Académique Documents
Professionnel Documents
Culture Documents
Datos y aplicaciones
AVILA CAPRISTAN DIANA
MISIÓN
Brindar formación profesional humanística, científica y
Todos desarrollan su potencial desde la primera infancia, acceden al
tecnológica a los estudiantes, con calidad y responsabilidad
mundo letrado, resuelven problemas, practican valores y saben seguir
social y ambiental.
aprendiendo, se asumen ciudadanos con derechos y responsabilidades
y contribuyen al desarrollo de sus comunidades y del país combinando
su capital cultural y natural con avances mundiales.
ORGANIGRAMA UNS
4
ORGANIGRAMA VICERRECTORADO ACADÉMICO
VICERRECTORADO ACADEMICO
DIRECCION DE INFORMATICA Y
DOCUMENTACIÓN (DID)
OFICINA DE TECNOLOGÍAS DE
OFICINA DE NORMALIZACION Y OFICINA DEL SITEMA DE OFICINA DE PROYECTOS DE
INFORMACIÓN Y COMUNICACIONES
GOBIERNO CORPORATIVO BIBLIOTECAS INNOVACION TECNOLOGICA
(OTIC)
UNIDAD DE
DESARROLLO, UNIDAD DE GOBIERNO UNIDAD DE SERVICIOS UNIDAD DE SERVICIOS
EVALUACIÓN Y DE TI DE BIBLIOTECA DE BIBLIOTECA
MANTENIMIENTO DE
SISTEMAS DE
INFORMACIÓN (UDEMSI)
UNIDAD DE
ESTANDARIZACION Y UNIDAD DE PROCESOS UNIDAD DE PROCESOS
UNIDAD DE GESTIÓN DE TECNICOS TECNICOS
INFRAESTRUCTURA DE PROCESOS
COMUNICACIONES,
EQUIPAMIENTO Y
SOPORTE
INFORMÁTICO UICESI
UNIDAD DE SEGURIDAD
DE LA INFORMACION
UNIDAD DE CENTRAL
TELEFONICA UCA
UNIDAD DE GESTION
DE SERVICIOS DE TI
UNIDAD DE
SERVIUCIOS UNIDAD DE CALIDAD
ACADEMICOS USA DE SW Y AUDITORIA DE
TI
5
ORGANIGRAMA UDEMSI
Coordinador
de Sistemas
Administrador
Analista y Asistente
de Base de
diseñador de documentador
Datos y
sistemas y probador
Seguridad
6
ROF UNS
7
Metodología
5 etapas basado en el modelo de madurez de COBIT,
Tareas en base controles de seguridad del estándar de seguridad
ISO/IEC y conjunto de directrices de "mejores prácticas" de ITIL
por Sandra Saucedo Mejía, Luis Alberto Gutiérrez Díaz de León, Alejandro Ayala López y Jorge
Lozoya Arandia
Modelo propuesto de auditoría de
Base de datos
1. Diagnosticar
5. Conservar
2. Planear
4. Revisar
3. Ejecutar
10
Modelo de madurez COBIT
11
Método de evaluación
Método de evaluación
de preguntas
Método de la
entrevista
• Seguridad.
14
ETAPA 2°: PLANEAR
17
Identificación de riesgos
Riesgos
Matriz de Riesgos
18
Evaluación de Impacto y Probabilidad
21
ETAPA 3°: EJECUTAR
Abarcar las tareas de aquellas categoríasque aún no alcanzan el gradode
madurez óptimo y están dirigidas a los objetivos de controlque aún no se cumplen.
22
Auditoría del SGBD
Kernel
Catálogo
23
Auditoría del entorno SGBD
Cada vez es más importante auditar también el entorno alrededor de la
Base de Datos.
24
Auditoría del entorno SGBD
Cada vez es más importante auditar también el entorno alrededor de la
Base de Datos.
25
ETAPA 4°: REVISAR
Esta etapa se enfoca a comprobar que se cumplan cada uno de los objetivos de
control especificados en la etapa de ejecución, se verifica a detalle que todo se
efectué, identificando de esta manera los puntos que se cumplen y los que no.
26
Herramientas
Revisar controles
Diagrama de Ishikawa
Listas de Control
(check-list)
La lista de control, tiene como objetivo
Sirve para identificar problemas y tomar acciones
fundamental la verificación de la
correctivas dado que se deberá actuar con precisión
existencia de controles en cada uno de
sobre el fenómeno que explica el comportamiento no
los procesos evaluados
deseado.
27
Herramientas
Revisar controles
Diagrama de Pareto
El diagrama de Pareto muestra un gráfico
El 80% de las consecuencias son el resultado del 20%
de barras que permite determinar, qué
de las causas.
problemas se deben resolver primero. Por
medio de las frecuencias de las
ocurrencias, de la mayor a la menor.
28
Aplicación de la
metodología:
Verificación de
controles
Gestión de activos
Seguridad física y del entorno
Gestión de comunicaciones y
operaciones
Intercambio de la información
Monitoreo
Control de acceso
29
Etapa 5: Conservar
Establecer tareas para garantizar que los controles se mantengan en el estado en el que se documenta.
2 Optimo monitoreo.
30
Etapa 5: Conservar
31
Herramientas
32
El DBA es el Copias de
único en seguridad
acceder a la son
base de almacenadas
datos. en disco
duro
externo.
33
Problemas y Estrategias
Debilidad encontrada y/o Hallazgo
Objetivo General de la Auditoria
Control de acceso Nivel de Riesgo: Bajo
Causa Se trabaja con el SGBD ASA v.9.5 del año 2007 y tiene políticas de
auditoria antiguas.
Recomendación:
Se debe realizar una migración de SGBD a una herramienta
empresarial más actual y estándar, debe ser capaz de capturar todo
el contexto de sesión sin excepciones.
El riesgo mayor es el que va ligado a la figura del administrador de bases de datos (DBA). Sus actividades
1
dan cuenta de hasta un 80 por ciento de las amenazas que afectan a las bases de datos
En la gestión de contraseñas que la configuración de contraseñas a utilizar por el usuario está debe
ajustarse a las buenas prácticas: No repetición contraseñas, vigencia máxima de contraseñas de
2
utilización de contraseña (al menos 30 días), que las fechas de cambio de contraseñas reales se
corresponden con las políticas aprobadas.
3 Se debe garantizar que el sistema operativo tiene instalados los últimos parches.
Las herramientas de desarrollo que se utilicen como memorias y laptop son entregadas y no se permitiría
4 el uso de dispositivos personales