Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Director de Tesis
Omar Ivn Trejos Buritic, PhD.
Nota de aceptacin
AGRADECIMIENTOS
CONTENIDO
pg.
INTRODUCCION
1. CAPITULO I: GENERALIDADES..
11
11
11
11
11
12
1.5 JUSTIFICACION..
13
14
14
14
14
15
1.6.1.4 Auditoria..
15
15
16
16
17
18
19
19
19
20
1.7.1 Hiptesis..
21
1.7.2 Variables..
21
1.7.3 Instrumentos
2. CAPITULO II: ESTADO DEL ARTE.
24
24
25
27
28
29
32
33
37
39
40
44
44
50
55
59
64
105
5.1 CONCLUSIONES
105
5.2 RECOMENDACIONES..
107
GLOSARIO...
108
REFERENCIAS BIBLIOGRAFICAS.
110
BIBLIOGRAFIA GENERAL.
112
LISTA DE TABLAS
pg.
LISTA DE FIGURAS
pg.
25
27
53
55
57
59
62
67
76
76
113
RESUMEN
ABSTRACT
The Importance of Database Auditing lies especially in the need to mitigate the
risks associated with data loss and information leakage. The risks make
vulnerabilities within an information system are a door that threats are a source of
danger.
The present work is based on grade creating a methodology designed for
controlling these risks and based on international auditing standards and best
practices for information systems audits.
INTRODUCCION
determinar qu tan seguro estn los datos, es necesario verificar que tan
controlados tenemos los riesgos y que hacemos para evitar que se conviertan en
amenazas.
CAPITULO 1
GENERALIDADES
1.4.
12
1.5.
JUSTIFICACIN
El desarrollo de una metodologa para auditora de bases de datos facilita que esta
se convierta en una gua especializada o herramienta para quienes realizan
procesos de auditora, ya que se deben definir una serie de pasos metdicos que
apunten a lo que se quiere concluir y que genere una lista de recomendaciones
que mejoren las falencias encontradas.
Adems, debe ser una fuente de informacin que analice las normas
internacionales de auditora presentes en el mercado y que las convierta en
tcnicas para auditoria de sistemas y gestin de riesgos.
1.6.
MARCO REFERENCIA
Se define una base de datos como una serie de datos organizados y relacionados
entre s, los cuales son recolectados y explotados por los sistemas de informacin
de una empresa o negocio en particular. El trmino de base de datos fue
escuchado por primera vez en 1963 en un simposio celebrado en California, USA.
14
Redundancia mnima
Respaldo y recuperacin
1.6.1.4. Auditora
.
Fuente: Anlisis y gestin de riesgos base fundamental del SGSI.
VIII Jornada Nacional de Seguridad Informtica ACIS
Autor: Juan Carlos Reyes Muoz, director de Investigacin y desarrollo para la firma Seltika, 2008.
18
1.6.3.1.
Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico
tutelado - denominado de la proteccin de la informacin y de los datos y se
preservan integralmente los sistemas que utilicen las tecnologas de la informacin
y las comunicaciones, entre otras disposiciones.
La ley 1273 de 2009 crea nuevos tipos penales relacionados con delitos
informticos y la proteccin de la informacin y los datos, con penas y multas
significativas.
19
1.6.3.2.
1.7.
DISEO METODOLGICO
El desarrollo de este trabajo est compuesto por tres (4) fases: levantamiento de
la informacin, exploracin, anlisis de riesgos y diseo de la propuesta.
Por ltimo se plantear una solucin para el problema a resolver y se realizan los
diferentes diseos que argumentarn dicha solucin.
20
1.7.1. Hiptesis
Ser posible plantear una metodologa para el control de riesgos para bases de
datos que facilite las labores administrativas de los auditores y que permita
analizar, gestionar y controlar los riesgos existentes evitando vulnerabilidades y
amenazas en los sistemas de informacin de las organizaciones?
