ISAEL PIMENTEL 6-712-2351

AUDITORIA DE BASE DE DATOS

La Auditora Informtica o basada en base de datos es una ciencia aplicada, que proviene de la auditora general, y pretende realizar una revisin exhaustiva del trabajo que se realiza en la Informtica y que los controles que se aplican en los diferentes niveles donde interviene sean los adecuados. La auditoria de base de datos se puede agrupar en dos clases: Metodologa tradicional: en esta etapa el auditor revisa el entorno con la ayuda de una lista que se compone de una serie de cuestiones a verificar. Este tipo de tcnica suele ser aplicada a la auditoria de productos de base de datos, especificndose en la lista de control todos los aspectos a tener en cuenta.

Metodologa de evaluacin de riesgo: tambin conocida por risk oriented approach, es la que propone ISACA, y empieza fijndose los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno.

ISAEL PIMENTEL 6-712-2351

OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS Son tcnica de control a tener en cuenta a lo largo del ciclo de vida de una base de datos. Estudio previo y plan de trabajo: es muy importante elaborar un estudio tecnolgico de viabilidad en el cual se completen distintas alternativas para alcanzar los objetivos del proyecto acompaados de un anlisis coste-beneficio para cada una de las opciones. En esta fase se debe comprobar la estructura orgnica no solo del proyecto en particular, sino tambin de la unidad que tendr la responsabilidad de la gestin y control de base de datos.

Concepcin de la base de datos y seleccin de equipo: en esta fase se empieza a disear la base de datos, por lo que deben utilizarse los modelos y las tcnicas definidas en la metodologa de desarrollo de sistema. La metodologa de diseo debera tambin emplearse para especificar los documentos fuentes, los mecanismos de control, las caractersticas de seguridad y las pistas de auditora a incluir en el sistema. El auditor debe en primer lugar analizar la metodologa de diseo con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilizacin. la metodologa de diseo conlleva dos fases: fsica y lgica

ISAEL PIMENTEL 6-712-2351

Diseo y carga: en esta fase se lleva a cabo los diseo fsico y lgico de la base de datos, por lo que el auditor tendr que examinar si estos diseos se han realizados correctamente; determinando si la definicin de los datos contemplan adems de su estructura las asociaciones y las restricciones oportunas, as como las especificaciones de almacenamiento de datos y las cuestiones relacionadas a la seguridad. El auditor tendr que tomar una muestra de cierto elementos (tabla, vista, ndice) y comprobar que su definicin es completa En aspecto importante es el tratamiento de datos en entrada errneo, para lo que deben cuidarse con atencin los procedimientos de reintroduccin de forma que no disminuyan los controles.

Explotacin y mantenimiento:

en esta fase se deben comprobar que se

establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta

Revisin post-implantacin: aunque es utilizada en pocas empresas por falta de tiempo, se debera establecer el desarrollo de un plan para efectuar una revisin post-implantacin de todo sistema nuevo o modificado con el fin de evaluar si: Se han conseguidos los resultados esperados Se satisface las necesidades de los usuarios Los costes y beneficios coinciden con los previstos.

Otros procesos auxiliares: a lo largo del ciclo de vida de una base de datos se deber controlar la formacin que precisan tantos los usuarios informticos (administradores, analistas, programadores. Etc. ) como no informticos, ya que la formacin es una de las claves para minimizar el riesgo en la implantacin de una base de datos. El auditor tendr que revisar la documentacin que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los estndares establecidos por la metodologa adoptada por la empresa

ISAEL PIMENTEL 6-712-2351

AUDITORA Y CONTROL INTERNO EN UN ENTRONO DE LA BASE DE DATOS Dentro de esta se estudia en sistema de gestin de base de datos y su entorno

Sistema de gestin de base de datos (SGBD): se destaca el ncleo (kernel), el catalogo (componente fundamental para asegurar la seguridad en la base de datos). Las utilidades para el administrador en la base de datos entre las que se suelen encontrar algunas para crear usuarios, conceder privilegios, y resolver otras cuestiones relativas a la confiablidad. En cuanto a las funciones de auditora que ofrece el propio sistema prcticamente todos los productos del mercado permiten registrar ciertas operaciones realizadas sobre la base de datos en el fichero.

