Documentos de Académico
Documentos de Profesional
Documentos de Cultura
HUANCAVELICA
ESCUELA PROFESIONAL DE INGENIERIA DE
SISTEMAS
ÍNDICE
........................................................................................................................... 1
1. Introducción ............................................................................................... 4
2. Qué es la Auditoría de Base de Datos?.................................................... 5
3. Objetivos Generales de la auditoría de BD. ............................................. 6
4. Importancia de la auditoría de BD. ........................................................... 6
4.1. Mediante la auditoría de base de datos se evaluará: ....................... 7
4.2. Planificación de la auditoria de BD.................................................... 7
5. Metodologías para la auditoria de BD. ..................................................... 8
5.1. Metodología Tradicional. .................................................................... 8
5.2. Metodología de evaluación de riesgos.............................................. 8
Considerando los riesgos de: ....................................................................... 8
Se pueden definir los siguientes: ................................................................. 9
6. Control de acceso de BD. ........................................................................ 10
6.1. Consideraciones generales. ..............................................................11
7. Estudio previo y plan de trabajo. .............................................................11
8. Concepción de la BD y selección del equipo. ....................................... 13
8.1. Diseño y carga. .................................................................................. 14
8.2. Explotación y Mantenimiento. .......................................................... 15
8.3. Clasificación de los Objetos de control para la gestión de datos
ISACA ........................................................................................................... 15
8.4. Revisión post-implementación. ....................................................... 16
8.5. Otros procesos auxiliares. ............................................................... 16
9. ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE
DATOS ............................................................................................................. 16
10. SISTEMA DE GESTIÓN DE BASE DE DATOS. .................................... 17
10.1.1. Software de Auditoría .................................................................... 17
10.1.2. Sistema de monitorización y Ajustes ........................................... 18
10.1.3. Sistema Operativo ......................................................................... 18
10.1.4. Control de Transacciones ............................................................. 18
10.1.5. Protocolos y Sistemas Distribuidos ............................................. 19
10.1.6. Paquetes de Seguridad ................................................................. 19
10.1.7. Diccionario de Datos ..................................................................... 19
10.1.8. Herramientas CASE (Compuer Aided System/Software
Engineering). IPSE (Integrated Project Support Environments) ........ 20
1. Introducción
Las bases de datos son el activo más importante para las organizaciones, ya que
poseen toda la información de la empresa, datos confidenciales que en manos
ajenas puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales
en la seguridad de la misma, conceder privilegios respecto a los usuarios de los
datos y también denegarlos. Con la auditoría de bases de datos se busca
monitorear y garantizar que la información está segura, además de brindar ayuda
a la organización para detectar posibles puntos débiles y así tomar precauciones
para resguardar aún más los datos.
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que
consta de una serie de cuestiones a verificar, registrando los resultados de su
investigación. En esta investigación se confecciona una lista de control de todos
los aspectos a tener en cuenta.
Este tipo de metodología, conocida también por Risk oriented approach (Enfoque
orientado al riesgo) es la que propone la ISACA y empieza fijando los objetivos
de control que minimizan los riesgos potenciales a los que está sometido el
entorno.
Se debe comprobar que la alta dirección revisa los informes de los estudios de
viabilidad ya que es la que decide seguir adelante o no con el proyecto. Esto es
fundamental porque los técnicos han de tener en cuenta que si no existe una
decidida voluntad de la organización en un conjunto, impulsada por los directivos,
aumenta considerablemente el riesgo de fracasar en la implantación del sistema.
COBIT establece que el auditor debe llevar a cabo una auditoria sobre el
rendimiento del sistema de BD verificando además de los ajustes y optimización
en el rediseño lógico y físico, el correcto funcionamiento del SO.
Entorno de BD
12.1. Aplicaciones
Sirven para identificar los conjuntos de datos del SI juntos con los controles de
seguridad o integridad implementados sobre los mismos.