1.7.2. Variables
1.7.3. Instrumentos
Fase 1:
Qu cargo desempea?
Fase 2:
22
Fase 3:
23
CAPITULO II
ESTADO DEL ARTE
A continuacin se revisan los resultados del rastreo del Estado de Arte para tener
un panorama de los proyectos, artculos, tesis y libros que se encuentran en el
mundo de las auditorias de los sistemas de informacin especialmente aquellas
auditorias relacionadas con bases de datos.
24
25
Contribucin al proyecto.
26
Resumen.
2.4
BASES DE DATOS
AppSecsTeam SHATTER
28
Autores e Institucin.
Resumen.
29
Resumen.
30
Autores e Instituciones.
31
de
COSO
(Committee
of
SponsoringOrganizations
Of
A LAS
Autores e Institucin.
33
se
vuelve
imprescindible
controlar
fiscalizar
de
manera
las
Entidades
Fiscalizadoras
Superiores
(EFS)
deben
estar
Anual
de
Investigacin
promovido
por
la
Organizacin
utilizar
las
mejores
prcticas
relacionadas
las
TIC,
Contribucin al proyecto.
Finalmente, este
trabajo plantea una propuesta que denomina Torre TIC de la Auditoria, donde
especifica 8 componentes que la integran. Dentro de estos componentes, existe
uno especfico que contiene un aporte significativo al proyecto, Metodologa de
Auditoria de Gestin TIC, donde se presentan una serie de etapas que pueden
significar aportes o complementos a la propuesta planteada.
36
de
implementadas
las
por
tecnologas
la
de
institucin
informacin
y
presentar
comunicaciones
conclusiones
38
2.11
2.12 TESIS
INFORMACION
Resumen.
43
CAPITULO III
TEORIA
de las mismas es el
45
El ciclo de Edward Deming PDCA (Plan, Do, Check, Act), es un proceso que junto
con el mtodo clsico de resolucin de problemas, permite la consecucin de la
mejora de la calidad en cualquier proceso de la organizacin. Supone una
metodologa para mejorar continuamente y su aplicacin resulta muy til en la
gestin de los procesos.
para la
48
Fuente: Auditoria Informtica un Enfoque prctico. Pg. 53 - Autores: Mario Piattini y Emilio del
Peso
49
Fase III. Pruebas y Mantenimiento. En esta fase se definen las pruebas, sus
caractersticas y ciclos, y se realiza la primera prueba como comprobacin
de todo el trabajo realizado, as como mentalizar al personal implicado.
50
51
52
53
Creacin de cuentas
Concesin de privilegios
Revocacin de privilegios
para lograr la
informacin requerida.
Evaluacin del sistema de control interno. Se toma la informacin recopilada, se
analiza y se hace una idea de los controles existentes. Dependiendo del concepto
que se forme en esta etapa, depende el tamao de las muestras empleadas para
evaluar los controles individuales y la cantidad de pruebas a aplicar.
57
Diseo de pruebas de auditoria. Con el fin de verificar los controles y medir las
deficiencias existentes, se debe disear procedimientos de auditoria. Para ello se
emplean las tcnicas de auditoria que son herramientas empleadas para evaluar
los controles.
Aplicacin de la pruebas.
se procede a
Se
58
Identificador.
atributos que determina de modo nico cada ocurrencia de esa entidad. Toda
entidad tiene al menos un identificador y puede tener varios identificadores
alternativos. Las relaciones no tienen identificadores.
