Documentos de Académico
Documentos de Profesional
Documentos de Cultura
B. Este tipo de auditoría aplicada sobre una base de datos requiere que de manera conjunta se
audite el sistema operativo, el motivo principal es que se pueden detectar determinadas
irregularidades que el sistema este presentando, lo que afectará la efectividad de esta base de
datos, igualmente, el nivel de seguridad que se pueda dar por medio del sistema y que puedan
repercutir notoriamente en la manipulación de la base de datos.
Además, un sistema de base de datos debe de tener implementados dispositivos de seguridad
que garanticen la integridad de la información, a pesar de caídas del sistema o intentos de
accesos no permitidos. Los sistemas de bases de datos requieren que la entidad reconozca el
papel importante de la información y comience activamente a administrar y planear la
información como recurso corporativo.
C. Lista de aspectos que serán auditados:
Claves de accesos: Cada una de las claves permite la entrada ya sea controlada o libre a
la plataforma operativa, por ende, existe el peligro de una incorrecta manipulación de los
datos que puede adulterar la información.
Usuarios y Roles: Cada usuario tiene un rol especifico que le permite utilizar una base de
datos, la seguridad y la fiabilidad de los datos son la fuente fundamental que dan
sustento a la información obtenida. Se deben implementar controles básicos, por ejemplo,
únicamente facultar la entrada a usuarios que tengan una necesidad asociada al negocio, y
eliminar regularmente las cuentas de los trabajadores que ya no son parte de la compañía
y adicionalmente de asegurarse de que este rol únicamente proporciona la entrada
necesaria.
Privilegios: Qué usuarios tienen privilegios administrativos o especiales, es decir los
privilegios de sistema, que permiten que un usuario de la base de datos realice acciones
específicas en ella, y, en segundo lugar, los privilegios del propósito, que permiten tener
entrada o que se manipulen objetos en la base de datos.
Los links: Este enlace que une base de datos puede ocasionar graves distorsiones y ser
utilizado para fines que no son los verdaderos de la compañía.
Las cuentas por defecto: Durante el uso de la base de datos se van creando una serie de
usuarios y contraseñas que están deshabilitadas, solo un usuario con el rol de
administrador tiene la capacidad de poder activarlas o desactivarlas, ya que algunos de
estos pueden estar con roles más especiales, y que al ser utilizado con propósitos poco
honestos pueden perjudicar la operatividad del negocio.
Registro de Auditoría de la base de datos: Podemos obtener información en esta área,
en caso de que, si hay datos faltantes, o si los datos no empiezan cuando el administrador
realizó el último mantenimiento, entonces esta información faltante debe ser explicada
adecuadamente.
Autenticación SQL: Autentificación de Windows con la seguridad del login y con el
sistema operativo, utilizando las credenciales de seguridad de un usuario de la red para
controlar la entrada. Esto se realiza verificando la cuenta y contraseña en SQL Server
cuando un usuario intenta abrir una sesión.
Autentificación de ORACLE: Indagar los grupos creados y los nombres asignados
cuando la base de datos fue instalada en el sistema operativo.
II.-
A. ¿Qué pruebas de auditoría podría aplicar a cada área?
Las pruebas de auditoría que podrían aplicarse en cada área, serian:
En el área de Desarrollo, se efectuará una prueba para revisar los primeros parámetros de
funcionamiento en términos de funcionalidad de cada software que se desarrolla, es decir que
cada software que se desarrolla debe encontrarse encuadrado con la finalidad de creación y el
uso que tendrá, de esta manera por medio de la revisión se estará verificando que su uso es
coincidente al propósito de su creación.
En el área de Certificación, se realizará una prueba de accesibilidad por medio de contraseñas
y comprobación de bloqueos frente a fallos de escritura. En este caso se deberán probar las
claves de acceso para contrarrestar si hay vulnerabilidad en el acceso.
En el área de Producción, se probará el sistema para comprobar su funcionamiento y acceso a
la plataforma. Se ingresará al sistema con diferentes claves lo que permitirá que se prueben los
roles que tendrá cada usuario y así tener el control de los diferentes roles que deberán
encontrarse vinculados con cada usuario. Adicionalmente, se aplicará el uso de herramientas de
pruebas de vulnerabilidades, las cuales tienen a menudo la capacidad de evaluar centenares o
miles de vulnerabilidades.