República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politécnica de las Fuerza
Armada Nacional Bolivariana
Núcleo: Caracas
Carrera: Ingeniería de Sistemas
 
 
 

 
 
 

AUDITORIA DE BASE DE DATOS

 

Docente: Estudiante:
Vladimir Peña Jesús Contreras - C.I: 25.515.368

Caracas, octubre de 2020

 INTRODUCCION

La información se ha convertido en una necesidad dadas las actuales

circunstancias de diversidad de productos y servicios, la complejidad de las
relaciones comerciales, la diversificación de los métodos y sistemas para acceder,
localizar y recuperar aquella información oportuna y necesaria que garantice el buen
desempeño a nivel personal y organizacional. Pero en ocasiones, en las
organizaciones se observa un desconocimiento por parte de sus integrantes, sobre
las potencialidades internas para satisfacer sus necesidades informativas. Por otro
lado, a veces los trabajadores no conocen los recursos de información que existen
dentro de la organización y los que se encuentran en su entorno, con vistas a su
captura, conservación y transferencia. No están identificadas aquellas áreas con
carencias, duplicidades o excesos de información. No existe una visión de cómo
ocurre la comunicación y el intercambio de información. Es difícil acceder a los
repositorios de información, y no está concebida una política corporativa relacionada
con el uso, el manejo y la transferencia de la información, acorde con los objetivos y
metas organizacionales. Todos estos aspectos, alertan sobre la necesidad de
acometer un proceso de auditoría de información. Las investigaciones científicas
sobre el tema de las auditorías de información comenzaron en los años 70,
observándose una amplia gama de ellas en la literatura mundial que van desde la
propuesta de varios enfoques, modelos y metodologías y su aplicaujción en diversos
estudios de casos, extendiéndose hasta la actualidad. Entre los autores más citados
en los estudios sobre estos temas están los ingleses Steven Buchanan y Forbes
Gibb, quienes han aportado definiciones y una metodología ampliamente utilizada a
nivel mundial, en diferentes contextos organizacionales (González-Guitián y
Ponjuán–Dante, 2011). Entre 1993-1998, las definiciones de este proceso se
refieren a un examen de los recursos de información, los sistemas de información y
sus flujos en función de la toma de decisiones y el cumplimiento de los objetivos
organizacionales. Pero a partir del año 2001, se vincula a los procesos de control
interno en las organizaciones y sus resultados propician el rediseño e
implementación de la política de gestión de información. La auditoría de información
ofrece una mayor comprensión de la organización y del proceso de información que
en ella ocurre y contribuye a elaborar una estrategia de información o a documentar
los procesos de negocio (Pantry y Griffiths, 2004). Diagnostica la eficiencia del
sistema de información de la organización al identificar los recursos de información
poco utilizados, las áreas carentes de información en relación con los procesos
productivos o de servicios y las dificultades en la política de información que maneja
la organización. Permite conocer cómo transitan los flujos de información en la
organización, facilitando a los empleados mejorar las tareas (conociendo quién
conoce qué) y permitiendo a María Virginia González Guitián, Gloria Ponjuán Dante
Metodologías y modelos para… Revista General de Información y Documentación
235 Vol. 24-2 (2014) 233-253 los directivos conocer los departamentos que se
comunican regularmente con otros, lo cual ayuda a planificar esfuerzos y recursos
(Kilzer, 2012). Está orientada hacia los activos explícitos existentes en una
organización, como los registros y documentos en sus repositorios electrónicos o
no, las bases de datos y las colecciones. Identifica si existe redundancia,
duplicación, inconsistencia, incompatibilidad en el sistema de gestión de información
y analiza las habilidades y experticia de los empleados. Es un proceso muy útil, si se
quiere crear, evaluar o reestructurar un servicio de información, establecer una
política de información corporativa, redefinir la estrategia en relación con la
información, implementar una intranet y realizar proyectos de gestión del
conocimiento (Ponjuán Dante 2004). Es decir, que la auditoría de información
permite conocer la realidad de una organización en todos sus niveles en lo referido
a sus sistemas establecidos para gestionar la información, ya sea del ámbito
empresarial (proporcionando información valiosa sobre requerimientos, opiniones,
cultura organizacional, flujo de información, vacíos y duplicación), o también en
organizaciones de servicios como por ejemplo en instituciones de información
(analizando si los indicadores de calidad están en correspondencia con el costo y el
beneficio de los sistemas, servicios y productos de información que estas ofrecen).

