UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniera de Sistemas e Informtica Base de datos Avanzadas

RESUMEN
Para llevar a cabo una auditora, se hace necesario, para poder emitir una opinin sobre el trabajo realizado, recopilar la evidencia suficiente y apropiada que sirva de base para sustentar las conclusiones, opiniones y recomendaciones. Debido a que en muchas ocasiones es difcil realizar este proceso, es necesario usar las pistas de auditora. Lo que se busca con su aplicacin, es una orientacin hacia la correcta direccin de las pruebas, con el fin de que conduzcan por el camino correcto para hallar la evidencia que sea de utilidad.

1. INTRODUCCION En toda auditora que se lleve a cabo en una empresa con el fin de determinar la razonabilidad de datos, funciones, operaciones, actividades, informes y reportes, la mayor parte del trabajo consiste en la recopilacin de evidencia que sirva para sustentar las conclusiones, opiniones y recomendaciones.

2. PISTAS DE AUDITORIA Las pistas de auditora no son controles por s mismos, son pistas, huellas o rastros que se requieren para el uso analtico y administrativo; son ms que todo un procedimiento que puede estar constituido por uno o varios documentos, informes o simplemente desprenderse de un control o conjunto de controles. En todos los sistemas, sean automatizados o no, las pistas de auditora deben estar siempre presentes, y deben de cumplir con tres requisitos bsicos: 2.1. Que cualquier transaccin pueda ser seguida, desde el documento fuente que la origin, por medio del proceso a que es sometida, hasta las salidas (archivos, consultas por pantalla o informes) y los totales a los cuales se agrega. 2.2. Que cada salida o resumen de datos, se pueda seguir hacia atrs, hasta la transaccin o clculos que los produjeron. 2.3. Que cualquier transaccin generada automticamente, se pueda rastrear hasta el evento que la gnero. La Auditoria de Bases de datos La Auditora de Bases de Datos permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos. Demostrando:

Cundo se accedi a los datos Quin accedi a los datos Mediante que dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL El efecto que produce a la BD

Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo

UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniera de Sistemas e Informtica Base de datos Avanzadas

Objetivos Los principales objetivos de una auditoria de Bases de Datos son principalmente garantizar la integridad de la informacin almacenada en la Base de Datos mediante la deteccin, recopilacin, anlisis de todos los registros pertinentes a la base de Datos para determinar: Actividades dudosas sobre la BD. Recopilacin de informacin acerca de actividades especficas de la BD Recopilacin de estadsticas sobre qu tablas actualizadas, E/S lgicas, cantidad de usuarios conectados concurrentemente. Recopilacin de inverosimilitudes en los datos (De esta manera se pueden detectar errores en la base de datos) Recopilar los errores por prdida de informacin (Estos fallos son ms fciles de detectar y prevenir) Mitigar los riesgos asociados con el manejo inadecuado de los datos. Evitar acciones criminales.

Importancia Las auditorias de las bases de datos son esenciales porque permiten determinar de dnde proviene la informacin almacenada as como tambin garantiza el resguardo de la informacin, gracias a las auditorias la seguridad de las BD ha aumentado. La publicacin sobre casos de fraude y robos de datos han generado cierta preocupacin ya que los administradores de bases de datos eran los encargados de salvaguardar la informacin, pero ahora se les ve como uno de los aspectos ms vulnerables, porque la base de datos poda ser modificada por ellos y la entidad poda no poseer registros sobre la modificacin . -La naturaleza de la informacin almacenada en la BD es: -Demostrar la integridad de dicha informacin. -Mitigar los riesgos asociados a la perdida de informacin. -Resguardar informacin confidencial. -Monitoreo los datos con el fin de saber cmo, cundo y por quien fueron modificados. Recoleccin de los Datos La recoleccin de los datos para llevar a cabo las auditorias se realiza mediante : Sentencias SQL: Registro de los intentos de conexin con la base de datos. Privilegios: recopila las operaciones que se han efectuado sobre la base de datos y los usuarios Objetos: Se pueden recoger operaciones realizadas sobre determinados objetos de la base de datos.

Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo

UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniera de Sistemas e Informtica Base de datos Avanzadas
Los tipos de auditoria que encontramos en una base de datos son:

Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo

UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniera de Sistemas e Informtica Base de datos Avanzadas
Propiedades - Revisin de los permisos de cada usuario y fichero del sistema con el objetivo de detectar fallas de seguridad. -Una auditora completa no es un conjunto estricto de validaciones a realizar, sino que evoluciona segn los riesgos detectados. -Consume mucho tiempo Es una tarea ardua y no garantiza siempre que se tenga un sistema 100% limpio. Planificacin Los pasos que se deben llevar a cabo para realizar una auditora de bases de datos son: -Identificacin de todas las BD de la organizacin. -Clasificar los niveles de riesgo de los datos de las BD. -Analizar los permisos de acceso de los usuarios. -Analizar los controles de acceso existentes. -Establecer los modelos de auditoria a utilizar. -Establecer las pruebas a realizar para cada BD, aplicacin y/o usuario.

Elementos a Auditar

Generalmente durante una auditoria se monitorea el comportamiento de: -Los accesos a data sensible. -Las modificaciones a esquemas (Create, Drop, Alter). -Cambios en los datos (sentencias DML). -Excepciones de seguridad y modificaciones de cuentas y privilegios.

