\AUDITORIADEBASEDEDATOS

INDICE
01.Introduccin
02.Metodologasparalaauditoradebasesdedatos.
03.Estudioprevioyplandetrabajo.
04.Concepcindelabasededatosyseleccindelequipo.
05.Diseoycarga
06.Explotacinymantenimiento.
07.Revisinpostimplantacin.

01.INTRODUCCION
LagrandifusindelosSistemasdeGestindeBasesdeDatos(SGBD),juntoconla
consagracindelosdatoscomounodelosrecursosfundamentalesdelasempresas,ha
hechoquelostemasrelativosasucontrolinternoyauditoriacobren,cadada,mayor
inters.
Normalmentelaauditoriainformticaseaplicadedosformasdistintas;porunladose
auditanlasprincipalesreasdeldepartamentodeinformtica:explotacin,direccin,
metodologadedesarrollo, sistemaoperativo, telecomunicaciones, basesdedatos,
etc.; y, por otro, se auditan las aplicaciones desarrolladas internamente,
(subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la
auditoriadelentornodebasesdedatosradicaenqueeselpuntodepartidaparapoder
realizarlaauditoriadelasaplicacionesqueutilizanestatecnologa.
02.METODOLOGASPARALAAUDITORADEBASESDEDATOS.
Aunque existen distintas metodologas que se aplican en auditora informtica
(prcticamentecadafirmadeauditoresycadaempresadesarrollalasuyapropia), se
puedenagruparendosclases:
Metodologatradicional.Enestetipodemetodologaelauditorrevisaelentornocon
laayudadeunalistadecontrol(checklist),queconstadeunaseriedecuestionesa
verificar.Porejemplo:
ExisteunametodologadeDiseodeBasedeDatos?SNNA
(Sessi,NnoyNAnoaplicable),debiendoregistrarelauditorelresultadodesu
investigacin.
Estetipodetcnicasueleseraplicadaalaauditoradeproductosdebasesdedatos,
especificndoseenlalistadecontroltodoslosaspectosatenerencuenta.
Metodologadeevaluacinderiesgos: Estetipodemetodologa,conocidatambin
por riskorientedapproach, esla queproponelaISACA, yempiezafijandolos

objetivosdecontrolqueminimizanlosriesgospotencialesalosqueestsometidoel
entorno.Acontinuacin,unalistadelosriesgosmsimportantessegn2autores:
Incremento de la dependencia del servicio informtico debido a la
concentracindedatos
Mayoresposibilidadesdeaccesoenlafiguradeladministradordelabasede
datos
IncompatibilidadentresistemasdeseguridaddeaccesopropiosdelSGBDyel
generaldelainstalacin.
Mayor impacto de los errores en datos o programas que en los sistemas
tradicionales
Rupturadeenlaces ocadenasporfallos delsoftwareodelosprogramasde
aplicacin
Mayorimpactodeaccesosnoautorizadosaldiccionariodelabasededatosque
aunficherotradicional.
Mayordependenciadelniveldeconocimientostcnicosdelpersonalquerealice
tareas relacionadas con el software de base de datos (administrador,
programadores,etc.)
Comoenlaauditoradedesarrollo,sepuedeseguirlamismametodologa, dondese
establecenprimeramente:
Objetivodecontrol (ejemplo: ElSGBDdeberpreservarlaconfidencialidaddela
basededatos).
Tcnicasdecontrol.Unavezestablecidoslosobjetivosdecontrol,seespecificanlas
tcnicasespecficascorrespondientesadichosobjetivos(ejemplo:Sedebernestablecer
lostiposdeusuarios,perfilesyprivilegiosnecesariosparacontrolarelaccesoalas
basesdedatos).
Unobjetivodecontrolpuedellevarasociadasvariastcnicasquepermitencubrirloen
sutotalidad. Estastcnicaspuedenserpreventivas, detectivas(comomonitorizarla
BD)ocorrectivas(porejemplo,unacopiaderespaldoobackup).
Pruebas decumplimiento. En casodequelos controles existan, sediseanunas
pruebas(denominadapruebasdecumplimiento)quepermitenverificarlaconsistencia
delosmismos.Porejemplo:ListarlosprivilegiosyperfilesexistentesenelSGBD.
Siestaspruebasdetectaninconsistenciasenloscontroles,obien,siloscontrolesno
existen, sepasaadisearotrotipodepruebasdenominadas pruebassustantivas
quepermitandimensionarelimpactodeestasdeficiencias.
Pruebasustantiva. Comprobarsilainformacinhasidocorrompidacomparndola
conotrafuenteorevisandolosdocumentosdeentradadedatosylastransaccionesque
sehanejecutado.

