Es preciso que en dicha conclusión se tengan en cuenta:

 Metodología utilizada.
 Objetivo de Control
 Técnicas de Control
 Pruebas de cumplimiento
 Prueba Sustantiva
 Y Objetivos de control que hacen al ciclo de vida de una BD

Si los hubiere. Luego de haber leído y analizado el informe hecho

en base a la auditoria que se realizó a la administración de las
bases de datos en ambiente productivo. Teniendo en cuenta la
metodología utilizada, que fue la de “Evaluación de riesgos”, ya
que primeramente se definieron los objetivos de control que
fueron los de, “Comprobar los niveles de la seguridad y control de
acceso definidos en las bases de datos”. “Verificar distribución,
integridad, conservación y transporte de la información en las
base de datos”. ”Evaluar el nivel de servicio y soporte tecnológico
con que cuenta la las bases de datos para su disponibilidad y
funcionalidad.” Se puede decir que, el encargado de realizar la
auditoria logro recabar información suficiente como para detectar
y dar posibles soluciones a tales objetivos. Ya que por ejemplo, se
detectó que en la revisión a la lista de roles, se encontró que un
usuario “Jvargas” que no contaba con permisos de
administración, se le permitía administrar la base de datos. Ya
que podía crear, eliminar y/o modificar archivos de la base de
datos (create table, create any table; drop any table; alter any
table). Y esto obviamente es muy grave ya que un usuario
“Común” no puede tener funciones de “Administrador” ya que
puede comprometer al sistema. El encargado de la auditoria
propuso como “Técnica de control”, regular la cantidad de
usuarios con privilegios “súper usuario” o “administrador” del
sistema operativo que soporta la base de datos. Ya que debe ser
limitada (máximo dos usuarios). También propuso evaluar la
cantidad de usuarios que utilizan estos privilegios y corregir su
asignación.
También se puede mencionar que al aplicar “Las pruebas de
cumplimiento” el encajado se percató que durante la revisión al
documento: “Plan General de Seguridad para Base de Datos”,
realizado en el segundo semestre del 2015, observó que los
resultados obtenidos de ese plan no habían sido incluidos o
actualizados en un manual o procedimiento del proceso gestión
de seguridad de la información. A lo que propuso como solución
Evaluar la actualización de los procedimientos, de tal manera que
incluyan los mecanismos de control definidos en el plan de
seguridad de la base de datos (2015).

También por ejemplo, el auditor, analizando la gestión dela

administración de la base de datos, encontró que no menos del
70% de las actividades registradas en log de trazabilidad del
sistema de seguridad “Imperva” de febrero a mayo de 2016 sobre
la operación de cambios en la base de datos no se encuentran
reportadas en el listado control que administra los arquitectos de
la base de datos. Lo cual es grave ya que la base de datos debe
de estar siempre actualizada y con datos precisos, como prueba
sustantiva el auditor propuso evaluar que todo transporte de datos
o estructura de software al ambiente de producción de la base de
datos esté registrado en una bitácora confiable y segura que
mantenga el control de toda la información autorizada que se
despliega al ambiente.

Estas y otras amenazas fueros encontradas, amenazas y

debilidades graves para la base de datos y la institución. Que
evidentemente deben de ser solucionadas, y el auditor dio
soluciones aplicables a todas.

(Objetivos de control que hacen al ciclo de vida de una BD: El

informe no cuenta con ello, ya que el encargado de la auditoria,
es un auditor externo que solo realizo un control a una base de
datos existente, y no estuvo desde la creación y diseño de la base
de datos)