Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de Bases de Datos
Auditoria de Bases de Datos
Objetivo de Control:
Técnica de Control:
Prueba de cumplimiento:
Prueba sustantiva:
Hay que tener en cuenta que usuarios poco formados constituyen uno de los
peligros más importantes de un sistema. Esta formación no debería limitarse al
área de las bases de datos, sino que tendría que ser complementada con
formación relativa a los conceptos de control y seguridad.
El auditor deberá revisar, por tanto, la utilización de todas las herramientas que
o el propio SGBD y las políticas y procedimientos que sobre su utilización haya
definido el administrador, para valorar si son suficientes o si deben ser
mejorados.
Son paquetes que pueden emplearse para facilitar la labor del auditor, en
cuanto a la extracción de datos de la base, el seguimiento de las transacciones,
datos de prueba. Hay también productos muy interesantes que permiten
cuadrar datos de diferentes entornos permitiendo realizar una verdadera
“auditoría del dato".
Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede
considerarse un elemento más del entorno con responsabilidades de
confidencialidad y rendimiento.
14.4.6. Protocolos y Sistemas Distribuidos
Cada vez más se está accediendo a las bases de datos a través de redes, con
lo que el riesgo de violación de la confidencialidad e integridad se acentúa.
También las bases de datos distribuidas pueden presentar graves riesgos de
seguridad. Moeller (1989) establece cinco objetivos de control a la hora de
revisar la distribución de datos:
1. El sistema de proceso distribuido debe tener una función de administración
de datos centralizada que establezca estándares generales para la distribución
de datos a través de las aplicaciones.
2. Deben establecerse unas funciones de administración de datos y de base de
datos fuertes, para que puedan controlar la distribución de los datos.
3. Deben existir pistas de auditoría para todas las actividades realizadas por las
aplicaciones contra sus propias bases de datos y otras compartidas.
4. Deben existir controles software para prevenir interferencias de actualización
sobre las bases de datos en sistemas distribuidos.
5. Deben realizarse las consideraciones adecuadas de costes y beneficios en
el diseño de entornos distribuidos.
Respecto a este último punto, es importante destacar cómo, por ejemplo, muy
pocas empresas han considerado rentable implementar bases de datos
"realmente" distribuidas, siendo bastante más económico y usual actualizar
bases de datos distribuidas mediante transferencia de archivos y procesos por
lotes, que hacerlo en línea.
14.4.13. Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan contra la integridad
de los datos de la base.ver cap 19
Con este marco, el auditor puede identificar las debilidades que expongan los
datos a riesgos de integridad, confidencialidad y seguridad, las distintas
interfaces o componentes y la compleción de los controles.
En la práctica se suelen utilizar conjuntamente ambas técnicas, si bien la del
análisis de caminos de acceso requiere unos mayores conocimientos técnicos
y se emplea en sistemas más complejos.
AUDITORÍA DE LA SEGURIDAD
En definitiva, como decía un cliente: "No pasan más cosas porque Dios es
bueno", y podemos añadir, que no conocemos la mayor parte de las que
pasan, ya se ocupan las entidades afectadas de que no se difundan.
Volviendo al control, los grandes grupos de controles son los siguientes, ade de
poderlos dividir en manuales y automáticos, o en generales y de aplicación:
- Controles directivos, que son los que establecen las bases, como las políti o
la creación de comités relacionados o de funciones de administración de
seguridad o auditoría de sistemas de información interna.
Controles preventivos, antes del hecho, como la identificación de visitas
(seguridad física) o las contraseñas (seguridad lógica).
- Controles de detección, como determinadas revisiones de accesos
producidos o la detección de incendios.
Controles correctivos, para rectificar errores, negligencias o acciones
intencionadas, como la recuperación de un archivo dañado a partir de una
copia.
* Controles de recuperación, que facilitan la vuelta a la normalidad después de
accidentes o contingencias, como puede ser un plan de continuidad adecuado.
Podemos hablar de Objetivos de Control respecto a la seguridad, que vienen a
ser declaraciones sobre el resultado final deseado o propósito a ser alcanzado
medidas las protecciones y los procedimientos de control, objetivos como los
recogidos en la publicación COBIT (Control Objectives for Information and
Related Technologies) de ISACA (Information Systems Audit and Control
Association/Foundation).
Cada entidad ha de definir sus propios objetivos de control, en cuanto a seguri
y otras áreas, y crear y mantener un Sistema de Control Interno (funciones, p.
actividades, dispositivos.) que puedan garantizar que se cumplen los objetivos
de control.
Los auditores somos, en cierto modo, los “ojos y oídos" de la Dirección, que
menudo no puede, o no debe, o no sabe, cómo realizar las verificaciones o
evaluaciones.