Auditoria de Base de Datos

Auditoria de bases de datos
GAVA: Soporte para registracin y anlisis de cambios en los datos
Tesis de Licenciatura
Ingravallo, Hctor Gabriel
Entraigas, Valeria Elizabeth
Tutor: Lic. Carlos Buckle
Universidad Nacional de la Patagonia

Facultad de Ingeniera
Departamento de Informtica
Licenciatura en Informtica
Trelew, 19 de marzo de 2007
Auditoras en Base de Datos. Herramienta para rastros de actividad
Activity Log
Agradecimientos
De Gabriel:
A mi madre por su incesante empuje, apoyo y paciencia.
A Carlos, Laura, Pablo y Vernica por la constante preocupacin, nimo y aliento.
A mi familia y amigos por interiorizarse en mis estudios en cada oportunidad que les
era posible.
De Valeria:
A mis padres, hermano y abuela por su apoyo incondicional.
A Sergio por toda su paciencia.
A mis amigos por su aliento.
Antecedentes
Antecedentes de Gabriel:
He sido docente de la UNPSJB desde el ao 1987 en distintas materias como
Introduccin a la Computacin, Lgica y Programacin, Diagramacin y Programacin. A
partir de 1991 me comienzo a desempear como docente de Bases de Datos en el cargo de
Auxiliar Docente, en 1993 como Jefe de Trabajos Prcticos, en 1994 como JTP a cargo de la
ctedra, en 1995 como Profesor Adjunto Interino y a partir del 2000 hasta la actualidad
como Adjunto Ordinario.
Adems he sido Analista Funcional y Lider de Proyecto desde 1988 a 1990 en
trabajos en la orbita pblica dependiente de la Direccin General de Informtica de la
Provincia del Chubut, realizando cursos de especializacin en Bases de Datos sobre sistemas
Unysis A2 durante 1 ao. En la orbita privada como Analista Programador y Lder de
Ingravallo Gabriel Entraigas Valeria
Pgina: I
Activity Log
Proyecto desde 1991 hasta 2003, de Sistemas de Salud Pblica Hospitalaria y Sistema de
Salud para Obras Sociales Prepagas desarrollando y administrando Bases de Datos.
Actualmente me desempeo como Analista Funcional desde 2004 en el mbito de la
Tesorera del Consejo de Administracin de la Cooperativa Elctrica de Trelew integrante de
la comisin de implementacin y adquisicin del Sistema de Servicios Pblicos sobre Bases
de Datos Relacional SQL-Server/Oracle/DB2.
Antecedentes De Valeria:
Me desempeo como ayudante de ctedra en la materia Base de Datos en la UNPSJB
desde 2005. Desarrolle sistemas en Cobol en el ao 2004 en la empresa Perren y CIA. Estoy
a cargo de la Jefatura de Desarrollo y mantenimiento de Sistemas de la Municipalidad de la
cuidad de Trelew. a.C. desarrollamos y mantenemos sistemas en varios lenguajes; Clipper,
Visual Basic 6.0, C, Visual Basic .Net; de programacin. Los sistemas en desarrollo utilizan
como motor de base de datos MS SQL Server 2000, uno de los dos motores de base de
datos elegidos en el trabajo.
Pgina: II
Activity Log
Resumen
La Auditoria de Bases de Datos es una temtica relativamente nueva si consideramos
que las Bases de Datos y los motores que las manejan se han popularizado en estos ltimos
15 aos, no obstante la necesidad del control y registracin del cambio de datos es un
hecho que muchos profesionales siempre pensaron en poner en prctica.
Este trabajo presenta una introduccin terica a la Auditoria Informtica como marco
general describiendo los diferentes conceptos de los objetos que la integran tanto como sus
componentes y el marco legal argentino en el que se haya inmerso.
Y como resultado prctico final se ofrece una herramienta que permite en forma
sencilla, intuitiva y sobre todo centralizada mantener una registracin sobre el cambio de
los datos y su posterior anlisis. Tal herramienta tiene la capacidad de interactuar con
cualquier DBMS y Base de Datos desarrollada siempre que est previamente configurada.
Summary
The Data Base Auditing is a relatively new topic, considering that Data Bases and
Data Base Management Systems have become popular fifteen years ago.
However, is a fact that many professional always have had in mind the
implementation of data changes activity registration systems.
This
work
introduce
Informatic
Auditing
concepts
describing
their
objects,
components and the Argentine legal framework.

As a final result, we offer one simple, intuitive and centralized tool that allows keep
data change logging and its later analysis. This tool can connect to any DBMS and Data
Base previously configured.
Pgina: III
Activity Log
Agradecimientos ...................................................................................... I
De Gabriel: ......................................................................................................... I
De Valeria:.......................................................................................................... I
Antecedentes ........................................................................................... I
Antecedentes de Gabriel: ...................................................................................... I
Antecedentes De Valeria: ..................................................................................... II
Resumen _______________________________________________________ III
Summary _______________________________________________________ III
Captulo 1 INTRODUCCION ___________________________________________1
Motivacin ............................................................................................... 2
Objetivos ................................................................................................. 4
Generales .......................................................................................................... 4
Particulares ........................................................................................................ 5
Beneficiarios ............................................................................................ 5
Primarios ........................................................................................................... 6
Secundarios ....................................................................................................... 6
Alcances .................................................................................................. 7
Captulo 2 FUNDAMENTACION TEORICA _________________________________8
Auditoria.................................................................................................. 8
Definicin........................................................................................................... 8
Objetivo............................................................................................................. 8
Clases de Auditoria ............................................................................................. 8
Control Interno versus Auditoria Interna ................................................................ 9
Auditoria y su Marco Legal..................................................................... 10

Ley de Proteccin de Datos Personales ................................................................ 10
Sanciones previstas por Ley ............................................................................... 10
rgano de Control............................................................................................. 10
Ley de Control interno y Auditoria ....................................................................... 11
Auditoria y Sistemas de Informacin ..................................................... 12

Auditoria Informtica......................................................................................... 12
Control Interno Informtico ................................................................................ 13
Pgina: IV
Activity Log
Posibles problemas............................................................................................ 14
El Auditor Informtico ....................................................................................... 15
Sistemas de Bases de Datos Auditables ................................................. 16

Objetivos de la auditoria en DB ........................................................................... 16
Capas auditables............................................................................................... 17
Captulo 3 INVESTIGACION DE ACTIVITY LOGS EN DIFERENTES DBMS ________18
Oracle .................................................................................................... 18
DB2........................................................................................................ 18
SQLServer .............................................................................................. 19
Postgres ................................................................................................ 19
MySQL ................................................................................................... 20
Informix ................................................................................................ 20
Mecanismos de conexin y Triggers....................................................... 21
Captulo 4 CARACTERIZACION DE LA HERRAMIENTA ______________________22
Libertad de entorno ............................................................................... 22

Autoconfiguracin de Administradores de Datos ................................... 22
Registracin de actividad centralizada .................................................. 23
Almacenamiento descentralizado .......................................................... 23
Control Post-creacin centralizado ........................................................ 23
Anlisis centralizado de cambios ........................................................... 23
Seguridad de cambios ............................................................................ 23
Libertad de Aplicacin ........................................................................... 24
No Intrusivo .......................................................................................... 24
Extensible .............................................................................................. 24
Captulo 5 DESARROLLO ____________________________________________25
Introduccin .......................................................................................... 25
Descripcin del producto desarrollado ................................................... 27
Pgina: V
Activity Log
Descripcin del funcionamiento ............................................................. 27

Arquitectura GAVA ................................................................................. 29
Funciones de Negocio ............................................................................ 30
Solucin ................................................................................................. 31
Variantes en el diseo de la solucin .................................................................. 31
Solucin de la creacin de trazas ........................................................................ 34
Solucin de diseo ............................................................................................ 36
Estructura del Sistema........................................................................... 38

Diseo ............................................................................................................. 38
Modelado de Datos ............................................................................................ 38
Modelo Funcional .............................................................................................. 38
Interface con el usuario ..................................................................................... 40
Bases de datos ................................................................................................. 41
Captulo 6 INFRAESTRUCTURA UTILIZADA ______________________________44
Arquitectura .......................................................................................... 44
Consideraciones..................................................................................... 44
Seguridad .............................................................................................. 44
Captulo 7 SELECCIN DE HERRAMIENTAS ______________________________45
DBMS ..................................................................................................... 45
Programacin ........................................................................................ 46
Lenguaje ......................................................................................................... 46
Diseador de Reportes ...................................................................................... 46
Captulo 8 CONCLUSIONES __________________________________________47
Componentes no incluidos y posibles extensiones ................................. 47

Comentarios finales ............................................................................... 48
Conclusiones.......................................................................................... 49
Apndice I DESARROLLO DEL PROYECTO _______________________________50
Plan de Trabajo...................................................................................... 50
Cronograma ........................................................................................... 52
Previsto ........................................................................................................... 52
Pgina: VI
Activity Log
Ejecutado ........................................................................................................ 54
Apndice II: MANUAL DE USUARIO ____________________________________56
Formularios ........................................................................................... 56
Principal .......................................................................................................... 56
Parmetros ...................................................................................................... 57
Trazas ............................................................................................................. 57
Generacin ...................................................................................................... 62
Reportes .......................................................................................................... 63
Informacin ..................................................................................................... 64
Requerimientos mnimos ....................................................................... 65

Instalacin ............................................................................................ 66
Configuracin ................................................................................................... 66
Inicio de la aplicacin ........................................................................................ 66
Funciones del Administrador ................................................................. 68

Apndice III: INCORPORACION DE NUEVOS DBMS ________________________69
Apndice IV: PRUEBAS _____________________________________________70
Apndice V: APLICACIONES DE PRUEBA ________________________________71
Calles ..................................................................................................... 71
Juguetera ............................................................................................. 73
Apndice VI: TRIGGERS _____________________________________________76
Postgres ................................................................................................ 76
SQL Server ............................................................................................. 77
Apndice VII: LEYES y DECRETOS _____________________________________78
Ley 25.326 - Proteccin de los datos personales ................................... 78

Decreto 1558/2001 - Reglamentacin Ley 25.326................................. 90
Disposicin 11/2006 - Direccin Nacional de Proteccin de Datos
Personales ............................................................................................. 99
GLOSARIO ______________________________________________________104
BIBLIOGRAFIA ___________________________________________________106
Pgina: VII
Activity Log
Captulo 1 INTRODUCCION
El trmino Auditoria segn donde se est aplicando puede tener diferentes
connotaciones. Una de ellas es Proceso analtico que consiste en el examen de los libros,
cuentas, comprobantes y registros de una empresa con el objeto de precisar si son
correctos los estados financieros, de acuerdo con principios de contabilidad generalmente
aceptados.
Tambin
podemos
encontrar
otras
definiciones
posibles
como
un
proceso
sistemtico para obtener y evaluar de manera objetiva las evidencias relacionadas con
informes sobre actividades econmicas y otros acontecimientos relacionados, cuyo fin
consiste en determinar el grado de correspondencia del contenido informativo con las
evidencias que le dieron origen, as como establecer si dichos informes se han elaborado
observando los principios establecidos para el caso1.
Un elemento no tenido en cuenta en lo antes dicho es el aspecto tecnolgico que ha
modificado sustancialmente la manera de procesar y por ende de evaluar toda esta
informacin generada. Es de este aspecto que se deriva puntualmente la Auditoria de los
Sistemas de Informacin o tambin llamadas Auditorias Informticas.
Los trminos anteriores involucran a sistemas automticos de procesamiento,
procesamiento no automtico y sus correspondiente interfaces, tal cual se expresa en
diferentes trabajos monogrficos2.
Los sistemas automticos de procesamiento son uno de los elementos que
intervienen en la auditoria y tienen dos grandes componentes que son el hardware y el
software. Si tomamos esta segunda opcin y la explotamos, veremos nuevamente una
buena cantidad de temas a considerar.
La auditoria en el contexto actual. Catalina Rivas de las Casas - Gerente de Auditoria - Sucursal Ciudad Habana,
CIMEX, Cuba.
2
Auditoria de Sistemas. Carmen D'Sousa
Pgina: 1
Activity Log
Sin ser exhaustivos y con el solo nimo de ser ejemplificadores podemos considerar
all al Sistema Operativo como el puntapi inicial, a los DBMS, cualquiera sean ellos, a los
Sistemas de Comunicacin y a los Sistemas de Aplicacin en General.
Hasta aqu hemos presentado una serie de elementos que desarrollaremos en los
siguientes puntos y cuyo objetivo es permitir al profesional o estudiante del tema ir
avanzando desde los conceptos ms simples hasta arribar a un software de auditoria sobre
bases de datos que maneja trazas de actividad.
Motivacin
Es bien conocido o debera serlo por parte de los profesionales en Sistemas el
aspecto relevante del control interno en todas las reas relacionadas a la informtica y en
particular a los sistemas de informacin y al ciclo de vida de los mismos. Adems de ello
hay que tener en cuenta que este se encuentra inmerso dentro de una organizacin en la
cual tiene sentido, ya que su objetivo es aportar al desarrollo de la misma, permitindole
alcanzar su finalidad empresarial a travs del crecimiento administrativo, financiero y de
gestin.
En particular los datos manejados por un sistema de informacin de la organizacin
son el activo ms importante en la toma de decisin para la consecucin de los objetivos
brevemente planteados en el prrafo anterior. Y continuando con ms detalle podemos
establecer que las operaciones que nos permiten su administracin son las que determinan
su fiabilidad.
Ahora bien, el hecho de que esos datos y sus operaciones sean manipulados por
seres humanos les agrega una componente de error, voluntario o no, que implica un riesgo
para la organizacin.
Se desprende de aqu la necesidad de realizar Auditorias Informticas y como parte
de ellas la de poder analizar trazas de actividad de los usuarios sobre los datos de las
aplicaciones. Tanto desde el punto de vista legal como desde el punto de vista de auditoria
es requerido que los sistemas de bases de datos puedan registrar la actividad sobre datos
Pgina: 2
Activity Log
claves, para posteriormente poder rastrear el momento y el usuario que ha realizado una
determinada modificacin, incorporacin o eliminacin de datos.
Por tal, prevenir, evitar y/o restringir tales riesgos se convierte en una tarea y un
reto profesional difcil de relegar para aquellos que trabajamos cotidianamente con Bases de
Datos y nos interesa garantizar su integridad, confidencialidad y fiabilidad en el mayor
grado posible.
Por este motivo sera importante poder contar con herramientas integrales que sean
capaces de interactuar con diferentes gestores de bases de datos y que permitan definir que
datos se deben auditar permitiendo explotar la informacin de trazas de actividad de
manera fcil y segura.
Hay adems de las distintas consideraciones hechas en los prrafos anteriores otras
que no tenemos que dejar de lado, tal es el hecho que actualmente en las organizaciones de
mediano a gran porte los datos aunque puedan estar administrados, estn esparcidos en
diferentes bases de datos implementadas sobre diferentes gestores de datos, lo que implica
una dificultad a la hora de establecer controles sobre los mismos.
Si bien varios de los diferentes motores de bases de datos ofrecen como parte de su
funcionalidad una herramienta capaz de establecer trazas de auditoria para el seguimiento
de los cambios sobre un conjunto de datos previamente seleccionados mientras que otros
no las poseen, esto no alcanza para establecer un control total sobre los mismos.
Determinan si, una caracterstica necesaria por no decir imprescindible a la hora de tener
que administrar datos que aunque estn reunidos en una base de datos se encuentran
dispersos respecto de otros con los cuales tienen relacin pero que son manejados en otras
bases implementadas sobre otros motores de bases de datos. De all que se presenta la
necesidad de contar con una nica herramienta que permita interactuar de manera sencilla
con diferentes gestores de bases de datos a los cuales se pueda acceder de forma conjunta
y se les puedan definir, habilitar y deshabilitar mecanismos de control de datos y usuarios,
y se puedan realizar un estudio sobre las datos accedidos y/o modificados en forma
conjunta y la emisin de los reportes necesarios.
Pgina: 3
Activity Log
De todos lo antes expuesto podemos resumir que nuestro principal inters es contar
con una herramienta que nos permita cubrir tres aspectos relevantes a la hora de querer
administrar datos ubicados en diferentes bases de datos implementadas sobre distintos
gestores de datos:
El mantenimiento de logs que registren la actividad de los usuarios (user

activity logs).
El mantenimiento de logs que registren la modificacin de los datos hecha por

los usuarios (data-changes logs).
El anlisis centralizado y global de los cambios realizados por los usuarios a los
datos en diferentes gestores de bases de datos.
Objetivos
Generales
Realizar un estudio amplio del tema Auditoria como punto focal y funcin
relevante en el desarrollo de las organizaciones.
Determinar y/o acotar la influencia de la tecnologa informtica en la Auditoria.
Establecer el punto de interaccin entre el profesional de sistemas informticos

y aquellos otros intervinientes en una Auditoria.
Establecer el/los elementos esenciales dentro de la Auditoria Informtica.
Establecer un mecanismo de control sobre los datos de la organizacin que

permita prevenir los riesgos de administracin de los mismos.
Disear un software independiente del gestor de bases de datos relacional que

permita administrar y analizar la actividad sobre tablas residentes en los
RDBMS mas utilizados en la regin.
Desarrollar una herramienta que permitir definir la/s tabla/s y la/s columna/s
que se desean auditar y qu operaciones se desean auditar.
Pgina: 4
Activity Log
Generar diferentes reportes para que un usuario autorizado pueda analizar los
activity logs.
Particulares
Realizar un estudio de varios entornos de Base de Datos y sus capacidades de

registracin de auditoria, como as tambin las posibilidades de conectividad
genrica y disparadores automticos que permitan implementar activity logs.
Establecer los mecanismos brindados por los distintos DBMS, existentes en el

mercado, que apoyen y/o permitan el control sobre un conjunto de datos
almacenados.
Seleccionar un par de DBMS operativos en el mercado que sirvan de guas de

control de desarrollo.
Modelizar una estrategia que permita registrar los cambios de los datos
almacenados en una Base de Datos.
Desarrollar una herramienta de control que permita:

seleccionar un conjunto de datos a controlar,
especificar un conjunto de mecanismos de control de acceso a la

herramienta para su administracin y reporting,
reportar los cambios detectados en un perodo sobre un determinado

conjunto de datos.
Beneficiarios
El presente trabajo permite a quien lo aborde utilizar su ingenio y pericia para crear
mecanismos que realicen auditoria de cambios sobre los datos; de all que los destinatarios
ms beneficiados sern profesionales en
sistemas y auditoria que requieran una
herramienta especifica y sencilla que les brinde la capacidad de registrar y controlar la

actividad de los usuarios sobre los cambios a datos.
Pgina: 5
Activity Log
Primarios
permite
profesionales
auditores
trabajar
sobre
datos
reales
de
una
organizacin y extrapolar informacin de manipulacin de datos (acceso,

autorizados
no;
insercin,
modificacin
y/o
eliminacin)
en
distintos
administradores de bases de datos, de forma transparente y sencilla.

ofrece a los DBA la capacidad de abstraerse de la definicin y administracin de

trazas de auditorias sobre diferentes RDBMS sin perder el control de conocer los
triggers generados, estn habilitados o no.
permite a los DBA liberarse de las consideraciones de la plataforma sobre las

que residen los distintos motores de Bases de Datos y/o la red sobre las que
residen las distintas bases de datos sobre las que se definen las trazas de
actividad.
permite a los desarrolladores de aplicaciones de bases de datos liberarse de la

implementacin de complicados mecanismos de control de cambios de datos y
de generacin de reportes para el anlisis de los mismos.
ofrece a Administradores de datos la facultad de generar polticas de control de

datos que pueden ser transformadas en mecanismos de control de datos en
forma sencilla, ejecutadas en forma inmediata y analizadas rpidamente para
evaluar su efectividad.
No obstante tambin puede ser utilizado por profesionales en general y estudiantes

para introducirse en los aspectos relevantes de la auditoria por ser un campo interesante en
si mismo.
Secundarios
permite a docentes introducirse en el tema y profundizarlo, basndose en los

elementos
presentados
en
la
bibliografa
especificada
utilizada
por
profesionales, nacionales y extranjeros, que han encarado este mismo tema

desde diversas perspectivas. Adems pueden utilizar el software desarrollado
como ejemplo gua de uno de los aspectos de la auditoria sobre Bases de Datos
Pgina: 6
Activity Log
permite a alumnos de carreras informticas conocer el tema de auditorias y

tener una gua sobre conexin a diferentes bases de datos algunos mecanismos
de control de datos
Alcances
Es inters de esta tesis plasmar un documento que sin ser exhaustivo sea una gua
para la introduccin al estudio del tema de auditoria, en particular al de auditoria
informtica y ms puntualmente al estudio de auditoria en Bases de Datos en lo referente a
trazas de actividad generadas en el uso de datos sobre cualquier DBMS relacional.
Como carcter distintivo y para no solo quedarnos con una mera investigacin del
tema nos propusimos dar un paso ms, que no encontramos reflejado en el material que
estudiamos y que consideramos que facilita el trabajo del profesional auditor. Ese paso ms
involucra la creacin de una herramienta que le permite al auditor crear diferentes trazas de
actividad sobre diferentes RDBMS comerciales y no comerciales que interactan en forma
conjunta en una organizacin y almacenar los activity logs en una base de auditoria. Esta
herramienta rene en uno nico aplicativo la conexin a diferentes RDBMS, el acceso a sus
datos, el almacenamiento de aquellos datos que cumplen con la definicin de diferentes
controles sobre ellos y la posterior evaluacin de los mismos por parte del profesional.
La herramienta ha pretendido ser lo suficientemente modular como para ir
incorporando cualquier RDBMS no considerado hasta el presente mediante un conjunto de
pasos puntuales pero conocidos por un profesional especializado o con conocimientos
avanzados en Bases de Datos.
Pgina: 7
Activity Log
Captulo 2 FUNDAMENTACION TEORICA
Auditoria
Retomamos los prrafos iniciales vertidos en la introduccin de la presente para
describirlos, ampliarlos y dejar al lector algunas premisas sobre el tema.
Definicin
Segn Piattini es la actividad consistente en la emisin de una opinin profesional
sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple con las condiciones que le han sido prescritas.
Objetivo
Al estudiar, analizar diferentes definiciones dadas por la mayora de los autores
dedicados al tema tanto como las definiciones vertidas en diferentes trabajos y habiendo
observado diferentes documentos donde se plasman los resultados de auditorias llegamos a
la conclusin que se destacan dos objetivos fundamentales:
La verificacin de la fiabilidad de los elementos auditados respecto de los

hechos que le dieron origen.
La calidad de la informacin auditada.
Clases de Auditoria
Diferentes autores coinciden en afirmar que se pueden distinguir diferentes clases de
auditorias, clasificndolas de acuerdo a:
personal que la desempea
objeto de anlisis
profundidad del anlisis
frecuencia del anlisis
Pgina: 8
Activity Log
A su vez la clasificacin enumerada anteriormente la podemos subclasificar en:
personal que la desempea

