República Bolivariana de Venezuela

Ministerio del poder popular para la educación superior.

Universidad Nacional Experimental de la Fuerza Armada
Ingeniería de Sistemas.
8vo semestre
Sección D-01

Auditoria de base de datos

Estudiante: Jonderson Mendez

C.I 19.711.624

Caracas, 2 de abril de 2019

Auditoria de base de datos:

La gran difusión de Sistemas de Gestión de Base de Datos (SGBD) Junto con

la consagración de los Datos como uno de los recursos Fundamentales de las
empresas, ha hecho que los temas relativos a su control interno y auditoria
cobren, cada día mayor interés. Para definir los aspectos más importantes de la
auditoria de Base de Datos es importante establecer los dos conceptos
siguientes:

Base de datos:
Es un conjunto de datos pertenecientes a un mismo contexto y almacenados
sistemáticamente para su posterior uso. En este sentido, una biblioteca puede
considerarse una base de datos compuesta en su mayoría por documentos y
textos impresos en papel. Actualmente, y debido al desarrollo tecnológico de
campos como la informática y la electrónica, la mayoría de las bases de datos
están en formato digital (electrónico), y por ende se ha desarrollado y se ofrece
un amplio rango de soluciones al problema del almacenamiento de datos.

Sistema de Gestión de base de datos:

Es un tipo de Programa que permiten almacenar y posteriormente acceder a

los datos de forma rápida y estructurada. Las propiedades de estos SGBD, así
como su utilización y administración, se estudian dentro del ámbito de la
informática. Las aplicaciones más usuales son para la gestión de empresas e
instituciones públicas. También son ampliamente utilizadas en entornos
científicos con el objeto de almacenar la información experimental, existiendo
los siguientes métodos:

Método Tradicional:

En este tipo de Control el Auditor revisa su entorno con la ayuda de un

checklist o lista de control, que consta de una serie de cuestionamientos a
verificar.

Cuando el auditor realiza su proceso de investigación debe de registrar el

resultado mediante la utilización de letras: S si el resultado es afirmativo N si el
resultado es negativo NA no aplicable Evaluara aspectos generales como:
Parámetros de instalación Riesgos más importantes
Metodologías de evaluación de riesgos:

Este tipo de metodología es la que propone ISACA (Sistemas de Información

Asociación de Auditoría y Control), y empieza fijando los objetivos de control
que minimizan los riesgos potenciales a los que está sometido el entorno. Se
señalan los riesgos más importantes que lleva consigo la utilización de una
base de datos.

Objetivos de control en el ciclo de vida de una Base de datos:

A continuación expondremos algunos objetivos y técnicas de control a tener en

cuenta a lo largo del ciclo de vida de una base de datos que abarca desde el
estudio previo has su explotación 5.1 Estudio previo y plan de trabajo En esta
fase es importante elaborar un estudio tecnológico de viabilidad en el cual se
contemplen distintas alternativas para alcanzar los objetivos del proyecto y un
análisis coste-beneficio, se debe de considerar la posibilidad de no llevar a
cabo el proyecto (no siempre se implementa un sistema de bases de datos) En
la actualidad en bastantes empresas este tipo de análisis no se lleva a cabo
con el rigor necesario, con lo que a medida que se van desarrollando, los
sistemas demuestran, a veces, ser poco rentables. El auditor debe comprobar
también que la alta dirección revisa los informes de los estudios del
funcionamiento del sistema y que es la que decide seguir adelante o no con el
proyecto. Esto es fundamental porque los técnicos han de tener en cuanta que
si no existe decisión de la organización, aumenta el riesgo de fracasar en la
implantación del sistema. En el caso que se decida llevar a cabo el proyecto es
fundamental que se establezca un plan, debiendo el auditor verificar que
efectivamente dicho plan se emplea para el seguimiento y gestión del proyecto
y que cumple con los procedimientos generales de gestión de proyectos que
tenga aprobados la organización.

