auditoria de base de datos
Páginas: 28 (6797 palabras)
Publicado: 4 de marzo de 2014
CAPÍTULO
14
AUDITORIA DE BASES DE DATOS
Mario G. Piattini Velthuis
14.1. TNTRODUCCTON
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto
con la consagración de los datos como uno de los recursos fundamentales de las
empresas, ha hecho que los temas relativos a su control interno y auditoría cobren,
cada día. mavor interés.
Como ya se ha comentado.normalmente la auditoría informática se aplica de dos
formas distintas; por un lado, se auditan las principales áreas del departamento de
informática: explotación, dirección, metodología de desarrollo, sistema operativo.
telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones
(desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la
empresa. Laimportancia de la auditoría del entorno de bases de datos radica en que es
el punto de partida para poder realizar la auditoría de las aplicaciones que utilizan esta
tecnología.
14.2. METODOLOGIAS PARA LA AUDITORIA DE BASES DE
DATOS
Aunque existen distintas metodologías que se aplican en auditoría informática
(prácticamente cada flnna de auditores y cada empresa desarrolla la suya propia),
véaseCapítulo 3, se pueden agrupar en dos clases.
I
Il
1
4.2.1. Metodología tradicional
AUDITORIA INFORMATICA: tlN FlNFOQtlt'l PRACTÍCO
O RA
\IA
En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista
de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:
SNNA
¿Existe nna metodología de diseño de BD?
El auditordeberá, registrar el resultado de su investigación: S. si la respuesta es
afirmativa, N, en caso contrario, o NA (no aplicable).
Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de
datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Así.
por ejemplo. si el auditor se enfrenta a un entorno Oracle 8, en la lista de control serecogerán los parámetros de instalación que más riesgos comportan. señalando cuál es
su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de un
experto en el producto. puede comprobar por lo menos los aspectos más importantes
de su instalación.
14.2.2. Metodología de evaluac¡ón de r¡esgos
Este tipo de metodología, conocida también por risk oriented approach, es la quepropone la ISACA,
y
empieza fijando los objetivos de control que mininizan los
riesgos potenciales a los que está sometido el entorno. En Touriño y Fernández (1991)
se señalan los riesgos más importantes que lleva consigo la utilización de una base de
datos y que se recogen en la figura 14. l.
Considerando estos riesgos, se podría definir por ejemplo el siguiente:
Objetivo deControl:
El SGBD deberá preservar la confidencialidad de la base de datos.
Una vez establecidos los objetivos de control. se especifican las
técnicas
específicas correspondientes a dichos objetivos:
Técnica de Control:
Se deberán establecer los tipos de usuarios. perfiles y privilegios necesarios para
controlar el acceso a la base de datos.
t
¡) RA-l\4A
\PITL t-o
ll:AUDITORIA DE BASES DE DATOS I l3
INCREMENTO DE IA'DEPENDENCIA' t'EI. SERVICIO INTORMAIICO
DEBIDO A I.A CONCENIRACION DE OATOS
MAYORES POSIBITIDADES DE ACCESO EN I.A TIGURA DEI.
ADMINISTRADOR DE TA EASE DE DATOS
INCOMPATIEII,IDADES ENTRE SISTEMAS DE SEGURIDAD DE ACCESO
PPOPIOS DEt SGSD Y EI. CENERAI. OE IA INSTALACION
MAYOR IMPACTO DE IOS ERRORES EN DAIOS
I.OS SISIEMAS IRADICIONATES
OPROGRAMAS OUE
RUPIURA DE €NLACES O CADENAS POR FAII.OS DET SOTIWARE
IOS PROGRAMAS OE APIICACION
O
EN
DE
MAYOR IMPACTO DE ACCESOS NO AUIORIZADOS AI. DICCIONARIO
tA BASE DE DATOS OUE A UN TICHERO IRAOICIONAT
DE
MAYOR DEPENDENCIA DEI. NIVEI DE CONOCIMIENTOS IECNICOS DEI
PERSONAI. OUE REAIICE TAREAS REI.ACIONADAS CON ET SOFIWAPE
DE BASE DE DA1OS (ADMINISIRADOR, PROGPAMADORES,...