Auditoria Interna
Auditoria Externa
objeto de anlisis
Auditoria de Gestin
Auditoria Operativa
Auditoria Financiera
Auditoria Contable
Auditoria Informtica
profundidad del anlisis

Auditoria Total
Auditoria Parcial
frecuencia del anlisis

Auditoria Continua
Auditoria Ocasional
Control Interno versus Auditoria Interna

Control
Interno:
es
un
sistema
que
interrelaciona
controles
financieros,
administrativos, contables, etc. ideados y puestos en prctica por los directivos de la

organizacin con el objetivo de que su gestin sea ordenada, sus activos sean preservados
y sus registros sean correctos. Su desventaja es que no garantiza una administracin
eficiente ni evita el fraude dado por la complicidad entre los directivos con cargos de
confianza.
Pgina: 9
Activity Log
Auditoria Interna: es la actividad dedicada a realizar una revisin de operaciones

contables, financieras, operativas, etc., aplicadas por la gerencia de la empresa con el
objetivo de evaluar la eficacia del control interno. Es desempeada por un departamento
dependiente directamente de la gerencia de la empresa, con un staff ubicado en la
estructura jerrquica del organigrama.
Auditoria y su Marco Legal
Ley de Proteccin de Datos Personales

Dentro de la Republica Argentina se ha promulgado la ley 25326 denominada Ley de
Proteccin de los Datos Personales. Esta ley establece en su artculo 93 las condiciones que
sobre seguridad y confidencialidad deben cumplir cualquier registracin pblica o privada de
datos y la prohibicin de realizar registraciones que no las cumplan.
Se fijo tambin en el artculo 29 el rgano de control que se encargar del
cumplimiento de la presente ley y su reglamentacin establecida como Decreto 1558/20014.
Sanciones previstas por Ley

Adems se establecen en la misma ley mediante el artculo 32 sanciones penales que
se incluyen en el Cdigo Penal en los artculos 117 bis y 157 bis. Este ltimo habla sobre la
pena de un mes a dos aos cuando se viole la confidencialidad y/o seguridad de los datos.
rgano de Control
Tal rgano es denominado Direccin Nacional de Proteccin de Datos Personales
(DNPDP) y se encuentra en la orbita del Ministerio de Justicia y Derechos Humanos y su
titular es nombrado directamente por el Presidente de la Nacin en acuerdo con el Senado
tal como lo especifica el inciso 2 y 3 del artculo 29.
3
Apndice VII Leyes y Decretos Ley 25.326
Apndice VII Leyes y Decretos Decreto 1558/2001
Pgina: 10
Activity Log
La DNPDP ha emitido en el mes de septiembre del ao 2006 la Disposicin N 11 en

la que mediante su artculo 1 aprueba las Medidas de Seguridad para el Tratamiento y
Conservacin de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de
Datos Pblicos no estatales y Privados5.
En el anexo I de esta disposicin se clasifican en tres niveles los datos registrados en
bases de datos no estatales y privadas. Especficamente consideramos las descriptas como
Medidas de Nivel Medio en los puntos 1 y 2
que hablan sobre auditorias internas y
externas.
Ley de Control interno y Auditoria

Contribuyendo al conjunto de leyes emitidas en el pas, existe tambin la ley 24.156
denominada Ley de Administracin Financiera y de los Sistemas de Control del Sector
Pblico Nacional que es una modificacin de la ley 23.354, Ley de Contabilidad y que tal
como dice en su artculo 1: establece y regula la administracin financiera y los Sistemas
de Control del Sector Pblico Nacional. En particular nosotros nos enfocamos en los
sistemas de control que estn especficamente determinados en su artculo 3 y en los
objetivos que persigue esta ley, especficamente en el enunciado en su articulo 4 inciso d
subinciso ii y en el inciso e.
Tales sistemas de control son llevados a cabo por dos estructuras denominadas
Sindicatura General de la Nacin dependiente directamente del Presidente y la Auditoria
General de la Nacin dependiente del Congreso Nacional. Cada una de ellas se encarga del
sistema de control interno y del sistema de control externo respectivamente. Todo esto se
haya especificado en el articulo 7 de la ley.
El detalle del Sistema de Control Interno se haya especificado en esta ley dentro del
ttulo VI, en los artculos 96 al 115. Puntualmente en los artculos 101 y 102 establece y
define el concepto de Auditoria Interna y de las unidades de auditoria interna que las
llevarn a cabo.
Apndice VII Leyes y Decretos Disposicin 11/2006
Pgina: 11
Activity Log
El detalle del Sistema de Control Externo se haya especificado en esta ley dentro del
ttulo VII, en los artculos 116 al 131.
La Sindicatura General de la Nacin ha establecido un conjunto de Normas de Control
Interno para Tecnologas de Informacin que deben ser puestas en prctica por los
organismos del sector pblico siguiendo el objetivo de la ley 24.156.
Auditoria y Sistemas de Informacin
Las siguientes son varias definiciones expresadas en los apuntes de Coltell:
Norma ANSI N45.2.10.1973:

Actividad para determinar por medio de la investigacin, la adecuacin de y la
adhesin a, los procedimientos establecidos, instrucciones, especificaciones, cdigos y
estndares, u otros requisitos aplicables contractuales o de licencia, as como la eficacia de
su implantacin.
P. van der Ghinst - CEGOS.

Conjunto de tcnicas y actividades destinadas .a analizar, evaluar, verificar y
recomendar sobre el control, la planificacin, la adecuacin, eficacia y seguridad de la
funcin informtica de la Empresa.
Examen discontinuo de un sistema informtico, o del servicio informtico, a peticin
de su direccin. Para mejorar la calidad, la seguridad y la eficacia.
Acha Iturmendi J.J. Auditoria Informtica en la Empresa:

Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente
un Sistema Informtico, con el fin de proteger sus activos y recursos, verificar si sus
actividades se desarrollan eficientemente y de acuerdo con la normativa informtica
Pgina: 12
Activity Log
general existentes en cada empresa, y para conseguir la eficiencia exigida en el marco de la

organizacin correspondiente.
Alonso Rivas G. Auditoria Informtica:

Es un examen metdico del servicio informtico, o de un sistema informtico en
particular, realizado de una forma puntual y de modo discontinuo, a instancias de la
Direccin, con la intencin de ayudar a mejorar conceptos como la seguridad, la eficacia, y
la rentabilidad del servicio, o del sistema, que resultan auditados.
Weber R. EDP Auditing. Conceptual Foundations and Practice:

Es el proceso de reunir y evaluar evidencia para determinar si un sistema informtico
protege su patrimonio, mantiene la integridad de los datos, alcanza los objetivos de la
organizacin con efectividad, y consume los recursos con eficiencia.
Control Interno Informtico

El control interno y la auditoria son facetas que nos son conocidas en general en
otros ambientes, tales como en el mbito contable y/o en el financiero pero no lo son tanto
en el informtico dada la relativa corta vida de esta disciplina. Y mucho menos lo son
teniendo en cuenta que algunos componentes tecnolgicos actuales que permiten el
almacenamiento, procesamiento y administracin de los datos se han desarrollado hace no
mas de veinte o treinta aos y solo han alcanzado su masificacin en estos ltimos veinte
aos, con lo que han permitido una evolucin del software gradual pero acelerada. Esa
misma evolucin es la que ha proporcionado distintos mecanismos para agrupar, compartir
y asegurar la consistencia y baja redundancia de los datos de una organizacin.
Es a partir de conseguir estos objetivos que anteriormente eran crticos para esa
misma organizacin es que comenz a surgir la necesidad de verificar y controlar la validez,
integridad y seguridad de los datos acumulados como as tambin de las operaciones que
los manipulan.
Pgina: 13
Activity Log
Componentes auditables
Auditoria Fsica
Auditoria Ofimtica
Auditoria de la Direccin
Auditoria de la Explotacin
Auditoria del Desarrollo
Auditoria del Mantenimiento
Auditoria de Bases de datos
Auditoria de tcnicas de Sistemas
Auditoria de Calidad
auditorias de la Seguridad
Auditoria de Redes
Auditoria de Aplicaciones
Posibles problemas
Es bien conocido o debera serlo por parte de los profesionales en Sistemas el

aspecto relevante del control interno en todas las reas relacionadas a la informtica y en
particular a los sistemas de informacin y al ciclo de vida de los mismos. Adems de ello
hay que tener en cuenta que este se encuentra inmerso dentro de una organizacin en la
cual tiene sentido, ya que su objetivo es aportar al desarrollo de la misma, permitindole
alcanzar su finalidad empresarial a travs del crecimiento administrativo, financiero y de
gestin.
Pgina: 14
Activity Log
En particular los datos manejados por un sistema de informacin de la organizacin

son el activo ms importante en la toma de decisin para la consecucin de los objetivos
brevemente planteados en el prrafo anterior. Y continuando con ms detalle podemos
establecer que las operaciones que nos permiten su administracin son las que determinan
su fiabilidad.
Ahora bien, el hecho de que esos datos y sus operaciones sean manipulados por
seres humanos les agrega una componente de error, voluntario o no, que implica un riesgo
para la organizacin.
Se desprende de aqu la necesidad de realizar Auditorias Informticas y como parte
de ellas la de poder analizar trazas de actividad de los usuarios sobre los datos de las
aplicaciones.
El Auditor Informtico
Existen
aspectos
contrapuestos
entre
los
auditores
actuales
que
quieren
desempearse dentro de la auditoria informtica ya que los auditores dedicados a la

auditoria financiera y/o contable que poseen amplia experiencia en esas reas no la poseen
en tecnologas de informacin, debido a que estas no se hallaban presentes en su formacin
bsica mientras que los profesionales informticos adolecen de materias cuyos contenidos
contengan temas sobre organizacin, planificacin y administracin de recursos como
tampoco de tcnicas de auditoria de administracin de datos.
Adems estos ltimos tampoco podran auditar cualquier tipo de sistema de
informacin dado que su variedad junto a las diferentes tecnologas que los pueden integrar
hacen difcil que un mismo profesional pueda especializarse en todas ellas.
Pgina: 15
Activity Log
Sistemas de Bases de Datos Auditables
Objetivos de la auditoria en DB
Tanto el control interno como la auditoria empezaron a prosperar en la informtica
pero especializndose en ella teniendo en cuenta no tanto el concepto y/o objetivo de la
funcin sino el objeto que se controla o audita, el Sistema de Informacin y sus
componentes. En nuestro caso las Bases de Datos y los DBMS utilizados. Haciendo alusin
al primero, tendramos que considerar la recoleccin de trazas de auditoria que es vital para
la tarea del auditor o el perito y est soportada nativamente solo por algunos gestores de
bases de datos.
Aqu entra en consideracin el segundo elemento enunciado anteriormente, los
cuales contienen
diferentes criterios de registracin y organizacin de la informacin
recogida a travs de las trazas. En este sentido, no se conocen soluciones integrales que
sean capaces de interactuar con cualquier gestor de bases de datos relacional y que
permitan definir el mundo de cambios a auditar. Eso hace que los auditores deban
seleccionar diferentes soluciones dependiendo de la infraestructura de datos del modelo
auditado.
Tanto desde el punto de vista legal como desde el punto de vista de auditoria es
requerido que los sistemas de bases de datos puedan registrar la actividad sobre datos
claves, para posteriormente poder rastrear el momento y el usuario que ha realizado una
determinada modificacin, incorporacin o eliminacin de datos.
Por tal, prevenir, evitar y/o restringir tales riesgos se convierte en una tarea y un
reto profesional difcil de relegar para aquellos que trabajamos cotidianamente con Bases de
Datos y nos interesa garantizar su integridad, confidencialidad y fiabilidad en el mayor
grado posible.
Por este motivo sera importante poder contar con herramientas integrales que sean
capaces de interactuar con diferentes gestores de bases de datos y que permitan definir que
Pgina: 16
Activity Log
datos se deben auditar permitiendo explotar la informacin de trazas de actividad de

manera fcil y segura.
Capas auditables
DBMS, componentes auditables

polticas de administracin de datos
polticas de actualizacin del soft
polticas de tuning
Bases de Datos, componentes auditables:

esquemas
bases
tablas
restricciones
Estos ltimos componentes son objeto del estudio y desarrollo de la presente tesis.
Pgina: 17
Activity Log
Captulo 3 INVESTIGACION DE ACTIVITY LOGS EN

DIFERENTES DBMS
En nuestras investigaciones sobre pginas oficiales sobre distintos DBMS comerciales
y no comerciales hemos encontrado que algunos de ellos hacen referencia a algunas
herramientas que permiten un cierto grado de auditoria informtica sobre los cambios de
datos mientras que otras no presentan ninguna descripcin especifica sobre el tratamiento
de modificacin sobre los datos.
Tal es el caso de Oracle en su versin 8 y el motor DB2 que presentan logs donde se
registran informacin de cambios de datos mientras que no ocurre lo mismo para MySQL e
Informix.
Oracle
Aqu existe un log donde se registran distintas clases de informacin clasificada por
tipo, uno de esos tipos especifica el control de cambio de datos. Cabe expresar que a
nuestra opinin el sistema de registracin y consulta se vuelve complejo para cualquier
persona que no sea un profesional informtico con conocimiento de mecanismos de
consultas que le permita entender la informacin registrada y volcarla en un reporte
inteligible.
DB2
En este caso es ms sencillo en cuanto que posee una herramienta especifica
llamada DB2 Log Analysis Tool for z/OS V2.3 que permite un control completo sobre la
integridad de datos, monitoreo de cambios de datos y construccin automtica de reportes
de cambios. Estos reportes pueden ser implementados sobre diferentes criterios tales como
fecha, usuario o tabla. Adems permite aislar cambios accidentales y no deseados.
Pgina: 18
Activity Log
SQLServer
Tanto SQL Server en su versin 2000 como en la versin 2005 ofrece la posibilidad
de crear las trazas por medio de procedimientos almacenados de sistemas denominado
Transact-SQL o por medio de una herramienta del entorno del DBMS denominada SQL
Server Profiler en la versin 2005 y Analizer en la versin 2000.6
Transact-SQL puede ser utilizado dentro de una aplicacin para crear trazas
manualmente.
SQL Server Profiler permite ver como se resuelven las consultas internamente por
parte del motor. Entre sus funciones esta:
crear una traza;
observar el resultado de la ejecucin de una traza;
almacenar el resultado de una traza en una tabla;
iniciar, parar, pausar y modificar los resultados de una traza;
reejecutar una traza;
En la versin 2005 una consideracin a tener en cuenta es que el tamao del

resultado de una traza no debe superar el Gigabyte porque produce un error y entonces
trunca la salida resultante.7
Postgres
Permite realizar trazas de actividad denominadas trazas dinmicas. Para ello utiliza
en alguna versiones el utilitario DTrace, disponible en Solaris Express y Solaris 10+. Segn
documentacin de la pgina oficial se espera que esta est disponible en prximas versiones
en FreBSD y en Mac OS X.
No obstante se puede realizar trazas dinmicas cambiando las definiciones de la
macro PG_TRACE incluidas en el archivo src/include/pg_trace.h.
Datos extraidos de:www.msdn2.microsoft.com/en-us/library/bb418499.aspx
Datos extraidos de:www.msdn2.microsoft.com/en-us/library/ms187929.aspx
Pgina: 19
Activity Log
Posee un conjunto de puntos de traza predefinidos que estn inicialmente

deshabilitados por defecto y deben ser habilitados en el script de configuracin para que la
informacin este disponible en Postgresql. Se lo hace mediante el comando:
--enable-dtrace
Tambin para trabajar con el programa dtrace se requiere setear la variable de
ambiente DTrace para encontrar su ubicacin y para pasarle opciones adicionales se debe
setear la variable de ambiente DTRACEFLAGS.
Por ejemplo utilizando el compilador GCC con soporte para 64 bits sera:
./configure CC='gcc -m64' --enable-dtrace DTRACEFLAGS='-64' ...
Requiere de conocimientos previos de uso y definicin de puntos de traza. Estos
ltimos se pueden definir en el cdigo a travs de macros de traza.
Existen dos mecanismos para definicin de un punto de traza:
con una macro: PG_TRACE (my__new__trace__point);
con una macro y con tres variables de inspeccin PG_TRACEn: PG_TRACE3

(my__complex__event, varX, varY, varZ);8
MySQL
No posee en la pgina oficial ninguna referencia al control de cambios y manejo de
trazas de auditora.
Informix
No posee en la pgina oficial ninguna referencia al control de cambios y manejo de
trazas de auditora.
Datos extraidos de: www.postgresql.org/docs/8.2/static/dynamic-trace.html
Pgina: 20
Activity Log
Mecanismos de conexin y Triggers

Es destacable mencionar que todos los motores investigados ofrecan al menos un
mecanismo de conexin relativamente sencillo desde el punto de vista de la programacin,
que nos permiti establecer una serie de parmetros genricos para enlazarnos con las
bases. Sucedi lo mismo cuando profundizamos en el tema de los triggers (disparadores),
ya que la estructura general y la forma de manejarlos es similar.
Pgina: 21
Activity Log
Captulo 4 CARACTERIZACION DE LA HERRAMIENTA

En este punto es relevante para el presente proyecto descender desde los estadios
eminentemente tericos con sus consabidas abstracciones, fundamentaciones e ideales a un
punto que nos acerque a las bondades del producto que hemos desarrollado y que
detallaremos en la siguiente seccin.
Es as que partimos de destacar una de las caractersticas ms distintivas del
trabajo: libertad de entorno, autoconfiguracin de administradores de datos, registracin de
actividad centralizada, almacenamiento descentralizado, control post-creacin centralizado,
anlisis centralizado de cambios, seguridad de cambios, libertad de aplicacin, no intrusivo,
extensible.
Libertad de entorno
Gava, tal como hemos denominado nuestra herramienta no esta unida a ningn
DBMS relacional en particular sino que trabaja con cualquiera de ellos y con todos a la vez si
es necesario y siempre que las componentes de configuracin estn actualizadas. Esto es se
identifique puntualmente cada uno de los administradores sobre los cuales se desean crear
trazas de auditoria.
Autoconfiguracin de Administradores de Datos

Cualquier servidor que se una a la LAN ser automticamente reconocido e
incorporado a la lista de servidores siempre que en ellos se halle instalado algn DBMS. A
partir de all se identificar todos las Bases de Datos y/o Esquemas creados con ese
administrador.
Pgina: 22
Activity Log
Registracin de actividad centralizada

La capacidad de libertad de entorno agrega una nueva capacidad que implica la
posibilidad de unificar en un nico componente la definicin de todas las trazas de actividad
de usuarios necesarias para el control de un conjunto de datos y/o operaciones y la
asociacin de ellas a alguno de los administradores predefinidos.
Almacenamiento descentralizado
La definicin de los scripts de todas las trazas de auditoria creadas pueden ser
almacenadas en cualquier repositorio donde el administrador considere conveniente por
cuestiones de seguridad, performance y capacidad de almacenamiento.
Control Post-creacin centralizado

La consulta, deshabilitacin y/o eliminacin de las trazas creadas son accedidas por
el auditor en forma sencilla.
Anlisis centralizado de cambios

