Auditoria de sistemas
Páginas: 10 (2462 palabras)
Publicado: 8 de octubre de 2010
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
– Cuál fue elefecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad.
• ¿Quiénes participan en la Auditoría de Base de Datos?
– Auditores de Sistemas
– Tecnología de Información
– Cumplimiento Corporativo
– Riesgo Corporativo
– Seguridad Corporativa
•Términos similares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
• Los esfuerzos en seguridad de base de datos normalmente están orientados a:
– Impedir el acceso externo
– Impedir el acceso interno a usuarios no autorizados
– Autorizar el acceso sólo a los usuarios autorizados
• Con la auditoría de BD se busca
– Monitorear y registrar el uso de los datos por losusuarios autorizados o no
– Mantener trazas de uso y del acceso a bases de datos
– Permitir investigaciones
– General alertas en tiempo real
Las Regulaciones y la Auditoría de BD
• La mayoría de las nuevas regulaciones federales están relacionadas con los datos de las organizaciones, estén o no relacionadas directamente con la confidencialidad
– SOX (Controles internos y responsabilizaciónpor estados financieros)
– Gramm Leach Bliley O GLBA (Confidencialidad información)
– FDA-21CFR11 (Actividad en las bases de datos)
– PCI (Información confidencial tarjetas de crédito)
• Las recomendaciones institucionales (implícitamente obligatorias)
como Basilea II hacia los diferentes tipos de riesgos, en especial el operacional, están fuertemente relacionadas con la gestión de datos.• SOX 404 y 302 requieren la certificación de los controles internos y la responsabilización por la veracidad de los estados financieros de las organizaciones.
Auditoría de BD y GLBA
• Establece estrictas normas para la protección y divulgación de información privada de los clientes de las instituciones financieras
Auditoría de BD y FDA-CFR11
La regulación FDA-CFR11 requiere elestablecimientode controles sobre el manejo de información electrónica incluyendo:
– Mantener trazas de auditoría sobre los accesos de creación, modificación o eliminación de registros
– Registrar la información de quien hace los cambios, que se modifica y cuando se hacen los cambios
Auditoría de BD y PCI
• El requerimiento número 10 establecido por PCI requiere:
– Tener trazas de auditoría que nopuedan ser alteradas
– Implementar esquemas automáticos de trazas de auditoría para capturar la información de todas las personas que tienen acceso a la información
– Mantener los logs de auditoría por un tiempo mínimo de 3 meses.
Actualmente las empresas poseen gran cantidad de bases de datos que contienen información de alto valor. No solamente guardan datos sensibles para la compañía,como pueden ser registros financieros o cálculos de nómina de los empleados, sino que además almacenan entre otros, datos confidenciales de sus clientes como códigos de tarjetas de crédito o identificaciones fiscales.
La publicación sobre casos de fraude y robos de datos han generado cierta preocupación entre la opinión pública. Por este motivo muchos países occidentales han puesto en marchadiversas normativas legales que den respuesta a este problema.
La combinación de la presión de la opinión pública y las normativas legales obligan a la mayoría de empresas a proteger y auditar sus bases de datos más importantes. Hace algunos años, los administradores de bases de datos (DBAs) eran los encargados de salvaguardar la información, pero ahora se les ve como uno de los aspectos más...
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
– Cuál fue elefecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad.
• ¿Quiénes participan en la Auditoría de Base de Datos?
– Auditores de Sistemas
– Tecnología de Información
– Cumplimiento Corporativo
– Riesgo Corporativo
– Seguridad Corporativa
•Términos similares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
• Los esfuerzos en seguridad de base de datos normalmente están orientados a:
– Impedir el acceso externo
– Impedir el acceso interno a usuarios no autorizados
– Autorizar el acceso sólo a los usuarios autorizados
• Con la auditoría de BD se busca
– Monitorear y registrar el uso de los datos por losusuarios autorizados o no
– Mantener trazas de uso y del acceso a bases de datos
– Permitir investigaciones
– General alertas en tiempo real
Las Regulaciones y la Auditoría de BD
• La mayoría de las nuevas regulaciones federales están relacionadas con los datos de las organizaciones, estén o no relacionadas directamente con la confidencialidad
– SOX (Controles internos y responsabilizaciónpor estados financieros)
– Gramm Leach Bliley O GLBA (Confidencialidad información)
– FDA-21CFR11 (Actividad en las bases de datos)
– PCI (Información confidencial tarjetas de crédito)
• Las recomendaciones institucionales (implícitamente obligatorias)
como Basilea II hacia los diferentes tipos de riesgos, en especial el operacional, están fuertemente relacionadas con la gestión de datos.• SOX 404 y 302 requieren la certificación de los controles internos y la responsabilización por la veracidad de los estados financieros de las organizaciones.
Auditoría de BD y GLBA
• Establece estrictas normas para la protección y divulgación de información privada de los clientes de las instituciones financieras
Auditoría de BD y FDA-CFR11
La regulación FDA-CFR11 requiere elestablecimientode controles sobre el manejo de información electrónica incluyendo:
– Mantener trazas de auditoría sobre los accesos de creación, modificación o eliminación de registros
– Registrar la información de quien hace los cambios, que se modifica y cuando se hacen los cambios
Auditoría de BD y PCI
• El requerimiento número 10 establecido por PCI requiere:
– Tener trazas de auditoría que nopuedan ser alteradas
– Implementar esquemas automáticos de trazas de auditoría para capturar la información de todas las personas que tienen acceso a la información
– Mantener los logs de auditoría por un tiempo mínimo de 3 meses.
Actualmente las empresas poseen gran cantidad de bases de datos que contienen información de alto valor. No solamente guardan datos sensibles para la compañía,como pueden ser registros financieros o cálculos de nómina de los empleados, sino que además almacenan entre otros, datos confidenciales de sus clientes como códigos de tarjetas de crédito o identificaciones fiscales.
La publicación sobre casos de fraude y robos de datos han generado cierta preocupación entre la opinión pública. Por este motivo muchos países occidentales han puesto en marchadiversas normativas legales que den respuesta a este problema.
La combinación de la presión de la opinión pública y las normativas legales obligan a la mayoría de empresas a proteger y auditar sus bases de datos más importantes. Hace algunos años, los administradores de bases de datos (DBAs) eran los encargados de salvaguardar la información, pero ahora se les ve como uno de los aspectos más...
Leer documento completo
Regístrate para leer el documento completo.