Unavezvaloradoslosresultadosdelaspruebasseobtienenconclusionesquesern
comentadasydiscutidasconlosresponsablesdirectosdelasreasafectadasconelfin
de corroborar los resultados. Por ltimo, el auditor deber emitir una serie de
comentarios donde se describa la situacin, el riesgo existente y la deficiencia a
solucionar,yensucaso,sugerirlaposiblesolucin.
Estaserlatcnicaautilizarparaauditorelentornogeneraldeunsistemadebasesde
datos,tantoensudesarrollocomodurantelaexplotacin.
PRINCIPALESOBJETIVOSDECONTROLENELCICLODEVIDADEUNA
BASEDEDATOS

Estudio
previoy
plande
t
trabajo

Revisin
post
implantaci
n

Concepcin
delaBDy
seleccin
d
delequipo

Diseoy
c
carga

Explotaci
ny
mantenimi
e
ento

03.ESTUDIOPREVIOYPLANDETRABAJO.
Enestaprimerafase,esmuyimportanteelaborarunestudiotecnolgicodeviabilidad
enelcualsecontemplendistintasalternativasparaalcanzarlosobjetivosdelproyecto
acompaadosdeunanlisisdecostobeneficioparacadaunadelasopciones.Sedebe
considerarentreestasalternativaslaposibilidaddenollevaracaboelproyecto (no
siempreestjustificadalaimplantacindeunsistemadebasededatos)ascomola
disyuntivaentredesarrollarycomprar(enlaprctica,avecesencontramosconquese
ha desarrollado una aplicacin que ya exista en mercados, cuya compra hubiese
supuesto un riesgo menor, asegurndonos incluso una mayor cantidad a un precio
inferior).
Lamentablemente,enbastantesempresasesteestudiodeviabilidadnosellevaacabo
conelrigornecesario,conloqueamedidaquesevandesarrollando, lossistemas
demuestranserpocorentables.
El auditordebecomprobartambinquelaaltadireccin revisalosinformesdelos
estudiosdeviabilidadyqueeslaquedecideseguiradelanteonoconelproyecto.Esto
esfundamentalporquelostcnicosquehandetenerencuentaquesinoexisteuna
decidida voluntad delaorganizacin ensuconjunto, impulsada porlosdirectivos,
aumentaconsiderablementeelriesgodefracasarenlaimplantacindesistema.
Encasodequesedecidallevaracaboelproyectoesfundamentalqueseestablezcaun
plandirector,debiendoelauditorverificarqueefectivamentedichoplanseempleapara

elseguimientoygestindelproyectoyquecumpleconlosprocedimientosgeneralesde
gestindeproyectosquetenganaprobadoslaorganizacin.
Otro aspecto importante en estafasees la aprobacin dela estructura orgnica del
proyectoenparticular, sinotambindelaunidadquetendrlaresponsabilidaddela
gestinycontroldelabasededatos;recordemosque,paraqueunentornodebasede
datosfuncionedebidamente,estaunidadesimprescindible.

