Jaramillo Jorge Suarez Arnold AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS
Debern considerarse los datos compartidos por mltiples usuarios. Esto debe abarcar todos los componente s del entorno de Bd.
Sistema de Gestion de Base de Datos. (SGBD)
- Entre sus componentes podemos destacar, el Kernel, el catlogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidad para el administrador ( crear usuarios, conceder privilegios ) y resolver otras cuestiones relativas a la confidencialidad. - En cuanto a las funciones de auditora que ofrece el propio sistema, prcticamente todos los productos del mercado permiten registrar la mayora de las operaciones. - el requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean veriificables
SOFTWARE DE AUDITORA Son paquetes que pueden emplearse para facilitar la labor del auditor en cuanto a la extraccin de datos de la base , el seguimiento de las transacciones , datos de prueba otros.
SISTEMA DE MONITORIZACIN Y AJUSTE (tuning) Este tipo de sistemas complementan las facilidades ofrecidas por elpropio SGBD, ofreciendo mayor informacin para optimizar el sistema llegando a ser en ciertas ocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del SGBD y SO.
SISTEMA OPERATIVO (S.O) El sistema operativo es una pieza clave del entorno puesto que el SGBD se apoyar en mayor o menor medida en los servicios que le ofrezca; el S.O en cuanto a control de memoria , gestin de reas de de almacenamiento intermedio (buffers) manejo de errores, control de confiadencialidad mecanismo de interbloqueo otros.
MONITOR DE TRANSACCIONES Actualmente est considerado como un elemento ms del entorno Con responsabilidades de confidencialidad y rendimiento.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS cinco objetivos de control a la hora de revisar la distribucin de datos -El sistema de proceso distribuido debe tener en funcn de administracin de datos centralizada, que establezca estndares generales para la distribucin de datos a travs de aplicaciones. -Deben establecerse unas funciones de administracin de datos y de base de datos fuertes, para que puedan controlar la distribucin de los datos. -Deben de existir pistas de auditora para todas las actividades realizadas por la aplicaciones contra sus propias bases de datos y otras compartidas. PROTOCOLOS Y SISTEMAS DISTRIBUIDOS -Deben existir controles software para prevenir interferencias de actualizacin sobre las bases de datos en sistemas distribuidos. -Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseo de entornos distsribuidos.
PAQUETES DE SEGURIDAD -Existen en el mercado varios productos que permiten la implantacin Efectiva de de una poltica de seguridad , puesto que centralizan el Control de accesos , la definicin de privilegios , perfiles de usuarios otros.
Diccionario de Datos Juegan un papel primordial en el ede ntorno de los SGBD en cuanto a la integracin de componentes y al cumplimiento de la seguridad datos. Los diccionarios de datos se pueden auditar de manera anloga a las bases de datos, ya que, despus de todo, son bases de datos de metadatos Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo ms peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difciles de detectar.
Herramientas CASE Constituyen una herramienta clave para que el auditor pueda revisar el diseo de la DB, comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad.
Lenguajes de Generacin de Cuarta generacin (L4G) independientes Son elementos a considerar en el entrono del SGBD De los objetivos de control para los L4G, destacan los siguientes:
El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados.
Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatizacin y peticin que los proyectos de desarrollo convencionales.
Las aplicaciones desarrolladas con L4G deben sacar ventajas de las caractersticas incluidas en el mismo.
Lenguajes de Generacin de Cuarta generacin (L4G) independientes Uno de los peligros ms graves de los L4G es que no se aplican controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin.
Otros problemas pueden ser la ineficacia y elevado consumo de recursos
El Auditor deber estudiar los controles disponibles el los L4G, en caso negativo, recomendar su construccin con lenguajes de tercera generacin.
Facilidades de Usuario El auditor deber investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz grfica de usuario) y bajo que condiciones han sido instaladas; las herramientas de este tipo deberan proteger a los usuarios de sus propios errores. Objetivos de control: La documentacin de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobacin de la direccin y deben documentarse de forma completa.
Herramientas de Minera de Datos Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacn de datos
Se deber controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin que modifican las bases de datos operacionales a partir de los datos del almacn.
Aplicaciones El auditor deber controlar que las aplicaciones no atentan contra la integridad de los datos de la base.
TCNICAS PARA EL CONTROL DE BASE DE DATOS EN UN ENTORNO COMPLEJO
Existen muchos elementos del entorno del SGDB que influyen el la seguridad e integridad de los datos, en los que cada uno de apoya en la operacin correcta y predecidle de otra. El efecto de esto es: debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descordinados y solapados, dificiles de gestionar . Cuando el auditor se enfrenta a un entrono de este tipo, puedeemplear, entre otras, dos tcnicas de control.
Matrices de Control Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementa dos sobre los mismos.
DATOS CONTROLES DE SEGURIDAD PREVENTI VOS DETECTIV OS CORRECTI VOS TRANSACCIO NES DE ENTRADA Verificacin Informe de Reconciliac in REGISTRO DE BASE DE DATOS Cifrado Informe de excepcin Copia de seguridad Los controles se clasifican como se puede observar en detectivos, preventivos y correctivos Anlisis de los Caminos de Acceso
Con esta tcnica se documentan el flujo, almacenamient o y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hw como Sw) y los controles asociados
DATOS MONITOR DE MULTIPROC ESO PAQUET E DE SEGURID AD PROGRA MA SG BD S O ORDENADOR CENTRAL USUARIO ORDENADOR PERSONAL Control de Acceso * Cifrado * Control de Integridad Control de Acceso * Registro de Transacciones Copias de Seguridad Fichero diario de Integridad de Datos Controles Diversos Seguridad Cifrado Formacin * Controles * Procedimien tos Control de Acceso * Registro de Acceso * Informe de Excepciones Control de Acceso * Control de Integridad De datos Anlisis de los caminos de acceso CONCLUSIONES Debido a la complejidad de la tecnologa de bases de datos y al extraordinario crecimiento del entorno del SGBD la tecnologa de bases de datos ha afectado a afectado al papel del auditor interno ms que a cualquier otro individuo. Se ha convertido en extremo difcil auditar alrededor del computador, por lo que se requiere personal especializado (auditores externos). Antes de empezar una revisin de control interno, el auditor debe examinar el entorno en el que opera el SGBD. Las consideraciones de auditora deberan incluirse en las distintas fases del ciclo de vida de una base de datos Aparicin de nuevos riesgos de inters para el auditor (como por ejemplo, en el rea de seguridad) con la aparicin de nuevos tipos de bases de datos (como las activas, las orientadas a objetos, temporales, multimedia, multidimensionales, etc.), y la creciente distribucin de los datos (bases de datos federadas, multibases de datos, web, base de datos mviles, otros.