Documentos de Académico
Documentos de Profesional
Documentos de Cultura
consagración de los datos como uno de los recursos fundamentales de las empresas, ha
hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor
interés.
3. Diseño y carga:
En esta fase se llevarán a cabo los diseño lógico y físico de la bases de datos, por lo
que el auditor tendrá que examinar si estos se han realizado correctamente;
determinando si la definición de los datos contempla además de su estructura, las
asociaciones y las restricciones oportunas, así como las especificaciones de
almacenamiento de datos y las cuestiones relativas a la seguridad. El auditor tendrá que
tomar una muestra de ciertos elementos (tablas, vistas, índices) y comprobar que su
definición es completa, que ha sido aprobada por el usuario y que el administrador de la
base de datos participó en su establecimiento.
Una vez diseñada la BD, se procederá a su carga, ya sea migrando datos de un
soporte magnético o introduciéndolo manualmente.
Las migraciones o conversiones de sistemas entrañan un riesgo muy importante,
por lo que deberán estar claramente planificadas para evitar pérdida de información y la
transmisión al nuevo sistema de datos erróneos.
Por lo que respecta a la entrada manual de datos, hay que establecer un conjunto
de controles que aseguren la integridad de los mismos.
4. Explotación y mantenimiento:
Una vez realizadas las pruebas de aceptación, con la participación de los usuarios,
el sistema se pondrá en explotación.
Es esta fase, se debe comprobar que se establecen los procedimientos de
explotación y mantenimiento que aseguren que los datos se tratan de forma congruente
exacta y que el contenido de los sistemas sólo se modifica mediante la autorización
adecuada.
5. Revisión Post-implantación:
Entre los componentes del SGBD podemos destacar el núcleo, el catálogo (componente
fundamental para asegurar la seguridad de la base de datos), las utilidades para el
administrador de la base de datos, las que se encargan de la recuperación de la BD:
rearranque, copias de respaldo, ficheros diarios (log), etc. Y algunas funciones de
auditoría, así como los lenguajes de la cuarta generación (L4G) que incorpora el propio
SGBD.
En cuanto a las funciones de auditoría que ofrece el propio sistema, prácticamente todos
los productos del mercado permiten registrar ciertas operaciones realizadas sobre la base
de datos de un fichero de pistas de auditoría.
El auditor deberá revisar, por tanto, la utilización de todas las herramientas que ofrece el
propio SGBD y las políticas y procedimientos que sobre su utilización haya definido el
administrador, para valorar si son suficientes o si deben ser mejorados.
Software de Auditoría:
Son paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la
extracción de datos de la base, el seguimiento de las transacciones, datos de prueba, etc.
Hay también productos muy interesantes que permiten cuadrar datos de diferentes
entornos permitiendo realizar una verdadera “auditoría del dato”.
Sistema Operativo:
El SO es una pieza clave del entorno, puesto que el SGBD se apoyará, en mayor o menor
medida en los servicios que le ofrezca; eso en cuanto a control de memoria, gestión de
áreas de almacenamiento intermedio (buffers), manejo de errores, control de
confidencialidad, mecanismo de interbloqueo, etc.
Paquete de seguridad:
Diccionario de datos:
Los propios diccionarios se pueden auditar de manera análoga a las bases de datos. Un
fallo en una base de datos atenta contra la integridad de los datos y produce un mayor
riesgo financiero, mientras que un fallo en un diccionario o repositorio, suele llevar
consigo una pérdida de integridad de los procesos; siendo más peligrosos puesto que
pueden introducir errores de forma repetitiva a lo largo del tiempo, que son más difíciles
de detectar.
Herramientas CASE
Constituyen una herramienta clave para que el auditor pueda revisar el diseño de la base
de datos, comprobar si se ha empleado correctamente la metodología y asegurar un nivel
minimo de calidad.
Facilidades de usuario:
Con la aparición de interfaces gráficas fáciles de usar se ha desarrollado toda una serie de
herramientas que permiten al usuario final acceder a los datos sin tener que conocer la
sintaxis de los lenguajes del SGBD. El auditor deberá investigar las medidas de seguridad
que ofrecen estas herramientas y bajo qué condiciones han sido instaladas.
Se incluyen también las diferentes facilidades que ofrecen algunos SGBD que
permiten su conexión con paquetes ofimáticos, que pueden acceder a la base de datos e
incluso actualizarla. En este caso el auditor debe prestar especial atención a los
procedimientos de carga y descarga de datos de la base a/desde los paquetes ofimáticos.
Sirven para identificar los conjuntos de datos del SI junto con los controles de
seguridad o integridad implementados sobre los mismos. Los controles se clasifican en
detectivos, preventivos y correctivos.
Con este marco, el auditor puede identificar las debilidades que expongan los datos a
riesgos de integridad, confidencialidad y seguridad, las distintas interfaces entre
componentes y la compleción de los controles.