Académique Documents
Professionnel Documents
Culture Documents
Presentacin:
14.1
INTRODUCCION
CONTROL INTERNO y AUDITORA cada da cobran mayor inters
DATOS
como recursos fundamentales de la empresa difusin de los
DBMS o SGBD
Suele ser aplicada a la auditora de productos de productos bases de datos, especificndose en la lista de control todos los aspectos a tener en cuenta
Riesgos debidos a la utilizacin de una base de datos: Incremento de la dependencia del servicio informtico debido a la concentracin de datos Mayores posibilidades de acceso en la figura del administrador de la base de datos Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general de la instalacin Mayor impacto de errores en datos o programas que en los sistemas tradicionales Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicacin Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional Mayor dependencia del nivel de conocimientos tcnicos del personal que realice tareas relacionadas con el software de base de datos (administrador, programadores, etc) Tourio y Fernndez, 1991
Considerando estos riesgos, se podra definir por ejemplo el siguiente: Objetivo de Control El SGBD deber preservar la confidencialidad de la base de datos Tcnicas de Control Un objetivo de control puede tener asociadas varias varias tcnicas que permitan cubrilo en su totalidad. Tcnicas preventivas: establecer tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos Tcnicas detectivas: como monitorizar los accesos a la base de datos Tcnicas correctivas: back-up Prueba de Cumplimiento Permiten verificar la consistencia de las tcnicas de control Listar los privilegios y perfiles existentes en el SGBD Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a disear otro tipo de pruebas (denominadas pruebas sustantivas), que permiten dimensionar el impacto de estas deficiencias Prueba Sustantiva Comprobar si la informacin ha sido corrompida, comparndola con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado
Una vez valorados los resultados de las pruebas se obtienen unas conclusiones que sern comentadas y discutidas con los responsables directos de las reas afectadas con el fin de corroborar los resultados. Por ltimo el auditor deber emitir una serie de comentarios donde se describa la situacin, el riesgo existente y la deficiencia a solucionar, y, en su caso, sugerir la posible solucin. Como resultado de la auditora se presentara un informe final en el que se expongan las conclusiones ms importantes a las que se ha llegado, as como el alcance que ha tenido la auditora Esta ser la tcnica a utilizar para auditar el entorno general de un sistema de base de datos, tanto en su desarrollo como en su fase de explotacin.
14.3
14.3.1
F O R M A C I O N
DISEO Y CARGA
EXPLOTACION Y MANTENIMIENTO
REVISION POST-IMPLEMENTACION
D O C U M E N T A C I O N
C A L I D A D
Estudio Tecnolgico de Viabilidad. El Auditor debe comprobar que la alta direccin revise la informacin de viabilidad
Aprobacin de Estructura Orgnica (del Proyecto, Unidad encargada de Gestin y Control BD). Se establecen dos objetivos de control.(MENKUS)
Administradora de Datos. Planificacin Organizacin, dotacin de plantillas, y control de los activos de datos de la organizacin (Figura14.3;Pg. 316 <Brathwaite1985>) Administrador de BD. Administracin del entorno de la base de datos (Figura14.4;Pg. 317 <Brathwaite1985>)
Es difcil de verificar para el auditor la separacin de funciones cuando no existe una descripcin detallada de los puestos de trabajo.
En esta fase se empieza a disear la Base de Datos, por que se debe utilizar la metodologas y tcnicas. (Cp.. 12). La Metodologas deberas utilizarse para (Documento fuente, los mecanismos de control, caractersticas de seguridad, y las pistas de auditorias)
El auditor debe de verificar la metodologa utilizada y la correcta aplicacin (Diseo Conceptuela, lgica, fsica).
El Cobit dedica un apartado a la definicin de la arquitectura de la informacin, que contempla 4 objetivos. Modelo de arquitectura de Informacin. Datos y diccionarios de Datos. Esquema de clasificacin de datos. Niveles de seguridad para cada anterior clasificacin de datos.
