7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 1/22
Auditoría de bases de
datos
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 2/22
Introducción
La gran difusión de los Sistemas de Gestión deBases de Datos (SGBD), junto con laconsagración de los datos como uno de losrecursos fundamentales de las empresas, hahecho que los temas relativos a su controlinterno y auditoría cobren, cada día, mayor interés.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 3/22
Metodologías para la Auditoríade bases de datos
Aunque existen distintas metodologías que seaplican en auditoría informática (prácticamentecada firma de auditores y cada empresadesarrolla la suya propia), se pueden agrupar en dos clases:
Metodología tradicional.
Metodología de evaluación de riesgos.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 4/22
Metodología tradicional
En este tipo de metodología el auditor revisa elentorno con la ayuda de una lista de control(checklist), que consta de una serie de cuestionesa verificar. Este tipo de técnica suele ser aplicada
a la auditoría de productos de bases de datos,especificándose en la lista de control todos losaspectos a tener en cuenta.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 5/22
Metodología de evalución deevaluación de riesgos
Este tipo de metodología, concida también por riskoriented approach, es la que propone la ISACA, yempieza fijando los objetivos de control que
minimizan los riesgos potenciales alos que estásometido el entorno.
ISACA = Information Systems Audit and Control
Association.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 6/22
Objetivos de Control en el ciclode vida de una base de datos
A continuación expondremos algunos objetivos ytécnicas de control a tener en cuenta a lo largodel ciclo de vida de una base de datos:
1. Estudio previo y plan de trabajo.2. Concepción de la base de datos y selección del
equipo.
3. Diseño y carga.
4. Explotación y mantenimiento.
5. Revisión post – implantación
6. Otros procesos auxiliares.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 7/22
1. Estudio previo y plan de trabajo:
El auditor debe comprobar también que la altadirección revisa los informes de los estudios deviabilidad y que es la que decide seguir adelante ono con el proyecto.
Esto es fundamental porque los técnicos han detener en cuenta que si no existe una voluntad dela organización, impulsada por los directivos,aumenta considerablemente el riesgo de fracasar
en la implantación del sistema.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 8/22
En esta fase se empieza a diseñar la base de datos.El auditor debe, en primer lugar, analizar lametodología de diseño con el fin de determinar si es
o no aceptable, y luego comprobar su correctautilización. Una metodología de diseño de BD debecontemplar dos fases de diseño: lógico,físico y undiseño conceptual que sería abordado en el ciclo devida de la BD.
2. Concepción de la base de datos y
selección del equipo:
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 9/22
En esta fase se llevarán a cabo los diseños lógico yfísico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se hanrealizado correctamente. Es importante que la
dirección del departamento de informática, losusuarios y la alta dirección, aprueben el diseño delos datos, al igual que el de las aplicaciones.
3. Diseño y Carga
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 10/22
4. Explotación y mantenimiento:
Una vez realizadas las pruebas de aceptación, conla participación de los usuarios, el sistema sepondrá en explotación.
En esta fase, se debe comprobar que se establecen
los procedimientos de explotación ymantenimiento que aseguren que los datos setratan de forma congruente y exacta y que elcontenido de los sistemas sólo se modificamediante la autorización adecuada
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 11/22
5. Revisión post implantación:
Se debería establecer el desarrollo de un plan paraefectuar una revisión post implantación después detodo sistema nuevo o modificado para evaluar:
se han conseguido los resultados esperados.
Se satisfacen las necesidades de los usuarios.
Los costes y beneficios coinciden con los previstos.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 12/22
6. Otros aspectos auxiliares:
A lo largo de todo el ciclo de vida de la BD sedeberá controlar la formación tanto de usuariosinformáticos como de no informáticos , ya que laformación es una de las claves para minimizar el
riesgo en la implantación de la base de datos.
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 13/22
Entorno de base de datos
CASE
AUDITORIACONFIDEN.
PRIVACIDAD.
L4G
CATALOGONUCLEO
KERNEL
SEGURIDAD.
RECUPER.
SGBD
MONITOR
TRANSAC.
SO
SISTEMA DE
MONIT./AJUSTE
SOFTWARE DE
AUDITORIA
AUDITORIA
AUDITORIA
AUDITORIA
REPOSITORIO
PROTOCOLOS Y
SISTEMAS
DISTRIB
MINERIA DE
DATOS
FACILIDADES DE
USUARIO
EL AUDITOR
APLICACIONES
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 14/22
En el desarrollo y mantenimiento de sistemasinformáticos en entorno de base de datos,debería considerarse el control, la integridad yla seguridad de los datos compartidos por múltiples usuarios. Esto debe abarcar a todoslos componentes de la base de datos .