Otro aspecto importante en esta fase es la aprobación de la estructura orgánica

no solo del proyecto en particular, sino también de la unidad que tendrá la
responsabilidad de la gestión y control de la base de datos, para que un
entorno de base de datos funcione debidamente, esta unidad es
imprescindible. Se pueden establecer acerca de este tema dos objetivos de
control:

 Asignarse responsabilidades para la planificación, organización,

administración de plantillas y control de los activos de datos de la organización.
 Asignarse responsabilidad de la administración del entorno de la base de
datos. Al momento de detallar las responsabilidades de estas funciones hay
que tener en cuenta uno de los principios fundamentales del control interno: la
separación de funciones. Se recomienda una separación de funciones entre:

 El personal de desarrollo de sistemas y el de explotación

 Explotación y control de datos

 Administración de bases de datos y desarrollo También debe de existir una

separación de funciones entre el administrador de la seguridad y el
administrador de la base de datos. No quiere decir que deben de ser
desempeñadas por personas distintas, pero si que es un aspecto importante de
control a considerar, en caso que no se pueda separar debe deberán
establecerse controles alternativos, como por ejemplo una mayor atención de la
dirección y la comprobación por parte de algún usuario del contenido y de las
salidas más importantes producidas a partir de la base de datos. La situación
que el auditor encuentra normalmente en las empresas es que al no existir una
descripción detallada de los puestos de trabajo, la separación de funciones es
muy difícil de verificar.

Concepción de la base de Datos y selección del equipo:

En esta parte se inicia con el diseño de la base de datos, con lo que se aplica
las técnicas y modelos propios de la metodología del desarrollo de sistemas
para la empresa. El diseño debe incluir los documentos fuentes, mecanismos
de control, características de seguridad, así como las pistas de auditoria
necesarias en el sistema con el objeto de evitar costos mayores, al incluirse
luego de la implementación del sistema. El auditor debe analizar la metodología
de diseño con el fin de estimar si es objetiva o no, para luego comprobar su
correcto uso. Para esto una metodología debe contemplar tres fases de diseño:
lógico, físico, de diseño conceptual.

Diseño y carga:
En esta fase se llevarán a cabo los diseños lógico y físico de la base de datos,
por lo que se determina si estas se llevaron a cabo correctamente,
determinando si la definición de los datos contempla además su estructura las
asociaciones y restricciones oportunas así como las especificaciones del
almacenamiento de datos y seguridad. Una vez diseñada la base de datos, se
procede a la carga ya sea de un dispositivo magnético o ingresándolos
manualmente. Este procedimiento debe estar muy bien planificado, para evitar
perdida de datos o transmitir datos erróneos a la nueva base. Por lo que
respecta a la entrada manual de datos, hay que establecer un conjunto de
controles que aseguren la integridad de los mismos. Se debe asegurar que los
datos se autorizan, recopilan, preparan, transmiten y comprueban de una forma
apropiada.

Los documentos fuentes deben diseñarse de tal forma que minimicen los
errores y omisiones, y que el tratamiento de estas situaciones no disminuya los
controles, y que se traten de concentrar lo mas apegado al origen de los datos.

Explotación y mantenimiento :
Una vez realizado las pruebas de aceptación, con la participación de los
usuarios, el sistema se pondrá (mediante las siguientes autorizaciones y
siguiendo los procedimientos establecidos para ello) en explotación. En esta
fase, debe comprobar que se establecen lo procedimientos de explotación y
mantenimiento que aseguren que los datos se tratan de forma congruente y
exacta y que el contenido de los sistemas solo se modifica mediante
autorización adecuada. En los nuevos COBIT se dedica un apartado completo
a detallar los objetivos de control para la gestión de datos, clasificarlos en un
conjunto de apartados.
 Procedimientos de preparación de datos.

 Procedimientos de autorización de documentos fuente recogida de datos y

de documentos fuente.
 Manejo de errores y de documentos fuente.

 Retención de documentos fuente.  Procedimientos de autorización de datos.

 Verificación de exactitud.
 Manejo de errores de entrada de datos.
 Integridad de procesamientos de datos.
 Edición y validación de procesamiento de datos.
 Manejo de errores de procesamiento de datos.
 Retención y manejo de salidas.
 Distribución de salidas.
 Reconciliación y balanceo de salidas.
 Manejo de errores y revisión de salidas.
 Medidas de seguridad para informes de salida
 Protección de información sensible.
 Protección de información sensible y dispuesta.
 Gestión de almacenamiento.
 Periodos de retención y términos de almacenamiento.
 Sistema de gestión de bibliotecas de medios.
 Copias de respaldo y recuperación.
 Trabajos de copias de respaldo.
 Almacenamiento de respaldos.

