TALLER AUDITORIA DE BASES DE DATOS

Presentado por: Miguel Andrés Romero Laguado COD: 14131005

1. Establezca objetivos de control relativos al diseño de una Base de Datos.

Rta/
Los objetivos de control relativos al diseño de una BD disponen de mecanismos que
permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a
las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:

 Mitigar los riesgos asociados con el manejo inadecuado de los datos.

 Mantener trazas de uso y del acceso a BD.
 Monitorear y registrar el uso de los datos por los usuarios autorizados o no.
 Apoyar el cumplimiento regulatorio.
 Satisfacer los requerimientos de los auditores.
 Evitar acciones criminales.
 Evitar multas por incumplimiento.

La importancia de la auditoría del entorno de bases de datos radica en que es el punto de

partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.

2. Defina un procedimiento para la adquisición de SGBD.

Rta/

 Análisis de las necesidades del comprador.

 Se recogen los factores relevantes a tener en cuenta en el proceso de adquisición.
 Se describe cómo deben ser planteadas las especificaciones técnico -funcionales
para la elaboración de las Bases de Especificaciones Técnicas, qué normas,
estándares y cláusulas tipo pueden ser de aplicación, y cuál es el cuestionario
técnico diseñado para normalizar las ofertas y facilitar su evaluación.

3. ¿Cuáles son las diferencias más importantes entre las funciones de un Administrador de
Datos y las de un Administrador de Base de Datos?
Rta/

Administrador de Datos Administrador de Base de Datos (DBA)

Los miembros de la función de Funciones que tiene un DBA:

administrador de datos pueden realizar
tareas de integración de datos:
 Los usuarios asignados a la función
de administrador de datos tienen
acceso ilimitado a todos los datos
profesionales dentro de su ámbito,
aunque pertenezcan a una función
 Definir el esquema conceptual.
 Definir el esquema interno.
 Vincularse con los usuarios.
 Definir las verificaciones de
seguridad e integridad.
 Definir procedimientos de respaldo
 de negocio que tenga y recuperación.
configuraciones restringidas.  Supervisar el desempeño y
 La asignación de un miembro a la responder a cambios en los
función de Administrador de Datos requerimientos.
no garantiza permisos explícitos
para las BD de aplicación y
provisional que permitan realizar
todas las tareas necesarias para la
integración de datos.
 Por motivos de seguridad, el
trabajo realizado por miembros de
la función de administrador de
datos debe ser cuidadosamente
revisado, ya que estos usuarios
pueden explorar BD. Se
recomiendan que los miembros de
la función de administrador de
datos no dispongan de permisos
completos de la BD a menos que
sea necesario.
 Los miembros de la función
administrador de datos no pueden
crear ni eliminar aplicaciones o
sitios de modelos ni administrar la
pertenencia a funciones.

4. ¿Por qué resulta tan crítico un diccionario de Datos?

Rta/

Un Diccionario de Datos es un componente importante en un SGBD por contener las

características lógicas y puntuales de los datos que se van a utilizar en el sistema
incluyendo nombre, descripción, alias, contenido y organización.

También es importante en el desempeño de las tareas del administrador de datos para

establecer los estándares de diseño de BD y, el desarrollo de los requisitos de los
elementos del diccionario de datos.

5. ¿Qué controles establecería sobre la distribución de listados extraídos a partir de la Base

de Datos?
Rta/
6. Objetivos de control sobre la formación del personal relacionado con el SGBD (usuarios
finales, administradores, diseñadores, etc…).
Rta/

A lo largo del ciclo de vida de la base de datos se deberá controlar la formación que precisa
tantos usuarios informáticos, como no informáticos ya que la formación es una de las
claves para minimizar el riesgo de la implantación de una base de datos. Esta formación no
debe basarse meramente en cursos sobre el producto que se está instalando, sino que
debe ser una formación de base que resulta imprescindible en especial cuando se pasa a
trabajar a un entorno de base de datos.

7. ¿Qué riesgos adicionales implica el hecho de distribuir las Bases de Datos?

Rta/

Los riesgos adicionales implicados en el hecho de distribuir las BD son:

 Incremento de la “dependencia” del servicio informático debido a la
concentración de datos.
 Mayores posibilidades de acceso en la figura del administrador de la base de
datos.
 Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el
general de la instalación.
 Mayor impacto de los errores en datos o programas que en los
sistemas tradicionales.
 Ruptura de enlaces o cadenas por fallos del software o de los programas de
aplicación.
 Mayor impacto de accesos no autorizados al diccionario de la base de datos que a
un fichero tradicional.
 Mayor dependencia del nivel de conocimientos técnicos del personal que realice
tareas relacionadas con el software de base de datos (administrador,
programadores, etc.)

También implica graves riesgos de seguridad, además el posible riesgo de violación de la

confidencialidad e integridad de los datos.

8. ¿Qué controles establecería para desarrollos que empleen lenguajes visuales que acceden
a Bases de Datos?
Rta/

Los controles que establecería para desarrollos que empleen lenguajes visuales que
acceden a BD sería:

 Deben ser capaz de operar en el entorno de procesos de datos con controles

adecuados.
 Las aplicaciones desarrolladas deben seguir los mismos procedimientos de
autorización y petición que los proyectos de desarrollo convencionales.
 Las aplicaciones desarrolladas deben sacar ventaja de las características incluidas
en los mismos.