Professional Documents
Culture Documents
Introduccin
La gran difusin de los Sistemas de Gestin de Bases de Datos (SGBD), junto con la consagracin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditora cobren, cada da, mayor inters.
Metodologa tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Este tipo de tcnica suele ser aplicada a la auditora de productos de bases de datos, especificndose en la lista de control todos los aspectos a tener en cuenta.
1. 2. 3. 4. 5. 6.
3. Diseo y Carga
En esta fase se llevarn a cabo los diseos lgico y fsico de la base de datos, por lo que el auditor tendr que examinar si estos diseos se han realizado correctamente. Es importante que la direccin del departamento de informtica, los usuarios y la alta direccin, aprueben el diseo de los datos, al igual que el de las aplicaciones.
4. Explotacin y mantenimiento:
Una vez realizadas las pruebas de aceptacin, con la participacin de los usuarios, el sistema se pondr en explotacin. En esta fase, se debe comprobar que se establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas slo se modifica mediante la autorizacin adecuada
SGBD
CONFIDEN. PRIVACIDAD. SOFTWARE DE AUDITORIA
AUDITORIA
REPOSITORIO
AUDITORIA
CATALOGO
NUCLEO KERNEL
SO
APLICACIONES
MONITOR TRANSAC.
EL AUDITOR
MINERIA DE DATOS
Continuacin....
Sistema de Gestin de Base de datos : Cuyos componentes son el Kernel, catalogo, copias de seguridad ficheros, etc. Software de auditoria : Paquetes que pueden emplearse para facilitar la labor del auditor. Sistemas de monitoreo y ajuste : Este tipo de sistemas complementan las facilidades ofrecidas por el SGBD, ofreciendo mayor informacin para optimizar el sistema. Sistema operativo : Pieza clave del entorno , puesto que el SGBD, se apoyara en mayor o menor medida.
Continuacin....
Monitor de transacciones : Es un elemento mas del entorno con responsabilidades de confidencialidad y rendimiento. Protocolos y Sistemas distribuidos : Cada vez mas se esta accediendo a la base de datos a travez de redes , con lo que se incrementa el riesgo de violacin de la confidencialidad e integridad. Paquete de seguridad : Existe variedad de productos en el mercado que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de acceso, la definicin de privilegios, perfiles de usuario, etc. Diccionario de datos : Los propios diccionarios se pueden auditar de manera anloga a la base de batos.
Continuacin....
Herramientas case :
Constituye una herramienta clave para que el auditor pueda revisar el diseo de la base de datos, comprobar si se ha desarrollado correctamente la metodologa y asegurar un nivel mnimo de calidad. Lenguajes de cuarta generacin : Unos de los peligros mas graves de los L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin, esto debido a una inadecuada interfaz entre el L4G y el paquete de seguridad y la falta del cdigo fuente .
Continuacin....
Facilidades de usuario : Las aplicaciones desarrolladas empleando facilidades de usuario deben seguir los mismos slidos principios de control y tratamiento de errores que el resto. Herramienta de minera de datos : Controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin, que modifican las bases de datos operacionales a partir de los datos del almacn. Aplicaciones : Se debe controlar que las aplicaciones no ateten contra la integridad de los datos de la base.
Matrices de control
Estas matrices, como la que aparece, sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos. CONTROLES DE SEGURIDAD DATOS Transacciones De entrada Registros de base de datos Preventivos Verificacin Detectivos Informe de reconciliacin Informe de excepcin Correctivos -
Cifrado
Copia de seguridad
DATOS
CONTROLES DIVERSOS
SEGURIDAD CIFRADO CONTROL ACCESO REGISTRO DE ACCESO INFORME DE EXCEPCIONES CONTROL ACCESO CIFRADO CONTROL INTEGRIDAD