“Año de la Universalización de la Salud”

Producto Académico N°03

Proyecto Integrador: Agencia de
Viajes
ASIGNATURA : Administración de Base de Datos

DOCENTE : John Edward Arias Orihuela

ESTUDIANTES :

● Gabriel Jose Guillen Aguirre (Lider): 100%

● Elí Morales Falcon (Sub Lider): 100%
● Manuel Gonzalo Paz Carpio: 100%
● Eder Anthur Ortega Fernandez: 100%
● Alfredo Rivera Alarcón: 100%

NRC : 9638

FECHA : 27 de septiembre, 2020

Perú-2020
1 | Página
 TABLA DE CONTENIDO

1. INTRODUCCIÓN.
2. AUDITORÍA INFORMÁTICA A UNA BASE DE DATOS (ISO 27007).
2.1. ESTABLECER OBJETIVOS.
a. OBJETIVOS DE AUDITORÍA.
b. OBJETIVOS DE CONTROL.
2.2. TÉCNICAS DE CONTROL.
2.2.1. PREVENTIVAS.
a. TIPOS DE USUARIOS.
b. TIPO DE PERFILES.
c. TIPO DE PRIVILEGIOS.

2.2.2. DETECTIVAS.

a. COPIAS DE RESPALDO MEDIANTE JOBS PROGRAMADOS

SEMANAL.

b. COPIAS DE RESPALDO MEDIANTE JOBS PROGRAMADOS

MENSUALMENTE.

c. NOTIFICACION POR MAIL AL OCURRIR ERRORES DE

BACKUP.

2.3. OBJETOS DE AUDITORÍA.

2.3.1. DESENCADENADORES.

2.3.2. TRIGGER PARA EL REGISTRO DE MODIFICACIONES SOLO DE

LOS CAMPOS DE DE PRECIOS Y DESCUENTOS DE LOS
PAQUETES.

2.3.3. TRIGGER PARA EL REGISTRO DE LAS INSERCIONES Y

APLICACIONES DE DESCUENTOS A LOS VIAJEROS.

2.3.4. PERFIL DE AUDITORIA CON TAREAS ESPECIFICAS PARA

MODIFICACIÓN E INSERCIÓN DE LA TABLA DE RESERVACIÓN.

2.4. PRUEBAS DE CUMPLIMIENTO.

2.5. ESTABLECER EL PROGRAMA DE AUDITORIA.

2 | Página
 2.5.1. PLANIFICACIÓN PREVIA.

a. PROCEDIMIENTOS DE AUDITORIA.

2.6. MATERIALIDAD DE AUDITORÍA.

2.7. PLANIFICACIÓN DE LA AUDITORIA.

a. COMPRENSION DEL NEGOCIO Y DE SU AMBIENTE.

b. PROCEDIMIENTOS DE AUDITORIA.

2.8. IMPLEMENTACION Y PLAN DE TRABAJO.

2.8.1. TAREAS DEL ADMINISTRADOR DE DATOS.

2.8.2. SELECCIÓN DE EQUIPO.

2.8.3. TAREA Y CARGA.

2.8.4. SEGUIMIENTO Y MANTENIMIENTO.

2.8.5. REVSIÓN Y HALLAGOS.

a. MODIFICACIONES NO AUTORIZADAS DE LOS PRECIOS Y

DESCUENTOS DE LOS PAQUETES DE VIAJES.

b. APLICACIONES DE DESCUENTOS ARBITRARIAS SIN

SEGUIR LA POLÍTICA DE DESCUENTOS DE LA EMPRESA.

c. MODIFICACIÓN E INSERCIÓN DE LA TABLA DE

RESERVACIÓN.

3. CONCLUSIONES.

4. REVISION Y RECOMENDACIONES.

3 | Página
 1. INTRODUCCIÓN

La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), como uno de
los recursos fundamentales de las empresas, ha hecho que los temas relativos a su
control interno, copias de seguridad para garantizar la integridad de la información y las
auditorías cobren, cada día, mayor interés.