Gava posee un conjunto de filtros predefinidos que permiten extraer informacin
mediante reportes que seleccionan valores caractersticos que desea controlar el auditor.
Los mismos se hallan almacenados en la base de datos Auditoria.
Seguridad de cambios
Toda traza es controlada por el acceso de seguridad de su creador.
Pgina: 23
Activity Log
Libertad de Aplicacin
Gava no requiere que ninguna aplicacin de base de datos defina en si misma ningn
mecanismo de control para poder establecer una traza de auditoria sobre los datos que ella
manipula.
No Intrusivo
La lgica de registracin de cambios agregada por GAVA no afecta el normal
funcionamiento de las aplicaciones que manejen los datos auditados.
Extensible
Si bien GAVA en su versin original permite configurar auditoria de cambios sobre un
par de gestores de bases de datos, su diseo abierto y su orientacin a componentes
permite extender su funcionalidad agregando cartuchos programables que soporten la
conexin a cualquier gestor de bases de datos que se pueda conectar va controles ADO
(Visual Basic utiliza ADO para crear conexiones).
Pgina: 24
Activity Log
Captulo 5 DESARROLLO
Introduccin
Ya fundamentada la importancia de la auditoria, entonces encontramos til
desarrollar un una herramienta que sirva de apoyo para el seguimiento de actualizacin de
datos y de los usuarios.
El sistema logra independizar al usuario de los informticos. El
objetivo ms importante que busca el sistema es poder hacer un seguimiento de

modificacin de datos. Este seguimiento se logra en funcin de los reportes que se puedan
generar a travs de los datos que se han ido guardando en las distintas bases en
consecuencia de las acciones realizadas de los usuarios finales de los sistemas, que
actualizan datos sobre las tablas de las bases a las cuales se les aplico un activity log.
Reporte
Pgina: 25
Activity Log
Los componentes mnimos del sistema son: la aplicacin y la Base de Datos de SQL
Server. Esta base de datos es la que guarda informacin sobre las trazas que han sido
configuradas por el auditor. Por otro lado en cada servidor de DBMS que se requiera realizar
auditorias, es necesario crear una Base de Datos (Auditorias) donde se guarde el registro
de cada cambio sobre los datos.
Gava
config. de
trazas
Reporte
Servidor
Postgres SQL
Bases
Auditadas
Servidor
SQL Server
Bases
Auditadas
Servidor
MySQL
Bases
Auditadas
Otros
Bases
Auditadas
Pgina: 26
Activity Log
Descripcin del producto desarrollado

GAVA es un sistema especialmente diseado para mantener y administrar logs de
actividad de usuarios y cambios de datos. Analiza de manera centralizada y global esos
cambios y controla al usuario que tuvo acceso. Todo ello en un marco de mltiple gestores
de Bases de Datos.
Est desarrollado en Visual Basic 6.0 y SQL Server 2000.
Posee mecanismos de seguridad.
Permite realizar las funciones con mnimo esfuerzo.
Permite analizar datos estadsticos desde distintos puntos de vista.
Es fcil de usar.
Descripcin del funcionamiento

El funcionamiento se puede describir en cuatro grandes etapas que se describen a
continuacin;
1ra. Etapa: Generacin de la traza.9
El usuario debe brindarle informacin bsica al sistema para poder general la traza.
Ellas son: el servidor, la base, el esquema, la tabla, los campos, la operacin sobre la cual
se necesita auditar, entre otros.
2da. Etapa: Generacin del script10
Una vez que la traza tiene todos los datos y puede ser guardada, ya esta en
condiciones de generar el script en funcin de los datos ingresados. Para ello se le pide al
usuario el lugar donde se debe dejar el script.
3da. Etapa: Ejecucin del script en la base.
Apndice II: Manual de usuario - Trazas
10
Apndice II: Manual de usuario - Trazas, Generacin
Pgina: 27
Activity Log
Queda en manos del administrador de Base de Datos ejecutar el script en la base

indicada para poder comenzar la recoleccin de datos.
4 ta. Etapa: Generacin de reportes.
Luego de un tiempo, cuando los datos ya han tenido modificaciones se pueden

comenzar a generar reportes sobre los cambios o los seguimientos de los usuarios.
Pgina: 28
Activity Log
Arquitectura GAVA
Reporte
Formularios
Mdulos
de clase
Repositorio GAVA
Aplicacin GAVA
Mdulos
CLIENTE
Tablas
Proc
Auditoria
Auditoria
Bases
Auditadas
Auditoria
Bases
Auditadas
Auditoria
Bases
Auditadas
Bases
Auditadas
Pgina: 29
Activity Log
Funciones de Negocio11
En cumplimiento de los requisitos funcionales, el sistema permite realizar las
siguientes tareas:
Permite configurar diferentes orgenes de datos
Permite configurar las tablas y columnas sobre las cuales se desea rastrear
cambios.
11
12
Lleva un control sobre los distintos triggers que se crearon en las bases
Permite generar triggers de forma fcil
Permite ver las distintas bases en los distintos servidores de distintos DBMS
Permite ver la estructura de las tablas en la base
Permite generar reportes con una amplia variedad de criterios.12
Apndice II: Manual de usuario- Trazas

Apndice II: Manual de usuario- Reportes
Pgina: 30
Activity Log
Solucin
Variantes en el diseo de la solucin

Diseo de formularios.
Presupusimos que los datos(nombre, descripcin, tipo de servidor, servidor, usuario,
contrasea, base de datos, tablas, campos y operacin a auditar.) necesarios para crear
trazas en los distintos motores. Al investigar sobre los motores nos dimos cuenta de que era
necesario hacer cambios del diseo para poder pedir el esquema en el case de Postgres.
Eleccin de la herramienta para mostrar la informacin.

Primeramente pensamos en disear un reporte en Crystal Report, una herramienta
ampliamente difundida y utilizada. Luego de ver las herramientas de Visual Basic,
recordamos que tenia un diseador de reportes incorporada, Data Report.
Entender la estructura de DBMS

SQL Server, maneja el concepto de bases de datos mientras que Postgres maneja el
concepto de bases de datos y esquemas. Este ultimo utiliza los esquemas dentro de las
bases con el fin de organizar lgicamente su estructura. El beneficio de manejar esquemas
es que los usuarios pueden trabajar sin interferirse entre si, y por otro, se mantiene una
sola conexin desde la aplicacin que permite manejarse por todos los esquemas.
Cadena de conexin.
Dada la experiencia que tenemos con programas desarrollados en Visual Basic y SQL
Server, la creacin de la cadena de conexin entre el entorno de desarrollo y el motor de
Base de Datos no nos llevo tiempo. Ahora desconocamos como seria la forma de
relacionarnos con un motor nuevo como Postgres. Presupusimos que era de la misma
manera. Esto nos llevo a tener que investigar la estructura y los componentes que maneja
Postgres. Esta estructura es similar en algunos puntos a SQL Server, solo que Postgres
adems de manejar lo mismo que SQL Server, maneja el concepto de esquema. Una vez
Pgina: 31
Activity Log
entendido esto, pudimos armar la conexin. Cada vez que necesitbamos conectarnos a
postgres, nos conectbamos a un servidor y una base, mientras que para hacer consultas
sobre los distintos objetos deban anteponer al objeto, el esquema al que perteneca.
Forma de obtener los objetos de la base de datos.

Presupusimos que tanto SQL como Postgres tenan informacin sobre su catalogo de
manera accesible desde una aplicacin. Y as fue, SQL tiene informacin que la brinda
mediante los procedimientos almacenados de sistema y Postgres posee tablas de sistema
de las cuales se extrae la informacin sobre su catalogo.
En
el
caso
de
SQL
Server,
encontramos
una
definicin
de
variable
SQLDMO.Application que nos permita listar los servidores de SQL Server que se
encontraban conectados a la red donde estaba la aplicacin.
Una vez seleccionado el
servidor, encontramos tambin otra definicin de variable SQLDMO.SQLServer la cual se

conectaba al servidor y a travs de ella podamos ver las bases del servidor, las tablas, los
campos, los usuarios, los triggers, los procedimientos almacenados y todo sobre el servidor.
En cambio Postgres posee en su catalogo tablas donde almacena informacin sobre
los objetos. Entonces, una vez establecida la cadena de conexin invocbamos a estas
tablas solicitando informacin sobre los componentes.
Forma de armar las consultas con fechas.

Conocamos la forma de armar una consulta con SQL Server con fechas. Nos
encontramos con la dificultad de que para Postgres no era la de la misma manera.
Entonces nos quedo de la siguiente forma:
SQL Server
cadena = cadena & " and Fecha between '" & dtpDesde.Value & "' and '" &
dtpHasta.Value & "'"
Postgres
cadena = cadena & " and Fecha > '" & dtpDesde.Year & "-" & dtpDesde.Month & "-"
& dtpDesde.Day & "'"
Pgina: 32
Activity Log
cadena = cadena & " and Fecha < '" & dtpHasta.Year & "-" & dtpHasta.Month & "-" &
dtpHasta.Day & "'"
Sintaxis de creacin de los trigger.

Ya conocamos el funcionamiento de los triggers en SQL Server, tuvimos que
investigacin los triggers en postgres. Llegamos a la conclusin de que deba especificarse
una componente mas, no presente en el anterior.
En SQL Server la creacin de una traza se resume en la modificacin de la estructura
de una tabla. El trigger contiene la/s sentencia/s que se deben ejecutar cuando se realiza la
operacin que se intenta auditar. Por el contrario, para Postgres es una modificacin de la
estructura de la tabla mas la creacin de una funcin de tipo trigger. Esta funcin contiene
la/s sentencia/s que se ejecutaran cuando se realiza la operacin que se intenta auditar.
Por lo tanto la generacin del script para los DBMS era distinta.
Pgina: 33
Activity Log
Solucin de la creacin de trazas

Es importante destacar que en el caso de SQL Server definimos dos variables que
utilizamos a lo largo de la creacin de las trazas que nos permitieron obtener informacin
sobre los servidores y estructura lgica de cada uno. Las variables son de tipo:
A- SQLDMO.Application
para
realizar
una
inspeccin
sobre
los
servidores
conectados,
B- SQLDMO.SQLServer, para poder obtener informacin de la estructura del servidor
seleccionado
En el caso de Postgres invocamos a objetos del sistema para obtener informacin
sobre la estructura lgica de cada base y esquema en particular.
A continuacin se definen los pasos para crear una traza y por cada tarea, si esta tiene una
complicacin extra, entonces describimos la manera de obtener los datos:
1- Solicitud de datos de la traza
a. Solicitud de nombre
b. Solicitud de descripcin
c. Solicitud de tipo de servidor
i. Por medio de la invocacin del mtodo Recuperar en el mdulo
cclTipoServidor obtuvimos todos los DMBS de los cuales se pueden
generar trazas.
2- Solicitud de datos de conexin
a. Solicitud del servidor
i. Seleccin de servidores
1. SQL Server: por medio de la variable A obtuvimos la lista de
servidores conectados a la PC. El mtodo para realizar esto fue
ListAvailableSQLServers
2.
Postgres: se debe escribir el servidor al cual se desea

conectar.
b. Solicitud de usuario
c. Solicitud de contrasea
Una vez que se obtuvo una conexin satisfactoria, a la variable B se le setea la
conexin, as de ahora en mas por medio de sus propiedades podemos obtener el conjunto
de datos lgicos que iremos necesitando a media que incorporamos datos.
3- Solicitud de datos lgicos y operacin a auditar
Pgina: 34
Activity Log
a. Solicitud de la base a Auditar

i. SQL Server: la variable B posee un mtodo que devuelve una
coleccin de bases de datos relacionadas al servidor, este mtodo es
Database.
ii. Postgres: invocamos a un objeto llamado pg_database, el cual nos da
la lista de bases de un servidor.
b. Solicitud del esquema, solo para el caso de postgres
i. Postgres:
invocamos
un
objeto
llamado
information_schema.columns, el cual nos da la lista de esquemas de

una base en particular.
c. Solicitud de tablas
i. SQL Server: la variable B posee un mtodo que devuelve una
coleccin de tablas relacionadas a una base en particular, este mtodo
es Database.
ii. Postgres:
invocamos
un
objeto
llamado
information_schema.columns, el cual nos da la lista tablas
de un
esquema en particular.
d. Solicitud de operacin
e. Solicitud de campos
i. SQL Server: utilizamos el mtodo Database
para poder obtener un
objeto de base de datos en particular. Este nuevo objeto posee

mtodos por los cuales se puede obtener informacin de los objetos de
esa base en particular. El mtodo en particular que utilizamos fue
Tables, y en su llamada le indicamos la tabla de la cual necesitbamos
recuperar informacin.
ii. Postgres:
invocamos
un
objeto
llamado
information_schema.columns, pasndole por parmetro el esquema y

la tabla de la cual necesitbamos informacin.
4- Solicitud de datos para la generacin del script
a. Solicitud del nombre del archivo
b. Solicitud de la ubicacin del archivo
Pgina: 35
Activity Log
Solucin de diseo
El proyecto se compone de dos partes, el proyecto en Visual Basic y la base de datos en
SQL Server. Las dos componentes antes mencionadas se organizaron de tal forma que
queden ordenadas lgicamente y modularizadas. El proyecto se compone de formularios,
mdulos y mdulos de clase, mientras que la base de datos se compone de tablas y
procedimientos para acceder a ellas. A continuacin se detallan todas las componentes:
Componentes del proyecto en Visual Basic:
Formularios
frmAbout
frmAltaTrazas
frmElimiarTraza
frmHabilitacionTrazas
frmLogin
frmParametros
frmPrincipal
frmRegeneracionScriptAlta
frmReporteGeneral
frmSplash
frmTrazaPostgres
frmTrazaSQLSever
frmUbicacionScriptAlta
frmUbicacionScripEliminacion
frmVerTraza
Mdulos
Funciones
Variables
Pgina: 36
Activity Log
Mdulos de clase
cclCampos
cclObjetoGenerico
cclTipoServidor
cclTrigger
clsAplicacion
clsCampo
clsObjetoGenerico
clsTipoServidor
clsTrigger
Componentes en la base de datos GAVA:
Tablas
TColumna
TColumna
TTipoServidor
Ttraza
Procedimientos almacenados
pColumnaAgregar
pColumnaRecuperar
pOperacionListar
pTipoServidorListar
pTipoServidorRecuperar
pTrazaAgregar
pTrazaEliminar
pTrazaModificar
pTrazaRecuperarTodos
pTrazaRecuperarUno
Pgina: 37
Activity Log
Estructura del Sistema
Diseo
Lista de eventos que se pueden disparar:
El auditor genera una traza
El auditor solicita reportes
Modelado de Datos
Modelo Funcional
Este modelo realiza un diagrama de las operaciones ms importantes indicando que
tablas de la base de datos se ven involucradas y que entidades solicitan el cambio en el
sistema.
Notacin:
Entidad
Almacenes de la base
Pgina: 38
Activity Log
generacin de trazas
Auditor
Tipo de servidor
Columnas
Actualizacin
trazas
Trazas
1- El auditor brinda informacin sobre las trazas, entre los datos estn: el
nombre de la traza, una breve descripcin, el tipo de servidor, nombre del
servidor, usuario, contrasea, Base de Datos, nombre de la tabla, campos
de los cuales se requiere guardar informacin, operacin a auditar,
nombre del archivo a generar y lugar donde se deja el archivo que
contiene el script
2- Brinda informacin sobre las trazas existentes13
3- Retorna los tipos de DBMS existentes para poder seleccionar alguno
4- Guarda las columnas a auditar de las distintas tablas
generacin de reportes
Auditor
Tipo de servidor
Generar
Reporte
Trazas
1- El auditor da los criterios con los cuales se va a generar el reporte

2- Brinda informacin sobre las trazas existentes
3- Brinda informacin sobre Tipos de DBMS existentes
13
Apndice II: Manual de usuario- Trazas Ver Trazas
Pgina: 39
Activity Log
Interface con el usuario

Existen dos tipos de pantallas a describir el funcionamiento general:
Pantalla principal, posee una barra superior y una barra inferior. La barra
superior contiene todas las actividades que se pueden realizar en el sistema,
agrupadas por caractersticas comunes. Tambin posee botones los cuales se
reservaron para las tareas mas frecuentes. Y por ultimo, en la parte inferior de
la pantalla se encuentra informacin sobre la conexin, usuario conectado,
servidor y Base de Datos a la cual se conecta y la fecha actual.14
Pantallas de trabajo, todas las pantallas de trabajo contienen en la parte

superior una X para poder salir, en la parte inferior una pequeo descripcin de
la tarea a realizar y un botn salir o cancelar para terminar la operacin.
14
Apndice II: Manual de usuario- Formularios-Principal
Pgina: 40
Activity Log
Bases de datos
La aplicacin GAVA se sustenta con una base de datos principal y bases alternativas,
una en cada los distintos servidores de DBMS. La base GAVA se utiliza para almacenar
informacin sobre las trazas que se generan, mientras que las bases de auditorias, se utiliza
como repositorio de
las acciones generadas por los usuarios. Las bases se describen a
continuacin, comenzando por GAVA y luego Auditoria.
GAVA
Consta de una tabla principal donde se almacena informacin de las trazas y dos
tablas que dependen de ella. Tipo de servidor que guarda los tipos de servidores que
soporta la aplicacin y columna que almacena informacin sobre los campos a auditar en
una traza en particular. Primero se muestra un diagrama general de la base y luego se hace
una breve descripcin de las tablas y los campos de cada una.
Pgina: 41
Activity Log
Esquema general
Tablas
Parmetros: guarda informacin de conexin con la base de datos GAVA y esta

relacionada con el archivo de configuracin .ini.
tTraza: guarda informacin sobre las trazas generadas por el auditor. Por cada
traza entre otras cosas se guarda el tipo de servidor, el usuario, la contrasea,
para poder reconstruir la conexin cuando se solicitan reportes sobre una traza
en particular.
identificador,
nombre,
descripcin,
servidor,
tipo de servidor,
usuario,
contrasea,
base de datos,
esquema,
tabla,
habilitada,
operacin.
Pgina: 42
Activity Log
tTipoServidor: almacena todos los tipos de DBMS que permite usar la

aplicacin.
Identificador,
Descripcin, DBMS.
tcolumnas: son todas las columnas de las trazas de las cuales interesa guardar
informacin de cambio.
Identificador de la traza,
Descripcin, nombre de la columna.
Auditorias
Existe una base de datos Auditorias en cada servidor de DBMS. La base Auditorias
contiene una sola tabla, tdatos, que mantiene la estructura para todos los tipos de DBMS,
salvando las particularidades de cada uno. La estructura es:
tdatos
traza, nombre de la traza que gener el registro,
tabla, tabla a la cual se realizo la modificacin de registros,
usuario, usuario que realizo el cambio,
operacin, operacin que se realizo,
datos, cadena de texto que guarda los nombres de los campos y el valor
de cada uno,
base de datos, base donde se albergada la traza,
esquema, para el caso particular de Postgres,
fecha, fecha de registro de movimiento.
Pgina: 43
Activity Log
Captulo 6 INFRAESTRUCTURA UTILIZADA

El sistema se desarrollo utilizando como herramientas las siguientes:
Base de datos: SQL Server 2000.
Lenguaje de programacin: Visual Basic 6.0.
Arquitectura
Arquitectura: cliente-servidor.
Reporting Web: Aunque no ha sido incorporado en la versin original, la

arquitectura permite utilizar herramientas que generen reporting en una
arquitectura web, de manera que puedan obtenerse reportes desde cualquier
punto de la red utilizando simplemente un navegador.
Consideraciones
Restricciones de nombres:
La Base de Datos donde se guarda informacin de las traza se debe llamar

GAVA.
La Base de Datos que alberga datos sobre las actualizaciones de los usuarios en
los distintos servidores, se debe llamar Auditoria.
La nica tabla que contiene la Base de Datos Auditoria se debe llamar tdatos.
Seguridad
El usuario de la aplicacin debe contar con un identificador de usuario y una clave
para poder conectarse a un servidor y sacar informacin sobre todo lo que el servidor
posee.
Pgina: 44
Activity Log
Captulo 7 SELECCIN DE HERRAMIENTAS
DBMS
Se seleccionaron dos DBMS por distintas razones.
La primera, por el uso de la herramienta en la zona
La segunda, porque uno es una herramienta de cdigo abierto y el otro no.
Los dos motores seleccionados fueron PostgreSQ y SQL Server.

