base datos
Páginas: 8 (1760 palabras)
Publicado: 25 de junio de 2013
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos.
– Cuándo se accedió a los datos.
– Desde qué tipo de dispositivo/aplicación.
– Desde que ubicación en la Red.
– Cuál fue la sentencia SQL ejecutada.
– Cuálfue el efecto del acceso a la base de datos.
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad.
La Auditoría de BD es importante porque:
– Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a lasmismas.
– Se debe poder demostrar la integridad de la información almacenada en las bases de datos.
– Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.
– La información confidencial de los clientes, son responsabilidad de las organizaciones.
– Los datos convertidos en información a través de bases de datos y procesos de negocios representanel negocio.
– Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.
METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS
Aunque existen distintas metodologías que se aplican en auditoria informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases:
Metodología tradicional
Metodología de evaluación de riesgosMetodología tradicional.- En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:
¿Existe una metodología de diseño de Base de Datos?
S N NA
Metodología de evaluación de riesgos: Este tipo de metodología, conocida también por ROA risk oriented approach, es la que propone laISACA, y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
Protocolos y Sistemas distribuidos
Protocolos:
Conjunto de reglas que son utilizadas para establecer una comunicación en su forma más simple entre determinados procesos para cumplir una determinada tarea, siendo respetadas para el envío y la recepción de datos a través deuna red.
Sistemas Distribuidos
Un sistema distribuido se define como una colección de computadoras separadas físicamente y conectadas entre sí por una red de comunicaciones distribuida; cada máquina posee sus componentes de hardware y software que el usuario percibe como un solo sistema El usuario accede a los recursos remotos (RPC) de la misma manera en que accede a recursos locales, o un grupode computadores que usan un software para conseguir un objetivo en común.
Protocolos y Sistemas distribuidos
Cada vez mas se esta accediendo a la base de datos a través de las redes con lo que el riesgo de violación de la confidencialidad e integridad se acentúa . También las bases de datos distribuidas pueden presentar graves riesgos de seguridad
Diccionario de Datos
Un diccionario de datoscontiene las características lógicas de los datos que se van a utilizar en el sistema que estamos diseñando, incluyendo nombre, descripción, contenido y el nombre de dicha unidad responsable.
Estos diccionarios se desarrollan durante el análisis de flujo de datos y ayuda a los analistas que participan en la determinación de los requerimientos del sistema, su contenido también se emplea duranteel diseño del proyecto.
Las herramientas CASE
son diversas aplicaciones informáticas destinadas a aumentar la productividad en el desarrollo de software reduciendo el costo de las mismas en términos de tiempo y de dinero.
IPsec
un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de...
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos.
– Cuándo se accedió a los datos.
– Desde qué tipo de dispositivo/aplicación.
– Desde que ubicación en la Red.
– Cuál fue la sentencia SQL ejecutada.
– Cuálfue el efecto del acceso a la base de datos.
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad.
La Auditoría de BD es importante porque:
– Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a lasmismas.
– Se debe poder demostrar la integridad de la información almacenada en las bases de datos.
– Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.
– La información confidencial de los clientes, son responsabilidad de las organizaciones.
– Los datos convertidos en información a través de bases de datos y procesos de negocios representanel negocio.
– Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.
METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS
Aunque existen distintas metodologías que se aplican en auditoria informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases:
Metodología tradicional
Metodología de evaluación de riesgosMetodología tradicional.- En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:
¿Existe una metodología de diseño de Base de Datos?
S N NA
Metodología de evaluación de riesgos: Este tipo de metodología, conocida también por ROA risk oriented approach, es la que propone laISACA, y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
Protocolos y Sistemas distribuidos
Protocolos:
Conjunto de reglas que son utilizadas para establecer una comunicación en su forma más simple entre determinados procesos para cumplir una determinada tarea, siendo respetadas para el envío y la recepción de datos a través deuna red.
Sistemas Distribuidos
Un sistema distribuido se define como una colección de computadoras separadas físicamente y conectadas entre sí por una red de comunicaciones distribuida; cada máquina posee sus componentes de hardware y software que el usuario percibe como un solo sistema El usuario accede a los recursos remotos (RPC) de la misma manera en que accede a recursos locales, o un grupode computadores que usan un software para conseguir un objetivo en común.
Protocolos y Sistemas distribuidos
Cada vez mas se esta accediendo a la base de datos a través de las redes con lo que el riesgo de violación de la confidencialidad e integridad se acentúa . También las bases de datos distribuidas pueden presentar graves riesgos de seguridad
Diccionario de Datos
Un diccionario de datoscontiene las características lógicas de los datos que se van a utilizar en el sistema que estamos diseñando, incluyendo nombre, descripción, contenido y el nombre de dicha unidad responsable.
Estos diccionarios se desarrollan durante el análisis de flujo de datos y ayuda a los analistas que participan en la determinación de los requerimientos del sistema, su contenido también se emplea duranteel diseño del proyecto.
Las herramientas CASE
son diversas aplicaciones informáticas destinadas a aumentar la productividad en el desarrollo de software reduciendo el costo de las mismas en términos de tiempo y de dinero.
IPsec
un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de...
Leer documento completo
Regístrate para leer el documento completo.