Sistemas
Páginas: 5 (1099 palabras)
Publicado: 1 de diciembre de 2012
¿Qué es la Auditoría de BD?: Es el proceso que permite medir, asegura, monitorear, demostrar, registrar Los Accesos a la información Almacenada en las Base de Datos
Determina: Quién accede a los datos, Cuándo se accedió a los datos, Desde qué tipo de dispositivo, Desde que ubicación en la Red, Cuál fue la sentencia SQL ejecutada, Cuál fue el efecto del acceso a la base de datos.
¿Quiénesparticipan en la Auditoría de Base de Datos?: Auditoria de Sistemas, Tecnologia de Informacion, Cumplimiento Corporativo, Riesgo Corporativo, Seguridad Corporativa.
Objetivos Principales: Los esfuerzos en seguridad de base de datos Normalmente están orientados a:
• Impedir el acceso externo
• Impedir el acceso interno a usuarios no autorizados
• Autorizar el acceso sólo a los usuarios autorizadosCon la auditoría de BD se busca:-Monitorear y registrar el uso de los datos por los usuarios Autorizados o no -Mantener trazas de uso y del acceso a bases de datos -Permitir investigaciones -General alertas en tiempo real.
Controles de Base de Datos:Es crítico que se mantengan la integridad y la disponibilidad de la base de datos.Esto se asegura a través de los siguientes controles:
• Establecery ejecutar normas de definición
• Establecer e implementar copias de seguridad de los datos y procedimientos de recuperación para asegurar la disponibilidad de la base de datos.
Planificación de la Auditoria de BD:1. Identificar todas las bases de datos de la organización 2. Clasificar los niveles de riesgo de los datos en las bases de datos 3. Analizar los permisos de acceso 4. Analizar loscontroles existentes de acceso a las bases de datos 5. Establecer los modelos de auditoría de BD a utilizar 6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario
a) Metodología Tradicional: -El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. -En estainvestigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
b) Metodología de evaluación de riesgos: Este tipo de metodología, conocida también por Risk oriented approach es la que propone ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
Objetivos de Control en el Ciclo de Vida de una Base deDatos:
Estudio Previo y Plan de Trabajo: • Estudio Tecnológico de Viabilidad.• El Auditor debe comprobar que la alta dirección revise la información de viabilidad • El Cobit enfatiza en la importancia de una gestión de riesgo • Establecer un plan director
Concepción de la Base de Datos y selección del equipo: • En esta fase se empieza a diseñar la Base de Datos, por que se debe utilizar lametodologías y técnicas • Para la selección de equipos en el
caso que no tuviera, se deberealizar bajo un procedimientoriguroso, en las que se consideren:las necesidades de la empresa, losSGBD, y el impacto que el nuevo software tiene en el sistema y en su seguridad.
Diseño y Carga: -Se lleva a cabo los diseños lógico y físico de la base de datos -El auditor tendrá que examinar si estos diseños se hanrealizado correctamente.
Explotación y Mantenimiento: En esta fase se debe comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante la autorización adecuada.
¬ Clasificación de los objetivos de control para la gestión de datos, ISACA. (1996).
¬Procedimiento de preparación de datos.
¬ Procedimientos de autorización de documentos fuentes
¬ Recogida de datos de documentos fuente.
¬ Manejo de errores de documentos fuente
Revisión post‐implantación:¬ Se debería establecer el...
Determina: Quién accede a los datos, Cuándo se accedió a los datos, Desde qué tipo de dispositivo, Desde que ubicación en la Red, Cuál fue la sentencia SQL ejecutada, Cuál fue el efecto del acceso a la base de datos.
¿Quiénesparticipan en la Auditoría de Base de Datos?: Auditoria de Sistemas, Tecnologia de Informacion, Cumplimiento Corporativo, Riesgo Corporativo, Seguridad Corporativa.
Objetivos Principales: Los esfuerzos en seguridad de base de datos Normalmente están orientados a:
• Impedir el acceso externo
• Impedir el acceso interno a usuarios no autorizados
• Autorizar el acceso sólo a los usuarios autorizadosCon la auditoría de BD se busca:-Monitorear y registrar el uso de los datos por los usuarios Autorizados o no -Mantener trazas de uso y del acceso a bases de datos -Permitir investigaciones -General alertas en tiempo real.
Controles de Base de Datos:Es crítico que se mantengan la integridad y la disponibilidad de la base de datos.Esto se asegura a través de los siguientes controles:
• Establecery ejecutar normas de definición
• Establecer e implementar copias de seguridad de los datos y procedimientos de recuperación para asegurar la disponibilidad de la base de datos.
Planificación de la Auditoria de BD:1. Identificar todas las bases de datos de la organización 2. Clasificar los niveles de riesgo de los datos en las bases de datos 3. Analizar los permisos de acceso 4. Analizar loscontroles existentes de acceso a las bases de datos 5. Establecer los modelos de auditoría de BD a utilizar 6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario
a) Metodología Tradicional: -El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. -En estainvestigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
b) Metodología de evaluación de riesgos: Este tipo de metodología, conocida también por Risk oriented approach es la que propone ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
Objetivos de Control en el Ciclo de Vida de una Base deDatos:
Estudio Previo y Plan de Trabajo: • Estudio Tecnológico de Viabilidad.• El Auditor debe comprobar que la alta dirección revise la información de viabilidad • El Cobit enfatiza en la importancia de una gestión de riesgo • Establecer un plan director
Concepción de la Base de Datos y selección del equipo: • En esta fase se empieza a diseñar la Base de Datos, por que se debe utilizar lametodologías y técnicas • Para la selección de equipos en el
caso que no tuviera, se deberealizar bajo un procedimientoriguroso, en las que se consideren:las necesidades de la empresa, losSGBD, y el impacto que el nuevo software tiene en el sistema y en su seguridad.
Diseño y Carga: -Se lleva a cabo los diseños lógico y físico de la base de datos -El auditor tendrá que examinar si estos diseños se hanrealizado correctamente.
Explotación y Mantenimiento: En esta fase se debe comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante la autorización adecuada.
¬ Clasificación de los objetivos de control para la gestión de datos, ISACA. (1996).
¬Procedimiento de preparación de datos.
¬ Procedimientos de autorización de documentos fuentes
¬ Recogida de datos de documentos fuente.
¬ Manejo de errores de documentos fuente
Revisión post‐implantación:¬ Se debería establecer el...
Leer documento completo
Regístrate para leer el documento completo.