Tanto PostgreSQL como SQL son productos de base de datos distintos y que
pertenecen a distintos proveedores, a ello se debe entonces que uno sea comercial y el otro
no.
PostgreSQL es un proyecto open source, o de cdigo abierto. Cdigo Abierto por
definicin significa que se puede obtener el cdigo fuente, usar el programa, y modificarlo
libremente sin las limitaciones del software propietario. En el ambiente de las bases de
datos, cdigo abierto significa que se tiene estadsticas de rendimiento y datos que otras
compaas como Oracle no facilitan. Cdigo abierto tambin significa que se es libre de
modificar PostgreSQL para adaptarlo a las necesidades particulares.
Sin embargo, hay un malentendido en cuanto a que si bien el software de cdigo
abierto est libre de restricciones del distribuidor, no deja de tener costos para la
organizacin que lo utilice. Es cierto en cuanto a que se puede, sin costo alguno, descargar
e instalar software de cdigo abierto, pero siempre existirn costos asociados con el tiempo
y esfuerzo que la organizacin dedique a desarrollar y/o adaptar las aplicaciones necesarias.
No hay que dejar de considerar que si no se dispone de esos recursos, existen varias
distribuciones comerciales, as como consultores que trabajan especficamente con
PostgreSQL.
El principal factor a la hora de decidir si usar una versin de cdigo abierto de
PostgreSQL o bien una versin comercial del paquete debera ser los requerimientos del
negocio.
Pgina: 45
Activity Log
PostgreSQL est ampliamente considerado como el sistema de bases de datos de

cdigo abierto ms avanzado del mundo.
En lo que se refiere a SQL SERVER, este producto ha agregado un conjunto
convincente de caractersticas que permite la creacin de aplicaciones verdaderamente
globales y constituye la mejor opcin en cuanto a base de datos para las organizaciones
globales. Este es un motor de base de datos comercial pero tan potente como Postgres y
uno de los mas usados en la zona.
Programacin
Lenguaje
VISUAL BASIC 6.0
Para realizar el programa se eligi como entorno de programacin a Visual Basic 6.0
debido a que cumpla con todos los requisitos establecidos. Visual Basic 6 nos permite:
crear de manera fcil y rpida una interface de usuario adecuada
Diseador de Reportes
DATA REPORT(VISUAL BASIC 6.0)
Es una herramienta que provee Visual Basic para disear reportes, el reporte queda
incluido dentro del exe de la aplicacin.
Es una herramienta sencilla y fcil de usar
Aplicacin
Visual Basic 6.0
Data Report
Pgina: 46
Activity Log
Captulo 8 CONCLUSIONES
Componentes no incluidos y posibles extensiones
Reportes15
Actualmente, el sistema muestra un solo reporte genrico
Sugerencias,
se
podran
agregar
mas
reportes
utilizar
otra
herramienta para mostrar los datos en distintos formatos (grficos)
Seguimiento de un usuario a travs de los distintos DBMS:

Actualmente, se tendran que generar distintos reportes, uno por cada

DBMS
Sugerencia, se podran importar todos los datos a la base GAVA y emitir

un solo reporte que contenga todas las acciones que realizo un usuario
sin importar el DBMS.
Generacin de trazas condicionales

16
Actualmente, el sistema genera acciones sin tener en cuanta posibles

valores de los campos
Sugerencia, el sistema podra pedir valores para los campos que se

desean guardar y solo si cumplen la condicin disparar una accin.
Forma de ejecucin de los script

Actualmente, la creacin de la traza permite la generacin de un

archivo que contiene el script y es el administrador de base de Datos el
que debe ejecutarlo en el servidor y la base correspondiente
15
16
Apndice II: Manual de usuario- Reportes

Apndice II: Manual de usuario- Trazas
Pgina: 47
Sugerencia,
el
script
se
podra
Activity Log
ejecutar
directamente
desde
el
programa.
No se realizo de esta manera por razones de seguridad. El
administrador de base de datos es el encargado de realizar los cambios.
Si se diera la citacin donde una tabla dada tenga una traza generada, al
modificar los datos de la tabla, los programas podran generar error en
tiempo de ejecucin. La traza debe ser conocida por al administrador
para no perjudicar el normal funcionamiento de los sistemas.
Habilitacin del trigger

17
Actualmente, cada vez que por la aplicacin GAVA se habilita y

deshabilita una traza, es funcin del auditor poner en conocimiento al
administrador de base de datos para que elimine o agregue nuevamente
la traza.
Sugerencia, se podra agregar a los triggers algn tipo de verificacin

donde cada vez que se disparan preguntarse a si mismos si estn
activados.
Comentarios finales
Al iniciar nuestra bsqueda para seleccionar un proyecto para la tesina estbamos
seguros que se enfocara al ambiente de Bases de Datos debido a nuestra predileccin por
el significado de los datos y por su forma de representarlos. No obstante ello, descubrimos
una rea que aunque era conocida por nosotros no haba sido profundizada ms de alguna
breve lectura en alguna revista actual. Estamos hablando especficamente de la Auditoria
Informtica.
17
Apndice II: Manual de usuario- Trazas Habilitacin de Trazas
Pgina: 48
Activity Log
Es as que al ir interiorizndonos del tema nos atrajo y lo profundizamos lo suficiente

como para hallar su punto de interaccin con las Bases de Datos. Esto unido a la eleccin de
nuestro tutor y su propuesta de enfocarnos en encontrar una herramienta global para la
auditoria centralizada sobre bases de datos determin el trabajo presente.
Conclusiones
Consideramos haber alcanzado los objetivos propuestos de este trabajo, el cual ha

significado desde el punto de vista de investigacin una duracin de 45 das y desde el
punto de vista de desarrollo otros 45 das completndose los 120 das totales con el diseo,
edicin y presentacin del informe final. Respecto de la planificacin del proyecto logramos
reducir el tiempo estimado prcticamente en un mes debido a que los elementos necesarios
para el desarrollo fueron obtenidos y puestos en uso sin mayores complicaciones. Es
destacable que nos ayudo los conocimientos y experiencia previos, que ambos como
docentes y profesionales poseemos, a la hora de entender y utilizar los nuevos conceptos
adquiridos.
Creemos que GAVA, por ser una herramienta resultante de una tesis de alumnos
cumple con los requerimientos necesarios para ser utilizada en forma profesional, por ese
motivo queda disponible para ser evaluada por quienes estn interesados.
Pgina: 49
Activity Log
Apndice I DESARROLLO DEL PROYECTO
Plan de Trabajo
1- Bsqueda y seleccin de informacin sobre auditorias,
a. Recopilacin de informacin en Internet.
b. Recopilacin de informacin de libros.
c. Lectura y seleccin de todo el material.
2- Investigacin de la situacin actual de las organizaciones con respecto a la auditoria,
a. Seleccionar dos organizaciones del medio.
b. Establecer
la
forma
en
que
las
organizaciones
antes
seleccionadas,
desarrollan auditorias Informticas.

c. Determinar aspectos ausentes que se deberan incorporar en materia de
auditorias Informticas.
3- Anlisis metodolgico de los RDBMS existentes,
a. Relevamiento de los distintos RDBMS utilizados en el medio.
b. Seleccin de los dos RDBMS con mayor porcentaje de uso.
c. Recopilacin de documentacin en Internet.
d. Recopilacin de libros.
e. Clasificacin y anlisis del material relevante a las auditorias.
f.
Adquisicin del software de los gestores de base de datos seccionados.
g. Instalacin del software adquirido.

h. Evaluacin y pruebas generales del entorno.
i.
Evaluacin y pruebas de mecanismos provistos por el RDBMS, tiles
para
realizar auditorias Informticas.

4- Modelizacin y diseo de la herramienta de auditoria,
a. Determinar las necesidades a cubrir por la herramienta.
b. Formular las especificaciones generales de la herramienta.
Pgina: 50
Activity Log
c. Seleccionar un lenguaje para la implementacin y traduccin del modelo.

d. Seleccionar un RDBMS para almacenar los datos de los trace.
5- Implementacin de la herramienta de apoyo
a. Formular un esquema de Base de Datos para almacenar la informacin de los
trace.
b. Formular esquema de las bases de auditorias para cada RDBMS a auditar.
c. Diseo y codificacin de formularios para conectarse con los distintos RDBMS.
d. Diseo y codificacin de formularios para interactuar con los trace.
e. Diseo y codificacin de formularios de invocacin de reportes sobre todos
los registros de actividad.
f.
Pruebas.
Pgina: 51
Activity Log
Cronograma
Previsto
-
Bsqueda y seleccin de informacin sobre auditoras
32 das
01/12/2006
15/01/2007
Recopilacin de informacin en Internet
26 das
01/12/2006
05/01/2007
Recopilacin de informacin de libros
26 das
01/12/2006
05/01/2007
Lectura y seleccin de todo el material
22 das
15/12/2006
15/01/2007
Investigacin de la situacin actual de las organizaciones con respecto a la Auditora
11 das
15/12/2006
29/12/2006
Seleccionar dos organizaciones del medio.
2 das
15/12/2006
18/12/2006
Establecer la forma en que las organizaciones antes seleccionadas, desarrollan Auditoras Informticas.
4 das
19/12/2006
22/12/2006
Determinar aspectos ausentes que se deberan incorporar en materia de Auditoras Informticas.
4 das
26/12/2006
29/12/2006
Anlisis metodolgico de los RDBMS existentes,
50 das
11/12/2006
16/02/2007
Relevamiento de los distintos RDBMS utilizados en el medio.
3 das
11/12/2006
13/12/2006
Seleccin de los dos RDBMS con mayor porcentaje de uso.
4 das
14/12/2006
19/12/2006
Recopilacin de documentacin en Internet.
16 das
20/12/2006
10/01/2007
Recopilacin de libros.
16 das
20/12/2006
10/01/2007
Clasificacin y anlisis del material relevante a las auditoras.
10 das
02/01/2007
15/01/2007
3 das
20/12/2006
22/12/2006
Instalacin del software adquirido.
1 da?
22/12/2006
22/12/2006
Evaluacin y pruebas generales del entorno.
30 das
04/01/2007
14/02/2007
Evaluacin y pruebas de mecanismos provistos por el RDBMS, tiles para realizar Auditoras Informticas. 30 das
08/01/2007
16/02/2007
01/02/2007
16/02/2007
Modelizacin y diseo de la herramienta de auditora,
12 das
Determinar las necesidades a cubrir por la herramienta.
5 das
01/02/2007
07/02/2007
Formular las especificaciones generales de la herramienta.
3 das
08/02/2007
12/02/2007
Seleccionar un lenguaje para la implementacin y traduccin del modelo.
4 das
13/02/2007
16/02/2007
Pgina: 52
Activity Log
Seleccionar un RDBMS para almacenar los datos de los trace.
3 das
14/02/2007
16/02/2007
Implementacin de la herramienta de apoyo
22 das
16/02/2007
15/03/2007
Formular un esquema de Base de Datos para almacenar la informacin de los trace.
3 das
16/02/2007
19/02/2007
Formular esquema de las bases de auditoras para cada RDBMS a auditar.
3 das
20/02/2007
22/02/2007
Diseo y codificacin de formularios para conectarse con los distintos RDBMS.
5 das
23/02/2007
01/03/2007
Diseo y codificacin de formularios para interactuar con los trace.
13 das
26/02/2007
13/03/2007
Diseo y codificacin de formularios de invocacin de reportes sobre todos los registros de actividad.
4 das
26/02/2007
01/03/2007
Pruebas.
6 das
09/03/2007
15/03/2007
Generacin de informe y presentacin
43 das
05/03/2007
30/04/2007
Generacin de informe
28 das
05/03/2007
10/04/2007
Edicin de presentacin
9 das
11/04/2007
20/04/2007
Preparacin para la defensa
7 das
20/04/2007
30/04/2007
Pgina: 53
Activity Log
Ejecutado
- Bsqueda y seleccin de informacin sobre auditoras
22 das
05/12/2006
02/01/2007
Recopilacin de informacin en Internet
20 das
05/12/2006
29/12/2006
Recopilacin de informacin de libros
20 das
05/12/2006
29/12/2006
Lectura y seleccin de todo el material
13 das
16/12/2006
02/01/2007
3 das
16/12/2006
19/12/2006
- Investigacin de la situacin actual de las organizaciones con respecto a la Auditora

Seleccionar dos organizaciones del medio.
1 da?
16/12/2006
16/12/2006
Establecer la forma en que las organizaciones antes seleccionadas, desarrollan Auditoras Informticas.
3 das
16/12/2006
19/12/2006
Determinar aspectos ausentes que se deberan incorporar en materia de Auditoras Informticas.
3 das
16/12/2006
19/12/2006
11/12/2006
30/12/2006
- Anlisis metodolgico de los RDBMS existentes,
16 das
Relevamiento de los distintos RDBMS utilizados en el medio.
1 da?
11/12/2006
11/12/2006
Seleccin de los dos RDBMS con mayor porcentaje de uso.
1 da?
12/12/2006
12/12/2006
Recopilacin de documentacin en Internet.
11 das
13/12/2006
26/12/2006
Recopilacin de libros.
11 das
13/12/2006
26/12/2006
Clasificacin y anlisis del material relevante a las auditoras.
10 das
18/12/2006
30/12/2006
3 das
13/12/2006
15/12/2006
Instalacin del software adquirido.
2 das
16/12/2006
18/12/2006
Evaluacin y pruebas generales del entorno.
10 das
18/12/2006
29/12/2006
Evaluacin y pruebas de mecanismos provistos por el RDBMS, tiles para realizar Auditoras Informticas.
7 das
21/12/2006
29/12/2006
02/01/2007
13/01/2007
- Modelizacin y diseo de la herramienta de auditora,
9 das
Determinar las necesidades a cubrir por la herramienta.
4 das
02/01/2007
05/01/2007
Formular las especificaciones generales de la herramienta.
3 das
08/01/2007
10/01/2007
Pgina: 54
Activity Log
Seleccionar un lenguaje para la implementacin y traduccin del modelo.
1 da?
11/01/2007
11/01/2007
Seleccionar un RDBMS para almacenar los datos de los trace.
1 da?
12/01/2007
13/01/2007
15/01/2007
17/02/2007
- Implementacin de la herramienta de apoyo
25 das
Formular un esquema de Base de Datos para almacenar la informacin de los trace.
2 das
15/01/2007
16/01/2007
Formular esquema de las bases de auditoras para cada RDBMS a auditar.
1 da?
17/01/2007
17/01/2007
Diseo y codificacin de formularios para conectarse con los distintos RDBMS.
5 das
18/01/2007
24/01/2007
Diseo y codificacin de formularios para interactuar con los trace.
13 das
23/01/2007
08/02/2007
Diseo y codificacin de formularios de invocacin de reportes sobre todos los registros de actividad.
3 das
09/02/2007
13/02/2007
Pruebas.
12 das
01/02/2007
17/02/2007
19/02/2007
30/03/2007
- Generacin de informe y presentacin
31 das
Generacin de informe
18 das
19/02/2007
13/03/2007
Edicin de presentacin
6 das
14/03/2007
21/03/2007
Preparacin para la defensa
7 das
22/03/2007
30/03/2007
Pgina: 55
Activity Log
Apndice II: MANUAL DE USUARIO
Formularios
Principal
En la barra se muestran todas las operaciones que se pueden realizar. En los botones
se encuentran las operaciones mas frecuentes.
En la parte inferior de la pantalla se muestra el usuario conectado, el nombre del

servidor, la base de datos y la fecha.
La estructura de la barra:
Parmetros
Trazas
Nueva Traza
Eliminar Traza
Ver Traza
Generacin
Generar Script Alta
Generar script Eliminacin
Reportes
Informacin
Pgina: 56
Ayuda
Informacin General
Salir
Activity Log
Parmetros
Esta es una pantalla de configuracin para poder generar un .ini y cambiar los datos
cada vez que se cambie alguna configuracin del servidor. En este archivo se guarda
el
servidor, la base, el usuario y la contrasea.
Trazas
a) Nueva traza
Pasos a seguir para dar de alta una traza
i.
Seleccin de Tipo Servidor
Pgina: 57
Activity Log
Es el primer paso para dar de alta una traza. Se debe indicar el

nombre de la traza para luego poder identificarla. El nombre no debe
comenzar con nmeros ni contener espacios ya que este va a ser el nombre
del trigger que se va a guardar en la base. En la lista desplegable ( Tipo de
Servidor) se muestran todos los motores de base de datos para los cuales el
sistema esta preparado para generar un script.
ii.
Peticin de servidor, usuario y contrasea
Una vez que se tiene el tipo de servidor, en la lista desplegable

(Servidor) se muestran todos los servidores de ese motor de base de datos
que se encuentran conectados a la maquina. Luego, se debe indicar un
usuario y contrasea para poder conectarse al servidor. Una vez ingresados
los datos, se debe intentar conectar al servidor. En caso de que la conexin
no sea satisfactoria no se puede avanzar.
Pgina: 58
iii.
Activity Log
Peticin de Base, Tabla y Operacin
Lista en forma automtica todas las bases de datos que se encuentran

en el servidor. Luego en el caso de Postgres se debe seleccionar el esquema.
Una
vez
que
se
tienen
estos
datos
se
listan
las
tablas
las
operaciones(insercin, modificacin, eliminacin) de las cuales se quiere

registrar un cambio.
Pgina: 59
iv.
Activity Log
Peticin de campos
Se listan todos los campos de la tabla, permitiendo chequear aquellos

que se desean guardar cuando en la tabla hay un cambio.
v.
Generacin de archivo
vi.
Peticin de lugar de generacin
Pgina: 60
Activity Log
Se debe seleccionar el lugar donde se deja el script e indicar el nombre

con el cual se va a guardar el archivo para despus ser levantado por el
administrador para ser ejecutado en la base.
b) Eliminacin de Trazas
c) Habilitacin de Trazas
Lista todas las trazas creadas. Cuando se selecciona alguna y
se
presiona eliminar, se elimina de la tabla y de todas las tablas donde se

encuentra referenciada. Por otro lado permite generar el script de eliminacin
de trazas para que el administrador lo ejecute en la base de datos y elimine la
traza.
d) Ver Trazas
Pgina: 61
Activity Log
Permite seleccionar una traza y ver toda la informacin relacionada a

ella.
Generacin
El men, permite regenerar el script de eliminacin o de nueva traza. Depende de
que opcin del men se seleccione, el botn regenerar archivo va a generar uno u otro tipo
de script.
Pgina: 62
Activity Log
Reportes
Permite realizar una seleccin sobre los datos que registraron las distintas trazas. En
base a la seleccin se imprime en pantalla los resultados de la bsqueda.
Pgina: 63
Activity Log
Informacin
Brinda informacin general sobre el sistema.
Pgina: 64
Activity Log
Requerimientos mnimos
Gava se puede utilizar en una red Wan o simplemente un una maquina que se
comporte como servidor. Los requerimientos mnimos son: tener la aplicacin Gava
instalado, un servidor SQL Server con la base GAVA restaurada, bases de datos de auditoria
y una aplicacin de usuario que acceda a una base de datos auditable.
Servidor
Aplicacin GAVA
GAVA
SERVIDOR DE SQL
Bases
Auditables
Auditoria
SQL Server
Pgina: 65
Activity Log
Instalacin
En el cd se encuentra:
-
backup de la base GAVA para el servidor de SQL Server
backup de la base de auditoria para los DBMS de SQL Server
script de la base de datos Auditorias para los DBMS de postgres
script de la tabla tdatos de la base de auditoria en los DBMS de Postgres
La instalacin deja por defecto en el directorio un .ini que debe ser configurado por el
administrador. Este indica la ubicacin de la base de datos Gava junto con el usuario y la
contrasea para conectarse a ella.
Configuracin
Una vez instalada la aplicacin, seria conveniente que el administrador genere el
archivo registro.ini en donde se encuentra el ejecutable de la aplicacin, donde conste el
usuario, contrasea, base de datos y servidor en donde se encuentra la base GAVA.
Inicio de la aplicacin
Cuando la aplicacin se inicia verifica la existencia de un archivo, registro.ini, que
contiene informacin del usuario, contrasea, base de datos y servidor donde el usuario se
conecta. El usuario que se usa para ingresar en la aplicacin, debe ser usuario de la base de
datos GAVA. En caso de no existir el archivo, registro.ini, la aplicacin despliega el
formulario de parmetros para completar los datos necesarios para poder realizar las
operaciones de consulta y actualizacin sobre la Base de Datos GAVA. Una vez ingresados
los datos, la aplicacin los verifica, si son correctos solicita que se reinicie la misma para
poder tomar los cambios; en caso de no serlos no permite continuar.
Pgina: 66
Activity Log
Pgina: 67
Activity Log
Funciones del Administrador

El primer paso que debe realizar el administrador GAVA es restaurar el backup de la
base Gava en el servidor. El segundo paso seria brindarle un usuario y una contrasea al
auditor por cada DBMS, con la cual l pueda consultar las bases del servidor, las tablas y
sus campos de las bases que requiera auditar. Una vez que el auditor genera los script, el
administrador debe ejecutarlos en la
base, con antes previa restauracin de la base de
datos Auditora. Una vez ejecutados los script el auditor puede comenzar la recoleccin de
datos en los distintos DBMS y bases de los cuales solicito la el registro de actividades.
Pgina: 68
Activity Log
Apndice III: INCORPORACION DE NUEVOS DBMS

El sistema se encuentra parametrizado para poder incorporar un
nuevo DMBS sin
realizar mayores cambios. Los pasos a seguir para agregar un DBMS son:
En la base de datos GAVA

1- En la tabla tTipoServidor, agregar en registro mas para identificar el nuevo DBMS
En la aplicacin
1- Modificar el mdulo Variables agregando una constante que identifique el DBMS
2- Modificar el modulo Funciones agregando una opcin mas a cada clusula case
la nueva opcin.
3- Agregar un formulario nuevo para dar de alta la nueva traza. Se puede tomar
como modelo alguno de los ya desarrollados para SQL Server o Postgres.
4- Modificar el formulario frmReporteGeneral en la funcin EstablecerConexion
agregando una opcin mas en la clusula case.
Pgina: 69
Activity Log
Apndice IV: PRUEBAS

Para realizar las pruebas y poder hacer una demostracin entretenida y llevadera, se
generaron dos programas, calles y juguetera. Cada uno de ellos se conecta con uno de los
dos tipos de DBMS existentes y modifican los registros de la nica tabla que posee la Basse.
Estos programas realizan alta de registros y eliminacin, as como una simple consulta
sobre los datos que contiene la tabla.
Para comenzar con la prueba se debe realizar:
Un vaciado general de las tablas de las bases. Limpiar contenido de la tabla de

trazas y columnas de las trazas.
Tambin se deben limpiar el contenido de la tabla datos en las bases de

auditorias en cada servidor.
Crear una nueva traza conectndose al servidor de Postgres donde se

encuentra el esquema juguetera, seleccionar la tabla juguetera, la operacin
de eliminacin y chequear los campos de la tabla que se quieren guardar. Una
vez que se tienen esos datos generar el archivo para el administrador.
Crear una nueva traza conectndose al servidor de SQL Server donde se

encuentra el la base Calles, seleccionar la tabla calle, la operacin de insercin
y chequear los campos de la tabla que se quieren guardar. Una vez que se
tienen esos datos generar el archivo para el administrador.
El administrador de la base levanta los archivos y ejecuta los script.
Ejecutar el programa Calles. Insertar un par de calles. Despus eliminar una

calle.
Ejecutar el programa Juguetera. Insertar un par de juguetes. Despus eliminar

un juguete.
Desde la aplicacin GAVA generar los reportes bajo distintos criterios.
Pgina: 70
Activity Log
Apndice V: APLICACIONES DE PRUEBA
Calles
Esta aplicacin se conecta con un servidor de SQL Server
El men principal
Formulario de ingreso
Pgina: 71
Activity Log
Formulario de visualizacin
Formulario de eliminacin
Pgina: 72
Activity Log
Juguetera
Esta aplicacin se conecta con un servidor de SQL Server
El men principal
Pgina: 73
Activity Log
Formulario de ingreso
Formulario de eliminacin
Pgina: 74
Activity Log
Formulario de visualizacin
Pgina: 75
Activity Log
Apndice VI: TRIGGERS

