c







 

La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la
consagración de los datos como uno de los recursos fundamentales de lasempresas, ha hecho
que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés.
Como ya se ha comentado, normalmente la auditoría informática se aplica de dos formas
distintas; por un lado, se auditan las principales áreas del departamento de informática:
explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases
de datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente,
subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del
entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría
de las aplicaciones que utiliza esta tecnología.

  c



Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la
información almacenada en las base de datos incluyendo la capacidad de determinar:

ʹ Quién accede a los datos

ʹ Cuándo se accedió a los datos
ʹ Desde qué tipo de dispositivo/aplicación
ʹ Desde que ubicación en la Red
ʹ Cuál fue la sentencia SQL ejecutada
ʹ Cuál fue el efecto del acceso a la base de datos

Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la

organización frente a las regulaciones y su entorno de negocios o actividad.

 c




ʹ Auditores de Sistemas
ʹ Tecnología de Información
ʹ Cumplimiento Corporativo
ʹ Riesgo Corporativo
ʹ Seguridad Corporativa

 c




ʹ Auditoría de Datos
ʹ Monitoreo de Datos

 


 c



Los esfuerzos en seguridad de base de datos normalmente están orientados a:

ʹ Impedir el acceso externo

ʹ Impedir el acceso interno a usuarios no autorizados
ʹ Autorizar el acceso sólo a los usuarios autorizados

ͻ Con la auditoría de BD se busca

ʹ Monitorear y registrar el uso de los datos por los usuarios autorizados o no
ʹ Mantener trazas de uso y del acceso a bases de datos
ʹ Permitir investigaciones
ʹ General alertas en tiempo real

 !" # c



La mayoría de las nuevas regulaciones federales están relacionadas con los datos de las
organizaciones, estén o no relacionadas directamente con la confidencialidad

ʹ SOX (Controles internos y responsabilización por estados

financieros)
ʹ Gramm Leach Bliley O GLBA (Confidencialidad información)
ʹ FDA-21CFR11 (Actividad en las bases de datos)
ʹ PCI (Información confidencial tarjetas de crédito)
Las recomendaciones institucionales (implícitamente obligatorias)
como Basilea II hacia los diferentes tipos de riesgos, en especial el operacional, están
fuertemente relacionadas con la gestión de datos.

 ? Auditoría de BD y SOX
SOX 404 y 302 requieren la certificación de los controles internos y la
responsabilización por la veracidad de los estados financieros de las organizaciones.

 ? Auditoría de BD y GLBA
Establece estrictas normas para la protección y divulgación de información privada de
los clientes de las instituciones financieras

 ? Auditoría de BD y FDA-CFR11
La regulación FDA-CFR11 requiere el establecimientode controles sobre el manejo de
información electrónica incluyendo:
ʹ Mantener trazas de auditoría sobre los accesos de creación,modificación o
eliminación de registros
ʹ Registrar la información de quien hace los cambios, que semodifica y cuando
se hacen los cambios