AUDITORA DE SISTEMAS

Auditora de bases de datos

AUDITORA EN ENTORNOS DE BD
Son el punto de partida de la realizacin de
la auditoria de aplicaciones, que usan esta
tencologa (BD)
METODOLOGA
Tradicional
ChekList
S (si) - N (no) - NA (no aplicable)
Ejemplo: Existe una metodologa de diseo de BD?
Evaluacin de riesgos (ROA)
Confidencialidad de la BD
Tipos de usuarios, perfiles, privilegios
Tcnicas que utiliza: preventivas, detectivas o correctivas.
Prueba de cumplimiento: privilegios y perfiles del SGBD
Prueba sustantiva: comprobar los datos. La IR, VC, MBIF, entre
otros en la BD.
Risk Oriented Approach
EL MCV EN UNA BD
Estudio previo y plan de trabajo
Concepcin de la BD y le seleccin del
equipo
Diseo y carga
Explotacin y mantenimiento
Revisin post-implantacin
Otros procesos
MCV ESTUDIO PREVIO
Identificacin de opciones
Anlisis de costo/beneficio
Desarrollar o comprar?
Analizar los informes de viabilidad por la
direccin de la empresa para evitar fracasos de
implementacin
Llevar a cabo la Gestin de Riesgos (COBIT)
Identificar/Valorar/Medir/Accionar/Aceptar
Plan director de BD concordante con el plan
general de sistemas de la organizacin
MCV CONCEPCIN DE LA BD Y
SELECCIN DEL EQUIPO
Se disea la BD acorde a los modelos y tcnicas establecidas por el
plan director.
Debe especificarse:
Documentacin
Control
Seguridad
Pista de auditoria (triggers)
Definir la arquitectura de la informacin:
Modelo consistente y concordante al PS de la organizacin
Datos y DD corporativo
Clasificacin de los datos en cuanto a su seguridad
Niveles de seguridad para cada clasificacin
Seleccin del hardware para la BD
MCV DISEO Y CARGA
Diseo lgico y fsico de la BD
Carga de datos
Inicial
Migracin
Contemplar datos con errores
Lote de prueba

MCV EXPLOTACIN Y MANTENIMIENTO
La explotacin del sistema es posterior a la
prueba de aceptacin del usuario
Los datos se tratan en forma congruente y
exacta
Los datos se modifican acorde a una matriz de
autorizaciones
Tareas de mantenimiento de BD
ndices, compactacin, tuning, entre otros.
MCV REVISIN POST-IMPLANTACIN
Revisin posterior que garantiza la conservacin
de la BD
Se evala:
Resultados esperados
Necesidades de los usuarios
Costos y beneficios reales vs los previstos
MCV OTROS PROCESOS
Capacitacin/formacin a usuarios
Informticos
No informticos
Plan de formacin integral
Cuidado con los usuarios sin formacin
Aseguramiento de la calidad
Ej. Teora de la normalizacin
AUDITORIA Y CI DE UN ENTRONO DE BD
SGBD: kernel, catlogos, etc
Software de auditoria: GAS (extraccin de datos, Lotes de prueba)
Sistema de monitorizacin y ajuste: SE de optimizacin
SO: Relacin independiente o dependiente con el SGBD)
Monitor de transacciones
Protocolos y sistemas distribuidos: rol de las redes de comunicacin
Paquete de seguridad: Privilegios, controles de usuarios externos
Diccionario de datos: Integracin de componentes y seguridad de datos
Herramientas CASE: Se usan en conjunto con los DD. Grficos, tablas.
L4G/4GL o SQL
Facilidades de usuario: QBE Conexin con paquetes ofimticos
Herramientas de MD: DWH y DM
Aplicaciones: las aplicaciones no deben afectar la integridad de los
datos de la base.
TCNICAS PARA EL CONTROL DE BD EN
ENTORNOS COMPLEJOS
Matrices de control
Transacciones de datos
Preventiva: verificacin
Detectiva: informe de reconciliacin
Correctiva: no tiene
Registros de BD
Preventiva: cifrado
Detectiva: informe de excepcin
Correctiva: backup
Anlisis de caminos de acceso.
Documenta el flujo, almacenamiento y procesamiento de los datos
desde su entrada hasta la escritura en el disco.-