A continuacin se muestran dos script de generacin de triggers de insercin, uno de
para un servidor de Postrgres y a continuacin uno de SQL Server
Postgres
CREATE FUNCTION jugueteria.inserciondejuguetes() returns trigger AS
$cuerpo$
BEGIN
INSERT INTO auditoria.tdatos SELECT 'inserciondejuguetes',
'juguete',
user,
'Insertar',
' cantidad=' || TRIM ( new.cantidad) ||
' codigo=' || TRIM ( new.codigo) ||
' color=' || TRIM ( new.color) ||
' descripcion=' || TRIM ( new.descripcion) ,
'Escuela',
'jugueteria',
now();
RETURN NEW;
END;
$cuerpo$
LANGUAGE plpgsql;
CREATE TRIGGER inserciondejuguetes BEFORE INSERT ON jugueteria.juguete

FOR EACH ROW EXECUTE PROCEDURE jugueteria.inserciondejuguetes();
Pgina: 76
Activity Log
SQL Server
CREATE TRIGGER inserciondecalle ON GraCalle FOR Insert AS
DECLARE @FechaActual DATETIME
DECLARE @Usuario VARCHAR(20)
DECLARE @Aplicacion VARCHAR(20)
SET @FechaActual = GETDATE()
SET @Usuario = CURRENT_USER
SET @Aplicacion = APP_NAME()
Begin
INSERT INTO [Auditoria].[dbo].[tDatos] (
traza, datos,
Usuario, Fecha,
Tabla, BaseDatos,
Operacion )
SELECT
'inserciondecalle',
'
Codigo='
LTRIM
RTRIM(
convert
(VARCHAR(100), Codigo))) +
' descripcion=' + LTRIM ( RTRIM( convert (VARCHAR(100), descripcion))) ,
@Usuario, @FechaActual ,'GraCalle', 'Calles','Insertar'
FROM INSERTED
End
Pgina: 77
Activity Log
Apndice VII: LEYES y DECRETOS
Ley 25.326 - Proteccin de los datos personales

Disposiciones Generales. Principios generales relativos a la proteccin de datos.
Derechos de los titulares de datos. Usuarios y responsables de archivos, registros
y bancos de datos. Control. Sanciones. Accin de proteccin de los datos
personales.
Sancionada: Octubre 4 de 2000.
Promulgada Parcialmente: Octubre 30 de 2000.
El Senado y Cmara de Diputados de la Nacin Argentina reunidos en Congreso, etc.
sancionan con fuerza de Ley:
Ley de Proteccin de los Datos Personales
CAPTULO I
DISPOSICIONES GENERALES
ARTICULO 1 (Objeto).
La presente ley tiene por objeto la proteccin integral de los datos personales
asentados en archivos, registros, bancos de datos, u otros medios tcnicos de tratamiento
de datos, sean stos pblicos, o privados destinados a dar informes, para garantizar el
derecho al honor y a la intimidad de las personas, as como tambin el acceso a la
informacin que sobre las mismas se registre, de conformidad a lo establecido en el artculo
43, prrafo tercero de la Constitucin Nacional.
Las disposiciones de la presente ley tambin sern aplicables, en cuanto resulte
pertinente, a los datos relativos a personas de existencia ideal.
En ningn caso se podrn afectar la base de datos ni las fuentes de informacin
periodsticas.
ARTICULO 2 (Definiciones).
A los fines de la presente ley se entiende por:
Datos personales: Informacin de cualquier tipo referida a personas fsicas o de
existencia ideal determinadas o determinables.
Datos sensibles: Datos personales que revelan origen racial y tnico, opiniones
polticas, convicciones religiosas, filosficas o morales, afiliacin sindical e informacin
referente a la salud o a la vida sexual.
Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto
organizado de datos personales que sean objeto de tratamiento o procesamiento,
electrnico o no, cualquiera que fuere la modalidad de su formacin, almacenamiento,
organizacin o acceso.
Tratamiento de datos: Operaciones y procedimientos sistemticos, electrnicos o
no, que permitan la recoleccin, conservacin, ordenacin, almacenamiento, modificacin,
relacionamiento, evaluacin, bloqueo, destruccin, y en general el procesamiento de datos
personales, as como tambin su cesin a terceros a travs de comunicaciones, consultas,
interconexiones o transferencias.
Pgina: 78
Activity Log
Responsable de archivo, registro, base o banco de datos: Persona fsica o de

existencia ideal pblica o privada, que es titular de un archivo, registro, base o banco de
datos.
Datos informatizados: Los datos personales sometidos al tratamiento o
procesamiento electrnico o automatizado.
Titular de los datos: Toda persona fsica o persona de existencia ideal con
domicilio legal o delegaciones o sucursales en el pas, cuyos datos sean objeto del
tratamiento al que se refiere la presente ley.
Usuario de datos: Toda persona, pblica o privada que realice a su arbitrio el
tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a travs de
conexin con los mismos.
Disociacin de datos: Todo tratamiento de datos personales de

manera que la informacin obtenida no pueda asociarse a persona
determinada o determinable.
CAPTULO II
PRINCIPIOS GENERALES RELATIVOS A LA PROTECCIN DE DATOS
ARTICULO 3 (Archivos de datos Licitud).
La formacin de archivos de datos ser lcita cuando se encuentren debidamente
inscriptos, observando en su operacin los principios que establece la presente ley y las
reglamentaciones que se dicten en su consecuencia.
Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral
pblica.
ARTICULO 4 (Calidad de los datos).
1. Los datos personales que se recojan a los efectos de su tratamiento deben ser
ciertos, adecuados, pertinentes y no excesivos en relacin al mbito y finalidad para los que
se hubieren obtenido.
2. La recoleccin de datos no puede hacerse por medios desleales, fraudulentos o en
forma contraria a las disposiciones de la presente ley.
3. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas
o incompatibles con aquellas que motivaron su obtencin.
4. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario.
5. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser
suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base
de datos cuando se tenga conocimiento de la inexactitud o carcter incompleto de la
informacin de que se trate, sin perjuicio de los derechos del titular establecidos en el
artculo 16 de la presente ley.
6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho
de acceso de su titular.
7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o
pertinentes a los fines para los cuales hubiesen sido recolectados.
ARTICULO 5 (Consentimiento).
1. El tratamiento de datos personales es ilcito cuando el titular no hubiere prestado
su consentimiento libre, expreso e informado, el que deber constar por escrito, o por otro
medio que permita se le equipare, de acuerdo a las circunstancias.
El referido consentimiento prestado con otras declaraciones, deber figurar en forma
expresa y destacada, previa notificacin al requerido de datos, de la informacin descrita en
el artculo 6 de la presente ley.
2. No ser necesario el consentimiento cuando:
Pgina: 79
Activity Log
a) Los datos se obtengan de fuentes de acceso pblico irrestricto;

b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o
en virtud de una obligacin legal;
c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de
identidad, identificacin tributaria o previsional, ocupacin, fecha de nacimiento
y domicilio;
d) Deriven de una relacin contractual, cientfica o profesional del titular de los
datos, y resulten necesarios para su desarrollo o cumplimiento;
e) Se trate de las operaciones que realicen las entidades financieras y de las
informaciones que reciban de sus clientes conforme las disposiciones del
artculo 39 de la Ley 21.526.
ARTICULO 6 (Informacin).
Cuando se recaben datos personales se deber informar previamente a sus titulares
en forma expresa y clara:
a) La finalidad para la que sern tratados y quines pueden ser sus destinatarios o
clase de destinatarios;
b) La existencia del archivo, registro, banco de datos, electrnico o de cualquier otro
tipo, de que se trate y la identidad y domicilio de su responsable;
c) El carcter obligatorio o facultativo de las respuestas al cuestionario que se le
proponga, en especial en cuanto a los datos referidos en el artculo siguiente;
d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la
inexactitud de los mismos;
e) La posibilidad del interesado de ejercer los derechos de acceso, rectificacin y
supresin de los datos.
ARTICULO 7 (Categora de datos).
1. Ninguna persona puede ser obligada a proporcionar datos sensibles.
2. Los datos sensibles slo pueden ser recolectados y objeto de tratamiento cuando
medien razones de inters general autorizadas por ley. Tambin podrn ser tratados con
finalidades estadsticas o cientficas cuando no puedan ser identificados sus titulares.
3. Queda prohibida la formacin de archivos, bancos o registros que almacenen
informacin que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la
Iglesia Catlica, las asociaciones religiosas y las organizaciones polticas y sindicales podrn
llevar un registro de sus miembros.
4. Los datos relativos a antecedentes penales o contravencionales slo pueden ser
objeto de tratamiento por parte de las autoridades pblicas competentes, en el marco de las
leyes y reglamentaciones respectivas.
ARTICULO 8 (Datos relativos a la salud).
Los establecimientos sanitarios pblicos o privados y los profesionales vinculados a
las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud
fsica o mental de los pacientes que acudan a los mismos o que estn o hubieren estado
bajo tratamiento de aqullos, respetando los principios del secreto profesional.
ARTICULO 9 (Seguridad de los datos).
1. El responsable o usuario del archivo de datos debe adoptar las medidas tcnicas y
organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los
datos personales, de modo de evitar su adulteracin, prdida, consulta o tratamiento no
autorizado, y que permitan detectar desviaciones, intencionales o no, de informacin, ya
sea que los riesgos provengan de la accin humana o del medio tcnico utilizado.
Pgina: 80
Activity Log
2. Queda prohibido registrar datos personales en archivos, registros o bancos que no

renan condiciones tcnicas de integridad y seguridad.
ARTICULO 10. (Deber de confidencialidad).
1. El responsable y las personas que intervengan en cualquier fase del tratamiento
de datos personales estn obligados al secreto profesional respecto de los mismos. Tal
obligacin subsistir aun despus de finalizada su relacin con el titular del archivo de
datos.
2. El obligado podr ser relevado del deber de secreto por resolucin judicial y
cuando medien razones fundadas relativas a la seguridad pblica, la defensa nacional o la
salud pblica.
ARTICULO 11. (Cesin).
1. Los datos personales objeto de tratamiento slo pueden ser cedidos para el
cumplimiento de los fines directamente relacionados con el inters legtimo del cedente y
del cesionario y con el previo consentimiento del titular de los datos, al que se le debe
informar sobre la finalidad de la cesin e identificar al cesionario o los elementos que
permitan hacerlo.
2. El consentimiento para la cesin es revocable.
3. El consentimiento no es exigido cuando:
a) As lo disponga una ley;
b) En los supuestos previstos en el artculo 5 inciso 2;
c) Se realice entre dependencias de los rganos del Estado en forma directa, en la
medida del cumplimiento de sus respectivas competencias;
d) Se trate de datos personales relativos a la salud, y sea necesario por razones
de salud pblica, de emergencia o para la realizacin de estudios
epidemiolgicos, en tanto se preserve la identidad de los titulares de los datos
mediante mecanismos de disociacin adecuados;
e) Se hubiera aplicado un procedimiento de disociacin de la informacin, de
modo que los titulares de los datos sean inidentificables.
4. El cesionario quedar sujeto a las mismas obligaciones legales y reglamentarias
del cedente y ste responder solidaria y conjuntamente por la observancia de las mismas
ante el organismo de control y el titular de los datos de que se trate.
ARTICULO 12. (Transferencia internacional).
1. Es prohibida la transferencia de datos personales de cualquier tipo con pases u
organismos internacionales o supranacionales, que no propocionen niveles de proteccin
adecuados.
2. La prohibicin no regir en los siguientes supuestos:
a) Colaboracin judicial internacional;
b) Intercambio de datos de carcter mdico, cuando as lo exija el tratamiento del
afectado, o una investigacin epidemiolgica, en tanto se realice en los
trminos del inciso e) del artculo anterior;
c) Transferencias bancarias o burstiles, en lo relativo a las transacciones
respectivas y conforme la legislacin que les resulte aplicable;
d) Cuando la transferencia se hubiera acordado en el marco de tratados
internacionales en los cuales la Repblica Argentina sea parte;
e) Cuando la transferencia tenga por objeto la cooperacin internacional entre
organismos de inteligencia para la lucha contra el crimen organizado, el
terrorismo y el narcotrfico.
CAPTULO III
Pgina: 81
Activity Log
DERECHOS DE LOS TITULARES DE DATOS

ARTICULO 13. (Derecho de Informacin).
Toda persona puede solicitar informacin al organismo de control relativa a la
existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la
identidad de sus responsables.
El registro que se lleve al efecto ser de consulta pblica y gratuita.
ARTICULO 14. (Derecho de acceso).
1. El titular de los datos, previa acreditacin de su identidad, tiene derecho a solicitar
y obtener informacin de sus datos personales incluidos en los bancos de datos pblicos, o
privados destinados a proveer informes.
2. El responsable o usuario debe proporcionar la informacin solicitada dentro de los
diez das corridos de haber sido intimado fehacientemente.
Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, ste se
estimara insuficiente, quedar expedita la accin de proteccin de los datos personales o de
hbeas data prevista en esta ley.
3. El derecho de acceso a que se refiere este artculo slo puede ser ejercido en
forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un inters
legtimo al efecto.
4. El ejercicio del derecho al cual se refiere este artculo en el caso de datos de
personas fallecidas le corresponder a sus sucesores universales.
ARTICULO 15. (Contenido de la informacin).
1. La informacin debe ser suministrada en forma clara, exenta de codificaciones y
en su caso acompaada de una explicacin, en lenguaje accesible al conocimiento medio de
la poblacin, de los trminos que se utilicen.
2. La informacin debe ser amplia y versar sobre la totalidad del registro
perteneciente al titular, aun cuando el requerimiento slo comprenda un aspecto de los
datos personales. En ningn caso el informe podr revelar datos pertenecientes a terceros,
aun cuando se vinculen con el interesado.
3. La informacin, a opcin del titular, podr suministrarse por escrito, por medios
electrnicos, telefnicos, de imagen, u otro idneo a tal fin.
ARTICULO 16. (Derecho de rectificacin, actualizacin o supresin).
1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando
corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea
titular, que estn incluidos en un banco de datos.
2. El responsable o usuario del banco de datos, debe proceder a la rectificacin,
supresin o actualizacin de los datos personales del afectado, realizando las operaciones
necesarias a tal fin en el plazo mximo de cinco das hbiles de recibido el reclamo del
titular de los datos o advertido el error o falsedad.
3. El incumplimiento de esta obligacin dentro del trmino acordado en el inciso
precedente, habilitar al interesado a promover sin ms la accin de proteccin de los datos
personales o de hbeas data prevista en la presente ley.
4. En el supuesto de cesin, o transferencia de datos, el responsable o usuario del
banco de datos debe notificar la rectificacin o supresin al cesionario dentro del quinto da
hbil de efectuado el tratamiento del dato.
5. La supresin no procede cuando pudiese causar perjuicios a derechos o intereses
legtimos de terceros, o cuando existiera una obligacin legal de conservar los datos.
6. Durante el proceso de verificacin y rectificacin del error o falsedad de la
informacin que se trate, el responsable o usuario del banco de datos deber o bien
Pgina: 82
Activity Log
bloquear el archivo, o consignar al proveer informacin relativa al mismo la circunstancia de

que se encuentra sometida a revisin.
7. Los datos personales deben ser conservados durante los plazos previstos en las
disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del
banco de datos y el titular de los datos.
ARTICULO 17. (Excepciones).
1. Los responsables o usuarios de bancos de datos pblicos pueden, mediante
decisin fundada, denegar el acceso, rectificacin o la supresin en funcin de la proteccin
de la defensa de la Nacin, del orden y la seguridad pblicos, o de la proteccin de los
derechos e intereses de terceros.
2. La informacin sobre datos personales tambin puede ser denegada por los
responsables o usuarios de bancos de datos pblicos, cuando de tal modo se pudieran
obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigacin
sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones
de control de la salud y del medio ambiente, la investigacin de delitos penales y la
verificacin de infracciones administrativas. La resolucin que as lo disponga debe ser
fundada y notificada al afectado.
3. Sin perjuicio de lo establecido en los incisos anteriores, se deber brindar acceso a
los registros en cuestin en la oportunidad en que el afectado tenga que ejercer su derecho
de defensa.
ARTICULO 18. (Comisiones legislativas).
Las Comisiones de Defensa Nacional y la Comisin Bicameral de Fiscalizacin de los
Organos y Actividades de Seguridad Interior e Inteligencia del Congreso de la Nacin y la
Comisin de Seguridad Interior de la Cmara de Diputados de la Nacin, o las que las
sustituyan, tendrn acceso a los archivos o bancos de datos referidos en el artculo 23 inciso
2 por razones fundadas y en aquellos aspectos que constituyan materia de competencia de
tales Comisiones.
ARTICULO 19. (Gratuidad).
La rectificacin, actualizacin o supresin de datos personales inexactos o
incompletos que obren en registros pblicos o privados se efectuar sin cargo alguno para
el interesado.
ARTICULO 20. (Impugnacin de valoraciones personales).
1. Las decisiones judiciales o los actos administrativos que impliquen apreciacin o
valoracin de conductas humanas, no podrn tener como nico fundamento el resultado del
tratamiento informatizado de datos personales que suministren una definicin del perfil o
personalidad del interesado.
2. Los actos que resulten contrarios a la disposicin precedente sern
insanablemente nulos.
CAPTULO IV
USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS
ARTICULO 21. (Registro de archivos de datos. Inscripcin).
1. Todo archivo, registro, base o banco de datos pblico, y privado destinado a
proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de
control.
Pgina: 83
Activity Log
2. El registro de archivos de datos debe comprender como mnimo la siguiente

informacin:
a) Nombre y domicilio del responsable;
b) Caractersticas y finalidad del archivo;
c) Naturaleza de los datos personales contenidos en cada archivo;
d) Forma de recoleccin y actualizacin de datos;
e) Destino de los datos y personas fsicas o de existencia ideal a las que pueden
ser transmitidos;
f) Modo de interrelacionar la informacin registrada;
g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la
categora de personas con acceso al tratamiento de la informacin;
h) Tiempo de conservacin de los datos;
i) Forma y condiciones en que las personas pueden acceder a los datos referidos a
ellas y los procedimientos a realizar para la rectificacin o actualizacin de los
datos.
3) Ningn usuario de datos podr poseer datos personales de naturaleza distinta a
los declarados en el registro.
El incumplimiento de estos requisitos dar lugar a las sanciones administrativas
previstas en el captulo VI de la presente ley.
ARTICULO 22. (Archivos, registros o bancos de datos pblicos).
1. Las normas sobre creacin, modificacin o supresin de archivos, registros o
bancos de datos pertenecientes a organismos pblicos deben hacerse por medio de
disposicin general publicada en el Boletn Oficial de la Nacin o diario oficial.
2. Las disposiciones respectivas, deben indicar:
a) Caractersticas y finalidad del archivo;
b) Personas respecto de las cuales se pretenda obtener datos y el carcter
facultativo u obligatorio de su suministro por parte de aqullas;
c) Procedimiento de obtencin y actualizacin de los datos;
d) Estructura bsica del archivo, informatizado o no, y la descripcin de la
naturaleza de los datos personales que contendrn;
e) Las cesiones, transferencias o interconexiones previstas;
f) Organos responsables del archivo, precisando dependencia jerrquica en su
caso;
g) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de
los derechos de acceso, rectificacin o supresin.
3. En las disposiciones que se dicten para la supresin de los registros informatizados
se esta establecer el destino de los mismos o las medidas que se adopten para su
destruccin.
ARTICULO 23. (Supuestos especiales).
1. Quedarn sujetos al rgimen de la presente ley, los datos personales que por
haberse almacenado para fines administrativos, deban ser objeto de registro permanente en
los bancos de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o
de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichos bancos
de datos a las autoridades administrativas o judiciales que los requieran en virtud de
disposiciones legales.
2. El tratamiento de datos personales con fines de defensa nacional o seguridad
pblica por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o
inteligencia, sin consentimiento de los afectados, queda limitado a aquellos supuestos y
categora de datos que resulten necesarios para el estricto cumplimiento de las misiones
legalmente asignadas a aqullos para la defensa nacional, la seguridad pblica o para la
represin de los delitos. Los archivos, en tales casos, debern ser especficos y establecidos
al efecto, debiendo clasificarse por categoras, en funcin de su grado de fiabilidad.
Pgina: 84
Activity Log
3. Los datos personales registrados con fines policiales se cancelarn cuando no sean
necesarios para las averiguaciones que motivaron su almacenamiento.
ARTICULO 24. (Archivos, registros o bancos de datos privados).
Los particulares que formen archivos, registros o bancos de datos que no sean para
un uso exclusivamente personal debern registrarse conforme lo previsto en el artculo 21.
ARTICULO 25. (Prestacin de servicios informatizados de datos personales).
1. Cuando por cuenta de terceros se presten servicios de tratamiento de datos
personales, stos no podrn aplicarse o utilizarse con un fin distinto al que figure en el
contrato de servicios, ni cederlos a otras personas, ni aun para su conservacin.
2. Una vez cumplida la prestacin contractual los datos personales tratados debern
ser destruidos, salvo que medie autorizacin expresa de aquel por cuenta de quien se
prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores
encargos, en cuyo caso se podr almacenar con las debidas condiciones de seguridad por un
perodo de hasta dos aos.
ARTICULO 26. (Prestacin de servicios de informacin crediticia).
1. En la prestacin de servicios de informacin crediticia slo pueden tratarse datos
personales de carcter patrimonial relativos a la solvencia econmica y al crdito, obtenidos
de fuentes accesibles al pblico o procedentes de informaciones facilitadas por el interesado
o con su consentimiento.
2. Pueden tratarse igualmente datos personales relativos al cumplimiento o
incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por
quien acte por su cuenta o inters.
3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le
comunicar las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido
comunicadas durante los ltimos seis meses y el nombre y domicilio del cesionario en el
supuesto de tratarse de datos obtenidos por cesin.
4. Slo se podrn archivar, registrar o ceder los datos personales que sean
significativos para evaluar la solvencia econmico-financiera de los afectados durante los
ltimos cinco aos. Dicho plazo se reducir a dos aos cuando el deudor cancele o de otro
modo extinga la obligacin, debindose hace constar dicho hecho.
5. La prestacin de servicios de informacin crediticia no requerir el previo
consentimiento del titular de los datos a los efectos de su cesin, ni la ulterior comunicacin
de sta, cuando estn relacionados con el giro de las actividades comerciales o crediticias
de los cesionarios.
ARTICULO 27. (Archivos, registros o bancos de datos con fines de publicidad).
1. En la recopilacin de domicilios, reparto de documentos, publicidad o venta directa
y otras actividades anlogas, se podrn tratar datos que sean aptos para establecer perfiles
determinados con fines promocionales, comerciales o publicitarios; o permitan establecer
hbitos de consumo, cuando stos figuren en documentos accesibles al pblico o hayan sido
facilitados por los propios titulares u obtenidos con su consentimiento.
2. En los supuestos contemplados en el presente artculo, el titular de los datos
podr ejercer el derecho de acceso sin cargo alguno.
3. El titular podr en cualquier momento solicitar el retiro o bloqueo de su nombre de
los bancos de datos a los que se refiere el presente artculo.
ARTICULO 28. (Archivos, registros o bancos de datos relativos a encuestas).
Pgina: 85
Activity Log
1. Las normas de la presente ley no se aplicarn a las encuestas de opinin,