Auditoria y control interno en un
entorno de Base de datos
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 15/22
Sistema de Gestión de Base de datos : Cuyos componentes son el Kernel, catalogo, copias deseguridad ficheros, etc.
Software de auditoria :
Paquetes que pueden emplearse para facilitar la labor
del auditor.
Sistemas de monitoreo y ajuste :
Este tipo de sistemas complementan las facilidadesofrecidas por el SGBD, ofreciendo mayor información
para optimizar el sistema. Sistema operativo :
Pieza clave del entorno , puesto que el SGBD, seapoyara en mayor o menor medida.
Continuación....
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 16/22
Monitor de transacciones :
Es un elemento mas del entorno conresponsabilidades de confidencialidad y rendimiento.
Protocolos y Sistemas distribuidos :
Cada vez mas se esta accediendo a la base de datos atravez de redes , con lo que se incrementa el riesgo de
violación de la confidencialidad e integridad.
Paquete de seguridad :
Existe variedad de productos en el mercado quepermiten la implantación efectiva de una política de
seguridad, puesto que centralizan el control de acceso,la definición de privilegios, perfiles de usuario, etc.
Diccionario de datos :
Los propios diccionarios se pueden auditar de maneraanáloga a la base de batos.
Continuación....
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 17/22
Herramientas case :
Constituye una herramienta clave para que el auditor pueda revisar el diseño de la base de datos, comprobar si se ha desarrollado correctamente la metodología yasegurar un nivel mínimo de calidad.
Lenguajes de cuarta generación :
Unos de los peligros mas graves de los L4G es que nose apliquen controles con el mismo rigor que a losprogramas desarrollados con lenguajes de tercera
generación, esto debido a una inadecuada interfazentre el L4G y el paquete de seguridad y la falta delcódigo fuente .
Continuación....
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 18/22
Facilidades de usuario :
Las aplicaciones desarrolladas empleando facilidadesde usuario deben seguir los mismos sólidos principiosde control y tratamiento de errores que el resto.
Herramienta de minería de datos :
Controlar la política de refresco y carga de los datos enel almacén a partir de las bases de datos operacionalesexistentes, así como la existencia de mecanismos deretroalimentación, que modifican las bases de datosoperacionales a partir de los datos del almacén.
Aplicaciones : Se debe controlar que las aplicaciones no ateten contrala integridad de los datos de la base.
Continuación....
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 19/22
Matrices de control
Análisis de caminos de acceso
Técnicas Para El Control de Base De
Datos:
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 20/22
Matrices de control
Estas matrices, como la que aparece, sirven para identificar
los conjuntos de datos del SI junto con los controles deseguridad o integridad implementados sobre los mismos.
DATOS
CONTROLES DE SEGURIDAD
Preventivos Detectivos Correctivos
Transacciones
De entrada
Verificación Informe dereconciliación
-
Registros debase de datos
Cifrado Informe deexcepción
Copia deseguridad
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 21/22
Análisis de los Caminos deAcceso
SOFTWARE
DE
AUDITORIA
SOFTWARE
DE
AUDITORIA
SOFTWARE
DE
AUDITORIA
SOFTWARE
DE
AUDITORIA
SOFTWAR
E DE
AUDITORI
ADATOS
CONTROLES
DIVERSOS
COPIAS DE SEGURIDAD
FICHERO DIARIO
INTEGRIDAD DE DATOS
CONTROL DE CACESO
CONTROL DE INTEGRIDAD
DE DATOS
CONTROL ACCESO
REGISTRO DE ACCESO
INFORME DE EXCEPCIONES
CONTROL ACCESO
REGISTRO DE TRANSA
TRANSACCIONES
ORDENADOR
PERSONAL
USUARIO
SEGURIDAD
CIFRADO
FORMACION
CONTROLES
PROCEDIMIENTO
CONTROL ACCESO CIFRADO
CONTROL INTEGRIDAD
7/15/2019 Auditoría de bases de datos
http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 22/22
Con esta técnica se docuementan el flujo,almacenamiento y procesamiento de los datos entodas las fases por las que pasan desde el
mismo momento en que se introducen,identificando los componentes del sistema queatraviesa.
Análisis de los Caminos deAcceso
Top Related