La auditoría del entorno de bases de datos es el punto de partida para poder mantener
la información segura, confiable e íntegra.

Por otro lado, la importancia del respaldo de información por medio del Backup, radica
en el hecho de que sus datos estarán seguros ante cualquier tipo problema ya que esta
solución la protege ante cualquier eventualidad. Las copias de seguridad también
proveen una importante solución para proteger datos críticos que están almacenados
en la misma. Como resultado se minimiza el riesgo de la pérdida de información, a
continuación, detallaremos paso a paso cómo se deben efectuar estos puntos.

4 | Página
2. AUDITORÍA INFORMÁTICA A UNA BASE DE DATOS (ISO 27007)

2.1. ESTABLECER OBJETIVOS

a. Objetivos de auditoría:
El objetivo de esta auditoría es verificar la existencia de estos controles y
que estén funcionando de manera eficaz, respetando las políticas de la
empresa, garantizando el debido registro en la venta de los paquetes de
viajes evitando que usuarios no autorizados modifiquen los precios y los
descuentos que se brindan por cada paquete, también controlar que el
personal de ventas no afecte de manera ilegal o incorrecta la aplicación
de los descuentos que se brindan a cada viajero según la política de
descuentos de la empresa.

b. Objetivo de control:

El SGBD deberá preservar la confidencialidad de la base de datos. - Inicio

de sesión mediante usuarios y contraseñas (SQL Server authentication).

2.2. Técnicas de control:

5 | Página
A continuación, se especifican las técnicas específicas correspondientes a
nuestro objetivo:
2.2.1. PREVENTIVAS:
a. TIPOS DE USUARIOS:
 Public.
 SysAdmin.
b. TIPOS DE PERFILES
 Informática
 Comercial
c. TIPOS DE PRIVILEGIOS
 All
 Insert
 Delete
2.2.2. DETECTIVAS:
a. Copia de respaldo mediante Jobs programados
semanalmente:
 Clic derecho sobre la opción Trabajos -> Nuevo Trabajo del
Agente SQL Server

 En la ventana Nuevo trabajo, le colocamos un nombre

“bkpAgenciaSemanal” y proseguimos en la opción Pasos

6 | Página
 En la opción Pasos debemos hacer clic en Nuevo

7 | Página
 Nos mostrará una ventana de Nuevo paso de trabajo, ahí le
ponemos el nombre al paso semanlDif_Agencia;
Seleccionamos el Tipo, en este caso Script Transact-SQL;
luego seleccionamos la base de datos en este caso
dbAgencia y en el comando agregamos la sentencia SQL a
ejecutar para el backup y analizamos haciendo clic en el
botón Analizar y Aceptar.

“declare @nombre varchar(300);

set @nombre = 'D:\BACKUP\BackUp-

Agencia\bkpSemanaldbAgencia-'+CONVERT(char(10),get
date(),5);

BACKUP DATABASE [dbAgencia] TO DISK = @nombre

WITH DIFFERENTIAL , NOFORMAT, NOINIT, NAME =
N'dbAgencia-Completa Base de datos Copia de
seguridad', SKIP, NOREWIND, NOUNLOAD, STATS = 10

GO”

8 | Página
 En la Opción de programación de trabajo, le ponemos un
nombre bkpSemanal; en sucede seleccionamos Semanal;
escogemos el Dia a ejecutarse; le fijamos una hora y clic en
Aceptar

9 | Página
Copia de respaldo / (Programado mediante Jobs mensual)

b. Copias de respaldo mediante jobs programados mensualmente:

Para poder realizar el Job de backup Mensual Completo, se siguen los

mismos paso que el anterior, con la diferencia en los pasos de Trabajo y la
Programación varían en configurar sus parámetros, para obtener resultados
que se espera según lo requerido.

 En la opción de pasos le agregamos un nombre

“mensualComp_Agencia” y la sentencia SQL.

