Auditora de Bases de Datos

Auditora de Bases de Datos Equipo 2:Ivn Ali Rodrguez VsquezLicenciatura en InformticaWilliam Nolasco de la CruzGrupo: 908128/04/20151ndice Introduccin Metodologa de Evaluacin de RiesgosRecomendaciones de los COBITObjetivos de Control en el Ciclo de Vida de una BDAuditoria y Control Interno en un Entorno de BD Tcnicas para el Control de BD en un Entorno Complejo228/04/2015Introduccin Informacin. Son los datos en todos sus formatos, de entrada, procesados o de salida de los sistemas de informacin sea cual sea la forma en que son usados por la organizacin.

Infraestructura. Es decir, la tecnologa e instalaciones, incluyendo el sistema de gestin de base de datos.328/04/2015Metodologa de Evaluacin de Riesgos(I)Objetivos de Control. Fijar los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno de la base de datos. Ejemplo: El SGBD deber preservar la confidencialidad de la BD.

Tcnicas de Control. Especificar las tcnicas de control correspondientes a dichos objetivos. Ejemplo: Se deber establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la BD

Un objetivo de control puede llevar asociadas varias tcnicas que permitan cubrirlo en su totalidad. Estas tcnicas pueden ser preventivas, detectivas y correctivas.428/04/2015Metodologa de Evaluacin de Riesgos

28/04/20155Metodologa de Evaluacin de Riesgos(II)Pruebas de Cumplimiento. En caso de que los controles existan, se disean unas pruebas que permitan verificar la consistencia de los mismos. Ejemplo: Listar los privilegios y perfiles existentes en el SGBD

Prueba Sustantiva. En caso de que los controles no existan o las pruebas de cumplimiento detectan inconsistencias en los controles se pasan a realizar pruebas que permitan dimensionar el impacto de estas deficiencias. Ejemplo: Comprobar si la informacin ha sido corrompida comparndola con otra fuente, o revisando los documentos de entrada de datos y las transacciones que se han ejecutado.628/04/2015Metodologa de Evaluacin de Riesgos(III)Se valoran los resultados de las pruebas y se obtienen las conclusiones para comentar y discutir con los responsables de las reas afectadas con el fin de corroborar los resultados.

Emitir una serie de comentarios: describir la situacin, riesgo existente, deficiencia a solucionar y posible solucin.

Realizar informe final donde se expondr las conclusiones y los alcances obtenidos de la auditoria.728/04/2015Recomendaciones de los COBIT (I)828/04/2015

Recomendaciones de los COBIT (II) Ejemplo: DS11Objetivos de las tecnologas de la informacin. Optimizar la utilizacin de la informacin. Asegurar que la informacin critica y confidencial es inaccesible para aquellos que no deben tener acceso a la misma.

Mtricas:Numero de ocurrencias de incapacidad para recuperar datos crticos para los procesos de negocio.Porcentaje de satisfaccin del usuario con la disponibilidad de los datos 928/04/2015Recomendaciones de los COBIT (III) Objetivos de los procesos. Mantener la complecin, exactitud, validez y accesibilidad de los datos almacenados.Asegurar los datos durante la entrega de medios.

MtricasPorcentajes de restauraciones de datos exitosas.Numero de incidentes en los que se recuperan datos insensibles despus de disponer de los medios.1028/04/2015Recomendaciones de los COBIT (IV) Objetivos de las actividadesRealizar copia de respaldo y pruebas de restauracin.Gestionar almacenamiento de datos onsite y offsite.

MtricasFrecuencia de pruebas de copias de respaldo de los mediosTiempo medio de restauracin de datos.

1128/04/2015Recomendaciones de los COBIT (V)DS11.6 Drivers de ValorInformacin sensible asegurada y protegida apropiadamente Capacidad de ver o alterar la informacin disponible a los usuarios autorizados.

Drivers de RiesgosDatos sensibles mal utilizados o destruidos.Accesos a datos no autorizados.

1228/04/2015Recomendaciones de los COBIT (VI)Pruebas de diseo del controlSe define e implementa una poltica para proteger datos y mensajes sensibles de accesos no autorizados.Se han establecido reglas y procedimientos para el acceso por parte de los usuarios finales a las salidas de los datos.1328/04/2015Objetivos de Control en el Ciclo de Vida de una BDFORMACINDOCUMENTACIN1428/04/2015Ciclo de Vida de una BD (Estudio Previo y Plan de Trabajo) Elaborar un estudio tecnolgico de viabilidad en el cual se contemplen alternativas para alcanzar los objetivos del proyecto acompaados de un anlisis costo-beneficio para cada una de las opciones.