Software de auditora: son paquetes o programas que pueden emplearse para facilitar la labor del auditor, en cuanto la extraccin de datos, seguimientos de las transacciones, datos de prueba, etc.

Sistema de monitorizacin y ajuste (tuning): este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor informacin para optimizar el sistema

ISAEL PIMENTEL 6-712-2351

Sistemas operativos (SO): el SO es una pieza clave del entorno, puesto que el SGBD se apoyara, en mayor medida en los servicios que le ofrezca el SO en cuanto al control de memoria, gestin de reas de almacenamiento interno, manejo de errores, control de confiabilidad y mecanismos de interbloqueo.

Monitor de transaccin: es un elemento ms del entorno con responsabilidades de confiabilidad y rendimiento.

Protocolos de sistemas distribuidos: establece cinco objetivos de control a la hora de revisar la distribucin de datos. 1. El sistema de proceso distribuido tiene que tener una funcin de administracin de datos centralizada 2. Deben establecerse unas funciones de administracin de datos y de base de datos fuerte. 3. Deben existir pistas de auditora para todas las actividades realizadas por la aplicacin contra sus propias bases de datos y otras compartidas. 4. Deben existir controles software para prevenir interferencias de actualizacin sobre la base de datos en sistemas distribuido 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseo de entornos distribuido.

Paquete de seguridad: permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de acceso, la definicin de privilegios y perfiles de usuarios.

Diccionario de datos: este tipo de sistemas se implantaron en los aos 70, juegan un papel primordial en el entorno de los SGBD en cuanto a la integracin de componentes y al cumplimiento de la seguridad de los datos Los propios diccionarios se pueden auditar de manera anloga a la base de datos, ya que son base de metadatos

ISAEL PIMENTEL 6-712-2351

Herramientas case (computer aided system software): este tipo de herramientas suelen llevar incorporado un diccionario de datos amplios (enciclopedias o repositorio) en los que se almacenan informacin sobre datos, programas y usuarios.

Lenguaje de cuarta generacin (L4G) independientes: se ofrecen varios objetivos de control para los L4G entre los que se destacan: El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de autorizacin y peticin que los proyectos de desarrollo convencionales Las aplicaciones desarrolladas con L4G deben sacar ventaja de las caractersticas incluidas en los mismos. Uno de los peligros ms graves de L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con tercera generacin Facilidades de usuarios: las aplicaciones que utilicen este proceso deben seguir los mismos slidos principios de control y tratamiento de errores que el resto.

Herramientas de minera de datos: esta herramienta ofrece soporte a la toma de decisiones sobre datos de calidad integrados en el almacn de datos.

Aplicaciones: el auditor debe controlar que las aplicaciones no atenten contra la integridad de los datos de la base.

Tcnicas para el control de base de datos en un entorno complejo: existen tcnicas importantes como debilitar la seguridad del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados. Emplea dos tcnicas de control; matrices de control y anlisis de los caminos de acceso.

ISAEL PIMENTEL 6-712-2351

matrices de control: sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos.

anlisis de los caminos de acceso: con esta tcnica se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el momento en que se introducen, identificando los componentes del sistema que atraviesan.

ISAEL PIMENTEL 6-712-2351

CONCLUSION
El trabajo de auditora, nos trae a aportar valiosos elementos que sirven de punto de enfoque para conocer y hacer un anlisis de mejor la forma en cmo se trabaja, las labores que se deben cumplir para mejorar y mantener siempre un norte firme, que puede ser interrumpido por la falta de controles en nuestro diario vivir. La auditoria de base de datos sin duda es muy compleja para los auditores, para la realizacin de la misma ya sea verificando que los componentes del sistemas trabajen conjuntamente y coordinadamente hacen que la empresa u organizacin tengas resultados satisfactorios.