“declare @nombre varchar(300);

set @nombre = 'D:\BACKUP\BackUp-
Agencia\bkpMensualdbAgencia-'+CONVERT(char(10),getdat
e(),5);
BACKUP DATABASE [dbAgencia] TO DISK = @nombre
WITH DIFFERENTIAL , NOFORMAT, NOINIT, NAME =
N'dbAgencia-Completa Base de datos Copia de seguridad',
SKIP, NOREWIND, NOUNLOAD, STATS = 10
GO”

10 | Página
 En la opción de Programación del trabajo, le colocamos un
nombre bkpMensual; en Sucede seleccionamos Mensual; y
el día que queremos que se ejecute el trabajo; le ponemos
una hora y le damos en aceptar.

11 | Página
 Finalmente, podemos ver los Jobs Creados en el Agente de
SQL Server

 Nota:: Script a ejecutar para realizar el backup.

12 | Página
c. Notificación por MAIL al ocurrir errores de backup:

13 | Página
14 | Página
2.3. OBJETOS DE AUDITORÍA:
Esta sección será descrita y evaluada en el punto de Seguimiento y
Mantenimiento del punto 2.8.4.
2.3.1. Desencadenadores.
2.3.2. Trigger para el registro de modificaciones solo de los campos de de
precios y descuentos de los paquetes.
2.3.3. Trigger para el registro de las inserciones y aplicaciones de
descuentos a los viajeros.
2.3.4. Perfil de auditoria con tareas específicas para modificación e
inserción de la tabla de reservación.

2.4. Pruebas de cumplimiento:

En caso de que los controles existan, se diseñan unas pruebas
(denominada pruebas de cumplimiento) que permiten verificar la
consistencia de estos.

15 | Página
 Para esta prueba se ha iniciado sesión con cada usuario y se evidencia el
buen funcionamiento de los privilegios.

Vista del usuario ARIVERA.

2.5. ESTABLECER EL PROGRAMA DE AUDITORÍA:

 Tema de auditoría: PROGRAMA DE AUDITORÍA 2020/2

 Objetivo de auditoría: Identificación, procesamiento y resolución de

vulnerabilidades de la base de datos enfocado a datos sensibles de
las ventas de paquetes de viaje. (TRAVEL CONTINENTAL)

 Alcances de auditoría:

 Objetivo: Área de ventas.

 Fecha: 23/09/2020 - 23/10/2020

 Base de datos: DB- Agencia

16 | Página
 2.5.1. Planificación previa:

 Recursos necesarios: Acceso al servidor y a la base de datos con

privilegios de administrador.

 Lugar Físico para auditar: Data Center - Sala de servidores.

a. Procedimientos de auditoría:

 Recopilación de datos: Entrevista a personal de ventas, se les

solicitará la información que utilizan para validar la inserción de un
cliente nuevo al a la base de datos.

 Identificación y obtención de políticas: flujo de ventas de Travel

Continental.

 Procedimientos de comunicación con la gerencia: Se enviará un

informe con las observaciones halladas.

 Procedimientos de seguimiento: al término de la auditoría se brinda

un laptop de 10 días hábiles para corregir las observaciones
brindadas al área ventas y a la base de datos.

2.6. Materialidad de auditoría:

En el PROGRAMA DE AUDITORÍA 2020/2 se implementa un documento

que debe ser llenado para documentar los diversos pasos de la auditoría
y para señalar la ubicación del material de evidencia con la siguiente
estructura:

Procedimiento de Papeles de Trabajo: Hecho por:

auditoría: PROGRAMA Normas de Auditoria iso
DE AUDITORÍA 2020/2 Lugar: LIMA 27007 GRUPO 1

Referencia: NC Fecha: 23/09/2020

17 | Página
2.7. PLANIFICACIÓN DE LA AUDITORÍA:

a. Comprensión del negocio y de su ambiente:

TRAVEL CONTINENTAL es una empresa privada que brinda servicios

turísticos y los reserva de manera presencial.

b. Procedimientos de auditoría:

 Revisión de los Documentos de ventas (facturas).

