Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ESTUDIANTES :
NRC : 9638
Perú-2020
1 | Página
TABLA DE CONTENIDO
1. INTRODUCCIÓN.
2. AUDITORÍA INFORMÁTICA A UNA BASE DE DATOS (ISO 27007).
2.1. ESTABLECER OBJETIVOS.
a. OBJETIVOS DE AUDITORÍA.
b. OBJETIVOS DE CONTROL.
2.2. TÉCNICAS DE CONTROL.
2.2.1. PREVENTIVAS.
a. TIPOS DE USUARIOS.
b. TIPO DE PERFILES.
c. TIPO DE PRIVILEGIOS.
2.2.2. DETECTIVAS.
2.3.1. DESENCADENADORES.
a. PROCEDIMIENTOS DE AUDITORIA.
b. PROCEDIMIENTOS DE AUDITORIA.
3. CONCLUSIONES.
4. REVISION Y RECOMENDACIONES.
3 | Página
1. INTRODUCCIÓN
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), como uno de
los recursos fundamentales de las empresas, ha hecho que los temas relativos a su
control interno, copias de seguridad para garantizar la integridad de la información y las
auditorías cobren, cada día, mayor interés.
La auditoría del entorno de bases de datos es el punto de partida para poder mantener
la información segura, confiable e íntegra.
Por otro lado, la importancia del respaldo de información por medio del Backup, radica
en el hecho de que sus datos estarán seguros ante cualquier tipo problema ya que esta
solución la protege ante cualquier eventualidad. Las copias de seguridad también
proveen una importante solución para proteger datos críticos que están almacenados
en la misma. Como resultado se minimiza el riesgo de la pérdida de información, a
continuación, detallaremos paso a paso cómo se deben efectuar estos puntos.
4 | Página
2. AUDITORÍA INFORMÁTICA A UNA BASE DE DATOS (ISO 27007)
b. Objetivo de control:
5 | Página
A continuación, se especifican las técnicas específicas correspondientes a
nuestro objetivo:
2.2.1. PREVENTIVAS:
a. TIPOS DE USUARIOS:
Public.
SysAdmin.
b. TIPOS DE PERFILES
Informática
Comercial
c. TIPOS DE PRIVILEGIOS
All
Insert
Delete
2.2.2. DETECTIVAS:
a. Copia de respaldo mediante Jobs programados
semanalmente:
Clic derecho sobre la opción Trabajos -> Nuevo Trabajo del
Agente SQL Server
6 | Página
En la opción Pasos debemos hacer clic en Nuevo
7 | Página
Nos mostrará una ventana de Nuevo paso de trabajo, ahí le
ponemos el nombre al paso semanlDif_Agencia;
Seleccionamos el Tipo, en este caso Script Transact-SQL;
luego seleccionamos la base de datos en este caso
dbAgencia y en el comando agregamos la sentencia SQL a
ejecutar para el backup y analizamos haciendo clic en el
botón Analizar y Aceptar.
GO”
8 | Página
En la Opción de programación de trabajo, le ponemos un
nombre bkpSemanal; en sucede seleccionamos Semanal;
escogemos el Dia a ejecutarse; le fijamos una hora y clic en
Aceptar
9 | Página
Copia de respaldo / (Programado mediante Jobs mensual)
10 | Página
En la opción de Programación del trabajo, le colocamos un
nombre bkpMensual; en Sucede seleccionamos Mensual; y
el día que queremos que se ejecute el trabajo; le ponemos
una hora y le damos en aceptar.
11 | Página
Finalmente, podemos ver los Jobs Creados en el Agente de
SQL Server
12 | Página
c. Notificación por MAIL al ocurrir errores de backup:
13 | Página
14 | Página
2.3. OBJETOS DE AUDITORÍA:
Esta sección será descrita y evaluada en el punto de Seguimiento y
Mantenimiento del punto 2.8.4.
2.3.1. Desencadenadores.
2.3.2. Trigger para el registro de modificaciones solo de los campos de de
precios y descuentos de los paquetes.
2.3.3. Trigger para el registro de las inserciones y aplicaciones de
descuentos a los viajeros.
2.3.4. Perfil de auditoria con tareas específicas para modificación e
inserción de la tabla de reservación.
15 | Página
Para esta prueba se ha iniciado sesión con cada usuario y se evidencia el
buen funcionamiento de los privilegios.
Alcances de auditoría:
16 | Página
2.5.1. Planificación previa:
a. Procedimientos de auditoría:
17 | Página
2.7. PLANIFICACIÓN DE LA AUDITORÍA:
b. Procedimientos de auditoría:
18 | Página
Integrar paquetes, procedimientos, utilidades, etc. De soporte
para al SGND.
Desarrollar estándares, procedimientos y documentarlos.
19 | Página
2.8.4. SEGUIMIENTO Y MANTENIMIENTO:
En esta fase, se debe comprobar que se establecen los
procedimientos de explotación y mantenimiento que aseguren que
los datos se tratan de forma congruente y exacta y que el
contenido de los sistemas sólo se modifica mediante la
autorización adecuada (Triggers, logins, Procedimientos
almacenados, jobs).
20 | Página
2.8.5. REVISIÓN Y HALLAZGOS:
Las tablas que registran las modificaciones realizados por los
triggers, se gestionan en otra base de datos llamada dbAuditoria,
con el propósito de aislar los procesos y registros de la auditoría
fuera de la base dbAgencia y los usuarios solamente tengan
acceso a la base dbAgencia y no a dbAuditoria
21 | Página
Durante la auditoría planificada a la agencia de viajes TRAVEL
CONTINENTAL se hizo 3 hallazgos:
22 | Página
paquete_auditoria de la base de datos dbAuditoría
Este proceso compara los precios y descuentos antes de ser
modificados con los nuevos valores modificados.
23 | Página
trigger que ejecuta el registro de la auditoría
24 | Página
25 | Página
registro en la tabla de auditoría
26 | Página
Definición de la tabla reservacion_detalle_auditoria
27 | Página
28 | Página
Resultados: en cuadro de abajo se detectó 02 registros que
incumplen con la política de descuentos de la agencia.
29 | Página
Indicar el nombre de la auditoría y la ruta donde se guardará la
auditoría.
30 | Página
Para crear la nueva especificación de auditoría:
o Seleccionar la auditoría.
o Click en OK.
31 | Página
Según se van realizando cambios en la tabla reservación se puede
apreciar los registros que se agregan al log de auditoría
32 | Página
33 | Página
CONCLUSIÓN
34 | Página
RECOMENDACIONES
2. Crear una tabla para la política de descuentos para almacenar los criterios para
realizar los descuentos dependiendo las normas de la empresa.
4. En lo posible establecer un convenio con RENIEC para que los datos que se
consulten a los clientes al momento de hacer la reservación sean cargados y
validados directamente evitando de esta manera el posible mal cálculo de la
edad de un viajero respecto al su fecha de nacimiento y por consiguiente la mala
aplicación del descuento al precio del viajero.
35 | Página
36 | Página