14
AUDITORIA DE BASES DE DATOS
Mario G. Piattini Velthuis
14.1. TNTRODUCCTON
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto
con la consagración de los datos como uno de los recursos fundamentales de las
empresas, ha hecho que los temas relativos a su control interno y auditoría cobren,
cada día. mavor interés.
Como ya se ha comentado.normalmente la auditoría informática se aplica de dos
formas distintas; por un lado, se auditan las principales áreas del departamento de
informática: explotación, dirección, metodología de desarrollo, sistema operativo.
telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones
(desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la
empresa. Laimportancia de la auditoría del entorno de bases de datos radica en que es
el punto de partida para poder realizar la auditoría de las aplicaciones que utilizan esta
tecnología.
14.2. METODOLOGIAS PARA LA AUDITORIA DE BASES DE
DATOS
Aunque existen distintas metodologías que se aplican en auditoría informática
(prácticamente cada flnna de auditores y cada empresa desarrolla la suya propia),
véaseCapítulo 3, se pueden agrupar en dos clases.
I
Il
1
4.2.1. Metodología tradicional
AUDITORIA INFORMATICA: tlN FlNFOQtlt'l PRACTÍCO
O RA
\IA
En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista
de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:
SNNA
¿Existe nna metodología de diseño de BD?
El auditordeberá, registrar el resultado de su investigación: S. si la respuesta es
afirmativa, N, en caso contrario, o NA (no aplicable).
Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de
datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Así.
por ejemplo. si el auditor se enfrenta a un entorno Oracle 8, en la lista de control serecogerán los parámetros de instalación que más riesgos comportan. señalando cuál es
su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de un
experto en el producto. puede comprobar por lo menos los aspectos más importantes
de su instalación.
14.2.2. Metodología de evaluac¡ón de r¡esgos
Este tipo de metodología, conocida también por risk oriented approach, es la quepropone la ISACA,
y
empieza fijando los objetivos de control que mininizan los
riesgos potenciales a los que está sometido el entorno. En Touriño y Fernández (1991)
se señalan los riesgos más importantes que lleva consigo la utilización de una base de
datos y que se recogen en la figura 14. l.
Considerando estos riesgos, se podría definir por ejemplo el siguiente:
Objetivo deControl:
El SGBD deberá preservar la confidencialidad de la base de datos.
Una vez establecidos los objetivos de control. se especifican las
técnicas
específicas correspondientes a dichos objetivos:
Técnica de Control:
Se deberán establecer los tipos de usuarios. perfiles y privilegios necesarios para
controlar el acceso a la base de datos.
t
¡) RA-l\4A
\PITL t-o
ll:AUDITORIA DE BASES DE DATOS I l3
INCREMENTO DE IA'DEPENDENCIA' t'EI. SERVICIO INTORMAIICO
DEBIDO A I.A CONCENIRACION DE OATOS
MAYORES POSIBITIDADES DE ACCESO EN I.A TIGURA DEI.
ADMINISTRADOR DE TA EASE DE DATOS
INCOMPATIEII,IDADES ENTRE SISTEMAS DE SEGURIDAD DE ACCESO
PPOPIOS DEt SGSD Y EI. CENERAI. OE IA INSTALACION
MAYOR IMPACTO DE IOS ERRORES EN DAIOS
I.OS SISIEMAS IRADICIONATES
OPROGRAMAS OUE
RUPIURA DE €NLACES O CADENAS POR FAII.OS DET SOTIWARE
IOS PROGRAMAS OE APIICACION
O
EN
DE
MAYOR IMPACTO DE ACCESOS NO AUIORIZADOS AI. DICCIONARIO
tA BASE DE DATOS OUE A UN TICHERO IRAOICIONAT
DE
MAYOR DEPENDENCIA DEI. NIVEI DE CONOCIMIENTOS IECNICOS DEI
PERSONAI. OUE REAIICE TAREAS REI.ACIONADAS CON ET SOFIWAPE
DE BASE DE DA1OS (ADMINISIRADOR, PROGPAMADORES,...
Leer documento completo
Regístrate para leer el documento completo.