Auditoría de bases de datos

22
Auditoría de bases de datos

Transcript of Auditoría de bases de datos

Page 1: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 1/22

Auditoría de bases de

datos

Page 2: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 2/22

Introducción

La gran difusión de los Sistemas de Gestión deBases de Datos (SGBD), junto con laconsagración de los datos como uno de losrecursos fundamentales de las empresas, hahecho que los temas relativos a su controlinterno y auditoría cobren, cada día, mayor interés.

Page 3: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 3/22

Metodologías para la Auditoríade bases de datos

 Aunque existen distintas metodologías que seaplican en auditoría informática (prácticamentecada firma de auditores y cada empresadesarrolla la suya propia), se pueden agrupar en dos clases:

Metodología tradicional.

Metodología de evaluación de riesgos.

Page 4: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 4/22

Metodología tradicional

En este tipo de metodología el auditor revisa elentorno con la ayuda de una lista de control(checklist), que consta de una serie de cuestionesa verificar. Este tipo de técnica suele ser aplicada

a la auditoría de productos de bases de datos,especificándose en la lista de control todos losaspectos a tener en cuenta.

Page 5: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 5/22

Metodología de evalución deevaluación de riesgos

Este tipo de metodología, concida también por riskoriented approach, es la que propone la ISACA, yempieza fijando los objetivos de control que

minimizan los riesgos potenciales alos que estásometido el entorno.

ISACA = Information Systems Audit and Control

 Association.

Page 6: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 6/22

Objetivos de Control en el ciclode vida de una base de datos

 A continuación expondremos algunos objetivos ytécnicas de control a tener en cuenta a lo largodel ciclo de vida de una base de datos:

1. Estudio previo y plan de trabajo.2. Concepción de la base de datos y selección del

equipo.

3. Diseño y carga.

4. Explotación y mantenimiento.

5. Revisión post  – implantación

6. Otros procesos auxiliares.

Page 7: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 7/22

1. Estudio previo y plan de trabajo:

El auditor debe comprobar también que la altadirección revisa los informes de los estudios deviabilidad y que es la que decide seguir adelante ono con el proyecto.

Esto es fundamental porque los técnicos han detener en cuenta que si no existe una voluntad dela organización, impulsada por los directivos,aumenta considerablemente el riesgo de fracasar 

en la implantación del sistema.

Page 8: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 8/22

En esta fase se empieza a diseñar la base de datos.El auditor debe, en primer lugar, analizar lametodología de diseño con el fin de determinar si es

o no aceptable, y luego comprobar su correctautilización. Una metodología de diseño de BD debecontemplar dos fases de diseño: lógico,físico y undiseño conceptual que sería abordado en el ciclo devida de la BD.

2. Concepción de la base de datos y

selección del equipo:

Page 9: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 9/22

En esta fase se llevarán a cabo los diseños lógico yfísico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se hanrealizado correctamente. Es importante que la

dirección del departamento de informática, losusuarios y la alta dirección, aprueben el diseño delos datos, al igual que el de las aplicaciones.

3. Diseño y Carga

Page 10: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 10/22

4. Explotación y mantenimiento:

Una vez realizadas las pruebas de aceptación, conla participación de los usuarios, el sistema sepondrá en explotación.

En esta fase, se debe comprobar que se establecen

los procedimientos de explotación ymantenimiento que aseguren que los datos setratan de forma congruente y exacta y que elcontenido de los sistemas sólo se modificamediante la autorización adecuada

Page 11: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 11/22

5. Revisión post implantación:

Se debería establecer el desarrollo de un plan paraefectuar una revisión post implantación después detodo sistema nuevo o modificado para evaluar:

se han conseguido los resultados esperados.

Se satisfacen las necesidades de los usuarios.

Los costes y beneficios coinciden con los previstos.

Page 12: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 12/22

6. Otros aspectos auxiliares:

 A lo largo de todo el ciclo de vida de la BD sedeberá controlar la formación tanto de usuariosinformáticos como de no informáticos , ya que laformación es una de las claves para minimizar el

riesgo en la implantación de la base de datos.

Page 13: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 13/22

Entorno de base de datos

CASE

AUDITORIACONFIDEN.

PRIVACIDAD.

L4G

CATALOGONUCLEO

KERNEL

SEGURIDAD.

RECUPER.

SGBD 

MONITOR 

TRANSAC.

SO

SISTEMA DE

MONIT./AJUSTE

SOFTWARE DE

AUDITORIA

AUDITORIA

AUDITORIA

AUDITORIA

REPOSITORIO

PROTOCOLOS Y

SISTEMAS

DISTRIB

MINERIA DE

DATOS

FACILIDADES DE

USUARIO

EL AUDITOR 

APLICACIONES

Page 14: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 14/22

En el desarrollo y mantenimiento de sistemasinformáticos en entorno de base de datos,debería considerarse el control, la integridad yla seguridad de los datos compartidos por múltiples usuarios. Esto debe abarcar a todoslos componentes de la base de datos .