Una base de datos es un conjunto de datos almacenados y organizados que pueden

ser utilizados con un fin específico, es un hecho que los datos son el activo más
importante de una organización, por lo que la respuesta ante las amenazas de
seguridad de los datos debe ser proporcionada de forma expedita y eficaz mediante
una serie de procesos que permitan identificar y corregir las vulnerabilidades
asegurando de esta manera la protección de la información, situación que en la
actualidad es una de las más grandes preocupaciones de una organización [1]. El
éxito de una organización depende en gran parte de la correcta gestión de la
seguridad de su información, el objetivo de dicha gestión es proteger la información
y garantizar su correcto uso, por supuesto, la seguridad de los sistemas informáticos
y los procedimientos juegan un papel muy importante en la consecución de dicho
objetivo [2]. La auditoría es un arma valiosa en la lucha contra las violaciones
potenciales de los datos [3]. Aplicar auditorías de forma periódica en una base de
datos es una práctica apropiada para identificar actividades sospechosas y
supervisar los movimientos que se realizan en ésta por lo que dicha práctica se
considera un elemento fundamental del sistema de control interno de una
organización y como tal es un medio al servicio de la alta dirección destinado a
salvaguardar los recursos, verificar la exactitud y veracidad de la información de las
operaciones, estimular la observancia de las políticas previstas y lograr el
cumplimiento de las metas y objetivos programados [4]. En la sociedad de hoy en
día toda organización competitiva que actúa en un entorno de tecnologías de
información (TI) debe establecer en sus procedimientos el uso de estándares de TI y
buenas prácticas con el fin de adaptarse a los requisitos individuales de sus clientes
potenciales. La creciente adopción de mejores prácticas de TI ha sido impulsada
para el establecimiento y cumplimiento de ciertos requisitos en la industria de TI con
la finalidad de mejorar la gestión de la calidad y la fiabilidad de la información [5]. La
metodología que aquí se propone ambiciona que sea el personal interno a la
organización y específicamente el administrador de base de datos quien conozca y
adecúe los procedimientos para abordar cada escenario de la auditoría con la
finalidad de concretarla oportuna y exitosamente. Esta metodología utiliza
estándares enfocados a la seguridad ISO/IEC, COBIT e ITIL y basándose en el
círculo de Deming permite aplicar a un proceso cualquiera una acción cíclica con el
fin de asegurar la mejora continua de dichas actividades [9]. El uso de estándares
permite cumplir con los requisitos, especificaciones técnicas y otros criterios
precisos que garantizan que los productos y servicios se ajusten a su propósito,
haciendo que la vida sea más simple y permitiendo un mayor grado de fiabilidad y
efectividad de los bienes y servicios [6],[7],[8].
Metodología para la Auditoría de Base de Datos

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar

los accesos a la información almacenada en las bases de datos.

Para definir de forma sencilla el concepto de "auditoría de base de datos" es

importante partir de los dos términos que engloba. En este sentido, la palabra
auditoría alude a la revisión y verificación de una determinada actividad, en este
caso relacionada con la información almacenada en bancos de datos.

Las bases de datos, como es bien sabido, se componen de conjuntos de

datos y están caracterizadas por una serie de rasgos, como la independencia e
integridad de los datos, las consultas complejas, respaldo y recuperación,
redundancia mínima o, entre otros, la seguridad de acceso y auditoría.

La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD),

junto con la consagración de los datos como uno de los recursos fundamentales de
las empresas, ha hecho que los temas relativos a su control interno y auditoria
cobren, cada día, mayor interés. Normalmente la auditoria informática se aplica de
dos formas distintas; por un lado, se auditan las principales áreas del departamento
de informática: explotación, dirección, metodología de desarrollo, sistema operativo,
telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las
aplicaciones desarrolladas internamente, (subcontratadas o adquiridas) que
funcionan en la empresa. La importancia de la auditoria del entorno de bases
de datos radica en que es el punto de partida para poder realizar la auditoria de las
aplicaciones que utilizan esta tecnología. Aunque existen distintas metodologías
que se aplican en auditoría informática, prácticamente cada firma de auditores
y cada empresa desarrolla la suya propia, se pueden agrupar en dos clases:

Metodología tradicional:

En este tipo de metodología el auditor revisa el entorno con la ayuda de una

lista de control (checklist), que consta de una serie de cuestiones a verificar. Por
ejemplo:
¿Existe una metodología de Diseño de Base de Datos? S - N - NA (S es si, N no y
NA no aplicable), debiendo registrar el auditor el resultado de su investigación.

