¿Qué es la Auditoria de BD?

Es el proceso que permite medir, asegurar, demostrar, monitorear yregistrar los accesos a la información almacenada en las bases de datosincluyendo la capacidad de determinar:

Quien accede a los datos !uando se accedió a los datos Desde que tipo de dispositi"o#aplicación Desde que ubicación en la $ed !ual fue la sentencia %Q& e'ecutada !ual fue el efecto del acceso a la base de datos

&a auditor(a de BD es importante porque:

)oda la información *nanciera reside en bases de datos y debene+istir controles relacionados con el acceso a las mismas

%e debe poder demostrar la integridad de la información &as organi-aciones deber mitigar los riesgos asociados a la perdida

de datos y la fuga de información &a información con*dencial de los clientes, son responsabilidad de las

organi-aciones &os datos con"ertidos en información a tra"és de base de datos &as organi-aciones deben tomar medidas muc.o m/s all/ de

asegurar sus datos

0ediante la auditoria de bases de datos se e"al1a:

De*nición de estructuras f(sicas y lógicas de las bases de datos !ontrol de carga y mantenimiento de las bases de datos 2ntegridad de los datos y protección de accesos Est/ndares para an/lisis y programación en el uso de bases de datos 3rocedimientos de respaldo y de recuperación de datos

3lani*cación de la auditoria de BD:

4 2denti*car todas las bases de datos de la organi-ación5 !lasi*car los ni"eles de riesgo de los datos en las bases de datos6 Anali-ar los permisos de acceso7 Anali-ar los controles e+istentes de acceso a las bases de datos8 Establecer los modelos de auditoria de BD a utili-ar9 Establecer las pruebas a reali-ar para cada BD, aplicación y#o usuario

0etodolog(a para la auditoria de Base de Datos

0etodolog(a )radicional: El auditor re"isa el entorno con la ayuda deuna lista de control !.ec;list<, que consta de una serie de cuestionesa "eri*car, registrando los resultados de su in"estigación En estain"estigación se confecciona una lista de control de todos losaspectos a tener en cuenta

0etodolog(a de e"aluación de riesgos: Este tipo de metodolog(a,conocida también por $is; oriented approac. es la que propone2%A!A y empie-a *'ando los ob'eti"os de control que minimi-an losriesgos potenciales a los que est/ sometido el entorno!onsiderando los riesgos de:• Dependencia por la concentración de datos

 

• Accesos no restringidos en la *gura Del DBA

• 2ncompatibilidades entre el sistema de seguridad de acceso del

%=BD y el general de instalación• 2mpactos de los errores en Datos y programas

• $upturas de enlaces o cadenas por fallos del soft>are

• 2mpactos por accesos no autori-ados

• Dependencias de las personas con alto conocimiento técnico