 Entrevistas area de ventas para evaluar el cumplimiento del flujo.

 Revisión del Gestor de base de datos SQL SERVER.

2.8. IMPLEMENTACIÓN Y PLAN DE TRABAJO:

En esta fase, elaboramos un estudio tecnológico de viabilidad en el cual
se contemplan distintas alternativas para alcanzar los objetivos del
proyecto acompañados de un análisis de costo beneficio para cada una
de las opciones. Se debe considerar entre estas alternativas la
posibilidad de no llevar a cabo el proyecto.

2.8.1. Tareas del administrador de datos:

 Realizar el diseño conceptual y lógico de la base de datos.
 Establecer estándares de diseño de b.d. desarrollo y contenido
del diccionario de datos.
 Desarrollar políticas de gestión de datos.
 Desarrollar planes estratégicos y tácticos para la manipulación
de los datos.
 Controlar la integridad y seguridad de los datos.
 Trabajar con los auditores en la auditoría de la base de datos.
 Proporcionar controles de seguridad.
 Realizar el diseño físico de la b.d.
 Soportar el SGBD
 Resolver problemas del SGBD y del software asociado
 Monitorizar el rendimiento del SGBD
 Asegurar la integridad de los datos, comprobando que se
implantan los controles adecuados.
 Asegurar la seguridad y confidencialidad.
 Proporcionar facilidades de prueba.

18 | Página
  Integrar paquetes, procedimientos, utilidades, etc. De soporte
para al SGND.
 Desarrollar estándares, procedimientos y documentarlos.

2.8.2. Selección de equipo:

En cuanto a la selección del equipo, se ejecutará con 5 DBA.

2.8.3. Tarea y carga:

En esta fase se llevarán a cabo los diseños lógico y físico de la
base de datos, por lo que en la auditoría vamos a examinar si
estos diseños se han realizado correctamente:

19 | Página
2.8.4. SEGUIMIENTO Y MANTENIMIENTO:
En esta fase, se debe comprobar que se establecen los
procedimientos de explotación y mantenimiento que aseguren que
los datos se tratan de forma congruente y exacta y que el
contenido de los sistemas sólo se modifica mediante la
autorización adecuada (Triggers, logins, Procedimientos
almacenados, jobs).

20 | Página
2.8.5. REVISIÓN Y HALLAZGOS:
Las tablas que registran las modificaciones realizados por los
triggers, se gestionan en otra base de datos llamada dbAuditoria,
con el propósito de aislar los procesos y registros de la auditoría
fuera de la base dbAgencia y los usuarios solamente tengan
acceso a la base dbAgencia y no a dbAuditoria

21 | Página
Durante la auditoría planificada a la agencia de viajes TRAVEL
CONTINENTAL se hizo 3 hallazgos:

a. Modificaciones no autorizadas de los precios y descuentos

de los paquetes de viajes: no se siguen las políticas de precios
de la empresa.

Trigger para identificar modificaciones no autorizadas de los

precios y descuentos de los paquetes de viajes.
Este desencadenador se dispara al evento de actualizar un
registro de la tabla paquete, pero solo cuando los campos de
precio_por_persona, dscto_especial y precio_especial sean
afectados, registrándose automáticamente en la tabla de

22 | Página
paquete_auditoria de la base de datos dbAuditoría
Este proceso compara los precios y descuentos antes de ser
modificados con los nuevos valores modificados.

Definición de la tabla paquete_auditoria en la base dbAuditoría

23 | Página
trigger que ejecuta el registro de la auditoría

24 | Página
25 | Página
 registro en la tabla de auditoría

En el cuadro se observa que 05 registros incumplen las políticas de

precios, hay columnas comparativas entre precio antes de ser
modificado y ultimo precio después de ser modificado.