Revisión Post-Implantación:
Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo se
deberá, establecer el desarrollo de un plan para efectuar una revisión
postimplantación de todo sistema nuevo, o modificado con el fin de evaluar si:
Se han encontrado los resultados esperados. Se satisfacen las necesidades de
los usuarios

Otros Procesos Auxiliares:

A lo largo de todo el ciclo de vida de la base de datos se deberá controlar la
formación que precisan tanto usuarios informativos, como no informáticos ya
que la formación es una de las claves para minimizar el riesgo en la
implementación de una base de datos. Esta formación no se puede basar
simplemente en cursos sobre el producto que se está instalando, sino que
suele ser precisa una formación de base que resulte imprescindible cuando; se
pasa de trabajar en un entorno de archivos orientado al proceso a un entorno
de base de datos, por lo que supone “cambio filosófico” lo mismo puede decirse
si se camba de tipo de SGBD. Hay que tener en cuenta que usuarios poco
formados constituyen uno de los peligros más importantes de un sistema. Esta
formación no debería limitarse al área.
de las bases de datos, sino que tendría que ser complementada con formación
relativa a los conceptos de control y seguridad. El auditor tendrá que revisar la
documentación que se produce a lo largo de todo proceso, para verificar si es
suficiente y si se ajusta a los estándares establecidos por la metodología
adoptada en la empresa. A este respecto resulta muy importante que se haya
llevado a cabo un aseguramiento de calidad, lo ideal sería que en la propia
empresa existiera un grupo de calidad que se encargara entre otras cosas de
asegurar la calidad para una base de datos.
Auditoría y Control Interno en un entorno de base de datos:
Cuando el Auditor se encuentra el sistema en explotación, deberá estudiar el
SGBD y su entorno. El gran problema de la base de datos es que su entorno
cada vez es más complejo y no puede limitarse solo al propio SGBD.

Sistema de Base de Datos (SGBD):

Un Sistema de Gestión de Bases de Datos (SGBD1) consiste en una colección
de datos interrelacionados y un conjunto de programas para acceder a los
mismos. Esta definición es prácticamente idéntica a la de los Sistema de
Información, de hecho, normalmente en el núcleo de un SI se sitúa un SGBD.
En principio se utilizaron para almacenar los atributos temáticos asociados a un
conjunto de entidades espaciales almacenadas en formato vectorial, hoy en día
se están empezando a utilizar además para el almacenamiento de la
información geométrica (conjunto de coordenadas) de las entidades espaciales.
Aunque se han hecho algunos intentos para almacenar información en formato
rastré en un SGBD, esta opción no resulta eficiente. Con respecto a las
funciones de la auditoria que ofrece el propio sistema, principalmente todos los
productos del mercado permiten registrar ciertas operaciones que se realizaron
sobre la base de datos de algunos archivos, el SGBD señala un requisito para
la auditoria es que la causa y el efecto de todos los cambios de la base de
datos se puedan verificar.

Software de Auditoria:
El Software de Auditoría, es el procedimiento a seguir, para el examen a de los
archivos de la forma más fácil y confiable, mismo que es planeado y elaborado
con anticipación y debe ser de contenido flexible, sencillo y conciso, de tal
manera que los procedimientos empleados en cada Auditoría estén de acuerdo
con las circunstancias del examen. El software de Auditoría, significa la tarea
preliminar trazada por el Auditor y que se caracteriza por la previsión de los
trabajos que deben ser efectuados en cada servicio profesional que presta, a
fin de que este cumpla integralmente sus finalidades dentro de la Normas
científicas de la Contabilidad y las Normas y Técnicas de la Auditoría.