Este tipo de técnica suele ser aplicada a la auditoría de productos de bases

de datos, especificándose en la lista de control todos los aspectos a tener en
cuenta.

Metodología de evaluación de riesgos:

Este tipo de metodología, conocida también por risk oriented approach, es la

que propone la ISACA, y empieza fijando los objetivos de control que minimizan los
riesgos potenciales a los que está sometido el entorno. A continuación, una lista de
los riesgos más importantes según 2 autores:

● Incremento de la “dependencia” del servicio informático debido a la

concentración de datos

● Mayores posibilidades de acceso en la figura del administrador de la base de

datos

● Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el

general de la instalación.

● Mayor impacto de los errores en datos o programas que en los

sistemas tradicionales

● Ruptura de enlaces o cadenas por fallos del software o de los programas de

aplicación

● Mayor impacto de accesos no autorizados al diccionario de la base de datos que a

un fichero tradicional.

● Mayor dependencia del nivel de conocimientos técnicos del personal que realice
tareas relacionadas con el software de base de datos (administrador,
programadores, etc.)

Como en la auditoría de desarrollo, se puede seguir la misma metodología,

donde se establecen, primeramente:

- Objetivo de control, ejemplo: El SGBD deberá preservar la confidencialidad

de la base de datos.
 - Técnicas de control: Una vez establecidos los objetivos de control, se
especifican las técnicas específicas correspondientes a dichos objetivos,
ejemplo: Se deberán establecer los tipos de usuarios, perfiles y privilegios
necesarios para controlar el acceso a las bases de datos.

Un objetivo de control puede llevar asociadas varias técnicas que permiten

cubrirlo en su totalidad. Estas técnicas pueden ser preventivas, detectivas
(como monitorizar la BD) o correctivas (por ejemplo, una copia de respaldo o
backup).

- Pruebas de cumplimiento, en caso de que los controles existan, se diseñan

unas pruebas (denominada pruebas de cumplimiento) que permiten verificar
la consistencia de los mismos. Por ejemplo: Listar los privilegios y perfiles
existentes en el SGBD.

Si estas pruebas detectan inconsistencias en los controles, o bien, si los

controles no existen, se pasa a diseñar otro tipo de pruebas – denominadas
pruebas sustantivas que permitan dimensionar el impacto de estas deficiencias.

- Prueba sustantiva, comprobar si la información ha sido corrompida

comparándola con otra fuente o revisando los documentos de entrada de
datos y las transacciones que se han ejecutado.

Una vez valorados los resultados de las pruebas se obtienen conclusiones

que serán comentadas y discutidas con los responsables directos de las áreas
afectadas con el fin de corroborar los resultados. Por último, el auditor
deberá emitir una serie de comentarios donde se describa la situación,
el riesgo existente y la deficiencia a solucionar, y en su caso, sugerirá la
posible solución. Esta será la técnica a utilizar para auditor el entorno general de
un sistema de bases de datos, tanto en su desarrollo como durante la
explotación.

Objetivos de Control en el Ciclo de Vida de una Base de Datos

Revisión
Estudio
post­
previo y
implantación
plan de Concepción
de la BD y
selección

Explotación y
Diseño y mantenimiento
carga
Estudio previo y Plan de Trabajo

En esta primera fase, es muy importante elaborar un estudio tecnológico de

viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos
del proyecto acompañados de un análisis de costo beneficio para cada una de las
opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a
cabo el proyecto no siempre está justificada la implantación de un sistema de base
de datos, así como la disyuntiva entre desarrollar y comprar, en la práctica, a veces
encontramos con que se ha desarrollado una aplicación que ya existía en mercados,
cuya compra hubiese supuesto un riesgo menor, asegurándonos incluso una mayor
cantidad a un precio inferior.

Lamentablemente, en bastantes empresas este estudio de viabilidad no se

lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando,
los sistemas demuestran ser poco rentables.

El auditor debe comprobar también que la alta dirección revisa los informes
de los estudios de viabilidad y que es la que decide seguir adelante o no con el
proyecto. Esto es fundamental porque los técnicos que han de tener en cuenta que,
si no existe una decidida voluntad de la organización en su conjunto, impulsada por
los directivos, aumenta considerablemente el riesgo de fracasar en la implantación
de sistema.

