auditoria bases de datos
INDICE
01. Introducción
02. Metodologías para la auditoría de bases de datos.
03. Estudio previo y plan de trabajo.
04. Concepción de la base de datos y selección del equipo.
05. Diseño y carga
06. Explotación y mantenimiento.
07. Revisión postimplantación.
01. INTRODUCCIONLa gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la
consagración de los datos como uno de los recursos fundamentales de las empresas, ha
hecho que los temas relativos a su control interno y auditoria cobren, cada día, mayor
interés.
Normalmente la auditoria informática se aplica de dos formas distintas; por un lado se
auditan las principales áreas del departamento de informática: explotación, dirección,
metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos,
etc.; y, por otro, se auditan las aplicaciones desarrolladas internamente,
(subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la
auditoria del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoria de las aplicaciones que utilizan esta tecnología.
02. METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS.
Aunque existen distintas metodologías que se aplican en auditoría informática
(prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se
pueden agrupar en dos clases:
Metodología tradicional. En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a
verificar. Por ejemplo:
¿Existe una metodología de Diseño de Base de Datos? S N NA
(S es si, N no y NA no aplicable), debiendo registrar el auditor el resultado de su
investigación.
Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos: Este tipo de metodología, conocida también
por risk oriented approach, es la que propone la ISACA, y empieza fijando los
objetivos de control que minimizan los riesgos potenciales a los que está sometido el
entorno. A continuación, una lista de los riesgos más importantes según 2 autores:
● Incremento de la “dependencia” del servicio informático debido a la
concentración de datos
● Mayores posibilidades de acceso en la figura del administrador de la base de
datos
● Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el
general de la instalación.
● Mayor impacto de los errores en datos o programas que en los sistemas
tradicionales
●Ruptura de enlaces o cadenas por fallos del software o de los programas de
aplicación
● Mayor impacto de accesos no autorizados al diccionario de la base de datos que
a un fichero tradicional.
● Mayor dependencia del nivel de conocimientos técnicos del personal que realice
tareas relacionadas con el software de base de datos (administrador,
programadores, etc.)Como en la auditoría de desarrollo, se puede seguir la misma metodología, donde se
establecen primeramente:
Objetivo de control (ejemplo: El SGBD deberá preservar la confidencialidad de la
base de datos).
Técnicas de control. Una vez establecidos los objetivos de control, se especifican las
técnicas específicas correspondientes a dichos objetivos (ejemplo: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las
bases de datos).
Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en
su totalidad. Estas técnicas pueden ser preventivas, detectivas (como monitorizar la
BD) o correctivas (por ejemplo, una copia de respaldo o backup)....
Regístrate para leer el documento completo.