CONTROLES DE SEGURIDAD
ORDENADOR
PERSONAL ORDENADOR
USUARIO C
*
Seguridad T
Cifrado ontrol de Acceso Control de Acceso
Formación Control de A Controles Registro de * Control de
* Controles * Cifrado Integridad ransacciones De datos
* Procedimientos * Control de Acceso
Control de cceso * Registro de Acceso Copias de Seguridad
* Informe de Excepciones Fichero diario de
Integridad de
Integridad Datos
Conlusiones
15.1. Introducción
15.2. Objetivo
Comprobar los niveles de seguridad y control de acceso definidos en las
bases de datos, con el fin de identificar oportunidades de mejora para
que se implementen planes de acción que mitiguen los riesgos
observados.
Verificar distribución, integridad, conservación y transporte de la
información en las bases de datos.
Evaluar el nivel de servicio y soporte tecnológico con que cuenta las
bases de datos para su disponibilidad y funcionalidad.
15.3. Alcance
La evaluación a la administración de la base de datos, se realiza a la base datos
(DH-DB) instaladas en el ambiente de informática, a los recursos de apoyo
disponibles para la operación, conservación y mantenimiento de la información
allí contenida, teniendo en cuenta las disposiciones normativas y las mejores
prácticas para el manejo de esta información. La revisión se realiza del 13 de
diciembre al 15 de diciembre de 2017.
15.4. Metodología
Durante la auditoría se desarrollaron:
Recolección de información en la fuente (cuestionario CHECKLIST) y
acceso a la base de datos del área de informática
Análisis de información recibida.
Reuniones con el responsable de la administración de la base de datos.
2. Existe algún usuario que no sea el DBA pero que tenga asignado el rol
DBA del servidor?
X Si
No
N/A
Observaciones: El gerente.
11. Existe una instancia con copia del Repositorio para el entorno de
desarrollo
Si
X No
N/A
Observaciones:
17. En caso de que el equipo principal sufra una avería, existen equipos
auxiliares
Si
X No
N/A
Observaciones:
19. Se lleva a cabo una comprobación, para verificar que los cambios
efectuados son los solicitados por el interesado?
X Si
No
N/A
Observaciones: aunque es mínima, después de un tiempo de uso surgen
algunas dudas y cuestiones
15.6. Resultados
15.6.1. Calificación
NIVELES DE CALIFICACIÓN
SATISFACTORIO SATISFACTORIO NO SATISFACTORIO
EXCEPTO POR
1. No hay hallazgos 1. De 1 a 4 hallazgos 1. Incumplimiento de las
importantes. importantes y cualquier políticas tanto establecidas
hallazgo menor, por el Ministerio, como por
recomendaciones o leyes y reglamentos.
comentarios.
TIPO DE DESCRIPCIÓN
EXCEPCIÓN
Las clasificadas dentro de esta categoría son consideradas de
la más alta importancia, las excepciones citadas pueden tener
un impacto negativo en la seguridad de datos, desviación total
de las políticas ya establecidas, violación a las leyes y
I
regulaciones y la aplicación inapropiada de principios, se
consideran de gran importancia. Las excepciones de esta
naturaleza deben recibir la prioridad y pronta atención de parte
de la gerencia, a fin de tomar acciones correctivas.
los equipos con contraseña de apertura al mismo pero una vez habiendo
ingresado, se puede explorar el entorno y manipular la información del sistema
y su base de datos puesto que no cuenta con seguridad de acceso al sistema.
No cuenta con módulos de seguridad para acceder a los datos. No cuenta con
mecanismos de acceso como: Identificación, Autenticación y Autorización.
Es la actividad que se lleva a cabo en una organización para asegurar que todos
los procesos de negocio críticos estarán disponibles para los usuarios,
proveedores, y otras entidades que deben acceder a ellos.
CONCLUSIONES DE LA AUDITORIA
Bibliografía.