En caso de que se decida llevar a cabo el proyecto es fundamental que se

establezca un plan director, debiendo el auditor verificar que efectivamente dicho
plan se emplea para el seguimiento y gestión del proyecto y que cumple con los
procedimientos generales de gestión de proyectos que tengan aprobados la
organización. Otro aspecto importante en esta fase es la aprobación de la estructura
orgánica del proyecto en particular, sino también de la unidad que tendrá la
responsabilidad de la gestión y control de la base de datos; recordemos que, para
que un entorno de base de datos funcione debidamente, esta unidad es
imprescindible.

Concepción de la base de datos y selección del equipo

 En esta fase se empieza a diseñar la base de datos, la metodología de
diseño debería también emplearse para especificar los documentos fuentes, los
mecanismos de control, las características de seguridad y las pistas de auditoria a
incluir en el sistema, estos últimos aspectos generalmente se descuidan, lo que
produce mayores costos y problemas cuando se quieren incorporar una vez
concluida la implementación de la base de datos y la programación de las
aplicaciones.

El auditor debe, por tanto, en primer lugar, analizar la metodología de diseño

con el fin de determinar si es o no aceptable, y luego comprobar su correcta
utilización. Como mínimo, una metodología de diseño de BD debería contemplar
dos fases de diseño: lógico y físico, aunque la mayoría de las empleadas en la
actualizad contempla 3 fases: además de las dos anteriores, una fase previa de
diseño conceptual que sería abordada en este momento del ciclo de vida de la base
de datos.

Un punto importante a considerar, objetivos de control relativos a:

o Modelo de arquitectura de información y su actualización, que es necesaria

para mantener el modelo consistente con las necesidades de los usuarios y
con el plan estratégico de tecnologías de la información

o Datos y diccionario de datos corporativo

o Esquema de clasificación de datos en cuanto a seguridad

o Niveles de seguridad para cada anterior clasificación de datos

En cuanto a la selección del equipo, en caso de que la empresa no disponga

ya de uno, deberá realizarse utilizando procedimiento riguroso; en el que se
considere, por un lado, las necesidades de la empresa (debidamente ponderadas) y,
por otro, las prestaciones que ofrecen los distintos SGBD candidatos (puntuados de
manera oportuna).

Diseño y Carga

En esta fase se llevarán a cabo los diseños lógico y físico de la base de

datos, por lo que el auditor tendrá que examinar si estos diseños se han realizado
correctamente: determinando si la definición de datos contempla además de su
estructura, las asociaciones y las restricciones oportunas, así como las
especificaciones de almacenamiento de datos y las cuestiones relativas a la
seguridad. El auditor tendrá que tomar una muestra de ciertos elementos (tablas,
vistas, índices) y comprobar que su definición es completa, que ha sido aprobada
por el usuario y que el administrador de la base de datos participó en su
establecimiento.

Es importante que la dirección del departamento de informática, los usuarios

e incluso, en algunas ocasiones, la alta dirección, aprueben el diseño de los datos,
al igual que el de las aplicaciones. Una vez diseñada una BD se procederá a su
carga, ya sea migrando datos de un soporte magnético o introduciéndolos
manualmente.

Las migraciones o conversiones de sistemas, con el paso de un sistema de

ficheros a uno de base de datos, o de un tipo de SGBD (de jerárquico a racional),
entrañan un riesgo muy importante, por lo que deberán estar claramente
planificadas para evitar pérdida de información y la transmisión al nuevo sistema de
datos erróneos. También se deberán realizar pruebas en paralelo, verificando que la
decisión real de dar por terminada la prueba en paralelo, se atenía a los criterios
establecidos por la dirección y que se haya aplicado un control estricto de la
corrección de errores detectados en esta fase.

Por lo que respecta a la entrada manual de datos, hay que establecer un

conjunto de controles que aseguren la integridad de los mismos. A este respecto,
cabe destacar que las declaraciones escritas de procedimientos de la organización
referentes a la entrega de datos a ser procesados deben asegurar que los datos se
autorizan, recopilan, preparan, transmiten y se comprueba su integridad de forma
apropiada. También es aconsejable que los procedimientos y el diseño de los
documentos fuentes minimicen los errores y las omisiones, así como el
establecimiento de procedimientos de autorización de datos.

Un aspecto muy importante es el tratamiento de datos de entrada erróneos,

para los que deben cuidarse con atención los procedimientos de reintroducción de
forma que no disminuyan los controles; a este respecto lo ideal es que los datos se
validen y corrijan tan cerca del punto de origen como sea posible.

Explotación y Mantenimiento.
 Una vez realizadas las pruebas de aceptación, con la participación de los
usuarios, el sistema se pondrá, mediante las correspondientes autorizaciones y
siguiendo los procedimientos establecidos para ello en explotación.