Comprobar que la alta direccin revisa los informes de los estudios de viabilidad y que es la que decide seguir adelante con el proyecto.

Destacar la necesidad de llevar a cabo una gestin de riesgos (valoracin, identificacin, medida de plan de accin y aceptacin).1528/04/2015Ciclo de Vida de una BD (Estudio Previo y Plan de Trabajo) Aprobacin de la estructura orgnica no solo del proyecto, sino de la unidad que tendr la responsabilidad de la gestin y control de la BD (contemplar los diferentes roles relacionados con la gestin de datos).Se recomienda una separacin de funciones entre: el personal de desarrollo de sistemas y el de explotacin,; y explotacin y control de datos.1628/04/2015Ciclo de Vida de una BD (Estudio Previo y Plan de Trabajo)Funciones Actividades Trasladar los requisitos de almacenamiento y retencin de datos en procedimientosDefinir, mantener e implementar procedimientos para gestionar la biblioteca de mediosDefinir, mantener e implementar procedimientos para disponer de forma segura de los medios y equiposRealizar copias de respaldoDefinir, mantener e implementar procedimientos para restauracin de datosCIOAAAAAPropietario del proceso de negocioICCDir. De operacionesCRRRRArq. jefeRCCDir. De DesarrolloCCDir. De Admi.IICumplimiento, Auditoria, Riesgos y SeguridadCCCAR= Responsable,A= Accountable,C= ConsultadoI= Informado1728/04/2015Ciclo de Vida de una BD (Concepcin de la BD y Seleccin del Equipo) Disear la BD, por lo que deben utilizarse los modelos y las tcnicas definidos en la metodologa de desarrollo de sistemas de la empresa. La metodologa de diseo deber emplearse para especificar los documentos fuentes, mecanismos de control, caractersticas de seguridad y pistas de auditoria a incluir en el sistema.

Analizar la metodologa de diseo con el fin de determinar si es aceptable o no, y luego comprobar su correcta utilizacin.1828/04/201518Ciclo de Vida de una BD (Concepcin de la BD y Seleccin del Equipo) Realizar un procedimiento riguroso (en caso de que la empresa no disponga de la seleccin del equipo) en el que se considere las necesidades de la empresa y las prestaciones que ofrecen los distintos SGBD candidatos.1928/04/2015Ciclo de Vida de una BD (Diseo y Carga) Llevar a cabo el diseo lgico y fsico de la BD y examinar si estos diseos se han realizado correctamente.Determinar si la definicin de los datos contempla su estructura, asociaciones y restricciones oportunas.

Cargar la BD, ya sea migrando datos de un soporte magntico o introducindolos manualmente.Establecer un conjunto de controles que aseguren la integridad de la entrada manual de datos.

Los procedimientos y el diseo de los documentos fuentes minimicen los errores y omisiones.2028/04/2015Ciclo de Vida de una BD (Explotacin y Mantenimiento) Terminadas las pruebas de aceptacin, con la participacin de los usuarios, el sistema se pondr en explotacin.

Comprobar que se establezcan los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante la autorizacin adecuada.2128/04/2015Ciclo de Vida de una BD (Explotacin y Mantenimiento) Realizar una auditoria sobre el rendimiento del sistema de BD, comprobando si se lleva a cabo un proceso de ajuste (tunning) y optimizacin adecuada.2228/04/2015Ciclo de Vida de una BD (Revisin Post-Implantacin) Evaluar si se ha conseguido los resultados esperados.Evaluar si se satisfacen las necesidades de los usuarios.Evaluar si los costes y beneficios coinciden con los previstos.2328/04/2015Auditoria y Control Interno en un Entorno de BD

2428/04/2015Auditoria y Control Interno en un Entorno de BD (SGBD) Componentes del SGBD:Ncleo (kernel)Catalogo (componente fundamental para asegurar la seguridad de la BD).Utilidades para el admin de la BD (crear usuarios, conceder privilegios y cuestiones de confidencialidad).Recuperacin de la BD (rearranque, copias de respaldo, ficheros diario, etc.).Funciones de auditoria (audit trail).Lenguajes de cuarta generacin (L4G).