3.4.3
Sistema
de
Gestin
de
Bases
de
Datos
(DBMS
databasemanagementsystem)
Un sistema de gestin de bases de datos (DBMS) consiste en una coleccin de
datos interrelacionados y un conjunto de programas para acceder a ellos, es
bsicamente un sistema computarizado para llevar registros, es decir, un sistema
cuya finalidad general es almacenar informacin y permitir a los usuarios realizar
una variedad de operaciones sobre dichos registros, por ejemplo: insertar, borrar,
modificar, agregar, consultar. La coleccin de datos se denomina base de datos
(BD).El objetivo primordial de un DBMS es proporcionar que a su vez sea
conveniente y eficiente para ser utilizado al extraer o almacenar informacin en la
BD. Los sistemas de bases de datos estn diseados para gestionar grandes
bloques de informacin, que implica tanto la definicin de estructuras para el
almacenamiento como de mecanismos para la gestin de la informacin. Adems
los DBMS deben mantener la seguridad de la informacin almacenada pese a la
61
Dificultad para tener acceso a los datos.Un sistema de base de datos debe
contemplar un entorno de datos que le facilite al usuario el manejo de los mismos.
El sistema debe de prever estas situaciones desde que se realiza el diseo para
evitar una deficiencia.
Aislamiento de los datos. Puesto que los datos estn repartidos en varios archivos,
y estos no pueden tener diferentes formatos, es difcil escribir nuevos programas
de aplicacin para obtener los datos apropiados.
acceso a los mismos, no todos los usuarios pueden visualizar alguna informacin,
por tal motivo para que un sistema de base de datos sea confiable debe mantener
un grado de seguridad que garantice la autentificacin y proteccin de los datos.
3.4.4
Bases de datos jerrquicas. Son bases de datos que, como su nombre indica,
almacenan su informacin en una estructura jerrquica. En este modelo los datos
se organizan en una forma similar a un rbol (visto al revs), en donde un nodo
padre de informacin puede tener varios hijos. El nodo que no tiene padres se le
conoce como raz, y a los nodos que no tienen hijos se les conoce como hojas.
Bases de datos simples o planas. Las bases de datos simples son aquellas que
estn formadas por una sola tabla de datos. Este tipo de bases de datos son muy
fciles de crear y utilizar; cubren la mayora de necesidades de los particulares.
63
Ley 1273 de 2009. Por medio de la cual se modifica el Cdigo Penal, se crea un
nuevo bien jurdico tutelado - denominado de la proteccin de la informacin y de
los datos y se preservan integralmente los sistemas que utilicen las tecnologas
de la informacin y las comunicaciones, entre otras disposiciones.
A continuacin se nombran los artculos ms representativos que se utilizaran
como soporte para el presente proyecto.
Captulo I.
La ley 1273 de 2009 crea nuevos tipos penales relacionados con delitos
informticos y la proteccin de la informacin y los datos, con penas y multas
significativas.
Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso de
los mensajes de datos, del comercio electrnico, y de las firmas digitales, y se
establecen las entidades de certificacin y se dictan otras disposiciones.
COBIT 4.1. COBIT es un acrnimo formado por las siglas derivadas del Control
Objetives forInformation and RelatedTechnology (Objetivos de Control para la
Informacin y Tecnologas Relacionadas). Este conjunto de objetivos representa el
producto
de
un
proyecto
de
investigacin
desarrollado
por
la
inicialmente en el ao 1996.
COBIT es un conjunto de objetivos de control aplicables a un ambiente de
tecnologas de informacin que lograron definirse gracias a un trabajo de
investigacin y bsqueda de consenso entre la normatividad de distintos cuerpos
colegiados, estndares tcnicos, cdigos de conducta, prcticas y requerimientos
de la industria y requerimientos emergentes para industrias especficas.
El propsito de COBIT es proporcionar una gua estndar que tenga una
aceptacin internacional sobre los objetivos de control que deben de existir en un
ambiente de tecnologa de informacin para asegurar que las organizaciones
logren los objetivos de negocio que dependen de un adecuado empleo de dicha
tecnologa.
67
CAPITULO IV
DESARROLLO DEL PROYECTO
direccin,
metodologa
de
desarrollo,
sistema
operativo,
70
ACTIVIDADES A
RESULTADOS DE LA
LA METODOLOGIA
EJECUTARSE
ACTIVIDAD
Plan de
1
realizara la
requerido.
