auditoria
Páginas: 12 (2995 palabras)
Publicado: 17 de junio de 2013
CONCEPTO
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
–Cuál fue el efecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad
Delegada a IT por la organización frente a las regulaciones y su entorno de
Negocios o actividad.
¿Quiénes participan en la Auditoría de Base de Datos?
– Auditores de Sistemas
– Tecnología de Información
– Cumplimiento Corporativo
– Riesgo Corporativo
– Seguridad CorporativaTérminos similares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
OBJETIVOS PRINCIPALES
Los esfuerzos en seguridad de base de datos
Normalmente están orientados a:
– Impedir el acceso externo
– Impedir el acceso interno a usuarios no autorizados
– Autorizar el acceso sólo a los usuarios autorizados
Con la auditoría de BD se busca:
– Monitorear y registrar el uso de los datos por los usuarios
Autorizados o no
– Mantener trazas de uso y del acceso a bases de datos
– Permitir investigaciones
– General alertas en tiempo real
La mayoría de las nuevas regulaciones federales están relacionadas
Con los datos de las organizaciones, estén o no relacionadas
Directamente con la confidencialidad
– SOX (Controlesinternos y responsabilización por estados
Financieros)
– Gramm Leach Bliley O GLBA (Confidencialidad información)
– FDA-21CFR11 (Actividad en las bases de datos)
- PCI (Información confidencial tarjetas de crédito)
INSTRUMENTOS DE EVALUACION
1. Investigación Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la información relevante para apoyar elexamen que el equipo de Auditoría realizara. El resultado de esta recopilación se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditoría.
a. Conocimiento del negocio y del Sistema.
Información sobre la empresa y su objeto social, sobre sus políticas y normas. Además toda la información referente al Sistema de Bases de Datos.
2. Definirgrupos de riesgos
a. Escenarios de Riesgo Sistema de Bases de Datos.
b. Agrupación.
3. Evaluación del estado de control existente (checklist).
a. Problemas por seguridad en instalaciones y acceso físico.
b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.
c. Causado por la relación Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.EJEMPLO DE APLICACION
- Bancos : Manejar la informacion bancaria de cada cliente y sus datos Personales
- Toda empresa que conste con un Sistema de Base de Datos de su Planilla y colaboradores (Recurso Humanos).
- Colegios y Universidades.
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada enlas bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos.
– Cuándo se accedió a los datos.
– Desde qué tipo de dispositivo/aplicación.
– Desde que ubicación en la Red.
– Cuál fue la sentencia SQL ejecutada.
– Cuál fue el efecto del acceso a la base de datos.
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por laorganización frente a las regulaciones y su entorno de negocios o actividad.
Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
– Mitigar los riesgos asociados con el manejo inadecuado de los datos.
– Apoyar...
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:
– Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
–Cuál fue el efecto del acceso a la base de datos
Es uno de los procesos fundamentales para apoyar la responsabilidad
Delegada a IT por la organización frente a las regulaciones y su entorno de
Negocios o actividad.
¿Quiénes participan en la Auditoría de Base de Datos?
– Auditores de Sistemas
– Tecnología de Información
– Cumplimiento Corporativo
– Riesgo Corporativo
– Seguridad CorporativaTérminos similares a Auditoría de Base de Datos
– Auditoría de Datos
– Monitoreo de Datos
OBJETIVOS PRINCIPALES
Los esfuerzos en seguridad de base de datos
Normalmente están orientados a:
– Impedir el acceso externo
– Impedir el acceso interno a usuarios no autorizados
– Autorizar el acceso sólo a los usuarios autorizados
Con la auditoría de BD se busca:
– Monitorear y registrar el uso de los datos por los usuarios
Autorizados o no
– Mantener trazas de uso y del acceso a bases de datos
– Permitir investigaciones
– General alertas en tiempo real
La mayoría de las nuevas regulaciones federales están relacionadas
Con los datos de las organizaciones, estén o no relacionadas
Directamente con la confidencialidad
– SOX (Controlesinternos y responsabilización por estados
Financieros)
– Gramm Leach Bliley O GLBA (Confidencialidad información)
– FDA-21CFR11 (Actividad en las bases de datos)
- PCI (Información confidencial tarjetas de crédito)
INSTRUMENTOS DE EVALUACION
1. Investigación Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la información relevante para apoyar elexamen que el equipo de Auditoría realizara. El resultado de esta recopilación se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditoría.
a. Conocimiento del negocio y del Sistema.
Información sobre la empresa y su objeto social, sobre sus políticas y normas. Además toda la información referente al Sistema de Bases de Datos.
2. Definirgrupos de riesgos
a. Escenarios de Riesgo Sistema de Bases de Datos.
b. Agrupación.
3. Evaluación del estado de control existente (checklist).
a. Problemas por seguridad en instalaciones y acceso físico.
b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.
c. Causado por la relación Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.EJEMPLO DE APLICACION
- Bancos : Manejar la informacion bancaria de cada cliente y sus datos Personales
- Toda empresa que conste con un Sistema de Base de Datos de su Planilla y colaboradores (Recurso Humanos).
- Colegios y Universidades.
¿Qué es la Auditoría de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada enlas bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos.
– Cuándo se accedió a los datos.
– Desde qué tipo de dispositivo/aplicación.
– Desde que ubicación en la Red.
– Cuál fue la sentencia SQL ejecutada.
– Cuál fue el efecto del acceso a la base de datos.
Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por laorganización frente a las regulaciones y su entorno de negocios o actividad.
Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
– Mitigar los riesgos asociados con el manejo inadecuado de los datos.
– Apoyar...
Leer documento completo
Regístrate para leer el documento completo.