Para la seleccin de equipos en el caso que no tuviera, se debe realizar bajo un procedimiento riguroso, en las que se consideren: las necesidades de la empresa, los SGBD, y el impacto que el nuevo software tiene en el sistema y en su seguridad.
El auditor tendr que tomar una muestra de ciertos elementos (tablas, vistas, ndices ) y comprobar que su definicin es completa. Planificar claramente las migraciones de un tipo de SGBD a otra, para evitar prdida de informacin. Establecer un conjunto de controles sobre la entrada manual de datos, que aseguren su integridad. Es aconsejable que los procedimientos y el diseo de los documentos fuentes minimicen los errores y las omisiones.
En esta fase se debe comprobar que se establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante la autorizacin adecuada.
14.3.4 Explotacin y mantenimiento Clasificacin de los objetivos de control para la gestin de datos, ISACA. (1996). - Procedimiento de preparacin de datos.
Procedimientos de autorizacin de documentos fuentes Recogida de datos de documentos fuente. Manejo de errores de documentos fuente Retencin de documentos fuente Procedimientos de autorizacin de datos
Se debera establecer el desarrollo de un plan para efectuar una revisin post-implantacin de todo sistema nuevo o modificado con el fin de evaluar si:
- Se han conseguido los resultados esperados - Se satisfacen las necesidades de los usuarios. - Los costes y beneficios coinciden con los previstos.
14.3.6 Otros procesos auxiliares Se deber controlar la informacion que precisan tanto usuarios informativos(administrador, analista, programadores) como no informticos, ya que la formacin es una de las claves para minimizar el riesgo en la implantacin de una base de datos.
Hay que tener en cuenta que usuarios poco formados constituyen uno de los peligros mas importantes de un sistema. Adems el auditor tendr que revisar la documentacin que se produce a lo largo de todo el proceso.
14.4 AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS -Debern considerarse los datos compartidos por mltiples usuarios. Esto debe abarcar todos los componentes del entorno de Bd.
Entre sus componentes podemos destacar, el Kernel, catlogo (componente fundamental para asegurar seguridad de la base de datos), las utilidad para administrador ( crear usuarios, conceder privilegios ) resolver otras cuestiones relativas a la confidencialidad.
el la el y
En cuanto a las funciones de auditora que ofrece el propio sistema, prcticamente todos los productos del mercado permiten registrar la mayora de las operaciones. el requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean veriificables
Son paquetes que pueden emplearse para facilitar la labor del auditor en cuanto a la extraccin de datos de la base , el seguimiento de las transacciones , datos de prueba etc.
14.4.4 SISTEMA OPERATIVO (S.O) El sistema operativo es una pieza clave del entorno puesto que el SGBD se apoyar en mayor o menor medida en los servicios que le ofrezca; el S.O en cuanto a control de memoria , gestin de reas de de almacenamiento intermedio (buffers) manejo de errores, control de confiadencialidad mecanismo de interbloqueo Etc.
Actualmente est considerado como un elemento ms del entorno Con responsabilidades de confidencialidad y rendimiento.
cinco objetivos de control a la hora de revisar la distribucin de datos -El sistema de proceso distribuido debe tener en funcn de administracin de datos centralizada, que establezca estndares generales para la distribucin de datos a travs de aplicaciones. -Deben establecerse unas funciones de administracin de datos y de base de datos fuertes, para que puedan controlar la distribucin de los datos. -Deben de existir pistas de auditora para todas las actividades realizadas por la aplicaciones contra sus propias bases de datos y otras compartidas. -Deben existir controles software para prevenir interferencias de actualizacin sobre las bases de datos en sistemas distribuidos. -Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseo de entornos distsribuidos.
Existen en el mercado varios productos que permiten la implantacin Efectiva de de una poltica de seguridad , puesto que centralizan el Control de accesos , la definicin de privilegios , perfiles de usuarios etc.
