Está en la página 1de 4

Principales áreas de la auditoria informática

Fernando Moraga

Auditoria Informática

Instituto IACC

14-12-2018
Desarrollo

1. En una bodega se lleva un control de inventario almacenando la información de los

productos en una base de datos Oracle. Periódicamente se generan reportes de cuadraturas de los

productos en stock y los que han entrado y salido de la bodega, sin embargo, en los últimos dos

meses se han encontrado diferencias entre el reporte que entrega la base de datos y el inventario

manual.

De acuerdo a lo anterior usted es contratado para conducir una auditoria sobre la base de datos

para revisar si el problema es inconsistencia en los informes automáticos corresponde a la base

de datos o no.

• ¿Qué tipo de auditoria es necesaria en este caso? ¿Es necesario incluir el sistema

operativo sobre el que opera la base de datos y la aplicación que maneja los datos?

R: primero que todo definiremos que es una auditoria de base de datos, la auditoria de base de

datos, es un proceso implementado por los auditores de sistemas con el fin de auditar los accesos

a los datos, por lo general siguiendo bien una metodología basada en un checklist que contempla

los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales

Respondiendo la primera pregunta planteado sobre ¿Qué tipo de auditoria es necesaria en este

caso? consideramos dos grandes tipos de auditorías de la base de datos, esta división está

relacionada directamente con las actividades estas son:

Auditoría de actividades: El primer tipo de auditoría lo llamamos auditoría de actividades, que

consiste en controlar las actividades que realizan los usuarios en los objetos de la base de datos y

entenderemos como objetos todas las tablas, vistas, restricciones de integridad que los usuarios

crean en la base de datos. Este proceso de monitoreo de las actividades de los usuarios permite

encontrar posibles accesos a objetos no autorizados, conexiones en horas o días fuera de horarios

normales. Toda esta actividad se va almacenando en una tabla o en un archivo que llamaremos el
registro de auditoría. El registro de auditoría (RA) tiene un crecimiento muy alto, por lo que es

necesario administrarlo adecuadamente, muchas veces este registro llega a ser igual o mayor en

tamaño que la base de datos. Imagínese el RA de una organización de más de 2000 empleados,

que además permite el acceso de clientes por Internet, o el registro de auditoría de un banco, que

puede recibir más de 20 transacciones por minuto.

Auditoría de transacciones: La auditoría de transacciones consiste en implementar una serie de

controles que permiten llevar una bitácora de todas las transacciones que los usuarios realizan,

pero a un nivel tal que podamos establecer una historia de cómo se produjeron los cambios. Al

igual que en el tipo anterior, es necesario crear un registro de auditoría al que llamaremos

registro de auditoría de transacciones (RAT). El crecimiento del RAT es superior al del RA, ya

que es posible que un usuario que se conecte una sola vez, pueda hacer 30 transacciones. En este

caso el RA almacena las actividades de conexión y desconexión, básicamente mientras que el

RAT almacena 30 registros correspondientes a la información antes y después de cada

transacción.

Según las definiciones de los dos tipos existente a mi parecer el tipo de auditoria que se necesita

en este caso es Auditoria de actividades

R: dando respuesta a la segunda pregunta ¿es necesario incluir el sistema operativo sobre el

que opera la base de datos y la aplicación que maneja los datos? Según lo estudiado en el

contenido de la semana 7 n el trascurso de este documento, la auditoria de base de datos y

aplicaciones tiene un componente base que es el servidor donde se encuentra está instalada o

configurada. Este servidor también tiene su vulnerabilidad y elementos a auditar los cuales

dependen específicamente del sistema operativo por este motivo es indispensable realizar la

auditoria también al sistema operativo y a la aplicación que maneja los datos


 Proporcione una lista de todo los aspectos auditables (a nivel de base de datos y/o

sistema operativo) que incluiría en su auditoria

R: Lista de aspectos que serán auditada a nivel de base de datos

 Claves de accesos y contraseñas

 Usuarios y roles

 Privilegios

 Cuentas por defecto

 Links