Auditoria y control interno en un

entorno de Base de datos

Page 15: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 15/22

Sistema de Gestión de Base de datos : Cuyos componentes son el Kernel, catalogo, copias deseguridad ficheros, etc.

Software de auditoria : 

Paquetes que pueden emplearse para facilitar la labor 

del auditor.

Sistemas de monitoreo y ajuste : 

Este tipo de sistemas complementan las facilidadesofrecidas por el SGBD, ofreciendo mayor información

para optimizar el sistema. Sistema operativo : 

Pieza clave del entorno , puesto que el SGBD, seapoyara en mayor o menor medida.

Continuación....

Page 16: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 16/22

Monitor de transacciones : 

Es un elemento mas del entorno conresponsabilidades de confidencialidad y rendimiento.

Protocolos y Sistemas distribuidos : 

Cada vez mas se esta accediendo a la base de datos atravez de redes , con lo que se incrementa el riesgo de

violación de la confidencialidad e integridad.

Paquete de seguridad : 

Existe variedad de productos en el mercado quepermiten la implantación efectiva de una política de

seguridad, puesto que centralizan el control de acceso,la definición de privilegios, perfiles de usuario, etc.

Diccionario de datos : 

Los propios diccionarios se pueden auditar de maneraanáloga a la base de batos.

Continuación....

Page 17: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 17/22

  Herramientas case : 

Constituye una herramienta clave para que el auditor pueda revisar el diseño de la base de datos, comprobar si se ha desarrollado correctamente la metodología yasegurar un nivel mínimo de calidad.

Lenguajes de cuarta generación : 

Unos de los peligros mas graves de los L4G es que nose apliquen controles con el mismo rigor que a losprogramas desarrollados con lenguajes de tercera

generación, esto debido a una inadecuada interfazentre el L4G y el paquete de seguridad y la falta delcódigo fuente .

Continuación....

Page 18: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 18/22

Facilidades de usuario : 

Las aplicaciones desarrolladas empleando facilidadesde usuario deben seguir los mismos sólidos principiosde control y tratamiento de errores que el resto.

Herramienta de minería de datos : 

Controlar la política de refresco y carga de los datos enel almacén a partir de las bases de datos operacionalesexistentes, así como la existencia de mecanismos deretroalimentación, que modifican las bases de datosoperacionales a partir de los datos del almacén.

 Aplicaciones : Se debe controlar que las aplicaciones no ateten contrala integridad de los datos de la base.

Continuación....

Page 19: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 19/22

Matrices de control

Análisis de caminos de acceso

Técnicas Para El Control de Base De

Datos:

Page 20: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 20/22

Matrices de control

Estas matrices, como la que aparece, sirven para identificar 

los conjuntos de datos del SI junto con los controles deseguridad o integridad implementados sobre los mismos.

DATOS

CONTROLES DE SEGURIDAD

Preventivos Detectivos Correctivos

Transacciones

De entrada

Verificación Informe dereconciliación

-

Registros debase de datos

Cifrado Informe deexcepción

Copia deseguridad

Page 21: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 21/22

Análisis de los Caminos deAcceso

SOFTWARE

DE

AUDITORIA

SOFTWARE

DE

AUDITORIA

SOFTWARE

DE

AUDITORIA

SOFTWARE

DE

AUDITORIA

SOFTWAR 

E DE

AUDITORI

ADATOS

CONTROLES

DIVERSOS

COPIAS DE SEGURIDAD

FICHERO DIARIO

INTEGRIDAD DE DATOS

CONTROL DE CACESO

CONTROL DE INTEGRIDAD

DE DATOS

CONTROL ACCESO

REGISTRO DE ACCESO

INFORME DE EXCEPCIONES

CONTROL ACCESO

REGISTRO DE TRANSA

TRANSACCIONES

ORDENADOR 

PERSONAL

USUARIO

SEGURIDAD

CIFRADO

FORMACION

CONTROLES

PROCEDIMIENTO

CONTROL ACCESO CIFRADO

CONTROL INTEGRIDAD

Page 22: Auditoría de bases de datos

7/15/2019 Auditoría de bases de datos

http://slidepdf.com/reader/full/auditoria-de-bases-de-datos-56327e93aa80f 22/22

Con esta técnica se docuementan el flujo,almacenamiento y procesamiento de los datos entodas las fases por las que pasan desde el

mismo momento en que se introducen,identificando los componentes del sistema queatraviesa.

Análisis de los Caminos deAcceso