Los criterios se aplican para el descuento y el precio especial.

b. Aplicaciones de descuentos arbitrarias sin seguir la política de

descuentos de la empresa:

TRIGGER para registrar aplicaciones de descuentos arbitrarias, este

desencadenador registra todas las aplicaciones de descuento, es decir
cuando el vendedor otorga el un descuento a un viajero sin basarse en
la política de descuentos de la empresa que corresponden a los
siguientes criterios:
 Se aplica descuento a los viajeros cuya reservación sea hecha
por clientes de persona jurídicas (Empresas) que la agencia tenga
un previo convenio.
 Se aplica descuento a los viajeros cuya reservación sea hecha
por clientes de persona naturales siempre y cuando el viajero sea
menor de 05 años y mayor de 70 años o de presentar algún tipo
de discapacidad.

26 | Página
Definición de la tabla reservacion_detalle_auditoria

Trigger descuento reservación auditoría

27 | Página
28 | Página
 Resultados: en cuadro de abajo se detectó 02 registros que
incumplen con la política de descuentos de la agencia.

c. Modificación e inserción de la tabla de reservación:

Esta auditoría se ejecuta para auditar todas las modificaciones que se
realicen a la tabla reservación.
 En Instancia->Seguridad->Click derecho en auditorias Auditorias-
>nueva auditoría

29 | Página
 Indicar el nombre de la auditoría y la ruta donde se guardará la
auditoría.

 Para la especificación de la auditoría, Seleccionar la base de

datos->Seguridad->Click derecho Especificación de auditoría-
>Nueva especificación de auditoría

30 | Página
 Para crear la nueva especificación de auditoría:

o Indicar el nombre para la especificación de auditoría.

o Seleccionar la auditoría.

o Seleccionar el tipo de acción, la clase de objeto, el schema, y

el nombre principal.

o Click en OK.

 Iniciar la auditoría y la especificación de auditoría.

 Para ver los registros de la auditoría.

o Realizar cambios en la tabla Reservaciones.

o En la auditoría click derecho ver log de auditoría.

o Se puede ver los registros agregados a consecuencia de la

modificación de la tabla reservaciones.

31 | Página
Según se van realizando cambios en la tabla reservación se puede
apreciar los registros que se agregan al log de auditoría

32 | Página
33 | Página
 CONCLUSIÓN

La auditoría de bases de datos es de vital importancia para las empresas y

organizaciones porque si no se provee un mecanismo de control de seguridad y
respaldo de la información dentro de una institución se verá sumida en riesgos lógicos
físicos y humanos que conllevan a fraudes o pérdida de información que se traduce a
pérdidas económicas para la empresa.

De igual forma la importancia de realizar respaldos de la información es parte crucial

para las empresas debido a que los servidores de bases de datos a pesar de todas las
medidas tomadas están expuestas a riesgos físicos generados por desastres naturales
o acontecimientos imprevistos.

En conclusión, recalcar la importancia de realizar copias de respaldo periódicas para

salvaguardar la tan preciada información y realizar auditorías inopinadas para tener una
integridad de nuestra base de datos y mantener un control estricto del manejo de la
información.

34 | Página
 RECOMENDACIONES

1. Crear una tabla específica para la Lista de Precios donde se establezcan

parámetros en los precios a los paquetes de ventas.

2. Crear una tabla para la política de descuentos para almacenar los criterios para
realizar los descuentos dependiendo las normas de la empresa.

3. Con la incorporación de ambas tablas se deben redefinir los procedimientos

almacenados que permitan de manera automática validar dichas operaciones y
controles evitando de esta manera el mal registro y minimizar los hallazgos de la
auditoría.

4. En lo posible establecer un convenio con RENIEC para que los datos que se
consulten a los clientes al momento de hacer la reservación sean cargados y
validados directamente evitando de esta manera el posible mal cálculo de la
edad de un viajero respecto al su fecha de nacimiento y por consiguiente la mala
aplicación del descuento al precio del viajero.

35 | Página
36 | Página