AUDITORÍA DE

BASES DE DATOS
 AUDITORÍA EN ENTORNOS DE BD
• Son el punto de partida de la realización de la auditoria de
aplicaciones, que usan esta tencología (BD)
 METODOLOGÍA
• Tradicional
• ChekList
• S (si) - N (no) - NA (no aplicable)
• Evaluación de riesgos (ROA)
• Confidencialidad de la BD
• Tipos de usuarios, perfiles, privilegios
• Técnicas que utiliza: preventivas, detectivas o correctivas.
• Prueba de cumplimiento: privilegios y perfiles del SGBD
EN UNA BD

• Estudio previo y plan de trabajo

• Concepción de la BD y le selección del equipo
• Diseño y carga
• Explotación y mantenimiento
• Revisión post-implantación
• Otros procesos
– ESTUDIO PREVIO

Identificación de opciones
Análisis de costo/beneficio
Desarrollar o comprar?
Analizar los informes de viabilidad por la dirección de la empresa
para evitar fracasos de implementación
 – CONCEPCIÓN DE LA BD Y
SELECCIÓN DEL EQUIPO
• Se diseña la BD acorde a los modelos y técnicas establecidas
por el plan director.
• Debe especificarse:
• Documentación
• Control
• Seguridad
• Pista de auditoria (triggers)
– DISEÑO Y CARGA

• Diseño lógico y físico de la BD

• Carga de datos
• Inicial
• Migración
• Contemplar datos con errores
• Lote de prueba
– EXPLOTACIÓN Y
MANTENIMIENTO
• La explotación del sistema es posterior a la prueba de
aceptación del usuario
• Los datos se tratan en forma congruente y exacta
• Los datos se modifican acorde a una matriz de autorizaciones
• Tareas de mantenimiento de BD
• Índices, compactación, tuning, entre otros.
– REVISIÓN POST-IMPLANTACIÓN

• Revisión posterior que garantiza la conservación de la BD

• Se evalúa:
• Resultados esperados
• Necesidades de los usuarios
• Costos y beneficios reales vs los previstos
– OTROS PROCESOS

• Capacitación/formación a usuarios
• Informáticos
• No informáticos
• Plan de formación integral
• Cuidado con los usuarios sin formación
• Aseguramiento de la calidad
• Ej. Teoría de la normalización
 AUDITORIA Y DE UN ENTRONO DE BD
• SGBD: kernel, catálogos, etc
• Software de auditoria: GAS (extracción de datos, Lotes de prueba)
• Sistema de monitorización y ajuste: SE de optimización
• SO: Relación independiente o dependiente con el SGBD)
• Monitor de transacciones
• Protocolos y sistemas distribuidos: rol de las redes de comunicación
• Paquete de seguridad: Privilegios, controles de usuarios externos
TÉCNICAS PARA EL CONTROL DE
BD EN ENTORNOS COMPLEJOS
• Matrices de control
• Transacciones de datos
• Preventiva: verificación
• Detectiva: informe de reconciliación
• Correctiva: no tiene
• Registros de BD
• Preventiva: cifrado
• Detectiva: informe de excepción
• Correctiva: backup
CON LA AUDITORÍA DE BD SE BUSCA

• Monitorear y registrar el uso de los datos por los

usuarios
• Autorizados o no
• Mantener trazas de uso y del acceso a bases de datos
• Permitir investigaciones
• General alertas en tiempo real
 BIBLIOGRAFIA

• http://prezi.com/amflblsl9fjq/auditoria-de-base-de-
datos/
• http://www.dit.ing.unp.edu.ar/graduate/bitstream/1234
56789/208/1/ActivityLogGava.pdf
• http://auditoria3.obolog.es/auditoria-base-datos-
876651