2528/04/2015Auditoria y Control Interno en un Entorno de BD (SGBD)Revisar la utilizacin de todas las herramientas que ofrece el SGBD y las polticas y procedimientos que sobre su utilizacin haya definido el administrador, para valorar si son suficientes o si deben ser mejorados.2628/04/2015Auditoria y Control Interno en un Entorno de BD (Software de Auditoria) Paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la extraccin de datos de la base, el seguimiento de las transacciones, datos de prueba, etc. 2728/04/2015Auditoria y Control Interno en un Entorno de BD (Sistema de Monitorizacin y Ajuste - Tunning)Complementa las facilidades ofrecidas del SGBD y ofrecen mayor informacin para optimizar el sistema (llegan a ser sistemas expertos que proporcionan la estructura de la BD y de ciertos parmetros del SGBD y SO)2828/04/2015Auditoria y Control Interno en un Entorno de BD (Sistema Operativo) Apoya en mayor o menor medida al SGBD, ofreciendo servicios en cuanto a control de memoria, gestin de reas de almacenamiento intermedio (buffers), manejo de errores, control de confidencialidad, mecanismos de interbloqueo, etc.

Dificultades al momento de controlar la interfaz entre el SGBD y el SO: Constituye informacin reservada de los fabricantes de los productos y requiere unos conocimientos excepcionales del campo de tcnica de sistemas.2928/04/2015Auditoria y Control Interno en un Entorno de BD (Monitor de Transacciones) Tiene responsabilidades de seguridad.Tiene responsabilidades de rendimiento.Puede ser incluido en el SGBD.3028/04/2015Auditoria y Control Interno en un Entorno de BD (Protocolos y Sistemas Distribuidos) Se estn accediendo a las BD a travs de redes, con lo que el riesgo de violacin de la confidencialidad e integridad se acentan.

Las BD Distribuidas pueden presentar graves riesgos de seguridad.3128/04/2015Auditoria y Control Interno en un Entorno de BD (Paquetes de Seguridad) Permite la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos, definicin de privilegios, perfiles de usuarios, etc.

Inconveniente: algunas veces no se encuentra bien integrado con el SGBD, resultando poco til su implantacin si los usuarios pueden saltarse los controles a travs del propio SGBD. 3228/04/2015Auditoria y Control Interno en un Entorno de BD (Diccionarios de Datos) Se pueden auditar de manera anloga a las BD (puesto que son bases de metadatos).

Un fallo en un diccionario suele llevar consigo una perdida de integridad de procesos, mientras que un fallo en la BD puede atentar contra la integridad de los datos.3328/04/2015Auditoria y Control Interno en un Entorno de BD (Herramientas CASE/IPSE) Ofrecen soporte al diseo y concepcin de sistemas de informacin.

Llevan incorporados un diccionario de datos mas amplios, que almacena programas, usuarios, etc.

Herramienta clave para que el auditor pueda revisar el diseo de la BD, comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad.3428/04/2015Auditoria y Control Interno en un Entorno de BD (Lenguajes de Cuarta Generacin) Generadores de aplicaciones, de formas, de informes, etc. que actan sobre la BD.

Peligros: Es que no se apliquen controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin (L3G). Debido a un inadecuado interfaz entre el L4G y el paquete de seguridad y a la falta de cdigo fuente.Ineficiencia y elevado consumo de recursos, limitaciones que imponen al programador, los cambios que pueden suponer en la metodologa de desarrollo, etc.3528/04/2015Auditoria y Control Interno en un Entorno de BD (Facilidades de Usuario) Herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD. Se deber investigar las medidas de seguridad que ofrecen estas herramientas y bajo qu condiciones han sido instaladas.

Facilidades que ofrecen algunos SGBD que permiten su conexin con paquetes ofimticos, que pueden acceder a la BD e incluso actualizarla. Se deber prestar atencin a los procedimiento de carga y descarga (uploading/downloading) de datos a la base desde los paquetes ofimticos.3628/04/2015Auditoria y Control Interno en un Entorno de BD (Herramientas de Minera de Datos) Almacenes de datos (datawarehouse) y explotacin o minera de datos (datamining). Estas herramientas ofrecen soporte a la toma de decisiones, sobre datos de calidad integrados en el almacn de datos, debindose controlar la poltica de refresco y carga de los datos en el almacn a partir de las BD.3728/04/2015Auditoria y Control Interno en un Entorno de BD (Aplicaciones) Deberemos controlar que las aplicaciones no atentan contra la integridad de los datos de la base.3828/04/2015Tcnicas para el Control de BD en un Entorno Complejo Matrices de Control. Sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos.

Anlisis de los Caminos de Acceso. Se documenta el flujo almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan y los controles asociados. 3928/04/2015Tcnicas para el Control de BD en un Entorno ComplejoEl auditor puede identificar las debilidades que expongan los datos a riesgos de integridad, confidencialidad y seguridad, los distintos interfaces entre componentes y la complecin de los controles.4028/04/2015