En esta fase, se debe comprobar que se establecen los procedimientos de

explotación y mantenimiento que aseguren que los datos se tratan de forma
congruente y exacta y que el contenido de los sistemas sólo se modifica mediante la
autorización adecuada.

Sería conveniente también que el auditor pudiera llevar a cabo una auditoría sobre
el rendimiento del Sistema de BD, comprobando si se lleva a cabo un proceso de
ajuste y optimización adecuados que no sólo consiste en el rediseño físico o lógico
de la BD, sino que también abarca ciertos parámetros del SO e incluso la forma en
que acceden las transacciones a la BD. Recordemos que la “función de
administración de la base de datos debe ser la responsable de monitorizar el
rendimiento y la integridad de los sistemas de BD”.

Revisión Post-Implantación

Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo y

recursos, se debería establecer el desarrollo de un plan para efectuar una revisión
post implantación de todo sistema nuevo o modificado con el fin de evaluar si:

- Se han conseguido los resultados esperados

- Se satisfacen las necesidades de los usuarios

- Los costos y beneficios coinciden con lo previsto

Auditoría y control interno en un entorno de base de datos.

 Deberán considerarse los datos compartidos por múltiples usuarios. Esto
debe abarcar todos los componentes del entorno de Base de datos.

Sistema de gestión de base de datos (SGBD).

Entre sus componentes podemos destacar, el Kernel, el catálogo,

componente fundamental para asegurar la seguridad de la base de datos, las
utilidades para el administrador (crear usuarios, conceder privilegios) y resolver
otras cuestiones relativas a la confidencialidad. En cuanto a las funciones de
auditoría que ofrece el propio sistema, prácticamente todos los productos del
mercado permiten registrar la mayoría de las operaciones. “El requisito para la
auditoria es que la causa y el efecto de todos los cambios de la base de datos sean
verificables”

Software de auditoría

Son paquetes que pueden emplearse para facilitar la labor del auditor en
cuanto a la extracción de datos de la base, el seguimiento de las transacciones,
datos de prueba, entre otros.

Sistema de monitorización y ajuste (Tuning)

Este tipo de sistemas complementan las facilidades ofrecidas por el propio

SGBD, ofreciendo mayor información para optimizar el sistema llegando a ser en
ciertas ocasiones verdaderos sistemas expertos que proporcionan la estructura
óptima de la base de datos y de ciertos parámetros del SGBD y SO.

Sistema Operativo

El sistema operativo es una pieza clave del entorno puesto que el SGBD se
apoyará en mayor o menor medida en los servicios que le ofrezca; el S.O en cuanto
a control de memoria, gestión de áreas de almacenamiento intermedio (buffers)
manejo de errores, control de confidencialidad mecanismo de interbloqueo, entre
otros.

Monitor de transacciones

Actualmente está considerado como un elemento más del entorno, con

responsabilidades de confidencialidad y rendimiento.

Protocolos y sistemas distribuidos

El sistema de proceso distribuido debe tener en función de administración de

datos centralizada, que establezca estándares generales para la distribución de
datos

a través de aplicaciones.

- Deben establecerse unas funciones de administración de datos y de base de

datos fuertes, para que puedan controlar la distribución de los datos

- Deben de existir pistas de auditoría para todas las actividades realizadas por
la aplicación contra sus propias bases de datos y otras compartidas.

- Deben existir controles software para prevenir interferencias de actualización

sobre las bases de datos en sistemas distribuidos.

- Deben realizarse las consideraciones adecuadas de costes y beneficios en el

diseño de entornos distribuidos

Paquete de seguridad

Existen en el mercado varios productos que permiten la implantación efectiva

de una política de seguridad, puesto que centralizan el control de accesos, la
definición de privilegios, perfiles de usuarios, entre otros.
Diccionario de datos

Juegan un papel primordial en el entorno de los SGBD en cuanto a la

integración de componentes y al cumplimiento de la seguridad datos. Los
diccionarios de datos se pueden auditar de manera análoga a las bases de datos,
ya que, después de todo, son bases de datos de metadatos

Un fallo en la BD puede atentar contra la integridad de los datos y producir un

mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios),
suele llevar consigo una pérdida de integridad de los procesos; siendo más
peligrosos los fallos en los diccionarios puesto que pueden introducir errores de
forma repetitiva a lo largo del tiempo y son más difíciles de detectar.

Herramientas CASE

Constituyen una herramienta clave para que el auditor pueda revisar el

diseño de la DB, comprobar si se ha empleado correctamente la metodología y
asegurar un nivel mínimo de calidad.