Cronograma de
de Datos
actividades por
Estimar el tiempo
necesario para
estimadas para
realizar la auditoria.
realizar la Auditoria.
Levantamiento de
Documentos de
la informacin
trabajo de la
sobre el estado
Auditoria
actual y
Documento con
caractersticas de la
definicin de los
organizacin,
procesos de negocio
informacin de
infraestructura,
y diagramas
la Organizacin
recursos humanos
descriptivos
Levantamiento
2
de trabajo que
Auditoria de Base
Auditoria
Preliminar
Conformar el grupo
de la
y tcnicos,
procesos de
sistemas de
negocios y
informacin que
sistemas de
soportan los
informacin que lo
procesos de
71
soportan.
negocios.
Diseo de
Documentos con
flujograma de los
informacin de las
procesos de
reas de la
negocio.
organizacin y su
Realizar Ficha
Tcnica de los
sistemas de
sistemas de
informacin.
informacin que
soporta los
de sistemas que
negocios.
Perfiles de los
usuarios estrellas de
las diferentes reas,
claves el en proceso
de auditora.
Definicin de
3
objetivos y
alcance de la
Auditoria de B.D
Seleccionar los
objetivos
principales de la
alcanzados por el
auditoria.
proceso de auditora.
Elaborar el
Programa de
programa de
auditoria de Base de
auditoria detallado.
Datos detallado.
Definir el alcance
de la auditoria de
Base de Datos.
72
Alcance de la
auditoria definido.
Evaluacin de
4
Sistemas de
Control Interno
Analizar la
Tamao de la
informacin
muestra empleada
encontrada y definir
los controles
existentes en el
de datos.
sistema de
informacin y en la
base de datos.
Determinar que
amenazas se
encuentra expuesta
identificadas
Lista de
la Base de Datos
salvaguardas
Determinar que
riesgos en las
salvaguardas hay
riesgos
Base de Datos
disponibles y que
Anlisis de
5
Lista de amenazas
frente al riesgo.
Estimar el impacto
de un riesgo
Elaboracin de
Lista de controles
Diseo de
procedimientos de
evaluados y su
pruebas de
auditoria de B.D
resultado
Auditoria de B.D
Ejecucin de las
7
pruebas de
auditoria
Ejecutar pruebas
Lista de controles
de cumplimiento
verificados por el
utilizando tcnicas
auditor.
de ejecucin
73
Soporte de las
manuales o
pruebas de auditoria
asistidas por
realizadas.
computador
Evaluar los
de observaciones de
pruebas
auditora para
efectuadas.
pruebas de
Desarrollar el
cumplimiento.
observaciones de
auditora y puntos
mejorables para los
controles y datos
los resultados
deficientes.
Identificar las
de las pruebas
causas, el impacto
de Auditoria de
y las implicaciones
B.D
de la observaciones
para la
organizacin y
verificar los
estndares y
mejores prcticas
que no se cumplen.
resultados de las
anlisis de las
Evaluacin de
Disear los
resultados de la
auditoria para los
resultados no
satisfactorios.
74
Conclusiones de los
resultados obtenidos.
Elaborar resumen
de observaciones.
observaciones
Desarrollar y
obtenidas.
aprobar informe
preliminar.
Elaboracin del
9
resultados de la
Resumen de
Emitir informe
Informe final de
auditoria
Expediente de
preliminar
auditora con
Disear
observaciones
conclusiones
referenciadas
generales y
Auditoria
especficas de la
auditoria.
Elaborar y aprobar
informe final de
auditora.
Planificar
seguimiento a las
Seguimiento a
observaciones de
las
10
Programa de
seguimiento
Listado con el
auditora.
resultado del
Analizar y evaluar
cumplimiento de
de Auditoria de
resultados del
observaciones
B.D
seguimiento.