mediciones y estadsticas relevadas conforme a Ley 17.622, trabajos de prospeccin de
mercados, investigaciones cientficas o mdicas y actividades anlogas, en la medida que
los datos recogidos no puedan atribuirse a una persona determinada o determinable.
2. Si en el proceso de recoleccin de datos no resultara posible mantener el
anonimato, se deber utilizar una tcnica de disociacin, de modo que no permita identificar
a persona alguna.
CAPTULO V
CONTROL
ARTICULO 29. (rgano de Control).
1. El rgano de control deber realizar todas las acciones necesarias para el
cumplimiento de los objetivos y dems disposiciones de la presente ley. A tales efectos
tendr las siguientes funciones y atribuciones:
a) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la
presente y de los medios legales de que disponen para la defensa de los
derechos que sta garantiza;
b) Dictar las normas y reglamentaciones que se deben observar en el desarrollo
de las actividades comprendidas por esta ley;
c) Realizar un censo de archivos, registros o bancos de datos alcanzados por la ley
y mantener el registro permanente de los mismos;
d) Controlar la observancia de las normas sobre integridad y seguridad de datos
por parte de los archivos, registros o bancos de datos. A tal efecto podr
solicitar autorizacin judicial para acceder a locales, equipos, o programas de
tratamiento de datos a fin de verificar infracciones al cumplimiento de la
presente ley;
e) Solicitar informacin a las entidades pblicas y privadas, las que debern
proporcionar los antecedentes, documentos, programas u otros elementos
relativos al tratamiento de los datos personales que se le requieran. En estos
casos, la autoridad deber garantizar la seguridad y confidencialidad de la
informacin y elementos suministrados;
f) Imponer las sanciones administrativas que en su caso correspondan por
violacin a las normas de la presente ley y de las reglamentaciones que se
dicten en su consecuencia;
g) Constituirse en querellante en las acciones penales que se promovieran por
violaciones a la presente ley;
h) Controlar el cumplimiento de los requisitos y garantas que deben reunir los
archivos o bancos de datos privados destinados a suministrar informes, para
obtener la correspondiente inscripcin en el Registro creado por esta ley.
2. El rgano de control gozar de autonoma funcional y actuar como
rgano descentralizado en el mbito del Ministerio de Justicia y Derechos
Humanos de la Nacin.
3. El rgano de control ser dirigido y administrado por un Director
designado por el trmino de cuatro (4) aos, por el Poder Ejecutivo con acuerdo
del Senado de la Nacin, debiendo ser seleccionado entre personas con
antecedentes en la materia.
El Director tendr dedicacin exclusiva en su funcin, encontrndose alcanzado por
las incompatibilidades fijadas por ley para los funcionarios pblicos y podr ser removido
por el Poder Ejecutivo por mal desempeo de sus funciones.
ARTICULO 30. (Cdigos de conducta).
Pgina: 86
Activity Log
1. Las asociaciones o entidades representativas de responsables o usuarios de

bancos de datos de titularidad privada podrn elaborar cdigos de conducta de prctica
profesional, que establezcan normas para el tratamiento de datos personales que tiendan a
asegurar y mejorar las condiciones de operacin de los sistemas de informacin en funcin
de los principios establecidos en la presente ley.
2. Dichos cdigos debern ser inscriptos en el registro que al efecto lleve el
organismo de control, quien podr denegar la inscripcin cuando considere que no se
ajustan a las disposiciones legales y reglamentarias sobre la materia.
CAPTULO VI
SANCIONES
ARTICULO 31. (Sanciones administrativas).
1. Sin perjuicio de las responsabilidades administrativas que correspondan en los
casos de responsables o usuarios de bancos de datos pblicos; de la responsabilidad por
daos y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones
penales que correspondan, el organismo de control podr aplicar las sanciones de
apercibimiento, suspensin, multa de mil pesos ($ 1.000.-) a cien mil pesos ($ 100.000.-),
clausura o cancelacin del archivo, registro o banco de datos.
2. La reglamentacin determinar las condiciones y procedimientos para la aplicacin
de las sanciones previstas, las que debern graduarse en relacin a la gravedad y extensin
de la violacin y de los perjuicios derivados de la infraccin, garantizando el principio del
debido proceso.
ARTICULO 32. (Sanciones penales).
1. Incorprase como artculo 117 bis del Cdigo Penal, el siguiente:
"1. Ser reprimido con la pena de prisin de un mes a dos aos el que insertara
o hiciera insertar a sabiendas datos falsos en un archivo de datos personales.
2. La pena ser de seis meses a tres aos, al que proporcionara a un tercero a
sabiendas informacin falsa contenida en un archivo de datos personales.
3. La escala penal se aumentar en la mitad del mnimo y del mximo, cuando
del hecho se derive perjuicio a alguna persona.
4. Cuando el autor o responsable del ilcito sea funcionario pblico en ejercicio de
sus funciones, se le aplicar la accesoria de inhabilitacin para el desempeo de
cargos pblicos por el doble del tiempo que el de la condena".
2. Incorprase como artculo 157 bis del Cdigo Penal el siguiente:
"Ser reprimido con la pena de prisin de un mes a dos aos el que:
1. A sabiendas e ilegtimamente, o violando sistemas de confidencialidad y
seguridad de datos, accediere, de cualquier forma, a un banco de datos
personales;
2. Revelare a otro informacin registrada en un banco de datos personales cuyo
secreto estuviere obligado a preservar por disposicin de una ley.
Cuando el autor sea funcionario pblico sufrir, adems, pena de inhabilitacin
especial de uno a cuatro aos".
CAPTULO VII
ACCIN DE PROTECCIN DE LOS DATOS PERSONALES
ARTICULO 33. (Procedencia).
1. La accin de proteccin de los datos personales o de hbeas data proceder:
Pgina: 87
Activity Log
a) para tomar conocimiento de los datos personales almacenados en archivos,

registros o bancos de datos pblicos o privados destinados a proporcionar
informes, y de la finalidad de aqullos;
b) en los casos en que se presuma la falsedad, inexactitud, desactualizacin de la
informacin de que se trata, o el tratamiento de datos cuyo registro se
encuentra prohibido en la presente ley, para exigir su rectificacin, supresin,
confidencialidad o actualizacin.
ARTICULO 34. (Legitimacin activa).
La accin de proteccin de los datos personales o de hbeas data podr ser ejercida
por el afectado, sus tutores o curadores y los sucesores de las personas fsicas, sean en
lnea directa o colateral hasta el segundo grado, por s o por intermedio de apoderado.
Cuando la accin sea ejercida por personas de existencia ideal, deber ser
interpuesta por sus representantes legales, o apoderados que stas designen al efecto.
En el proceso podr intervenir en forma coadyuvante el Defensor del Pueblo.
ARTICULO 35. (Legitimacin pasiva).
La accin proceder respecto de los responsables y usuarios de bancos de datos
pblicos, y de los privados destinados a proveer informes.
ARTICULO 36. (Competencia).
Ser competente para entender en esta accin el juez del domicilio del actor; el del
domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera
tener efecto, a eleccin del actor.
Proceder la competencia federal:
a) cuando se interponga en contra de archivos de datos pblicos de organismos
nacionales, y
b) cuando los archivos de datos se encuentren interconectados en redes
interjurisdicciones, nacionales o internacionales.
ARTICULO 37. (Procedimiento aplicable).
La accin de hbeas data tramitar segn las disposiciones de la presente ley y por
el procedimiento que corresponde a la accin de amparo comn y supletoriamente por las
normas del Cdigo Procesal Civil y Comercial de la Nacin, en lo atinente al juicio
sumarsimo.
ARTICULO 38. (Requisitos de la demanda).
1. La demanda deber interponerse por escrito, individualizando con la mayor
precisin posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso,
el nombre del responsable o usuario del mismo.
En el caso de los archivos, registros o bancos pblicos, se procurar establecer el
organismo estatal del cual dependen.
2. El accionante deber alegar las razones por las cuales entiende que en el archivo,
registro o banco de datos individualizado obra informacin referida a su persona; los
motivos por los cuales considera que la informacin que le atae resulta discriminatoria,
falsa o inexacta y justificar que se han cumplido los recaudos que hacen al ejercicio de los
derechos que le reconoce la presente ley.
3. El afectado podr solicitar que mientras dure el procedimiento, el registro o banco
de datos asiente que la informacin cuestionada est sometida a un proceso judicial.
Pgina: 88
Activity Log
4. El Juez podr disponer el bloqueo provisional del archivo en lo referente al dato

personal motivo del juicio cuando sea manifiesto el carcter discriminatorio, falso o inexacto
de la informacin de que se trate.
5. A los efectos de requerir informacin al archivo, registro o banco de datos
involucrado, el criterio judicial de apreciacin de las circunstancias requeridas en los puntos
1 y 2 debe ser amplio.
ARTICULO 39. (Trmite).
1. Admitida la accin el juez requerir al archivo, registro o banco de datos la
remisin de la informacin concerniente al accionante. Podr asimismo solicitar informes
sobre el soporte tcnico de datos, documentacin de base relativa a la recoleccin y
cualquier otro aspecto que resulte conducente a la resolucin de la causa que estime
procedente.
2. El plazo para contestar el informe no podr ser mayor de cinco das hbiles, el que
podr ser ampliado prudencialmente por el juez.
ARTICULO 40. (Confidencialidad de la informacin).
1. Los registros, archivos o bancos de datos privados no podrn alegar la
confidencialidad de la informacin que se les requiere salvo el caso en que se afecten las
fuentes de informacin periodstica.
2. Cuando un archivo, registro o banco de datos pblico se oponga a la remisin del
informe solicitado con invocacin de las excepciones al derecho de acceso, rectificacin o
supresin, autorizadas por la presente ley o por una ley especfica; deber acreditar los
extremos que hacen aplicable la excepcin legal. En tales casos, el juez podr tomar
conocimiento personal y directo de los datos solicitados asegurando el mantenimiento de su
confidencialidad.
ARTICULO 41. (Contestacin del informe).
Al contestar el informe, el archivo, registro o banco de datos deber expresar las
razones por las cuales incluy la informacin cuestionada y aquellas por las que no evacu
el pedido efectuado por el interesado, de conformidad a lo establecido en los artculos 13 a
15 de la ley.
ARTICULO 42. (Ampliacin de la demanda).
Contestado el informe, el actor podr, en el trmino de tres das, ampliar el objeto
de la demanda solicitando la supresin, rectificacin, confidencialidad o actualizacin de sus
datos personales, en los casos que resulte procedente a tenor de la presente ley, ofreciendo
en el mismo acto la prueba pertinente. De esta presentacin se dar traslado al demandado
por el trmino de tres das.
ARTICULO 43. (Sentencia).
1. Vencido el plazo para la contestacin del informe o contestado el mismo, y en el
supuesto del artculo 42, luego de contestada la ampliacin, y habiendo sido producida en
su caso la prueba, el juez dictar sentencia.
2. En el caso de estimarse procedente la accin, se especificar si la informacin
debe ser suprimida, rectificada, actualizada o declarada confidencial, estableciendo un plazo
para su cumplimiento.
3. El rechazo de la accin no constituye presuncin respecto de la responsabilidad en
que hubiera podido incurrir el demandante.
4. En cualquier caso, la sentencia deber ser comunicada al organismo de control,
que deber llevar un registro al efecto.
Pgina: 89
Activity Log
ARTICULO 44. (mbito de aplicacin).

Las normas de la presente ley contenidas en los Captulos I, II, III y IV, y artculo 32
son de orden pblico y de aplicacin en lo pertinente en todo el territorio nacional.
Se invita a las provincias a adherir a las normas de esta ley que fueren de aplicacin
exclusiva en jurisdiccin nacional.
La jurisdiccin federal regir respecto de los registros, archivos, bases o bancos de
datos interconectados en redes de alcance interjurisdiccional, nacional o internacional.
ARTICULO 45. El Poder Ejecutivo Nacional deber reglamentar la presente ley y
establecer el organismo de control dentro de los ciento ochenta das de su promulgacin.
ARTICULO 46. (Disposiciones transitorias).
Los archivos, registros, bases o bancos de datos destinados a proporcionar informes,
existentes al momento de la sancin de la presente ley, debern inscribirse en el registro
que se habilite conforme a lo dispuesto en el artculo 21 y adecuarse a lo que dispone el
presente rgimen dentro del plazo que al efecto establezca la reglamentacin.
ARTICULO 47. Los bancos de datos prestadores de servicios de informacin
crediticia debern suprimir, o en su caso, omitir asentar, todo dato referido al
incumplimiento o mora en el pago de una obligacin, si sta hubiere sido
cancelada al momento de la entrada en vigencia de la presente ley.
ARTICULO 48. Comunquese al Poder Ejecutivo.
DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A

LOS CUATRO DIAS DEL MES DE OCTUBRE DEL AO DOS MIL.
REGISTRADO BAJO EL N 25.326
RAFAEL PASCUAL. JOSE GENOUD. Guillermo Aramburu. Mario L. Pontaquarto.

NOTA: Los textos en negrita fueron observados.
Decreto 1558/2001 - Reglamentacin Ley 25.326

Aprubase la reglamentacin de la Ley N 25.326. Principios generales relativos a la
proteccin de datos. Derechos de los titulares de los datos. Usuarios y responsables de
archivos, registros y bancos de datos. Control. Sanciones.
Bs. As., 29/11/2001
VISTO el expediente N 128.949/01 del registro del MINISTERIO DE JUSTICIA Y DERECHOS
HUMANOS, la Ley N 25.326, y
CONSIDERANDO:
Que el artculo 45 de la mencionada Ley establece que el PODER EJECUTIVO

NACIONAL deber reglamentar la misma y establecer el rgano de control a que se refiere
su artculo 29 dentro de los CIENTO OCHENTA (180) das de su promulgacin.
Que el artculo 46 de la Ley citada establece que la reglamentacin fijar el plazo
dentro del cual los archivos de datos destinados a proporcionar informes existentes al
Pgina: 90
Activity Log
momento de la sancin de dicha Ley debern inscribirse en el Registro a que se refiere su

artculo 21 y adecuarse a lo que dispone el rgimen establecido en dicha norma.
Que el artculo 31, inciso 2, de la Ley N 25.326 dispone que la reglamentacin
determinar las condiciones y procedimientos para la aplicacin de sanciones, en los
trminos que dicha norma establece.
Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA
Y DERECHOS HUMANOS, la DIRECCION GENERAL DE ASUNTOS JURIDICOS de la
SUBSECRETARIA DE ASUNTOS LEGALES de la SECRETARIA LEGAL Y TECNICA de la
PRESIDENCIA DE LA NACION y la PROCURACION DEL TESORO DE LA NACION han tomado
la intervencin que les compete.
Que la presente medida se dicta en uso de las facultades conferidas por el artculo
99, inciso 2) de la CONSTITUCION NACIONAL.
Por ello, EL PRESIDENTE DE LA NACION ARGENTINA
DECRETA:
Art. 1 Aprubase la reglamentacin de la Ley N 25.326 de Proteccin de los

Datos Personales, que como anexo I forma parte del presente.
Art. 2 Establcese en CIENTO OCHENTA (180) das el plazo previsto en el artculo
46 de la Ley N 25.326.
Art. 3 Invtase a las Provincias y a la CIUDAD AUTONOMA DE BUENOS AIRES a
adherir a las normas de exclusiva aplicacin nacional de esta reglamentacin.
Art. 4 Comunquese, publquese, dse a la Direccin Nacional del Registro Oficial
y archvese. DE LA RUA. Chrystian G. Colombo. Jorge E. De La Ra.
ANEXO I
REGLAMENTACION DE LA LEY N 25.326
CAPITULO I
DISPOSICIONES GENERALES
ARTICULO 1.- A los efectos de esta reglamentacin, quedan comprendidos en el
concepto de archivos, registros, bases o bancos de datos privados destinados a dar
informes, aquellos que exceden el uso exclusivamente personal y los que tienen como
finalidad la cesin o transferencia de datos personales, independientemente de que la
circulacin del informe o la informacin producida sea a ttulo oneroso o gratuito.
ARTICULO 2.- Sin reglamentar.
CAPITULO II
PRINCIPIOS GENERALES RELATIVOS A LA PROTECCION DE DATOS
ARTICULO 4.- Para determinar la lealtad y buena fe en la obtencin de los datos
personales, as como el destino que a ellos se asigne, se deber analizar el procedimiento
efectuado para la recoleccin y, en particular, la informacin que se haya proporcionado al
titular de los datos de acuerdo con el artculo 6 de la Ley N 25.326.
Cuando la obtencin o recoleccin de los datos personales fuese lograda por
interconexin o tratamiento de archivos, registros, bases o bancos de datos, se deber
analizar la fuente de informacin y el destino previsto por el responsable o usuario para los
datos personales obtenidos.
El dato que hubiera perdido vigencia respecto de los fines para los que se hubiese
obtenido o recolectado debe ser suprimido por el responsable o usuario sin necesidad de
que lo requiera el titular de los datos.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES efectuar
controles de oficio sobre el cumplimiento de este principio legal, y aplicar las sanciones
pertinentes al responsable o usuario en los casos que correspondiere.
Pgina: 91
Activity Log
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES proceder, ante