Facilidades del Usuario

El auditor deberá investigar las medidas de seguridad que ofrecen estas

herramientas (Interfaz gráfica de usuario) y bajo qué condiciones han sido
instaladas; las herramientas de este tipo deberían proteger a los usuarios de sus
propios errores.

Objetivos de control:

La documentación de las aplicaciones desarrollada por usuarios finales debe

ser suficiente para que tanto sus usuarios principales como cualquier otro pueda
operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobación
de la dirección y deben documentarse de forma completa.

Herramientas de Minería de datos

Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de

calidad integrados en el almacén de datos. Se deberá controlar la política de
refresco y carga de los datos en el almacén a partir de las bases de datos
operacionales existentes, así como la existencia de mecanismos de
retroalimentación que modifican las bases de datos operacionales a partir de los
datos del almacén.

Técnicas para el control de base de datos en un entorno complejo

Existen muchos elementos del entorno del SGDB que influyen en la

seguridad e integridad de los datos, en los que cada uno se apoya en la operación
correcta y predecidle de otra. El efecto de esto es: “debilitar la seguridad global del
sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles
descoordinados y solapados, difíciles de gestionar”.

Integridad Referencial en las bases de datos

La integridad referencial es un sistema de reglas que utilizan la mayoría de

las bases de datos relacionales para asegurarse que los registros de tablas
relacionadas son válidos y que no se borren o cambien datos relacionados de forma
accidental produciendo errores de integridad. La integridad referencial es propiedad
de la base de datos. La misma significa que la clave externa de una tabla de
referencia siempre debe aludir a una fila válida de la tabla a la que se haga
referencia

Matrices de Control

Sirven para identificar los conjuntos de datos del SI juntos con los controles
de seguridad o integridad implementados sobre los mismos.

CONTROLES DE SEGURIDAD

DATOS PREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONES DE Verificación Informe de

ENTRADA Reconciliación

REGISTRO DE BASE Cifrado Informe de Copia de seguridad

DE DATOS excepción
Los controles se clasifican como se puede observar en defectivos, preventivos y
correctivos

Análisis de los caminos de acceso

Con esta técnica se documenta el flujo, almacenamiento y procesamiento de

los datos en todas las fases por las que pasan desde el mismo momento en que se
introducen, identificando los componentes del sistema que atraviesan y los controles
asociados

Normalización

La normalización, también denominada estandarización es el proceso de

elaborar, aplicar y mejorar las normas que se emplean en distintas actividades
científicas, industriales o económicas, con el fin de ordenarlas y mejorarlas.

Definición de los perfiles de usuarios en los sistemas de gestión de base de

datos.

Un usuario es todo aquel que tenga contacto con el sistema de bases de

datos. Se tienen 3 clases generales de usuarios:

- Programador de aplicaciones: son aquellos profesionales en informática que

interactúan con el sistema a través del DML (Lenguaje de Manipulación de
 Datos), los cuales se encuentran en un lenguaje de programación (Pascal,
Cobol, etc.) Es el encargado de escribir programas de aplicación que usen
Bases de Datos.

- Usuario Final: accede a la base de datos desde un equipo en el cual puede

utilizar lenguaje de consulta generado como parte del sistema o acude a un
programa de aplicación suministrado por un programador.

- Administrador de Bases de Datos: es el encargado del control general del

sistema.

Todo usuario que ingrese o consulte una base de datos puede clasificarse:

- Usuario sofisticado: interactúa con el sistema sin escribir programas.

Generan consultas en un lenguaje de bases de datos.

- Usuario Especializado: algunos usuarios sofisticados desarrollan aplicaciones

de bases de datos especializadas. Entre estas aplicaciones se encuentran los
sistemas de diseño asistido por computador.

- Usuarios ingenuos: es el usuario final que utiliza bases de datos sin saberlo,
para él es totalmente transparente como se generan las consultas de la
información.

Quienes diseñan y participan en el mantenimiento de un BD se les clasifica

como Actores en el escenario y Trabajadores tras bambalinas.

Actores en el escenario: personas que su trabajo depende del uso constante una

base de datos.

DataBase Administrators (DBA): administran 2 recursos, 1. la base de datos y 2. es

el SGBD y el software con el relacionado. El Administrador de Base de Datos (DBA)
es quien autoriza el acceso a la base de datos, vigilar el uso y adquirir hardware y
software necesarios para su uso. También es el responsable de velar por la
seguridad y lentitud en el sistema.

