Auditora y control interno en

un entorno de bases de datos

Jaramillo Jorge
Suarez Arnold
AUDITORIA Y CONTROL INTERNO EN UN
ENTORNO DE BASES DE DATOS

Debern
considerarse
los datos
compartidos
por mltiples
usuarios.
Esto debe
abarcar
todos los
componente
s del entorno
de Bd.

Sistema de Gestion de Base de Datos. (SGBD)

- Entre sus componentes podemos destacar, el Kernel, el
catlogo (componente fundamental para asegurar la
seguridad de la base de datos), las utilidad para el
administrador ( crear usuarios, conceder privilegios ) y
resolver otras cuestiones relativas a la confidencialidad.
- En cuanto a las funciones de auditora que ofrece el
propio sistema, prcticamente todos los productos del
mercado permiten registrar la mayora de las
operaciones.
- el requisito para la auditoria es que la causa y el efecto
de todos los cambios de la base de datos sean
veriificables

SOFTWARE DE AUDITORA
Son paquetes que pueden emplearse para facilitar la labor
del auditor en cuanto a la extraccin de datos de la base , el
seguimiento de las transacciones , datos de prueba otros.

SISTEMA DE MONITORIZACIN Y AJUSTE
(tuning)
Este tipo de sistemas complementan las facilidades
ofrecidas por elpropio SGBD, ofreciendo mayor informacin
para optimizar el sistema llegando a ser en ciertas
ocasiones verdaderos sistemas expertos que proporcionan
la estructura ptima de la base de datos y de ciertos
parmetros del SGBD y SO.

SISTEMA OPERATIVO (S.O)
El sistema operativo es una pieza clave del entorno puesto
que el SGBD se apoyar en mayor o menor medida en los
servicios que le ofrezca; el S.O en cuanto a control de
memoria , gestin de reas de de almacenamiento
intermedio (buffers) manejo de errores, control de
confiadencialidad mecanismo de interbloqueo otros.


MONITOR DE TRANSACCIONES
Actualmente est considerado como un elemento ms del
entorno
Con responsabilidades de confidencialidad y rendimiento.


PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
cinco objetivos de control a la hora de revisar la
distribucin de datos
-El sistema de proceso distribuido debe tener en funcn de
administracin de datos centralizada, que establezca
estndares generales para la distribucin de datos a travs
de aplicaciones.
-Deben establecerse unas funciones de administracin de
datos y de base de datos fuertes, para que puedan
controlar la distribucin de los datos.
-Deben de existir pistas de auditora para todas las
actividades realizadas por la aplicaciones contra sus
propias bases de datos y otras compartidas.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
-Deben existir controles software para prevenir
interferencias de actualizacin sobre las bases de
datos en sistemas distribuidos.
-Deben realizarse las consideraciones adecuadas de
costes y beneficios en el diseo de entornos
distsribuidos.


PAQUETES DE SEGURIDAD
-Existen en el mercado varios productos que permiten
la implantacin Efectiva de de una poltica de
seguridad , puesto que centralizan el Control de
accesos , la definicin de privilegios , perfiles de
usuarios otros.


Diccionario de Datos
Juegan un papel primordial en el ede ntorno de los SGBD
en cuanto a la integracin de componentes y al
cumplimiento de la seguridad datos.
Los diccionarios de datos se pueden auditar de manera
anloga a las bases de datos, ya que, despus de todo, son
bases de datos de metadatos
Un fallo en la BD puede atentar contra la integridad de los
datos y producir un mayor riesgo financiero, mientras que
un fallo en un diccionario (o repositorios), suele llevar
consigo un perdida de integridad de los procesos; siendo
ms peligrosos los fallos en los diccionarios puesto que
pueden introducir errores de forma repetitiva a lo largo del
tiempo y son mas difciles de detectar.


Herramientas CASE
Constituyen una herramienta clave para que el auditor
pueda revisar el diseo de la DB, comprobar si se ha
empleado correctamente la metodologa y asegurar un
nivel mnimo de calidad.


Lenguajes de Generacin de Cuarta
generacin (L4G) independientes
Son elementos a considerar en el entrono del SGBD
De los objetivos de control para los L4G, destacan los
siguientes:

El L4G debe ser capaz de operar en el entorno de
proceso de datos con controles adecuados.

Las aplicaciones desarrolladas con L4G deben seguir
los mismos procedimientos de automatizacin y
peticin que los proyectos de desarrollo
convencionales.

Las aplicaciones desarrolladas con L4G deben sacar
ventajas de las caractersticas incluidas en el mismo.


