Académique Documents
Professionnel Documents
Culture Documents
INTRODUCCION
La gran difusin de los Sistemas de Gestin de Bases de Datos (SGBD), junto con la consagracin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditora cobren, cada da, mayor inters.
Qu es la Auditora de BD?
Quin accede a los datos. Cundo se accedi a los datos. Desde qu tipo de dispositivo/aplicacin. Desde que ubicacin en la Red. Cul fue la sentencia SQL ejecutada. Cul fue el efecto del acceso a la base de
datos.
inadecuado de los datos. Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores. Evitar acciones criminales. Evitar multas por incumplimiento.
bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial de los clientes, son responsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos.
de datos. Integridad de los datos y proteccin de accesos. Estndares para anlisis y programacin en el uso de bases de datos. Procedimientos de respaldo y de recuperacin de datos.
Metodologa tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo: Existe una metodologa de diseo de BD? El auditor deber registrar el resultado de su investigacin: S, si la respuesta es afirmativa N en caso contrario NA (no aplicable)
por risk oriented approach es la que propone ISACA y empieza fijndo los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno, se sealan los riesgos ms importantes que lleva consigo la utilizacin de una base de datos y que se recogen en la figura siguiente :
Objetivo de control:
El SGBD deber preservar la confiabilidad de
la base de datos.
Una vez establecidos los objetivos de control, se especifican las tcnicas especficas correspondientes a dichos objetivos.
Tcnicas de control.
Se debern establecer los tipos de usuarios,
perfiles y privilegios necesarios para controlar el acceso a la base de datos. Un objetivo de control puede llevar asociadas varias tcnicas que permiten cubrirlo en su totalidad. Estas tcnicas pueden ser preventivas (como la arriba mencionadas), detectivas (como monitorizar los accesos a la BD) o correctivas (por ejemplo, una copia de respaldo backup).
Bibliografa
http://www.jkmst.com/base_de_datos.htm
GRACIAS !