14.4.8
Diccionario de Datos
Juegan un papel primordial en el entorno de los SGBD en cuanto a la integracin de componentes y al cumplimiento de la seguridad de datos. Los diccionarios de datos se pueden auditar de manera anloga a las bases de datos, ya que, despus de todo, son bases de datos de metadatos Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo ms peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difciles de detectar.
14.4.9 Herramientas CASE (Compuer Aided System/Software Engineering). IPSE (Integrated Project Support Environments) Constituyen una herramienta clave para que el auditor pueda revisar el diseo de la DB, comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad. 14.4.10 Lenguajes de Generacin de Cuarta independientes Son elementos a considerar en el entrono del SGBD generacin (L4G)
Uno de los peligros ms graves de los L4G es que no se aplican controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin.
Otros problemas pueden ser la ineficacia y elevado consumo de recursos El Auditor deber estudiar los controles disponibles el los L4G, en caso negativo, recomendar su construccin con lenguajes de tercera generacin.
Objetivos de control: La documentacin de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobacin de la direccin y deben documentarse de forma completa.
14.4.12 Herramientas de Minera de Datos Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacn de datos Se deber controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin que modifican las bases de datos operacionales a partir de los datos del almacn. 14.4.13 Aplicaciones El auditor deber controlar que las aplicaciones no atentan contra la integridad de los datos de la base.
14.5
Existen muchos elementos del entorno del SGDB que influyen el la seguridad e integridad de los datos, en los que cada uno de apoya en la operacin correcta y predecidle de otra. El efecto de esto es: debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descordinados y solapados, dificiles de gestionar .
Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear, entre otras, dos tcnicas de control:
14.5.1 Matrices de Control Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos. CONTROLES DE SEGURIDAD DATOS PREVENTIVOS DETECTIVOS CORRECTIVOS
TRANSACCIONES DE ENTRADA
REGISTRO DE BASE DE DATOS
Verificacin
Cifrado
Informe de Reconciliacin
Informe de excepcin Copia de seguridad
14.5.2 Anlisis de los Caminos de Acceso Con esta tcnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hw como Sw) y los controles asociados
ORDENADOR PERSONAL ORDENADOR CENTRAL
MONITOR DE MULTIPROCESO
PAQUETE DE SEGURIDAD
PROGRAMA
SGBD
SO
DATOS
Controles Diversos
14.6
CONCLUSIONES
Debido a la complejidad de la tecnologa de bases de datos y al extraordinario crecimiento del entorno del SGBD la tecnologa de bases de datos ha afectado a afectado al papel del auditor interno ms que a cualquier otro individuo. Se ha convertido en extremo difcil auditar alrededor del computador, por lo que se requiere personal especializado (auditores externos). Antes de empezar una revisin de control interno, el auditor debe examinar el entorno en el que opera el SGBD. Las consideraciones de auditora deberan incluirse en las distintas fases del ciclo de vida de una base de datos Aparicin de nuevos riesgos de inters para el auditor (como por ejemplo, en el rea de seguridad) con la aparicin de nuevos tipos de bases de datos (como las activas, las orientadas a objetos, temporales, multimedia, multidimensionales, etc.), y la creciente distribucin de los datos (bases de datos federadas, multibases de datos, web, base de datos mviles, etc.).
14.6
CONCLUSIONES
Es previsible que los SGBD aumenten el nmero de mecanismos de control y seguridad, operando de forma ms integrada con el resto de componentes. Para ello es fundamental el desarrollo e implementacin de estndares y marcos de referencia como los propuestos por el ISO y el OMG (CORBA), que faciliten unas interfases claramente definidas entre componentes del SI. Los sistemas aumentan su complejidad y alcance con mayor rapidez que los procedimientos y tcnicas para controlarlos Es importante destacar la importancia cada da mayor de una disciplina ms amplia que la de bases de datos: la de Gestin de Recursos de Informacin (IRM), que nace con la vocacin integradora necesaria para convertir los datos en el activo ms importante de las empresas; lo que lleva consigo que las medida de control y auditora pasen a un primer plano dentro de las actividades de las empresas.