Tareasdeladministradordedatos
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o

Realizareldiseoconceptualylgicodelabasededatos
Apoyaralpersonaldesistemasduranteeldesarrollodeaplicaciones
Formaralpersonal
Establecerestndaresdediseodeb.d.desarrolloycontenidodeldiccionariode
datos
Desarrollarpolticasdegestindedatos
Desarrollarplanesestratgicosytcticosparalamanipulacindelosdatos
Desarrollarlosrequisitosdeloselementosdeldiccionariodedatos
Desarrollarnormasparaladenominacin
Controlarlaintegridadyseguridaddelosdatos
Planificarlaevolucindelabddelaempresa
Identificaroportunidadesdecomparticindedatos
Trabajarconlosauditoresenlaauditoradelabaseded.
Proporcionarcontrolesdeseguridad
Realizareldiseofsicodelab.d.
Asesorarenlaadquisicindehwysw
SoportarelSGBD
ResolverproblemasdelSGBDydelsoftwareasociado
MonitorizarelrendimientodelSGBD
Ayudareneldesarrollodeplanesqueasegurenlacapacidadhw.
Asegurarlaintegridaddelosdatos,comprobandoqueseimplantanlos
controlesadecuados
Asegurarlaseguridadyconfidencialidad
Proporcionarfacilidadesdeprueba
Integrarpaquetes,procedimientos,utilidades,etc.DesoporteparaalSGND
Desarrollarestndares,procedimientosydocumentarlos

Alahoradedetallarlasresponsabilidadesdeestasfuncioneshayquetenerencuenta
unodelosprincipiosfundamentalesdelcontrolinterno:laseparacindefunciones.Se
recomiendaunaseparacindefuncionesentre:
o Elpersonaldedesarrollodesistemasyeldeexplotacin
o Explotacinycontroldedatos
o Administracindebasededatosydesarrollo
Deberaexistirtambinunaseparacindefuncionesentreeladministradordeseguridad
yeladministradordelabasededatos. Estonoquieredecirqueestastareastengan
forzosamentequedesempearlaspersonasdistintas(loquenoseraviableenmuchasy
pequeasymedianas empresas) perosqueesunaspectoimportante decontrola
considerar,porloqueencasodequenopuedalograrselaseparacindefunciones,
debernestablecersecontrolescompensatoriosoalternativos:como,porejemplo,una
mayor atencin de la direccin y la comprobacin por parte de algn usuario del
contenidoydelassalidasmsimportantesproducidasapartirdelaBD.

Lasituacinqueelauditorencuentranormalmenteenlasempresasesquealnoexistir
unadescripcindetalladadelospuestosdetrabajo(queincluyanresponsabilidades,
conocimientos,etc.),laseparacindefuncionesesmuydifcildeverificar.
04.CONCEPCINDELABASEDEDATOSYSELECCINDELEQUIPO.
Enestafaseseempiezaadisearlabasededatos.Lametodologadediseodebera
tambinemplearseparaespecificarlosdocumentosfuentes,losmecanismosdecontrol,
lascaractersticasdeseguridadylaspistasdeauditoriaaincluirenelsistema, estos
ltimos aspectos generalmente se descuidan, lo que produce mayores costos y
problemascuandosequierenincorporarunavezconcluidalaimplementacindelabase
dedatosylaprogramacindelasaplicaciones.
Elauditordebeportanto,enprimerlugar,analizarlametodologadediseoconelfin
dedeterminarsiesonoaceptable,yluegocomprobarsucorrectautilizacin.Como
mnimo, unametodologadediseodeBDdeberacontemplardosfasesdediseo:
lgicoyfsico,aunquelamayoradelasempleadasenlaactualizadcontempla3fases:
ademsdelasdosanteriores,unafasepreviadediseoconceptualqueseraabordada
enestemomentodelciclodevidadelabasededatos.
Unpuntoimportanteaconsiderar,objetivosdecontrolrelativosa:
o Modelodearquitecturadeinformacinysuactualizacin,queesnecesariapara
mantenerelmodeloconsistenteconlasnecesidadesdelosusuariosyconelplan
estratgicodetecnologasdelainformacin
o Datosydiccionariodedatoscorporativo
o Esquemadeclasificacindedatosencuantoaseguridad
o Nivelesdeseguridadparacadaanteriorclasificacindedatos
Encuantoalaseleccindelequipo,encasodequelaempresanodispongayadeuno,
deberrealizarseutilizandoprocedimientoriguroso;enelqueseconsidereporunlado,
lasnecesidadesdelaempresa(debidamenteponderadas)y,porotro,lasprestaciones
queofrecenlosdistintosSGBDcandidatos(puntuadosdemaneraoportuna).
05.DISEOYCARGA
Enestafasesellevarnacabolosdiseoslgicoyfsicodelabasededatos,porloque
el auditor tendr que examinar si estos diseos se han realizado correctamente:
determinando si la definicin de datos contemplan adems de su estructura, las
asociaciones y las restricciones oportunas, as como las especificaciones de
almacenamientodedatosylascuestionesrelativasalaseguridad.Elauditortendrque
tomarunamuestradeciertoselementos(tablas,vistas,ndices)ycomprobarquesu
definicinescompleta,quehasidoaprobadaporelusuarioyqueeladministradordela
basededatosparticipensuestablecimiento.
Esimportantequeladireccindeldepartamentodeinformtica,losusuarioseincluso,
enalgunasocasiones,laaltadireccin,apruebeneldiseodelosdatos,aligualqueel
delasaplicaciones.
UnavezdiseadaunaBDseprocederasucarga,yaseamigrandodatosdeunsoporte
magnticoointroducindolosmanualmente.

