Informatica
Páginas: 6 (1486 palabras)
Publicado: 18 de junio de 2010
Articulos online
Auditoría de bases de datos: El camino hacia la solución |
por Ricardo Sandoval, Quest Software México el 18 de julio de 2009 |
Visitas: | 4090 |
|
Calificación promedio: | (0 voto) |
|
| | | |
|
|
Actualmente las empresas poseen gran cantidad de bases de datos que contienen información de alto valor. No solamente guardan datos sensiblespara la compañía, como pueden ser registros financieros o cálculos de nómina de los empleados, sino que además almacenan entre otros, datos confidenciales de sus clientes como códigos de tarjetas de crédito o identificaciones fiscales.
La publicación sobre casos de fraude y robos de datos han generado cierta preocupación entre la opinión pública. Por este se han puesto en marcha diversasnormas legales que den respuesta a este problema.
La combinación de la presión de la opinión pública y las normas legales obligan a la mayoría de empresas a proteger y auditar sus bases de datos más importantes. Hace algunos años, los administradores de bases de datos (DBAs) eran los encargados de salvaguardar la información, pero ahora se les ve como uno de los aspectos más vulnerables. Estasituación ha generado cierta tensión con parte de los auditores a la hora de encontrar una solución aceptable para todos. |
El camino hacia el cumplimiento de normas
Hasta hace bien poco, las organizaciones no eran precisamente muy cuidadosas a la hora de cumplir con sus obligaciones respecto a la seguridad de la información contenida en sus bases de datos. No obstante, la forma tan repentina ysorprendente en que se han empezado a poner en evidencia los resultados de las auditorías y los requisitos de cumplimiento obligatorio e ineludible a que deben hacer frente tanto las organizaciones como las personas responsables, están ocasionando problemas realmente importantes.
El primero y más inmediato es el de la educación y la comunicación. ¿Qué significa proteger y auditar una base de datos?¿Qué es lo que me pide el auditor? El uso de cierta terminología utilizada en auditoría que puede ser desconocida para los afectados obliga a aprender los conceptos básicos para poder comunicarse bien con los auditores.
Los DBAs no solo deben tener un conocimiento preciso de las bases de datos en uso, sino también de qué tipo de datos hay en cada una y quién accede a ellas. Cuando los DBAs seenfrentan a centenares de bases de datos, esta labor se convierte en un proceso largo, al cual se suele referir como “catalogación de activos”.
Una vez terminada la contabilización de todos los activos básicos –entre otros las bases de datos, los propios datos y los usuarios-, se pasa a la segunda fase. En ella se han de identificar las bases de datos con información sensible. Con su ayuda, losauditores pueden determinar qué bases de datos contienen información sujeta a medidas especiales de seguridad. Conforme aumenta el número de bases de datos de este tipo, también aumenta la carga de trabajo para garantizar su seguridad.
Mantener un estricto control de seguridad de una base de datos es una tarea complicada. Solamente puede darse acceso a aquellas personas que lo necesitan, ytiene que restringirse a aquel conjunto mínimo de objetos que cada uno necesita. Además es importante también documentar cada cambio que se haga sobre la configuración de la base de datos a partir de ese momento, y las políticas que lo garantizan, a fin de mantener a lo largo del tiempo el nivel de seguridad establecido inicialmente.
La auditoría exige la revisión de todas y cada una de lasactividades producidas dentro de la base de datos y asegurarse de que se corresponden fielmente con las decisiones acordadas con los auditores. Si no se dispone de las herramientas necesarias, es simplemente imposible.
El problema de la auditoría
El concepto de auditoría abarca todo lo que tiene que ver con los riesgos y el control. Se tiene que identificar los riesgos y establecer los controles...
Auditoría de bases de datos: El camino hacia la solución |
por Ricardo Sandoval, Quest Software México el 18 de julio de 2009 |
Visitas: | 4090 |
|
Calificación promedio: | (0 voto) |
|
| | | |
|
|
Actualmente las empresas poseen gran cantidad de bases de datos que contienen información de alto valor. No solamente guardan datos sensiblespara la compañía, como pueden ser registros financieros o cálculos de nómina de los empleados, sino que además almacenan entre otros, datos confidenciales de sus clientes como códigos de tarjetas de crédito o identificaciones fiscales.
La publicación sobre casos de fraude y robos de datos han generado cierta preocupación entre la opinión pública. Por este se han puesto en marcha diversasnormas legales que den respuesta a este problema.
La combinación de la presión de la opinión pública y las normas legales obligan a la mayoría de empresas a proteger y auditar sus bases de datos más importantes. Hace algunos años, los administradores de bases de datos (DBAs) eran los encargados de salvaguardar la información, pero ahora se les ve como uno de los aspectos más vulnerables. Estasituación ha generado cierta tensión con parte de los auditores a la hora de encontrar una solución aceptable para todos. |
El camino hacia el cumplimiento de normas
Hasta hace bien poco, las organizaciones no eran precisamente muy cuidadosas a la hora de cumplir con sus obligaciones respecto a la seguridad de la información contenida en sus bases de datos. No obstante, la forma tan repentina ysorprendente en que se han empezado a poner en evidencia los resultados de las auditorías y los requisitos de cumplimiento obligatorio e ineludible a que deben hacer frente tanto las organizaciones como las personas responsables, están ocasionando problemas realmente importantes.
El primero y más inmediato es el de la educación y la comunicación. ¿Qué significa proteger y auditar una base de datos?¿Qué es lo que me pide el auditor? El uso de cierta terminología utilizada en auditoría que puede ser desconocida para los afectados obliga a aprender los conceptos básicos para poder comunicarse bien con los auditores.
Los DBAs no solo deben tener un conocimiento preciso de las bases de datos en uso, sino también de qué tipo de datos hay en cada una y quién accede a ellas. Cuando los DBAs seenfrentan a centenares de bases de datos, esta labor se convierte en un proceso largo, al cual se suele referir como “catalogación de activos”.
Una vez terminada la contabilización de todos los activos básicos –entre otros las bases de datos, los propios datos y los usuarios-, se pasa a la segunda fase. En ella se han de identificar las bases de datos con información sensible. Con su ayuda, losauditores pueden determinar qué bases de datos contienen información sujeta a medidas especiales de seguridad. Conforme aumenta el número de bases de datos de este tipo, también aumenta la carga de trabajo para garantizar su seguridad.
Mantener un estricto control de seguridad de una base de datos es una tarea complicada. Solamente puede darse acceso a aquellas personas que lo necesitan, ytiene que restringirse a aquel conjunto mínimo de objetos que cada uno necesita. Además es importante también documentar cada cambio que se haga sobre la configuración de la base de datos a partir de ese momento, y las políticas que lo garantizan, a fin de mantener a lo largo del tiempo el nivel de seguridad establecido inicialmente.
La auditoría exige la revisión de todas y cada una de lasactividades producidas dentro de la base de datos y asegurarse de que se corresponden fielmente con las decisiones acordadas con los auditores. Si no se dispone de las herramientas necesarias, es simplemente imposible.
El problema de la auditoría
El concepto de auditoría abarca todo lo que tiene que ver con los riesgos y el control. Se tiene que identificar los riesgos y establecer los controles...
Leer documento completo
Regístrate para leer el documento completo.