Observaciones
Elaborar informe de
Informe de
seguimiento
seguimiento
75
76
No
Nivel de
Responsabilidad
Horas Asignadas
Supervisor
72
Auditor a cargo
96
Auditor en terreno
312
No
1
2
Nivel de Responsabilidad
Horas Asignadas
40
Levantamiento de la Informacin de la
Organizacin
Definicin de objetivos y alcance de la Auditoria
de B.D
40
40
120
30
80
40
10
40
40
40
79
Estructura organizacional
Dependencias de la organizacin
81
82
de
auditora)
en
la
estructura
de
los
controles.
Estas
83
84
Tambin podramos estar frente de bases de datos con muchas tablas lo cual
dificulta el tiempo de proceso, porque para consultar cierta cantidad de datos tiene
que hacer varias lecturas.
El no tener metodologa para el diseo de las bases de datos nos puede llevar a
tener un diseo que no consulta las tcnicas para un buen modelo, reflejndose
en una degradacin del tiempo de respuesta.
La
falta
de
documentacin
dificulta
el
mantenimiento,
entendimiento
85
riesgo, es decir, tienen efecto mltiple. Se asume que entre mayor frecuencia
tenga un control, mayor ser su importancia y por consiguiente podr ser
considerado clave.
Otro criterio que podra emplear el auditor para seleccionar los controles clave es
la clase de control. Por ejemplo, podra decidir seleccionar una muestra de
controles automatizados y otra muestra de controles manuales.
88
interno
(buffers),
manejo
de
errores,
control
de
Paquetes de seguridad.
Llevan incorporado un
Adems de las
invlidas. Los datos de prueba deben ser procesados con los programas regulares
del sistema.
92
93
o Desventajas:
El anlisis de los
95
El anlisis del grado de satisfaccin de los objetivos de control para las pruebas de
cumplimiento se realiza utilizando la agrupacin de controles por objetivo de
control.
Las respuestas obtenidas para cada uno de los objetivos de control sustanciados
por el auditor, se procesan siguiendo los pasos que se indican a continuacin:
96
97
98
b) Antecedentes generales
Este captulo contiene una breve descripcin de las caractersticas y atributos del
rea auditada. El objetivo es ubicar al destinatario del informe dentro de un marco
de referencia que le ayude a comprender el informe y la importancia de las
observaciones de la auditora.
c) Observaciones de la auditora
Esta parte del informe presenta, para cada proceso y sistema evaluado, las
observaciones y debilidades de control identificados por la auditora que debe
contestar la administracin.
99
mejor servicio a los usuarios, ahorrar costos, evitar que los errores pasen
inadvertidos, mejorar la informacin que recibe la alta direccin, etc.
Se escribe en infinitivo
resultados del mismo. Con las actividades de esta etapa se termina el trabajo de
auditora.
Los productos de esta etapa son los siguientes:
Observacin
103
104
CAPITULO 5
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
106
La especializacin en reas TIC dentro del desarrollo continuo del talento humano
de los auditores es de vital importancia para que los auditores estn actualizados y
sean competentes en la ejecucin de la auditoria a la gestin de las Tics.
107
5.2 RECOMENDACIONES
108
GLOSARIO
DML: (data manipulation language) dentro del lenguaje SQL, son las
sentencias cuya ejecucin modifica la informacin al interior de la base de
datos. Estas sentencias son insert, update, delete, etc.
DDL: (data definition language) dentro del lenguaje SQL, son las sentencias
cuya ejecucin devuelve informacin almacenada dependiendo de los
criterios usados. Create y alter son sentencias DDL.
109
110
REFERENCIAS BIBLIOGRAFICAS
para
la
obtencin
del
ttulo
de
Ingeniero
en
Sistemas
MAULINI R., Mauro. Las diez (10) vulnerabilidades ms comunes de las bases de
datos. Artculo de la pgina web www.e-securing.com. 2011
111
112
BIBLIOGRAFIA GENERAL
Editorial
114