Lasmigracionesoconversionesdesistemas,conelpasodeunsistemadeficherosa
unodebasededatos,odeuntipodeSGBD(dejerrquicoaracional),entraanun
riesgomuyimportante, porloquedebernestarclaramenteplanificadasparaevitar
prdidadeinformacinylatransmisinalnuevosistemadedatoserrneos.Tambinse
debern realizar pruebas en paralelo, verificando que la decisin real de dar por
terminadalapruebaenparalelo,seatenaaloscriteriosestablecidosporladirecciny
quesehayaaplicadouncontrolestrictodelacorreccindeerroresdetectadosenesta
fase.
Porloquerespectaalaentradamanualdedatos, hayqueestablecerunconjuntode
controlesqueasegurenlaintegridaddelosmismos.Aesterespecto,cabedestacarque
lasdeclaracionesescritasdeprocedimientosdelaorganizacinreferentesalaentrega
de datos a ser procesados deben asegurar que los datos se autorizan, recopilan,
preparan,transmitenysecompruebasuintegridaddeformaapropiada.
Tambinesaconsejablequelosprocedimientosyeldiseodelosdocumentosfuentes
minimicenloserroresylasomisiones,ascomoelestablecimientodeprocedimientos
deautorizacindedatos.
Unaspectomuyimportanteeseltratamientodedatosdeentradaerrneos,paralosque
deben cuidarse con atencin los procedimientos de reintroduccin de forma que no
disminuyanloscontroles;aesterespectoloidealesquelosdatossevalidenycorrijan
tancercadelpuntodeorigencomoseaposible.
06.EXPLOTACINYMANTENIMIENTO.
Unavezrealizadaslaspruebasdeaceptacin,conlaparticipacindelosusuarios,el
sistema se pondr (mediante las correspondientes autorizaciones y siguiendo los
procedimientosestablecidosparaello)enexplotacin.
Enestafase,sedebecomprobarqueseestablecenlosprocedimientosdeexplotaciny
mantenimientoqueasegurenquelosdatossetratandeformacongruenteyexactayque
elcontenidodelossistemasslosemodificamediantelaautorizacinadecuada.
Seraconvenientetambinqueelauditorpudierallevaracabounaauditorasobreel
rendimientodelSistemadeBD,comprobandosisellevaacabounprocesodeajustey
optimizacinadecuadosquenosloconsisteenelrediseofsicoolgicodelaBD,
sinoquetambinabarcaciertosparmetrosdelSOeinclusolaformaenqueacceden
lastransaccionesalaBD.Recordemosquelafuncindeadministracindelabasede
datos debe ser la responsable de monitorizar el rendimiento y la integridad de los
sistemasdeBD.
07.REVISINPOSTIMPLANTACIN.
Aunqueenbastantesorganizacionesnosellevaacabo,porfaltadetiempoyrecursos,
se debera establecer el desarrollo de un plan para efectuar una revisin post
implantacindetodosistemanuevoomodificadoconelfindeevaluarsi:
o Sehanconseguidolosresultadosesperados
o Sesatisfacenlasnecesidadesdelosusuarios
o Loscostosybeneficioscoincidenconloprevisto