Sistema de Monitorización y Ajuste (tuning):

Este tipo de sistema complementan las facilidades ofrecidas por el propio
SGBD, que ofrece mayor información para optimizar el sistema, que llega a ser
en determinadas ocasiones verdaderos sistemas expertos que proporcionan la
estructura óptima de la base de datos y de ciertos parámetros del SGBD y del
SO. La optimización de la base de datos, es fundamental, puesto que se actúa
en un entorno concurrente puede degradarse fácilmente el nivel de servicio que
haya podido establecerse con los usuarios.
Sistema Operativo:
El SO es una pieza clave del entorno, puesto que el SGBD se apoyará en
mayor o menor medida (según se trate de un SGBD dependiente o
independiente) en los servicios que le ofrezca. El auditor informático tiene
serias dificultades para controlar de manera rigurosa la interfaz entre el SGBD
y el SO, debido a que, en parte, constituye información reservada de los
fabricantes de los productos, además de requerir unos conocimientos
excepcionales que entran en el campo de la técnica de sistemas,

Monitor de Transacciones:
Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede
considerarse un elemento más del entorno con responsabilidades de
confidencialidad y rendimiento de información.

Protocolos y sistemas Distribuidos:

Siguiendo la tendencia actual la base de datos a través de las redes se torna
más accesible por lo que el riesgo de perder la confidencialidad es más
frecuente, así como las bases de datos distribuidas pueden presentar graves
riesgos de seguridad. Se establece cinco objetivos de control a la hora de
revisar la distribución de datos:
1. El Sistema de proceso distribuido debe tener una función de administración
de datos centralizada que establezca estándares generales para la distribución
de datos a través de las aplicaciones.
2. Deben establecerse unas funciones de administración de datos y de base
de datos fuertes, para que puedan controlar la distribución de los datos.
3. Deben de existir pistas de auditoría para todas las actividades realizadas por
las aplicaciones contra sus propias bases de datos y otras compartidas.
4. Deben existir controles software para prevenir interferencias de actualización
sobre las bases de datos en sistemas distribuidos.
5. Deben realizarse las consideraciones adecuadas de costes y beneficios en
el diseño de entornos distribuidos. Respecto a este último punto, es importante
destacar como, por ejemplo, muy pocas empresas han considerado rentables
implementar base de datos “realmente” distribuidas; siendo bastante más
económico y usual actualizar bases de datos distribuidas mediante
transferencia de archivos y procesos por lotes que hacerlo en línea.
Paquete de Seguridad:
La información almacenada en una base de datos puede llegar a tener un gran
valor. Los SGBD deben garantizar que esta información se encuentra segura
de permisos a usuarios y grupos de usuarios, que permiten otorgar diversas
categorías de permisos. Existen en el mercado varios productos que permiten
la implantación efectiva de una política de seguridad, puesto que centralizan el
control de accesos la definición de privilegios, perfiles de usuario, etc. Un grave
inconveniente de este tipo de software es que a veces no se encuentra bien
integrado con el SGBD pudiendo resultar poco útil su implantación si los
usuarios pueden “saltarse” los controles a través del propio SGBD.

Diccionario de Datos:
Este tipo de sistemas, empezaron a implantarse en los años 70, también
juegan un papel primordial en el entorno de los SGBD en cuanto a la
investigación de los componentes y al cumplimiento de la seguridad de los
datos. Los propios diccionarios se pueden auditar de forma análoga a las bases
de datos, las diferencias de unos a otros, residen principalmente en que un fallo
en una base de datos puede atentar contra la integridad de los datos y producir
un mayor riesgo financiero, mientras que un fallo en un diccionario.

Herramientas de “minería de datos”:

En los últimos años ha explosionado el fenómeno de los almacenes de datos
datawarehouses y las herramientas para la explotación o “minería” de datos
(datamining). Estas herramientas ofrecen soporte a la toma de decisiones
sobre datos de calidad integrados en el almacén de datos. La auditoría de los
EIS/DSS, cuyos principios se pueden aplicar a las herramientas de “minería”
debiéndose controlar la política de refresco y carga de los datos en el almacén
a partir de las bases de datos operacionales existentes, así como la existencia
de mecanismos de retroalimentación (feedback) que modifican las bases de
datos operacionales a partir de los datos del almacén.

