AUDITORA EN ENTORNOS DE BD Son el punto de partida de la realizacin de la auditoria de aplicaciones, que usan esta tencologa (BD) METODOLOGA Tradicional ChekList S (si) - N (no) - NA (no aplicable) Ejemplo: Existe una metodologa de diseo de BD? Evaluacin de riesgos (ROA) Confidencialidad de la BD Tipos de usuarios, perfiles, privilegios Tcnicas que utiliza: preventivas, detectivas o correctivas. Prueba de cumplimiento: privilegios y perfiles del SGBD Prueba sustantiva: comprobar los datos. La IR, VC, MBIF, entre otros en la BD. Risk Oriented Approach EL MCV EN UNA BD Estudio previo y plan de trabajo Concepcin de la BD y le seleccin del equipo Diseo y carga Explotacin y mantenimiento Revisin post-implantacin Otros procesos MCV ESTUDIO PREVIO Identificacin de opciones Anlisis de costo/beneficio Desarrollar o comprar? Analizar los informes de viabilidad por la direccin de la empresa para evitar fracasos de implementacin Llevar a cabo la Gestin de Riesgos (COBIT) Identificar/Valorar/Medir/Accionar/Aceptar Plan director de BD concordante con el plan general de sistemas de la organizacin MCV CONCEPCIN DE LA BD Y SELECCIN DEL EQUIPO Se disea la BD acorde a los modelos y tcnicas establecidas por el plan director. Debe especificarse: Documentacin Control Seguridad Pista de auditoria (triggers) Definir la arquitectura de la informacin: Modelo consistente y concordante al PS de la organizacin Datos y DD corporativo Clasificacin de los datos en cuanto a su seguridad Niveles de seguridad para cada clasificacin Seleccin del hardware para la BD MCV DISEO Y CARGA Diseo lgico y fsico de la BD Carga de datos Inicial Migracin Contemplar datos con errores Lote de prueba
MCV EXPLOTACIN Y MANTENIMIENTO La explotacin del sistema es posterior a la prueba de aceptacin del usuario Los datos se tratan en forma congruente y exacta Los datos se modifican acorde a una matriz de autorizaciones Tareas de mantenimiento de BD ndices, compactacin, tuning, entre otros. MCV REVISIN POST-IMPLANTACIN Revisin posterior que garantiza la conservacin de la BD Se evala: Resultados esperados Necesidades de los usuarios Costos y beneficios reales vs los previstos MCV OTROS PROCESOS Capacitacin/formacin a usuarios Informticos No informticos Plan de formacin integral Cuidado con los usuarios sin formacin Aseguramiento de la calidad Ej. Teora de la normalizacin AUDITORIA Y CI DE UN ENTRONO DE BD SGBD: kernel, catlogos, etc Software de auditoria: GAS (extraccin de datos, Lotes de prueba) Sistema de monitorizacin y ajuste: SE de optimizacin SO: Relacin independiente o dependiente con el SGBD) Monitor de transacciones Protocolos y sistemas distribuidos: rol de las redes de comunicacin Paquete de seguridad: Privilegios, controles de usuarios externos Diccionario de datos: Integracin de componentes y seguridad de datos Herramientas CASE: Se usan en conjunto con los DD. Grficos, tablas. L4G/4GL o SQL Facilidades de usuario: QBE Conexin con paquetes ofimticos Herramientas de MD: DWH y DM Aplicaciones: las aplicaciones no deben afectar la integridad de los datos de la base. TCNICAS PARA EL CONTROL DE BD EN ENTORNOS COMPLEJOS Matrices de control Transacciones de datos Preventiva: verificacin Detectiva: informe de reconciliacin Correctiva: no tiene Registros de BD Preventiva: cifrado Detectiva: informe de excepcin Correctiva: backup Anlisis de caminos de acceso. Documenta el flujo, almacenamiento y procesamiento de los datos desde su entrada hasta la escritura en el disco.-