Diseñador de Base de Datos: es el encargado de estructurar la arquitectura para

representar y almacenar los datos. Él debe atender a los usuarios de Bases de
Datos para comprender sus necesidades presentando un diseño que dé respuesta a
sus necesidades.
Usuarios Finales: son quienes requieren acceso a la base de datos para generar
consultas e informes. Hay varios usuarios finales como son:

 Usuarios finales esporádicos: acceden de vez en cuando, pero esto no

significa que siempre requieran la misma información.

 Usuarios finales simples o paramétricos: su función gira en torno a consultas

y actualizaciones de la base de datos. Todos estamos acostumbrados a tratar
con estos usuarios, como los cajeros bancarios al revisar los saldos, al
generar retiros y depósitos.

 Usuarios finales avanzados: estos son ingenieros, analistas de negocios,

científicos, son quienes conocen los recursos del SGBD para satisfacer
requerimientos complejos.

 Usuarios Autónomos: utilizan bases de datos personalizadas basadas en

programas comerciales que cuentas con interfaces de fácil uso.

Analista de sistemas y programadores de aplicaciones: determinan los

requerimientos de los usuarios finales.

Trabajadores tras bambalinas: están para mantener el sistema de base datos.

Diseñadores e implementadores del SGBD: se encarga de diseñar e implementar

los módulos e interfaces de SGBD.

Otros elementos de interés para realizar la auditoría de base de datos

 Las técnicas de auditoría se pueden clasificar de la siguiente forma:

1. Estudio general: es la apreciación y juicio de las características generales de

la empresa, las cuentas o las operaciones, a través de sus elementos más
significativos para elaborar las conclusiones se ha de profundizar en su
estudio y en la forma que ha de hacerse.

2. Análisis: es el estudio de los componentes de un todo. Esta técnica se aplica

concretamente al estudio de las cuentas o rubros genéricos de los estados
financieros.
 3. Inspección: es la verificación física de las cosas materiales en las que se
tradujeron las operaciones, se aplica a las cuentas cuyos saldos tienen una
representación material, efectivos, mercancías, bienes, etc.

4. Confirmación: es la ratificación por parte del auditor como persona ajena a la

empresa, de la autenticidad de un saldo, hecho u operación, en la que
participo y por la cual está en condiciones de informar válidamente sobre ella.

5. Investigación: es la recopilación de información mediante entrevistas o

conversaciones con los funcionarios y empleados de la empresa.

6. Declaraciones y certificaciones: es la formalización de la técnica anterior,

cuando, por su importancia, resulta conveniente que las afirmaciones
recibidas deban quedar escritas (declaraciones) y en algunas ocasiones
certificadas por alguna autoridad (certificaciones).

7. Observación: es una manera de inspección, menos formal, y se aplica

generalmente a operaciones para verificar como se realiza en la práctica.

8. Cálculo: es la verificación de las correcciones aritméticas de aquellas cuentas

u operaciones que se determinan fundamentalmente por cálculos sobre
bases precisas.

Clasificación de los procedimientos de auditoría

Como ya se ha mencionado, los procedimientos de auditoría son la

agrupación de técnicas aplicables al estudio particular de una operación o acción
realizada por la empresa o entidad a examinar, por lo que resulta prácticamente
inconveniente clasificar los procedimientos ya que la experiencia y el criterio del
auditor deciden las técnicas que integran el procedimiento en cada uno de los casos
en particular.

El auditor supervisor y los integrantes del equipo de auditoría con mayor

experiencia definirán la estrategia que consideren la más adecuada para desarrollar
la auditoría. Estos criterios se basarán en el conocimiento de la entidad o empresa
auditada, así como la experiencia general de la especialidad, que les permita a los
profesionales determinar de antemano los principales procedimientos de auditoría a
aplicar en cada uno de los casos que se presentan a lo largo del proceso de
auditoría.

Extensión o alcance de los procedimientos

Se llama extensión o alcance a la amplitud que se da a los procedimientos,

es decir, la intensidad y profundidad con que se aplican prácticamente estos en
cada uno de los casos para lo cual se deberá tomar en cuenta la actividad u
operación que realizó la empresa o entidad.

Pruebas selectivas en la auditoría

El trabajo de revisión de las operaciones que realiza la empresa a lo largo de

un año, no es ni puede ser exhaustivo, ya que no es posible realizarlo en un período
corto de tiempo (30, 45 o 60 días) con un grupo de tres o cuatro personas lo que a
la empresa le lleva un año en registrar las operaciones, por lo que no es razonable
que el auditor disponga de un tiempo tan limitado para obtener sus conclusiones.
Por lo tanto, se hace necesario que el auditor establezca sus evidencias con
pruebas selectivas.