el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el
cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las
siguientes etapas del uso y aprovechamiento de datos personales:
a) legalidad de la recoleccin o toma de informacin personal;
b) legalidad en el intercambio de datos y en la transmisin a terceros o en la
interrelacin entre ellos;
c) legalidad en la cesin propiamente dicha;
d) legalidad de los mecanismos de control interno y externo del archivo, registro,
base o banco de datos.
ARTICULO 5.- El consentimiento informado es el que est precedido de una
explicacin, al titular de los datos, en forma adecuada a su nivel social y cultural, de la
informacin a que se refiere el artculo 6 de la Ley N 25.326.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES establecer los
requisitos para que el consentimiento pueda ser prestado por un medio distinto a la forma
escrita, el cual deber asegurar la autora e integridad de la declaracin.
El consentimiento dado para el tratamiento de datos personales puede ser revocado
en cualquier tiempo. La revocacin no tiene efectos retroactivos.
A los efectos del artculo 5, inciso 2 e), de la Ley N 25.326 el concepto de entidad
financiera comprende a las personas alcanzadas por la Ley N 21.526 y a las empresas
emisoras de tarjetas de crdito, los fideicomisos financieros, las exentidades financieras
liquidadas por el BANCO CENTRAL DE LA REPUBLICA ARGENTINA y los sujetos que
expresamente incluya la Autoridad de Aplicacin de la mencionada Ley.
No es necesario el consentimiento para la informacin que se describe en los incisos
a), b), c) y d) del artculo 39 de la Ley N 21.526.
En ningn caso se afectar el secreto bancario, quedando prohibida la divulgacin de
datos relativos a operaciones pasivas que realicen las entidades financieras con sus clientes,
de conformidad con lo dispuesto en los artculos 39 y 40 de la Ley N 21.526.
ARTICULOS 6, 7 y 8.- Sin reglamentar.
ARTICULO 9.- La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
promover la cooperacin entre sectores pblicos y privados para la elaboracin e
implantacin de medidas, prcticas y procedimientos que susciten la confianza en los
sistemas de informacin, as como en sus modalidades de provisin y utilizacin.
ARTICULO 11.- Al consentimiento para la cesin de los datos le son aplicables las
disposiciones previstas en el artculo 5 de la Ley N 25.326 y el artculo 5 de esta
reglamentacin.
En el caso de archivos o bases de datos pblicas dependientes de un organismo
oficial que por razn de sus funciones especficas estn destinadas a la difusin al pblico en
general, el requisito relativo al inters legtimo del cesionario se considera implcito en las
razones de inters general que motivaron el acceso pblico irrestricto.
La cesin masiva de datos personales de registros pblicos a registros privados slo
puede ser autorizada por ley o por decisin del funcionario responsable, si los datos son de
acceso pblico y se ha garantizado el respeto a los principios de proteccin establecidos en
la Ley N 25.326. No es necesario acto administrativo alguno en los casos en que la ley
disponga el acceso a la base de datos pblica en forma irrestricta. Se entiende por cesin
masiva de datos personales la que comprende a un grupo colectivo de personas.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES fijar los
estndares de seguridad aplicables a los mecanismos de disociacin de datos.
Pgina: 92
Activity Log
El cesionario a que se refiere el artculo 11, inciso 4, de la Ley N 25.326, podr ser
eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el
hecho que ha producido el dao.
ARTICULO 12.- La prohibicin de transferir datos personales hacia pases u
organismos internacionales o supranacionales que no proporcionen niveles de proteccin
adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la
cesin.
No es necesario el consentimiento en caso de transferencia de datos desde un
registro pblico que est legalmente constituido para facilitar informacin al pblico y que
est abierto a la consulta por el pblico en general o por cualquier persona que pueda
demostrar un inters legtimo, siempre que se cumplan, en cada caso particular, las
condiciones legales y reglamentarias para la consulta.
Facltase a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES a
evaluar, de oficio o a pedido de parte interesada, el nivel de proteccin proporcionado por
las normas de un Estado u organismo internacional. Si llegara a la conclusin de que un
Estado u organismo no protege adecuadamente a los datos personales, elevar al PODER
EJECUTIVO NACIONAL un proyecto de decreto para emitir tal declaracin. El proyecto
deber ser refrendado por los Ministros de Justicia y Derechos Humanos y de Relaciones
Exteriores, Comercio Internacional y Culto.
El carcter adecuado del nivel de proteccin que ofrece un pas u organismo
internacional se evaluar atendiendo a todas las circunstancias que concurran en una
transferencia o en una categora de transferencias de datos; en particular, se tomar en
consideracin la naturaleza de los datos, la finalidad y la duracin de tratamiento o de los
tratamientos previstos, el lugar de destino final, las normas de derecho, generales o
sectoriales, vigentes en el pas de que se trate, as como las normas profesionales, cdigos
de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten
aplicables a los organismos internacionales o supranacionales.
Se entiende que un Estado u organismo internacional proporciona un nivel adecuado
de proteccin cuando dicha tutela se deriva directamente del ordenamiento jurdico vigente,
o de sistemas de autorregulacin, o del amparo que establezcan las clusulas contractuales
que prevean la proteccin de datos personales.
CAPITULO III
DERECHOS DE LOS TITULARES DE DATOS
ARTICULO 14.- La solicitud a que se refiere el artculo 14, inciso 1, de la Ley N
25.326, no requiere de frmulas especficas, siempre que garantice la identificacin del
titular. Se puede efectuar de manera directa, presentndose el interesado ante el
responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a
travs de la intimacin fehaciente por medio escrito que deje constancia de recepcin.
Tambin pueden ser utilizados otros servicios de acceso directo o semidirecto como los
medios electrnicos, las lneas telefnicas, la recepcin del reclamo en pantalla u otro medio
idneo a tal fin. En cada supuesto, se podrn ofrecer preferencias de medios para conocer
la respuesta requerida.
Si se tratara de archivos o bancos de datos pblicos dependientes de un organismo
oficial destinados a la difusin al pblico en general, las condiciones para el ejercicio del
derecho de acceso podrn ser propuestas por el organismo y aprobadas por la DIRECCION
NACIONAL DE PROTECCION DE DATOS PERSONALES, la cual deber asegurar que los
procedimientos sugeridos no vulneren ni restrinjan en modo alguno las garantas propias de
ese derecho.
El derecho de acceso permitir:
a) conocer si el titular de los datos se encuentra o no en el archivo, registro, base o
banco de datos;
Pgina: 93
Activity Log
b) conocer todos los datos relativos a su persona que constan en el archivo;

c) solicitar informacin sobre las fuentes y los medios a travs de los cuales se
obtuvieron sus datos;
d) solicitar las finalidades para las que se recabaron;
e) conocer el destino previsto para los datos personales;
f) saber si el archivo est registrado conforme a las exigencias de la Ley N 25.326.
Vencido el plazo para contestar fijado en el artculo 14, inciso 2 de la Ley N 25.326,
el interesado podr ejercer la accin de proteccin de los datos personales y denunciar el
hecho ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES a los fines
del control pertinente de este organismo.
En el caso de datos de personas fallecidas, deber acreditarse el vnculo mediante la
declaratoria de herederos correspondiente, o por documento fehaciente que verifique el
carcter de sucesor universal del interesado.
ARTICULO 15.- El responsable o usuario del archivo, registro, base o banco de datos
deber contestar la solicitud que se le dirija, con independencia de que figuren o no datos
personales del afectado, debiendo para ello valerse de cualquiera de los medios autorizados
en el artculo 15, inciso 3, de la Ley N 25.326, a opcin del titular de los datos, o las
preferencias que el interesado hubiere expresamente manifestado al interponer el derecho
de acceso.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES elaborar un
formulario modelo que facilite el derecho de acceso de los interesados.
Podrn ofrecerse como medios alternativos para responder el requerimiento, los
siguientes:
a) visualizacin en pantalla;
b) informe escrito entregado en el domicilio del requerido;
c) informe escrito remitido al domicilio denunciado por el requirente;
d) transmisin electrnica de la respuesta, siempre que est garantizada la identidad
del interesado y la confidencialidad, integridad y recepcin de la informacin;
e) cualquier otro procedimiento que sea adecuado a la configuracin e implantacin
material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario
del mismo.
ARTICULO 16.- En las disposiciones de los artculos 16 a 22 y 38 a 43 de la Ley N
25.326 en que se menciona a algunos de los derechos de rectificacin, actualizacin,
supresin y confidencialidad, se entiende que tales normas se refieren a todos ellos.
En el caso de los archivos o bases de datos pblicas conformadas por cesin de
informacin suministrada por entidades financieras, administradoras de fondos de
jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artculo 5, inciso
2, de la Ley N 25.326, los derechos de rectificacin, actualizacin, supresin y
confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relacin
jurdica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva
debe solicitar al BANCO CENTRAL DE LA REPUBLICA ARGENTINA, a la SUPERINTENDENCIA
DE ADMINISTRADORAS DE FONDOS DE JUBILACIONES Y PENSIONES o a la
SUPERINTENDENCIA DE SEGUROS DE LA NACION, segn el caso, que sean practicadas las
modificaciones necesarias en sus bases de datos.
Toda modificacin debe ser comunicada a travs de los mismos medios empleados
para la divulgacin de la informacin.
Los responsables o usuarios de archivos o bases de datos pblicos de acceso pblico
irrestricto pueden cumplir la notificacin a que se refiere el artculo 16, inciso 4, de la Ley
N 25.326 mediante la modificacin de los datos realizada a travs de los mismos medios
empleados para su divulgacin.
ARTICULOS 17, 18, 19 y 20.- Sin reglamentar.
CAPITULO IV
Pgina: 94
Activity Log
USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS

ARTICULO 21.- El registro e inscripcin de archivos, registros, bases o bancos de
datos pblicos, y privados destinados a dar informacin, se habilitar una vez publicada
esta reglamentacin en el Boletn Oficial.
Deben inscribirse los archivos, registros, bases o bancos de datos pblicos y los
privados a que se refiere el artculo 1 de esta reglamentacin.
A los fines de la inscripcin de los archivos, registros, bases y bancos de datos con
fines de publicidad, los responsables deben proceder de acuerdo con lo establecido en el
artculo 27, cuarto prrafo, de esta reglamentacin.
ARTICULOS 22, 23 y 24.- Sin reglamentar.
ARTICULO 25.- Los contratos de prestacin de servicios de tratamiento de datos
personales debern contener los niveles de seguridad previstos en la Ley N 25.326, esta
reglamentacin y las normas complementarias que dicte la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES, como as tambin las obligaciones que surgen para
los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la
informacin obtenida.
La realizacin de tratamientos por encargo deber estar regulada por un contrato
que vincule al encargado del tratamiento con el responsable o usuario del tratamiento y que
disponga, en particular:
a) que el encargado del tratamiento slo acta siguiendo instrucciones del
responsable del tratamiento;
b) que las obligaciones del artculo 9 de la Ley N 25.326 incumben tambin al
encargado del tratamiento.
ARTICULO 26.- A los efectos del artculo 26, inciso 2, de la Ley N 25.326, se
consideran datos relativos al cumplimiento o incumplimiento de obligaciones los referentes
a los contratos de mutuo, cuenta corriente, tarjetas de crdito, fideicomiso, leasing, de
crditos en general y toda otra obligacin de contenido patrimonial, as como aquellos que
permitan conocer el nivel de cumplimiento y la calificacin a fin de precisar, de manera
indubitable, el contenido de la informacin emitida.
En el caso de archivos o bases de datos pblicos dependientes de un organismo
oficial destinadas a la difusin al pblico en general, se tendrn por cumplidas las
obligaciones que surgen del artculo 26, inciso 3, de la Ley N 25.326 en tanto el
responsable de la base de datos le comunique al titular de los datos las informaciones,
evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas durante los ltimos
SEIS (6) meses.
Para apreciar la solvencia econmico-financiera de una persona, conforme lo
establecido en el artculo 26, inciso 4, de la Ley N 25.326, se tendr en cuenta toda la
informacin disponible desde el nacimiento de cada obligacin hasta su extincin. En el
cmputo de CINCO (5) aos, stos se contarn a partir de la fecha de la ltima informacin
adversa archivada que revele que dicha deuda era exigible. Si el deudor acredita que la
ltima informacin disponible coincide con la extincin de la deuda, el plazo se reducir a
DOS (2) aos. Para los datos de cumplimiento sin mora no operar plazo alguno para la
eliminacin.
A los efectos del clculo del plazo de DOS (2) aos para conservacin de los datos
cuando el deudor hubiere cancelado o extinguido la obligacin, se tendr en cuenta la fecha
precisa en que se extingue la deuda.
A los efectos de dar cumplimiento a lo dispuesto por el artculo 26, inciso 5, de la Ley
N 25.326, el BANCO CENTRAL DE LA REPUBLICA ARGENTINA deber restringir el acceso a
sus bases de datos disponibles en Internet, para el caso de informacin sobre personas
fsicas, exigiendo el ingreso del nmero de documento nacional de identidad o cdigo nico
de identificacin tributaria o laboral del titular de los datos, obtenidos por el cesionario a
travs de una relacin contractual o comercial previa.
Pgina: 95
Activity Log
ARTICULO 27.- Podrn recopilarse, tratarse y cederse datos con fines de publicidad
sin consentimiento de su titular, cuando estn destinados a la formacin de perfiles
determinados, que categoricen preferencias y comportamientos similares de las personas,
siempre que los titulares de los datos slo se identifiquen por su pertenencia a tales grupos
genricos, con ms los datos individuales estrictamente necesarios para formular la oferta a
los destinatarios.
Las cmaras, asociaciones y colegios profesionales del sector que dispongan de un
Cdigo de Conducta homologado por la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros, junto con
la Autoridad de Aplicacin, implementarn, dentro de los NOVENTA (90) das siguientes a la
publicacin de esta reglamentacin, un sistema de retiro o bloqueo a favor del titular del
dato que quiera ser excluido de las bases de datos con fines de publicidad. El retiro podr
ser total o parcial, bloqueando exclusivamente, a requerimiento del titular, el uso de alguno
o algunos de los medios de comunicacin en particular, como el correo, el telfono, el
correo electrnico u otros.
En toda comunicacin con fines de publicidad que se realice por correo, telfono,
correo electrnico, Internet u otro medio a distancia a conocer, se deber indicar, en forma
expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o
parcial, de su nombre de la base de datos. A pedido del interesado, se deber informar el
nombre del responsable o usuario del banco de datos que provey la informacin. A los
fines de garantizar el derecho de informacin del artculo 13 de la Ley N 25.326, se
inscribirn nicamente las cmaras, asociaciones y colegios profesionales del sector que
dispongan de un Cdigo de Conducta homologado por la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos
sus miembros. Al inscribirse, las cmaras, asociaciones y colegios profesionales debern
acompaar una nmina de sus asociados indicando nombre, apellido y domicilio.
Los responsables o usuarios de archivos, registros, bancos o bases de datos con fines
de publicidad que no se encuentren adheridos a ningn Cdigo de Conducta, cumplirn el
deber de informacin inscribindose en el Registro a que se refiere el artculo 21 de la Ley
N 25.326.
Los datos vinculados a la salud slo podrn ser tratados, a fin de realizar ofertas de
bienes y servicios, cuando hubieran sido obtenidos de acuerdo con la Ley N 25.326 y
siempre que no causen discriminacin, en el contexto de una relacin entre el consumidor o
usuario y los proveedores de servicios o tratamientos mdicos y entidades sin fines de
lucro. Estos datos no podrn transferirse a terceros sin el consentimiento previo, expreso e
informado del titular de los datos. A dicho fin, este ltimo debe recibir una noticia clara del
carcter sensible de los datos que proporciona y de que no est obligado a suministrarlos,
junto con la informacin de los artculos 6 y 11, inciso 1, de la Ley N 25.326 y la mencin
de su derecho a solicitar el retiro de la base de datos.
ARTICULO 28.- Los archivos, registros, bases o bancos de datos mencionados en el
artculo 28 de la Ley N 25.326 son responsables y pasibles de las multas previstas en el
artculo 31 de la ley citada cuando infrinjan sus disposiciones.
CAPITULO V
CONTROL
ARTICULO 29. - Crase la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES, en el mbito de la SECRETARIA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del
MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como rgano de control de la Ley N
25.326.
El Director tendr dedicacin exclusiva en su funcin, ejercer sus funciones con
plena independencia y no estar sujeto a instrucciones.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se integrar con
un Director Nacional, Nivel "A" con Funcin Ejecutiva I, designado por el PODER EJECUTIVO
NACIONAL, por el plazo de CUATRO (4) aos, debiendo ser seleccionado entre personas con
Pgina: 96
Activity Log
antecedentes en la materia, a cuyo fin facltase al Ministro de Justicia y Derechos Humanos,

o a quien lo sustituya en sus funciones, a efectuar la designacin correspondiente, como
excepcin a lo dispuesto por el ANEXO I del Decreto N 993/91 y sus modificatorios. La
Direccin contar con el personal jerrquico y administrativo que designe el Ministro de
Justicia y Derechos Humanos aprovechando los recursos humanos existentes en la
ADMINISTRACIN PUBLICA NACIONAL. El personal estar obligado a guardar secreto
respecto de los datos de carcter personal de los que tome conocimiento en el desarrollo de
sus funciones.
En el plazo de TREINTA (30) das hbiles posteriores a la asuncin de su cargo, el
Director Nacional presentar un proyecto de estructura organizativa y reglamentacin
interna, para su aprobacin por el PODER EJECUTIVO NACIONAL y publicacin en el Boletn
Oficial.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se financiar a
travs de:
a) lo que recaude en concepto de tasas por los servicios que preste;
b) el producido de las multas previstas en el artculo 31 de la Ley N 25.326;
c) las asignaciones presupuestarias que se incluyan en la Ley de Presupuesto de la
Administracin Nacional a partir del ao 2002. Transitoriamente, desde la entrada en
vigencia de la presente reglamentacin y hasta el 31 de diciembre de 2001, el costo de la
estructura ser afrontado con el crdito presupuestario correspondiente
al MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS para el ao 2001, sin perjuicio
de lo dispuesto en los subincisos a) y c) b) del prrafo anterior.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES contar con un
Consejo Consultivo, que se desempear "ad honorem", encargado de asesorar al Director
Nacional en los asuntos de importancia, integrado por:
a) un representante del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS;
b) un magistrado del MINISTERIO PUBLICO FISCAL con especialidad en la materia;
c) un representante de los archivos privados destinados a dar informacin designado
por la Cmara que agrupe a las entidades nacionales de informacin crediticia;
d) un representante de la FEDERACION DE ENTIDADES EMPRESARIAS DE
INFORMACIONES COMERCIALES DE LA REPUBLICA ARGENTINA; e) un representante del
BANCO CENTRAL DE LA REPUBLICA ARGENTINA;
f) un representante de las empresas dedicadas al objeto previsto en el artculo 27 de
la Ley N 25.326, designado por las Cmaras respectivas de comn acuerdo, unificando en
una persona la representacin;
g) un representante del CONSEJO FEDERAL DEL CONSUMO;
h) un representante del IRAM, Instituto Argentino de Normalizacin, con
especializacin en el campo de la seguridad informtica;
i) un representante de la SUPERINTENDENCIA DE SEGUROS DE LA NACION;
j) un representante de la Comisin Bicameral de Fiscalizacin de los Organos y
Actividades de Seguridad Interior e Inteligencia del HONORABLE CONGRESO DE LA
NACION.
Invtase a las entidades mencionadas en el presente inciso a que designen los
representantes que integrarn el Consejo Consultivo.
Son funciones de la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES, adems de las que surgen de la Ley N 25.326:
a) dictar normas administrativas y de procedimiento relativas a los trmites
registrales y dems funciones a su cargo, y las normas y procedimientos tcnicos relativos
al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de
datos pblicos y privados;
b) atender las denuncias y reclamos interpuestos en relacin al tratamiento de datos
personales en los trminos de la Ley N 25.326;
c) percibir las tasas que se fijen por los servicios de inscripcin y otros que preste;
d) organizar y proveer lo necesario para el adecuado funcionamiento del Registro de
archivos, registros, bases o bancos de datos pblicos y privados previsto en el artculo 21
de la Ley N 25.326;
Pgina: 97
Activity Log
e) disear los instrumentos adecuados para la mejor proteccin de los datos

personales de los ciudadanos y el mejor cumplimiento de la legislacin de aplicacin;
f) homologar los cdigos de conducta que se presenten de acuerdo a lo establecido
por el artculo 30 de la Ley N 25.326, previo dictamen del Consejo Consultivo, teniendo en
cuenta su adecuacin a los principios reguladores del tratamiento de datos personales, la
representatividad que ejerza la asociacin y organismo que elabora el cdigo y su eficacia
ejecutiva con relacin a los operadores del sector mediante la previsin de sanciones o
mecanismos adecuados.
ARTICULO 30.- La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
alentar la elaboracin de cdigos de conducta destinados a contribuir, en funcin de las
particularidades de cada sector, a la correcta aplicacin de las disposiciones nacionales
adoptadas por la Ley N 25.326 y esta reglamentacin.
Las asociaciones de profesionales y las dems organizaciones representantes de
otras categoras de responsables o usuarios de archivos, registros, bases o bancos de datos
pblicos o privados, que hayan elaborado proyectos de cdigos ticos, o que tengan la
intencin de modificar o prorrogar cdigos nacionales existentes, podrn someterlos a
consideracin de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, la
cual aprobar el ordenamiento o sugerir las correcciones que se estimen necesarias para
su aprobacin.
CAPITULO VI
SANCIONES
ARTICULO 31. - Las sanciones administrativas establecidas en el artculo 31 de la Ley
N 25.326 sern aplicadas a los responsables o usuarios de archivos, registros, bases o
bancos de datos pblicos, y privados destinados a dar informacin, se hubieren inscripto o
no en el registro correspondiente.
La cuanta de las sanciones se graduar atendiendo a la naturaleza de los derechos
personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos,
al grado de intencionalidad, a la reincidencia, a los daos y perjuicios causados a las
personas interesadas y a terceros, y a cualquier otra circunstancia que sea relevante para
determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuacin
infractora. Se considerar reincidente a quien habiendo sido sancionado por una infraccin a
la Ley N 25.326 o sus reglamentaciones incurriera en otra de similar naturaleza dentro del
trmino de TRES (3) aos, a contar desde la aplicacin de la sancin.
El producido de las multas a que se refiere el artculo 31 de la Ley N 25.326 se
aplicar al financiamiento de la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES.
El procedimiento se ajustar a las siguientes disposiciones:
a) La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES iniciar
actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley
N 25.326 y sus normas reglamentarias, de oficio o por denuncia de quien invocare un
inters particular, del Defensor del Pueblo de la Nacin o de asociaciones de consumidores o
usuarios.
b) Se proceder a labrar acta en la que se dejar constancia del hecho denunciado o
verificado y de la disposicin presuntamente infringida. En la misma acta se dispondr
agregar la documentacin acompaada y citar al presunto infractor para que, dentro del
plazo de CINCO (5) das hbiles, presente por escrito su descargo y ofrezca las pruebas que
hacen a su derecho.
Si se tratare de un acta de inspeccin, en que fuere necesaria una comprobacin
tcnica posterior a los efectos de la determinacin de la presunta infraccin y que resultare
positiva, se proceder a notificar al presunto responsable la infraccin verificada,
intimndolo para que en el plazo de CINCO (5) das hbiles presente por escrito su
descargo. En su primera presentacin, el presunto infractor deber constituir domicilio y
acreditar personera.
Pgina: 98
Activity Log
La constancia del acta labrada conforme a lo previsto en este artculo, as como las
comprobaciones tcnicas que se dispusieren, constituirn prueba suficiente de los hechos
as comprobados, salvo en los casos en que resultaren desvirtuados por otras pruebas.
c) Las pruebas se admitirn solamente en caso de existir hechos controvertidos y
siempre que no resulten manifiestamente inconducentes. Contra la resolucin que deniegue
medidas de prueba slo se conceder recurso de reconsideracin. La prueba deber
producirse dentro del trmino de DIEZ (10) das hbiles, prorrogables cuando haya causas
justificadas, tenindose por desistidas aquellas no producidas dentro de dicho plazo por
causa imputable al infractor.
Concluidas las diligencias sumariales, se dictar la resolucin definitiva dentro del
trmino de VEINTE (20) das hbiles.
CAPITULO VII
ACCION DE PROTECCION DE LOS DATOS PERSONALES
ARTICULOS 33 a 46.- Sin reglamentar
Disposicin 11/2006 - Direccin Nacional de Proteccin de