Lenguajes de Generacin de Cuarta
generacin (L4G) independientes
Uno de los peligros ms graves de los L4G es que no se
aplican controles con el mismo rigor que a los programas
desarrollados con lenguajes de tercera generacin.

Otros problemas pueden ser la ineficacia y elevado
consumo de recursos

El Auditor deber estudiar los controles disponibles el los
L4G, en caso negativo, recomendar su construccin con
lenguajes de tercera generacin.


Facilidades de Usuario
El auditor deber investigar las medidas de seguridad que
ofrecen estas herramientas (Interfaz grfica de usuario) y
bajo que condiciones han sido instaladas; las herramientas
de este tipo deberan proteger a los usuarios de sus
propios errores.
Objetivos de control:
La documentacin de las aplicaciones desarrollada por
usuarios finales debe ser suficiente para que tanto sus
usuarios principales como cualquier otro pueda operar
y mantenerlas.
Los cambios de estas aplicaciones requieren la
aprobacin de la direccin y deben documentarse de
forma completa.


Herramientas de Minera de Datos
Estas herramientas ofrecen soporte a la toma de
decisiones sobre datos de calidad integrados en el
almacn de datos

Se deber controlar la poltica de refresco y carga de
los datos en el almacn a partir de las bases de datos
operacionales existentes, as como la existencia de
mecanismos de retroalimentacin que modifican las
bases de datos operacionales a partir de los datos del
almacn.

Aplicaciones
El auditor deber controlar que las aplicaciones no
atentan contra la integridad de los datos de la base.


TCNICAS PARA EL CONTROL DE BASE DE DATOS
EN UN ENTORNO COMPLEJO

Existen muchos elementos del entorno del SGDB que
influyen el la seguridad e integridad de los datos, en
los que cada uno de apoya en la operacin correcta y
predecidle de otra.
El efecto de esto es: debilitar la seguridad global del
sistema, reduciendo la fiabilidad e introduciendo un
conjunto de controles descordinados y solapados,
dificiles de gestionar .
Cuando el auditor se enfrenta a un entrono de este
tipo, puedeemplear, entre otras, dos tcnicas de
control.



Matrices de Control
Sirven para
identificar
los
conjuntos
de datos
del SI
juntos con
los
controles
de
seguridad o
integridad
implementa
dos sobre
los mismos.


DATOS
CONTROLES DE SEGURIDAD
PREVENTI
VOS
DETECTIV
OS
CORRECTI
VOS
TRANSACCIO
NES DE
ENTRADA
Verificacin Informe de
Reconciliac
in
REGISTRO
DE BASE DE
DATOS
Cifrado Informe de
excepcin
Copia de
seguridad
Los controles se clasifican como se puede observar en
detectivos, preventivos y correctivos
Anlisis de los Caminos de Acceso

Con esta
tcnica se
documentan el
flujo,
almacenamient
o y
procesamiento
de los datos en
todas las fases
por las que
pasan desde el
mismo
momento en
que se
introducen,
identificando
los
componentes
del sistema
que atraviesan
(tanto Hw
como Sw) y los
controles
asociados

DATOS
MONITOR
DE
MULTIPROC
ESO
PAQUET
E
DE
SEGURID
AD
PROGRA
MA
SG
BD
S
O
ORDENADOR CENTRAL
USUARIO
ORDENADOR
PERSONAL
Control de Acceso
* Cifrado
* Control de Integridad
Control de Acceso
* Registro de
Transacciones
Copias de Seguridad
Fichero diario de Integridad de Datos
Controles Diversos
Seguridad
Cifrado
Formacin
* Controles
*
Procedimien
tos
Control de Acceso
* Registro de
Acceso
* Informe de
Excepciones
Control de Acceso
* Control de Integridad
De datos
Anlisis de los caminos de acceso
CONCLUSIONES
Debido a la complejidad de la tecnologa de bases de datos y al extraordinario
crecimiento del entorno del SGBD la tecnologa de bases de datos ha
afectado a afectado al papel del auditor interno ms que a cualquier otro
individuo. Se ha convertido en extremo difcil auditar alrededor del
computador, por lo que se requiere personal especializado (auditores
externos).
Antes de empezar una revisin de control interno, el auditor debe examinar el
entorno en el que opera el SGBD.
Las consideraciones de auditora deberan incluirse en las distintas fases del
ciclo de vida de una base de datos
Aparicin de nuevos riesgos de inters para el auditor (como por ejemplo, en
el rea de seguridad) con la aparicin de nuevos tipos de bases de datos
(como las activas, las orientadas a objetos, temporales, multimedia,
multidimensionales, etc.), y la creciente distribucin de los datos (bases de
datos federadas, multibases de datos, web, base de datos mviles, otros.