AUDITORIA DE BASES DE DATOS

Por: Damin Mndez y Geovani Chapman Corporacin Universitaria Americana

INTRODUCCION
La gran difusin de los Sistemas de Gestin de Bases de Datos (SGBD), junto con la consagracin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditora cobren, cada da, mayor inters.

Qu es la Auditora de BD?
Quin accede a los datos. Cundo se accedi a los datos. Desde qu tipo de dispositivo/aplicacin. Desde que ubicacin en la Red. Cul fue la sentencia SQL ejecutada. Cul fue el efecto del acceso a la base de

datos.

Objetivos Generales de la Auditora de BD

Mitigar los riesgos asociados con el manejo

inadecuado de los datos. Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores. Evitar acciones criminales. Evitar multas por incumplimiento.

La Auditora de BD es importante porque:

Toda la informacin financiera de la organizacin reside en

bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial de los clientes, son responsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos.

Mediante la auditora de bases de datos se evaluar:

Definicin de estructuras fsicas y lgicas de las bases de datos.
Control de carga y mantenimiento de las bases

de datos. Integridad de los datos y proteccin de accesos. Estndares para anlisis y programacin en el uso de bases de datos. Procedimientos de respaldo y de recuperacin de datos.

Metodologas para la auditoria de bases de datos.

Aunque existen distintas metodologas que se aplican en auditora informtica se pueden agrupar en dos clases. Metodologa tradicional Metodologa de evaluacin de riegos

Metodologa tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo: Existe una metodologa de diseo de BD? El auditor deber registrar el resultado de su investigacin: S, si la respuesta es afirmativa N en caso contrario NA (no aplicable)

Metodologa de evaluacin de riegos

Este tipo de metodologa, conocida tambin

por risk oriented approach es la que propone ISACA y empieza fijndo los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno, se sealan los riesgos ms importantes que lleva consigo la utilizacin de una base de datos y que se recogen en la figura siguiente :

Metodologa de evaluacin de riegos

Objetivo de control:
El SGBD deber preservar la confiabilidad de

la base de datos.

Una vez establecidos los objetivos de control, se especifican las tcnicas especficas correspondientes a dichos objetivos.

Tcnicas de control.
Se debern establecer los tipos de usuarios,

perfiles y privilegios necesarios para controlar el acceso a la base de datos. Un objetivo de control puede llevar asociadas varias tcnicas que permiten cubrirlo en su totalidad. Estas tcnicas pueden ser preventivas (como la arriba mencionadas), detectivas (como monitorizar los accesos a la BD) o correctivas (por ejemplo, una copia de respaldo backup).

Bibliografa
http://www.jkmst.com/base_de_datos.htm

GRACIAS !