Informe de matriz dofa

Universidad Nacional José Faustino Sánchez Carrión

Facultad de Ingeniería
Escuela Académico Profesional de Ingeniería de Sistemas Escuela Académico Profesional de Ingeniería Informática

&8562  7(0$  7RPDGR SRU 

$8',725Ì$ '( %$6( '( '$726 $8',725Ì$ '( /$ ',5(&&,Ð1
Por: Mario G. Piatinni, Emilio de peso Cáp. 14. “La Auditoría de Base de Datos”. Pp. 311 – 333 Cáp. 10 “Auditoría de ladirección”. Pp. 211 – 229 Editorial Alfaomega, 1996

$8',725,$ (1 7(&12/2*,$ '( /$ ,1)250$&,21

7,78/$&,21 6(0$1$

“AUDITORIA INFORMÁTICA - UNENFOQUE PRÁCTICO”



,

$8',725Ë$ '( %$6(6 '( '$726
 ,1752'8&&,Ï1 0DULR * 3LDWWLQL 9HOWKXLV

&$3Ë78/2 

La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de losrecursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la auditoría informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo,telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.

 0(72'2/2*Ë$6 3$5$ /$ $8',725Ë$ '( %$6(6 '( '$726

Aunqueexisten distintas metodologías que se aplican en auditoría informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia),véase capitulo3, se pueden agrupar en dos clases.  0HWRGRORJtD WUDGLFLRQDO

En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control(FKHFNOLVW),que consta de una serie de cuestiones a verificar. Porejemplo: S ¿Existe una metodología de diseño de BD? El auditor deberá registrar el resultado de su investigación: 6, si la respuesta es afirmativa, 1 en caso contrario, o 1$ (no aplicable). Este tipo de técnica suele ser aplicada a la auditoría de bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Así, por N NA

Un objetivo de control puede llevarasociadas varias técnicas que permiten cubrirlo en su totalidad. Estas técnicas pueden ser preventivas (como la arriba mencionadas), detectivas (como monitorizar los accesos a la BD) o correctivas (por ejemplo, una copia de respaldo –backup–). Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos. Una vez establecidos los objetivos decontrol, se especifican las técnicas específicas correspondientes a dichos objetivos. 7pFQLFDV GH FRQWURO 2EMHWLYR GH FRQWURO Este tipo de metodología, conocida también por ULVN RULHQWHG DSSURDFK es la que propone la ISACA y empieza fijándolos objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. En Touriño y Fernández (1991) se señalan los riesgos másimportantes que lleva consigo la utilización de una base de datos y que se recogen en la figura 14.1  ejemplo, si el auditor se enfrenta a un entorno Oracle 8,en la lista de control se recogerán los parámetros de instalación que mas riesgos comportan, señalando cual es su rango adecuado. De esta manera si el auditor no cuenta con la asistencia de un experto en el producto, puede comprobarpor lo menos los aspectos más importantes de su instalación. )LJXUD  5LHVJRV GHELGRV D OD XWLOL]DFLyQ GH XQD EDVH GH GDWRV 7285,f2 \ )(51È1'(= 
I … '¦¦„c'¨&&%@¨%&H&8&¨&&%%#204¨¢¨¨ tH¦¨%G§¨H¦2&A I £  § ƒ 0 § ¥    ©  ¥ Y  ¥ " ƒ ¥    ¥    ¡   © ‚ 0     0 § 0  §  § ¥  u ¨a&%B#8&T@¦C&%s&%%%&5'¤#¨H&¨%#G'4¨¨G§¨&¨%&T&#§$" 7  0  § ¡  £ 0    ¡   £   § ¥ 0...