Auditora de bases de datos

Introduccin
La gran difusin de los Sistemas de Gestin de Bases de Datos (SGBD), junto con la consagracin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditora cobren, cada da, mayor inters.

Metodologas para la Auditora de bases de datos

Aunque existen distintas metodologas que se aplican en auditora informtica (prcticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases: Metodologa tradicional. Metodologa de evaluacin de riesgos.

Metodologa tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Este tipo de tcnica suele ser aplicada a la auditora de productos de bases de datos, especificndose en la lista de control todos los aspectos a tener en cuenta.

Metodologa de evalucin de evaluacin de riesgos

Este tipo de metodologa, concida tambin por risk oriented approach, es la que propone la ISACA, y empieza fijando los objetivos de control que minimizan los riesgos potenciales alos que est sometido el entorno.

ISACA = Information Systems Audit and Control Association.

Objetivos de Control en el ciclo de vida de una base de datos

A continuacin expondremos algunos objetivos y tcnicas de control a tener en cuenta a lo largo del ciclo de vida de una base de datos: Estudio previo y plan de trabajo. Concepcin de la base de datos y seleccin del equipo. Diseo y carga. Explotacin y mantenimiento. Revisin post implantacin Otros procesos auxiliares.

1. 2. 3. 4. 5. 6.

1. Estudio previo y plan de trabajo:

El auditor debe comprobar tambin que la alta direccin revisa los informes de los estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los tcnicos han de tener en cuenta que si no existe una voluntad de la organizacin, impulsada por los directivos, aumenta considerablemente el riesgo de fracasar en la implantacin del sistema.

2. Concepcin de la base de datos y seleccin del equipo:

En esta fase se empieza a disear la base de datos. El auditor debe, en primer lugar, analizar la metodologa de diseo con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilizacin. Una metodologa de diseo de BD debe contemplar dos fases de diseo: lgico,fsico y un diseo conceptual que sera abordado en el ciclo de vida de la BD.

3. Diseo y Carga
En esta fase se llevarn a cabo los diseos lgico y fsico de la base de datos, por lo que el auditor tendr que examinar si estos diseos se han realizado correctamente. Es importante que la direccin del departamento de informtica, los usuarios y la alta direccin, aprueben el diseo de los datos, al igual que el de las aplicaciones.

4. Explotacin y mantenimiento:
Una vez realizadas las pruebas de aceptacin, con la participacin de los usuarios, el sistema se pondr en explotacin. En esta fase, se debe comprobar que se establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas slo se modifica mediante la autorizacin adecuada

5. Revisin post implantacin:

Se debera establecer el desarrollo de un plan para efectuar una revisin post implantacin despus de todo sistema nuevo o modificado para evaluar: se han conseguido los resultados esperados. Se satisfacen las necesidades de los usuarios. Los costes y beneficios coinciden con los previstos.

6. Otros aspectos auxiliares:

A lo largo de todo el ciclo de vida de la BD se deber controlar la formacin tanto de usuarios informticos como de no informticos , ya que la formacin es una de las claves para minimizar el riesgo en la implantacin de la base de datos.

Entorno de base de datos

CASE AUDITORIA

SGBD
CONFIDEN. PRIVACIDAD. SOFTWARE DE AUDITORIA

AUDITORIA

REPOSITORIO

AUDITORIA L4G FACILIDADES DE USUARIO SEGURIDAD. RECUPER. SISTEMA DE MONIT./ AJUSTE

AUDITORIA

CATALOGO

NUCLEO KERNEL

SO

APLICACIONES

MONITOR TRANSAC.

EL AUDITOR

MINERIA DE DATOS

PROTOCOLOS Y SISTEMAS DISTRIB

Auditoria y control interno en un entorno de Base de datos

En el desarrollo y mantenimiento de sistemas informticos en entorno de base de datos, debera considerarse el control, la integridad y la seguridad de los datos compartidos por mltiples usuarios. Esto debe abarcar a todos los componentes de la base de datos .

Continuacin....

Sistema de Gestin de Base de datos : Cuyos componentes son el Kernel, catalogo, copias de seguridad ficheros, etc. Software de auditoria : Paquetes que pueden emplearse para facilitar la labor del auditor. Sistemas de monitoreo y ajuste : Este tipo de sistemas complementan las facilidades ofrecidas por el SGBD, ofreciendo mayor informacin para optimizar el sistema. Sistema operativo : Pieza clave del entorno , puesto que el SGBD, se apoyara en mayor o menor medida.

Continuacin....

Monitor de transacciones : Es un elemento mas del entorno con responsabilidades de confidencialidad y rendimiento. Protocolos y Sistemas distribuidos : Cada vez mas se esta accediendo a la base de datos a travez de redes , con lo que se incrementa el riesgo de violacin de la confidencialidad e integridad. Paquete de seguridad : Existe variedad de productos en el mercado que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de acceso, la definicin de privilegios, perfiles de usuario, etc. Diccionario de datos : Los propios diccionarios se pueden auditar de manera anloga a la base de batos.

Continuacin....
Herramientas case :

Constituye una herramienta clave para que el auditor pueda revisar el diseo de la base de datos, comprobar si se ha desarrollado correctamente la metodologa y asegurar un nivel mnimo de calidad. Lenguajes de cuarta generacin : Unos de los peligros mas graves de los L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin, esto debido a una inadecuada interfaz entre el L4G y el paquete de seguridad y la falta del cdigo fuente .

Continuacin....

Facilidades de usuario : Las aplicaciones desarrolladas empleando facilidades de usuario deben seguir los mismos slidos principios de control y tratamiento de errores que el resto. Herramienta de minera de datos : Controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin, que modifican las bases de datos operacionales a partir de los datos del almacn. Aplicaciones : Se debe controlar que las aplicaciones no ateten contra la integridad de los datos de la base.

Tcnicas Para El Control de Base De Datos:

Matrices de control Anlisis de caminos de acceso

Matrices de control
Estas matrices, como la que aparece, sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos. CONTROLES DE SEGURIDAD DATOS Transacciones De entrada Registros de base de datos Preventivos Verificacin Detectivos Informe de reconciliacin Informe de excepcin Correctivos -

Cifrado

Copia de seguridad

Anlisis de los Caminos de Acceso

ORDENADOR PERSONAL USUARIO
SOFTWARE DE AUDITORIA SOFTWARE DE AUDITORIA SOFTWARE DE AUDITORIA SOFTWARE DE AUDITORIA SOFTWAR E DE AUDITORI A

DATOS

FORMACION CONTROLES PROCEDIMIENTO

CONTROL ACCESO REGISTRO DE TRANSA TRANSACCIONES

CONTROL DE CACESO CONTROL DE INTEGRIDAD DE DATOS

CONTROLES DIVERSOS

SEGURIDAD CIFRADO CONTROL ACCESO REGISTRO DE ACCESO INFORME DE EXCEPCIONES CONTROL ACCESO CIFRADO CONTROL INTEGRIDAD

COPIAS DE SEGURIDAD FICHERO DIARIO INTEGRIDAD DE DATOS

Anlisis de los Caminos de Acceso

Con esta tcnica se docuementan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesa.