Auditoria De Base De Datos
Páginas: 5 (1223 palabras)
Publicado: 29 de octubre de 2012
Auditoria de base de datos
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentenciaSQL ejecutada
– Cuál fue el efecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a tecnología de información por la organización frente a las regulaciones y su entorno de negocios o actividad.
Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadascon el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
– Mitigar los riesgos asociados con el manejo inadecuado de los datos
– Apoyar el cumplimiento regulatorio.
– Satisfacer los requerimientos de los auditores
– Evitar acciones criminales
– Evitar multas por incumplimiento
La importancia de la auditoría del entorno de bases de datos radica en quees el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
La Auditoría de BD es importante porque:
– Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
– Se debe poder demostrar la integridad de la información almacenada en las bases de datos.
– Lasorganizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.
– La información confidencial de los clientes, son responsabilidad de las organizaciones.
– Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio.
– Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.
Deben monitorearseperfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.
Términos similares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
La auditoría de la bases de datos se realiza en base a una metodología. Dicha metodología deriva de un marco de buenas prácticas en seguridad de base de datos aplicado sobre la documentación de la versión de la base dedatos auditada.
Mediante la auditoría de bases de datos se evaluará:
– Definición de estructuras físicas y lógicas de las bases de datos
– Control de carga y mantenimiento de las bases de datos
– Integridad de los datos y protección de accesos
– Estándares para análisis y programación en el uso de bases de datos
– Procedimientos de respaldo y de recuperación de datos.
Planificación de laAuditoria de BD
1. Identificar todas las bases de datos de la organización
2. Clasificar los niveles de riesgo de los datos en las bases de datos
3. Analizar los permisos de acceso
4. Analizar los controles existentes de acceso a las bases de datos
5. Establecer los modelos de auditoría de BD a utilizar
6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuarioMetodologías para la auditoría de Base de Datos
- Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
- Metodología de evaluación de riesgos
Este tipo demetodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
Considerando los riesgos de:
* Dependencia por la concentración de Datos
* Accesos no restringidos en la figura del DBA
* Incompatibilidades entre el sistema de seguridad de accesos...
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentenciaSQL ejecutada
– Cuál fue el efecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a tecnología de información por la organización frente a las regulaciones y su entorno de negocios o actividad.
Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadascon el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
– Mitigar los riesgos asociados con el manejo inadecuado de los datos
– Apoyar el cumplimiento regulatorio.
– Satisfacer los requerimientos de los auditores
– Evitar acciones criminales
– Evitar multas por incumplimiento
La importancia de la auditoría del entorno de bases de datos radica en quees el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
La Auditoría de BD es importante porque:
– Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
– Se debe poder demostrar la integridad de la información almacenada en las bases de datos.
– Lasorganizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.
– La información confidencial de los clientes, son responsabilidad de las organizaciones.
– Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio.
– Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.
Deben monitorearseperfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.
Términos similares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
La auditoría de la bases de datos se realiza en base a una metodología. Dicha metodología deriva de un marco de buenas prácticas en seguridad de base de datos aplicado sobre la documentación de la versión de la base dedatos auditada.
Mediante la auditoría de bases de datos se evaluará:
– Definición de estructuras físicas y lógicas de las bases de datos
– Control de carga y mantenimiento de las bases de datos
– Integridad de los datos y protección de accesos
– Estándares para análisis y programación en el uso de bases de datos
– Procedimientos de respaldo y de recuperación de datos.
Planificación de laAuditoria de BD
1. Identificar todas las bases de datos de la organización
2. Clasificar los niveles de riesgo de los datos en las bases de datos
3. Analizar los permisos de acceso
4. Analizar los controles existentes de acceso a las bases de datos
5. Establecer los modelos de auditoría de BD a utilizar
6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuarioMetodologías para la auditoría de Base de Datos
- Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
- Metodología de evaluación de riesgos
Este tipo demetodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
Considerando los riesgos de:
* Dependencia por la concentración de Datos
* Accesos no restringidos en la figura del DBA
* Incompatibilidades entre el sistema de seguridad de accesos...
Leer documento completo
Regístrate para leer el documento completo.