Técnicas para el control de una base de datos en un entorno complejo:

Razón de Ser de las Técnicas Existen varios elementos del entorno del SGBD
que afectan en la base de datos, por lo que hacen que el sistema no sea fiable,
por lo que el Auditor debe tomar medidas de prevención, detección y
correctivos para que toda la información sea muy fiable y segura, pero debe
tomar en cuenta que por ningún motivo estas técnicas afecten la base de
datos. Entre otras técnicas, podemos mencionar la siguiente:
Matrices De Control
Sirve para identificar los conjuntos de datos del SI junto con los controles de
seguridad o integridad implementados sobre los mismos. Como referíamos
anteriormente esta técnica, antes de implementarse debe ser estudiada y
analizada por el auditor para que no afecte la base de datos del sistema. Los
pasos a seguir son:
1. Preventivos: Como su misma palabra lo dice, debe prevenir el mal uso del
sistema o la carga de archivos dañados a la base de datos.
2. Detectivos: Crear informes de manera tal que se verifique algún daño ya
hecho en la base de datos para poder corregirlo.
3. Correctivos: La copia de seguridad, una de las cosas más importantes de
esta técnica, debido a que cualquier problema que exista con la base de datos
se pueda arreglar al momento en el que se encontraba bien.

Análisis de los caminos de acceso:

Con esta técnica se documenta el flujo, Almacenamiento y procesamiento de
datos en todas las fases.
Teniendo este marco el auditor puede identificar las debilidades que expongan
los datos a riesgo de integridad, confidencialidad y seguridad

Normalizacion:
El proceso de normalización de bases de datos consiste en designar y aplicar
una serie de reglas a las relaciones obtenidas tras el modelo entidad-relación.

Las bases de datos relacionales se normalizan para:

Evitar la redundancia de los datos.

Disminuir problemas de actualización de los datos en las tablas.
Proteger la integridad de los datos.
Para que las tablas de nuestra BD estén normalizadas deben cumplir las
siguientes reglas:
Cada tabla debe tener su nombre único.
No puede haber dos filas iguales.
No se permiten los duplicados.
Todos los datos en una columna deben ser del mismo tipo.

Integridad Referencial:
La integridad referencial es una propiedad de la base de datos. La misma
significa que la clave externa de una tabla de referencia siempre debe aludir a
una fila válida de la tabla a la que se haga referencia. La integridad referencial
garantiza que la relación entre dos tablas permanezca sincronizada durante las
operaciones de actualización y eliminación.

Definición de los perfiles de usuarios en los sistemas de gestión de base

de datos.
Esta utilidad permite establecer las restricciones o permisos a que tiene derecho
cada usuario cuando ingresa al sistema. Esta utilidad es tan flexible y a su vez tan
poderosa, que el administrador del sistema puede determinar qué acciones,
reportes u opciones del sistema estarán visibles o disponibles para cada perfil de
usuario.
 Conclusiones
Los avances tecnológicos han dado paso a la creación y desarrollo de sistemas
de gestión de base de datos SGBD, los cuales en la actualidad son
elementales en la evaluación de riesgos de las empresas. Es importante
elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas
alternativas para alcanzar los objetivos del proyecto acompañados de una
evaluación de costo beneficio que contemplen las áreas a examinar. Las
empresas deben establecer procedimientos de revisión post-implantación
de los diferentes sistemas de control que se establezcan luego de la Auditoría
de Base de datos.

Todas las empresas deben adoptar Sistemas de Gestión de Base de Datos

SGBD, para llevar un control eficiente de las bases de datos y lograr con ello el
objetivo de salvaguardar los activos. El Contador Público y Auditor CPA,
deberá revisar una planificación del desarrollo de su auditoria el cual debe
incluir objetivos, alcances, áreas a auditar, costo beneficio. El auditor debe
examinar la utilización de todas las herramientas que ofrece el propio SGBD y
las políticas y procedimientos que sobre su utilización haya definido el
administrador para valorar si son suficientes o si debe ser mejorados.
 Bibliografia

AUDITORIA INFORMATICA UN ENFOQUE PRACTICO Mario G. Piattini –

Emilio del Peso 2da Edición Alfaomega Grupo Editor Capitulo 14 pagina 312 a
333