El auditor debe considerar en primer término los objetivos específicos de la

auditoría que debe alcanzar, lo que le permitirá determinar el procedimiento de
auditoría o combinación de procedimientos más indicados para lograr dichos
objetivos. Además, cuando el muestreo de auditoría es apropiado, la naturaleza de
evidencia de la auditoría buscada, y las condiciones de error posible u otras
características relativas a tal evidencia ayudarán al auditor a definir lo que constituye
un error y el universo que deberá utilizarse para el muestreo.

Elabore una Escala Tipo Likert de por lo menos 25 preguntas que le permita
realizar la Auditoría de la Base de Datos
 CONCLUSIÓN

En las metodologías y modelos de auditoría de información se observan

objetivos comunes como determinar si los recursos de información contribuyen a
lograr los objetivos organizacionales; precisar si la información es utilizada para
alcanzar la adecuada gestión de la organización; y evaluar el comportamiento de
sus flujos. En la gran mayoría de los enfoques metodológicos revisados, se observa
el uso de etapas comunes como planificar la auditoría, valorar las necesidades
informativas, inventariar los recursos de información, analizar los costos, procesar la
información recopilada y elaborar el informe final con las recomendaciones. Sin
embargo, no incluyen el análisis de las redes de información, lo cual es de gran
María Virginia González Guitián, Gloria Ponjuán Dante Metodologías y modelos
para… Revista General de Información y Documentación 251 Vol. 24-2 (2014) 233-
253 utilidad para lograr una visión de cómo se accede, localiza, adquiere y transfiere
la información y el conocimiento dentro y fuera de una organización. Las propuestas
más abarcadoras teniendo en cuenta los once aspectos analizados fueron: el
modelo de Villardefrancos-Álvarez; el modelo de Orna; y las metodologías de Soy i
Aumatell, Buchanan & Gibb, González-Guitián y Henczel. Se aprecia una marcada
tendencia a realizar auditorías de información con enfoque híbrido, pues diez de las
trece propuestas estudiadas son de este tipo, es decir se enfocan hacia las
estrategias y/o hacia los recursos y/o hacia los procesos.

Tal como esta investigación lo ha demostrado, La auditoría de base de datos

permite identificar y corregir vulnerabilidades y problemas en una base de datos.
Para llevar a cabo una correcta auditoría es necesario contar con políticas de
seguridad efectivas, afinadas y adaptadas a las necesidades propias del ambiente
de base de datos de la organización, el presente trabajo propone una metodología
para auditoría de base de datos, misma que se fundamenta en estándares
internacionales de seguridad y cuyo objetivo principal es aportar una forma de
trabajar que permita entender las funciones del administrador de base de datos y
concientizar a todos los involucrados en los procesos de trabajo de la organización
en el uso responsable de la información, además de ser un referente para aquellas
organizaciones que aún no tienen definidos sus procesos de auditoría de base de
datos. La metodología consta de 5 etapas las cuales se desarrollaron con base en el
modelo de madurez de COBIT, cada etapa contiene puntos de control que deben
ser cubiertos y éstos están sustentados en los controles de seguridad del estándar
de seguridad ISO/IEC.
 BIBLIOGRAFÍA

 Frank Brockners. “Metro Ethernet Services and standarization”. Cisco

Networkers. Noviembre 2005

 Telcel. Abril 2012. Publicación disponible en:

http://www.geocities.ws/redes_computadoras2_unlm/0377/frame.pdf

 Echenagucia Karina, Mejías Steven y Aguirre Roimy. Febrero del 2013.

Publicación disponible en:
http://framerelay2013.blogspot.com/2013/02/caracteristicas-de-frame-
relay.html

 Alex Walton. Enero del 2020. Publicación disponible en:

https://ccnadesdecero.es/frame-relay/

 Cisco. Julio del 2006. Publicación disponible en:

http://www.ie.tec.ac.cr/einteriano/cisco/ccna4/Presentaciones/CCNA_Ex
ploration_Accessing_the_WAN_-_Cap3.pdf

 CANTV. Julio del 2014. Publicación disponible en:

https://www.cantv.com.ve/empresas/empresas-privadas/servicios-de-
datos/metro-ethernet

 Espinoza Zuleika y Roca Hylene. Febrero del 2013. Publicación disponible

en: http://redesgrupodiez.blogspot.com/