Metodologas

Check-List:

Metodologa basada en Riesgo vs. Control vs. Coste. El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar. La evaluacin consiste en identificar la existencia de unos controles establecidos. Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una gua de referencia, para asegurar que se han revisado todos los controles.

Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo

UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniera de Sistemas e Informtica Base de datos Avanzadas
COBIT:

Es una gua de mejores prcticas dirigida a la gestin de tecnologa de la informacin (TI). Mantenido por ISACA (Information Systems Audit and Control Association) y el IT Governance Institute (ITGI), tiene una serie de recursos que pueden servir de modelo de referencia para la gestin de TI, incluyendo un resumen ejecutivo, objetivos de control, mapas de auditora, herramientas para su implementacin y principalmente, una gua de tcnicas de gestin, permitiendo que los negocios se alineen con la tecnologa de la informacin para as alcanzar los mejores resultados. Los Objetivos de Control para la Informacin y la Tecnologa relacionada (CobiT) brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de CobiT estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn un patrn de medicin con el cual se podr calificar cuando las cosas no vayan bien. Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin empresarial debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control CobiT contribuye a estas necesidades de la siguiente manera:

Estableciendo un vnculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos Identificando los principales recursos de TI Definiendo los objetivos de control gerenciales

La orientacin al negocio que realiza CobiT consiste en vincular las metas del negocio con las metas de TI, brindando mtricas y modelos de madurez para medir los logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las responsabilidades de planear, construir, ejecutar y monitorear; de esta manera, se ofrece una visin de punta a punta de la TI. El concepto de arquitectura empresarial ayuda a identificar aquellos recursos esenciales para el xito de los procesos, es decir, aplicaciones, informacin, infraestructura y personas. En resumen, para proporcionar la informacin que la empresa necesita de acuerdo a sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y desempeo de TI, son los conceptos que CobiT define especficamente:

Benchmarking de la capacidad de los procesos de TI. Son modelos de madurez derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniera de Software Metas y mtricas de los procesos de TI para definir y medir sus resultados y su desempeo. Objetivos de las actividades para controlar estos procesos , con base en los objetivos de control detallados de COBIT

La evaluacin de la capacidad de los procesos basada en los modelos de madurez de CobiT es una parte clave de la implementacin del gobierno de TI. Despus de identificar

Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo

UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniera de Sistemas e Informtica Base de datos Avanzadas
los procesos y controles crticos de TI, el modelado de la madurez permite identificar y demostrar a la direccin las brechas en la capacidad.

Metodologa de evaluacin de riesgos. Se debe comenzar por fijar los objetivos de control que minimizan los riesgos potenciales, los riesgos ms importantes son: La dependencia por la concentracin de Datos. -Impacto de errores externos en datos y programas. -Impacto por acceso no autorizado a los datos. -Dependencia de personas con alto conocimiento tcnico -Accesos no restringidos en la figura del DBA. -Incompatibilidades entre el sistema de seguridad de accesos del SMBD y el general de instalacin -Impactos de los errores en Datos y programas. -Rupturas de enlaces o cadenas por fallos del Software.

Herramientas de auditora

Software De Auditora Son paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la extraccin de datos de la base de datos, el seguimiento de las transacciones, datos de prueba, etc. Hay tambin productos que permiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera auditora del dato.

Sistema De Monitorizacin y Ajuste (Tunning) Este tipo de sistema complementan las facilidades ofrecidas por el propio SMBD, ofreciendo mayor informacin para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del SMBD y del SO.

Sistemas Operativos El Sistema Operativo es una pieza clave del entorno, puesto que el SMBD se apoyar, en mayor o menor medida (segn se trate de un SMBD dependiente o independiente) en los servicios que le ofrezca; eso en cuanto a control de memoria, gestin de reas de almacenamiento intermedio (buffers), manejo de errores, control de confidencialidad,

Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo

UNIVERSIDAD JOSE CARLOS MARIATEGUI Ingeniera de Sistemas e Informtica Base de datos Avanzadas
mecanismo de interbloqueo, etc.

Monitor De Transacciones Algunos autores lo incluyen dentro del propio SMBD, pero actualmente, puede considerarse un elemento ms del entorno con responsabilidades de confidencialidad y rendimiento.

Protocolos y Sistemas Distribuidos Cada vez ms se est accediendo a las bases de datos a travs de redes, con lo que el riesgo de violacin de la confidencialidad e integridad se acenta. Tambin las bases de datos distribuidas pueden presentar graves riesgos de seguridad. En este sentido, se debe controlar la distribucin de los datos a travs de una funcin de administracin de datos que establezca estndares generales para esta distribucin. Tambin, deben existir pistas de auditora, para todas las actividades realizadas por las aplicaciones en las bases de datos.

Paquetes de Seguridad Existen en el mercado varios productos que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos, la definicin de privilegios, perfiles de usuarios, etc.

Regulaciones para garantizar la Seguridad de BD -Para garantizar la seguridad de las bases de datos se requieren ciertas medidas :

-Autenticacin de quienes acceden a la informacin en la BD -Garantizar el uso de Cuentas Individuales -Confidencialidad de la Informacin -Restricciones del uso de cuentas privilegiadas -Cifrado de la informacin

Pistas de auditoria en la base de datos Mervy Villanueva Mogrovejo