacin externa porque hace posible la concentracin de metadatos para optimizar operaciones de busca. Por contra, existe el problema de cmo se liga un recurso con sus metadatos. La mayora de los estndares usa URIs, la tcnica de localizar documentos en la World Wide Web, pero este mtodo propone otras preguntas, por ejemplo qu hacer con documentos que no tienen URI. Codificacin Los primeros y ms simples formatos de los metadatos usaron texto no cifrado o la codificacin binaria para almacenar metadatos en ficheros. Hoy, es comn codificar metadatos usando XML. As, son legibles tanto por seres humanos como por computadoras. Adems este lenguaje tiene muchas caractersticas a su favor, por ejemplo es muy simple integrarlo en la World Wide Web. Pero tambin hay inconvenientes: los datos necesitan ms espacio de memoria que en formato binario y no est claro cmo convertir la estructura de rbol en un corriente de datos. Por eso, muchos estndares incluyen utilidades para convertir XML en codificacin binaria y viceversa, de forma que se anen las ventajas de los dos. Vocabularios controlados y ontologas Para garantizar la uniformidad y la compatibilidad de los metadatos, muchos sugieren el uso de un vocabulario controlado fijando los trminos de un campo. Crtica sobre los metadatos: Algunos expertos critican fuertemente el uso de metadatos. Sus argumentos ms sustanciosos son: Los metadatos son costosos y necesitan demasiado tiempo. Las empresas no van a producir metadatos porque no hay demanda y los usuarios privados no van a invertir tanto tiempo. Los metadatos son demasiado complicados. La gente no acepta los estndares porque no los comprende y no quiere aprenderlos. Los metadatos dependen del punto de vista y del contexto. No hay dos personas que aadan los mismos metadatos. Adems, los mismos datos pueden ser interpretados de manera totalmente diferente, dependiendo del contexto. Los

metadatos son ilimitados. Es posible adherir ms y ms metadatos tiles y no hay fin. Los metadatos son superfluos. Ya hay buscadores potentes para textos, y en el futuro la tcnica query by example (busqueda basada en un ejemplo) va a mejorarse, tanto para localizar imgenes como para msica y vdeo. Algunos estndares de metadatos estn disponibles pero no se aplican: los crticos lo consideran una prueba de las carencias del concepto de metadatos. Hay que anotar que este efecto tambin puede ser causado por insuficiente compatibilidad de los formatos o por la enorme diversidad que amedrenta a las empresas. Fuera de eso hay formatos de metadatos muy populares. Consideraciones Generales Se deben tomar en cuenta todas las capas de acceso a la informacin Se debe tener importante atencin en los accesos de los usuarios con privilegios de acceso Se debe tratar de tener informacin contextual para determinar como se creo la violacin al control Se deben tener reglas de auditora uniformes a travs de todas las bases de datos y sistema Se deben segregar las funciones entre los auditores y los usuarios con privilegios de acceso ADITORA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS Cuando el auditor, se encuentra en el sistema en explotacin, deber estudiar el SGBD y su entorno. Como se seala en Menkus (1991Deberan considerarse el control, la integridad y la seguridad de los datos compartidos por mltiples usuarios. SISTEMA DE GESTION DE BASE DE DATOS SGBD Entre los componentes del SGBD podemos destacar el ncleo _.El Kernel_, el catlogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidades para el administrador de la base de datos (entre la que se pueden encontrar algunas para crear usuario, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad); las que se encargan de la recuperacin de la BD: rearranque, copias de respaldo, ficheros diarios _Log_, etc.

CONCLUSIONES Y RECOMENDACIONES:

CONCLUSIONES:
Como conclusiones tenemos, que es muy importante para todas las personas que trabajen en el rea de informtica, conocer sobre cada uno de estos lineamientos, debido a que son muy importantes y necesarios en la organizacin de una empresa, es importante la auditoria de base de datos y es ms importante an, que los datos que contenga la base de datos, estn intactos al momento de su auditoria y despus de ella.

RECOMENDACIONES:
Es algo primordial el conocer de las varias leyes en informtica de cada pas en el que uno realiza un trabajo, y tener una muy buena predisposicin al trabajo, adems del conocimiento de las varias normas.

Es necesario conocer los reglamentos con los cuales los trabajadores pueden laborar, para evitar cualquier tipo de inconvenientes que se pudiera presentar, debido al desconocimiento de las normas y reglas de la empresa.

BIBLIOGRAFIA:
http://auditoriabd.blogspot.com/

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

http://auditoria3.obolog.com/auditoria-base-datos-876651

http://www.datati.es/318/auditoria-de-bases-de-datos-el-camino-hacia-lasolucion.html