Datos Personales
Aprubanse las Medidas de Seguridad para el Tratamiento y Conservacin de los
Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Pblicos no
estatales y Privados.
Bs. As., 19/9/2006 Publicacin en B.O.: 22/9/2006
VISTO el Expediente N 153.743/06 del registro del MINISTERIO DE JUSTICIA Y DERECHOS
HUMANOS, las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE
DATOS PERSONALES por la Ley N 25.326 y su reglamentacin aprobada por Decreto N
1558 del 29 de noviembre de 2001, y CONSIDERANDO:
Que de conformidad con lo prescripto por el artculo 9 de la Ley N 25.326, el
responsable o usuario del archivo de datos debe adoptar las medidas tcnicas y
organizativas necesarias para garantizar la seguridad y confidencialidad de los datos
personales, a fin de evitar su adulteracin, prdida, consulta o tratamiento no autorizado y
que permitan detectar desviaciones, intencionales o no, de informacin, ya sea que los
riesgos provengan de la accin humana o del medio tcnico utilizado.
Que por su parte, entre las atribuciones asignadas a la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas y
reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas
en la Ley N 25.326 (artculo 29, inciso 1, apartado b) y especficamente la de dictar
normas administrativas y de procedimientos tcnicos relativos al tratamiento y condiciones
de seguridad de los archivos, registros y bases o bancos de datos pblicos y privados
(artculo 29, inciso 5, apartado a, del Anexo al del Decreto N 1558/01), as como la de
controlar la observancia de las normas sobre integridad y seguridad de los datos por parte
de los archivos, registros o bancos de datos (artculo 29, inciso 1, apartado d, de la Ley N
25.326).
Que como consecuencia de ello y en cumplimiento de la facultad que este rgano de
Control tiene para el dictado de normas relativas a las condiciones de seguridad de los
archivos, registros y bases o bancos de datos, corresponde aprobar las medidas de
seguridad para el tratamiento y conservacin de los datos personales, que debern observar
Pgina: 99
Activity Log
los responsables y usuarios de archivos, registros, bases y bancos de datos pblicos no

estatales y privados.
Que a tal fin, se establece un Documento de Seguridad de Datos Personales, como
instrumento para la especificacin de la normativa de seguridad, el que deber adecuarse
en todo momento a las disposiciones vigentes en la materia dictadas por la DIRECCION
NACIONAL DE PROTECCION DE DATOS PERSONALES.
Que asimismo, se establecen TRES (3) niveles de seguridad: BASICO, MEDIO y
CRITICO, conforme la naturaleza de la informacin tratada, pautas aplicables tambin a los
archivos no informatizados (registro manual).
Que para cada uno de los niveles antes mencionados se han previsto distintas
medidas de seguridad, establecidas teniendo en cuenta la mayor o menor necesidad de
garantizar la confidencialidad e integridad de la informacin contenida en el banco de datos
respectivo; la naturaleza de los datos y la correcta administracin de los riesgos a que estn
expuestos, as corno tambin el mayor o menor impacto que tendra en las personas el
hecho de que la informacin registrada en los archivos no rena las condiciones de
integridad y confiabilidad debidas.
Que se han establecido distintos plazos para la implementacin de las medidas de
seguridad que se propician, teniendo en consideracin el nivel de seguridad de que se trate,
as corno tambin la posibilidad de otorgar una prrroga previa solicitud debidamente
fundamentada.
Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA
Y DERECHOS HUMANOS ha tomado la intervencin que le compete.
Que la presente medida se dicta el uso de las facultades conferidas en el artculo 29,
inciso 1, apartado b, de la Ley N 25.326 y artculo 29, inciso 5, apartado a, del Anexo al
Decreto N 1558/01.
Por ello, EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES DISPONE:
Artculo 1 Aprubense las Medidas de Seguridad para el Tratamiento y
Conservacin de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de
Datos Pblicos no estatales y Privados, cuyo texto como Anexo I forma parte del presente.
Art. 2 Establcese que el plazo para la implementacin de las medidas de
seguridad a contar desde la fecha del dictado del presente acto, ser de DOCE (12) meses
para las de Nivel Bsico, de VEINTICUATRO (24) meses para las de Nivel Medio y de
TREINTA Y SEIS (36) meses para las de Nivel Crtico, los que sern prorrogables a pedido
de la parte interesada y por razones debidamente fundadas.
Art. 3 Comunquese, publquese, dse a la DIRECCION NACIONAL DEL REGISTRO
OFICIAL y archvese. Juan A. Travieso.
ANEXO I
MEDIDAS DE SEGURIDAD PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS
PERSONALES CONTENIDOS EN ARCHIVOS, REGISTROS, BANCOS Y BASES DE DATOS
PUBLICOS NO ESTATALES Y PRIVADOS
MEDIDAS DE SEGURIDAD DE NIVEL BASICO:
Los archivos, registros, bases y bancos de datos que contengan datos de carcter
personal debern adoptar las medidas de seguridad calificadas como de Nivel Bsico que a
continuacin se detallan:
Disponer del Documento de Seguridad de Datos Personales en el que se
especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar sobre
los archivos, registros, bases y bancos que contengan datos de carcter personal. Deber
mantenerse en todo momento actualizado y ser revisado cuando se produzcan cambios en
el sistema de informacin.
Deber contener:
1. Funciones y obligaciones del personal.
Pgina: 100
Activity Log
2. Descripcin de los archivos con datos de carcter personal y los sistemas de

informacin que los tratan.
3. Descripcin de las rutinas de control de datos de los programas de ingreso de
datos y las acciones a seguir ante los errores detectados a efectos de su correccin. Todos
los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch,
interactivo, etc.), deben incluir en su diseo, rutinas de control, que minimicen la posibilidad
de incorporar al sistema de informacin, datos ilgicos, incorrectos o faltantes.
4. Registros de incidentes de seguridad.
4.1. Notificacin, gestin y respuesta ante los incidentes de seguridad.
5. Procedimientos para efectuar las copias de respaldo y de recuperacin de datos.
6. Relacin actualizada entre Sistemas de Informacin y usuarios de datos con
autorizacin para su uso.
7. Procedimientos de identificacin y autenticacin de los usuarios de datos
autorizados para utilizar determinados sistemas de informacin.
La relacin entre el usuario autorizado y el/los sistemas de informacin a los que
puede acceder debe mantenerse actualizada. En el caso en que el mecanismo de
autenticacin utilice contrasea, la misma ser asignada por el responsable de seguridad de
acuerdo a un procedimiento que garantice su confidencialidad. Este procedimiento deber
prever el cambio peridico de la contrasea (lapso mximo de vigencia) las que debern
estar almacenadas en forma ininteligible.
8. Control de acceso de usuarios a datos y recursos necesarios para la realizacin de
sus tareas para lo cual deben estar autorizados.
9. Adoptar medidas de prevencin a efectos de impedir amenazas de software
malicioso (virus, troyanos, etc.) que puedan afectar archivos con datos de carcter
personal. Entre otras:
1) Instalar y actualizar, con la periodicidad pertinente, software de deteccin y
reparacin de virus, ejecutndolo rutinariamente;
2) Verificar, antes de su uso, la inexistencia de virus en archivos recibidos a
travs de la web, correo electrnico y otros cuyos orgenes sean inciertos.
10. Procedimiento que garantice una adecuada Gestin de los Soportes que
contengan datos de carcter personal (identificacin del tipo de informacin que contienen,
almacenamiento en lugares de acceso restringidos, inventarios, autorizacin para su salida
fuera del local en que estn ubicados, destruccin de la informacin en desuso, etc.).
Nota: Cuando los archivos, registros, bases y bancos contengan una serie de datos
personales con los cuales, a travs de un determinado tratamiento, se permita establecer el
perfil de personalidad o determinadas conductas de la persona, se debern garantizar las
medidas de seguridad del presente nivel ms las establecidas en los puntos 2, 3, 4 y 5 del
siguiente.
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO:
Los archivos, registros, bases y bancos de datos de las empresas privadas que
desarrollen actividades de prestacin de servicios pblicos, as como los archivos, registros,
bases y bancos de datos pertenecientes a entidades que cumplan una funcin pblica y/o
privada que, ms all de lo dispuesto por el artculo 10 de la Ley N 25.326, deban guardar
secreto de la informacin personal por expresa disposicin legal (v.g.: secreto bancario),
adems de las medidas de seguridad de nivel Bsico, debern adoptar las que a
continuacin se detallan:
1. El Instructivo de seguridad deber identificar al Responsable (u rgano especfico)
de Seguridad.
2. Realizacin de auditoras (internas o externas) que verifiquen el cumplimiento de
los procedimientos e instrucciones vigentes en materia de seguridad para datos personales.
Los informes de auditora pertinentes, sern presentados al Responsable del Archivo
a efectos de que se adopten las medidas correctivas que correspondan. La Direccin
Nacional de Proteccin de Datos Personales, en las inspecciones que realice, deber
Pgina: 101
Activity Log
considerar obligatoriamente, con carcter no vinculante, los resultados de las auditoras

referidas precedentemente, siempre que las mismas hayan sido realizadas dentro de un
perodo mximo de un ao.
3. Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al
sistema de informacin.
4. Se establecer un control de acceso fsico a los locales donde se encuentren
situados los sistemas de informacin con datos de carcter personal.
5. Gestin de Soportes e informacin contenida en ellos, 5.1. Se dispondr de un
registro de entradas y salidas de los soportes informticos de manera de identificar, da y
hora de entrada y salida del soporte, receptor, emisor, forma de envo, etc.
5.2. Se adoptarn las medidas necesarias para impedir cualquier recuperacin de la
informacin con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la
informacin deba ser destruida, por la causa que correspondiere.
Asimismo se debern adoptar similares medidas cuando los soportes, o la
informacin (ej.: cuando se hacen copias de respaldo a travs de una red de transmisin de
datos, la informacin sale de un soporte local y viaja hasta otro remoto va dicha red.), vaya
a salir fuera de los locales en que se encuentren ubicados, 5.3. Deber disponerse de un
procedimiento de recuperacin de la informacin de respaldo y de tratamiento de la misma
en caso de contingencias que pongan no operativo el/los equipos de procesamiento
habituales.
6. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos,
debern identificar la persona que recuper y/o modific dichos datos. Ser necesaria la
autorizacin en forma fehaciente del responsable del archivo informatizado.
7. Las pruebas de funcionamiento de los sistemas de informacin, realizadas con
anterioridad a su puesta operativa no se realizarn con datos/archivos reales, a menos que
se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados
tratados.
MEDIDAS DE SEGURIDAD DE NIVEL CRITICO:
Los archivos, registros, bases y bancos de datos que contengan datos personales,
definidos como datos sensibles, con la excepcin que se sealar ms abajo, adems de
las medidas de seguridad de nivel Bsico y Medio, debern adoptar las que a continuacin
se detallan:
1. Distribucin de soportes: cuando se distribuyan soportes que contengan archivos
con datos de carcter personal incluidas las copias de respaldo, se debern cifrar dichos
datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser ledos o
manipulados durante su transporte.
2. Registro de accesos: se deber disponer de un registro de accesos con
informacin que identifique al usuario que accedi, cuando lo hizo (fecha y hora), tipo de
acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se
deber identificar el dato accedido y el tratamiento que se le dio al mismo (baja,
rectificacin, etc.). Este registro de accesos deber ser analizado peridicamente por el
responsable de seguridad y deber ser conservado como minino por el trmino de un TRES
(3) aos.
3. Copias de respaldo: adems de las que se mantengan en la localizacin donde
residan los datos debern implementarse copias de resguardo externas, situadas fuera de la
localizacin, en caja ignfuga y a prueba de gases o bien en una caja de seguridad bancaria,
cualquiera de ellas situadas a prudencial distancia de la aludida localizacin. Deber
disponerse de un procedimiento de recuperacin de esa informacin y de tratamiento de la
misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento
habituales.
4. Transmisin de datos: los datos de carcter personal que se transmitan a travs
de redes de comunicacin1, debern serlo cifrados o utilizando cualquier otro mecanismo
que impida su lectura y/o tratamiento por parte de personas no autorizadas.
Pgina: 102
Activity Log
Nota: Quedan exceptuados de aplicar las medidas de seguridad de nivel crtico, los
archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos
sensibles para fines administrativos o por obligacin legal. No obstante, ello no excluye que
igualmente deban contar con aquellas medidas de resguardo que sean necesarias y
adecuadas al tipo de dato.
Pgina: 103
Activity Log
GLOSARIO
Trigger
Tambin llamados disparadores son procedimientos que se ejecutan
cuando se produce un suceso de base de datos (una operacin DML: INSERT,
UPDATE o DELETE) en una tabla especfica. El acto de ejecutar un disparador se
conoce como disparo.
DBMS
Los Sistemas Gestores de Bases de Datos son un tipo de software muy
especfico, dedicado a servir de interfaz entre las bases de datos y las
aplicaciones que la utilizan. En los textos que tratan este tema, o temas
relacionados, se mencionan los trminos SGBD y DBMS, siendo ambos
equivalentes, y acrnimos, respectivamente, de Sistema Gestor de Bases de
Datos y DataBase Management System, su expresin inglesa.
El DBMS es un conjunto de programas que se encargan de manejar la
creacin y todos los accesos a las bases de datos
RDBMS
Un
RDBMS
es
un
Sistema
Administrador
de
Bases
de
Datos
Relacionales. RDBMS viene del acrnimo en ingles Relational Data Base

Manager System.
Auditoria
La
auditoria
puede
definirse
como
el
examen
comprensivo
constructivo de la estructura organizativa de una empresa de una institucin o

departamento gubernamental; o de cualquier otra entidad y de sus mtodos de
control, medios de operacin y empleo que d a sus recursos humanos y
materiales.
Auditoria en Informtica es la revisin y evaluacin de los controles,
sistemas, procedimientos de informtica, de los equipos de cmputo, su
Pgina: 104
Activity Log
utilizacin, eficiencia y seguridad, de la organizacin que participan en el

procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para la adecuada toma de decisiones.
Activity log
Bitcora de actividad
Data-changes log
Bitcora de cambios de datos
User activity log

Bitcora de actividad de usuarios
Trazas
Seguimiento de ejecucin de una determinada situacin u estado de un
objeto.
Pgina: 105
Activity Log
BIBLIOGRAFIA
La auditoria en el contexto actual. Catalina Rivas de las Casas - Gerente de

Auditoria - Sucursal Ciudad Habana, CIMEX, Cuba.
www.gestiopolis.com/recursos/documentos/fulldocs/fin/auditcontxactual.htm
Auditoria de Sistemas. Carmen D'Sousa.

http://www.monografias.com/trabajos
Auditoria Informtica. Un enfoque Prctico, 2 Edicin ampliada y revisada.

Mario G. Piattini, Emilio del Peso y otros. Editorial Alfaomega Ra-Ma.
F13 Auditoria Informtica. Oscar Coltell. Departamento de Lenguajes y

Sistemas Informticos. Universitat Jaume I. Castelln.
http://www3.uji.es/~coltell/F13/OCX_F13.html
Auditoria Informtica. 2 Edicin. Paraninfo. Thomas A.J., Douglas I.J .Madrid

1988.
Decreto 1558/2001 Reglamentacin Ley 25326.

http://www.jus.gov.ar/dnpdpnew/
Decreto 163/2005 Ministerio de Justicia y Derechos Humanos. Organigrama,

Misiones y Funciones.
Disposicin 7/2005 Clasificacin de Infracciones y Graduacin de Sanciones.

Disposicin 11/2006 Medidas de Seguridad para el Tratamiento y

Conservacin de los Datos Personales contenidos en Archivos, registros Bancos
y Bases de Datos no estatales y Privados.
Normas Generales de Control Interno (ngci.pdf).

http://www.sigen.gov.ar/main/index.html
Normas de Control Interno para Tecnologa de Informacin.

http://www.sigen.gov.ar/main/index.html
Pgina: 106
Ayuda on-line de Visual Basic 6.0
Ayuda on-line de Postgres
Ayuda on-line de SQL Server
Activity Log
http://msdn2.microsoft.com/en-us/library/bb418499.aspx
http://msdn2.microsoft.com/en-us/library/ms187929.aspx
Pagina Oficial MySQL

http://dev.mysql.com/doc/refman/4.1/en/myodbc-examplesprogramming.html
Pgina Oficial IBM

http://www-306.ibm.com/common/ssi/fcgi-bin/ssialias
Pgina Oficial Oracle

http://www.oracle.com/index.html
Pgina Oficial Postgres

http://www.postgresql.org/docs/8.2/static/dynamic-trace.html
Pgina: 107

Auditoria de Base de Datos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria de Base de Datos

Cargado por

Copyright:

Formatos disponibles

Auditoria de bases de datos

GAVA: Soporte para registracin y anlisis de cambios en los datos

Universidad Nacional de la Patagonia

Trelew, 19 de marzo de 2007

Auditoras en Base de Datos. Herramienta para rastros de actividad

Ingravallo Gabriel Entraigas Valeria

Auditoras en Base de Datos. Herramienta para rastros de actividad

Ingravallo Gabriel Entraigas Valeria

Auditoras en Base de Datos. Herramienta para rastros de actividad

components and the Argentine legal framework.

Ingravallo Gabriel Entraigas Valeria

Auditoras en Base de Datos. Herramienta para rastros de actividad

Auditoria y su Marco Legal..................................................................... 10

Auditoria y Sistemas de Informacin ..................................................... 12

Auditoras en Base de Datos. Herramienta para rastros de actividad

Sistemas de Bases de Datos Auditables ................................................. 16

Libertad de entorno ............................................................................... 22

Auditoras en Base de Datos. Herramienta para rastros de actividad

Descripcin del funcionamiento ............................................................. 27

Estructura del Sistema........................................................................... 38

Componentes no incluidos y posibles extensiones ................................. 47

Auditoras en Base de Datos. Herramienta para rastros de actividad

Requerimientos mnimos ....................................................................... 65

Funciones del Administrador ................................................................. 68

Ley 25.326 - Proteccin de los datos personales ................................... 78

Ingravallo Gabriel Entraigas Valeria

Auditoras en Base de Datos. Herramienta para rastros de actividad

Auditoria de Sistemas. Carmen D'Sousa

Ingravallo Gabriel Entraigas Valeria

Auditoras en Base de Datos. Herramienta para rastros de actividad

Auditoras en Base de Datos. Herramienta para rastros de actividad

Auditoras en Base de Datos. Herramienta para rastros de actividad

El mantenimiento de logs que registren la actividad de los usuarios (user

El mantenimiento de logs que registren la modificacin de los datos hecha por

Determinar y/o acotar la influencia de la tecnologa informtica en la Auditoria.

Establecer el punto de interaccin entre el profesional de sistemas informticos

Establecer el/los elementos esenciales dentro de la Auditoria Informtica.

Establecer un mecanismo de control sobre los datos de la organizacin que

Disear un software independiente del gestor de bases de datos relacional que

Ingravallo Gabriel Entraigas Valeria

Auditoras en Base de Datos. Herramienta para rastros de actividad

Realizar un estudio de varios entornos de Base de Datos y sus capacidades de

Establecer los mecanismos brindados por los distintos DBMS, existentes en el

Seleccionar un par de DBMS operativos en el mercado que sirvan de guas de

Desarrollar una herramienta de control que permita:

seleccionar un conjunto de datos a controlar,

especificar un conjunto de mecanismos de control de acceso a la

reportar los cambios detectados en un perodo sobre un determinado

sistemas y auditoria que requieran una

herramienta especifica y sencilla que les brinde la capacidad de registrar y controlar la

Ingravallo Gabriel Entraigas Valeria

Auditoras en Base de Datos. Herramienta para rastros de actividad

organizacin y extrapolar informacin de manipulacin de datos (acceso,

administradores de bases de datos, de forma transparente y sencilla.

ofrece a los DBA la capacidad de abstraerse de la definicin y administracin de

permite a los DBA liberarse de las consideraciones de la plataforma sobre las

permite a los desarrolladores de aplicaciones de bases de datos liberarse de la

ofrece a Administradores de datos la facultad de generar polticas de control de

No obstante tambin puede ser utilizado por profesionales en general y estudiantes

permite a docentes introducirse en el tema y profundizarlo, basndose en los

profesionales, nacionales y extranjeros, que han encarado este mismo tema

Auditoras en Base de Datos. Herramienta para rastros de actividad

permite a alumnos de carreras informticas conocer el tema de auditorias y

Ingravallo Gabriel Entraigas Valeria