SlideShare una empresa de Scribd logo

Cap #4 5

Descargar como DOCX, PDF
H
hmitre17
1 de 8
AUDITORIA DE BASE DE DATOS La Auditoría Informática o basada en base de datos es una ciencia aplicada, que proviene de la auditoría general, y pretende realizar una revisión exhaustiva del trabajo que se realiza en la Informática y que los controles que se aplican en los diferentes niveles donde interviene sean los adecuados. La auditoria de base de datos se puede agrupar en dos clases: Metodología tradicional: en esta etapa el auditor revisa el entorno con la ayuda de una lista que se compone de una serie de cuestiones a verificar. Este tipo de técnica suele ser aplicada a la auditoria de productos de base de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Metodología de evaluación de riesgo: también conocida por risk oriented approach, es la que propone ISACA, y empieza fijándose los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS Son técnica de control a tener en cuenta a lo largo del ciclo de vida de una base de datos. Estudio previo y plan de trabajo: es muy importante elaborar un estudio tecnológico de viabilidad en el cual se completen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. En esta fase se debe comprobar la estructura orgánica no solo del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión y control de base de datos. Concepción de la base de datos y selección de equipo: en esta fase se empieza a diseñar la base de datos, por lo que deben utilizarse los modelos y las técnicas definidas en la metodología de desarrollo de sistema. La metodología de diseño debería también emplearse para especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoría a incluir en el sistema. El auditor debe en primer lugar analizar la metodología de diseño con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilización. la metodología de diseño conlleva dos fases: física y lógica
Diseño y carga: en esta fase se lleva a cabo los diseño físico y lógico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizados correctamente; determinando si la definición de los datos contemplan además de su estructura las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relacionadas a la seguridad. El auditor tendrá que tomar una muestra de cierto elementos (tabla, vista, índice) y comprobar que su definición es completa En aspecto importante es el tratamiento de datos en entrada erróneo, para lo que deben cuidarse con atención los procedimientos de reintroducción de forma que no disminuyan los controles. Explotación y mantenimiento: en esta fase se deben comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta Revisión post-implantación: aunque es utilizada en pocas empresas por falta de tiempo, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:  Se han conseguidos los resultados esperados  Se satisface las necesidades de los usuarios  Los costes y beneficios coinciden con los previstos. Otros procesos auxiliares: a lo largo del ciclo de vida de una base de datos se deberá controlar la formación que precisan tantos los usuarios informáticos (administradores, analistas, programadores. Etc. ) como no informáticos, ya que la formación es una de las claves para minimizar el riesgo en la implantación de una base de datos. El auditor tendrá que revisar la documentación que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por la metodología adoptada por la empresa
AUDITORÍA Y CONTROL INTERNO EN UN ENTRONO DE LA BASE DE DATOS Dentro de esta se estudia en sistema de gestión de base de datos y su entorno Sistema de gestión de base de datos (SGBD): se destaca el núcleo (kernel), el catalogo (componente fundamental para asegurar la seguridad en la base de datos). Las utilidades para el administrador en la base de datos entre las que se suelen encontrar algunas para crear usuarios, conceder privilegios, y resolver otras cuestiones relativas a la confiablidad. En cuanto a las funciones de auditoría que ofrece el propio sistema prácticamente todos los productos del mercado permiten registrar ciertas operaciones realizadas sobre la base de datos en el fichero. Software de auditoría: son paquetes o programas que pueden emplearse para facilitar la labor del auditor, en cuanto la extracción de datos, seguimientos de las transacciones, datos de prueba, etc. Sistema de monitorización y ajuste (tuning): este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor información para optimizar el sistema
Sistemas operativos (SO):el SO es una pieza clave del entorno, puesto que el SGBD se apoyara, en mayor medida en los servicios que le ofrezca el SO en cuanto al control de memoria, gestión de áreas de almacenamiento interno, manejo de errores, control de confiabilidad y mecanismos de interbloqueo. Monitor de transacción: es un elemento más del entorno con responsabilidades de confiabilidad y rendimiento. Protocolos de sistemas distribuidos: establece cinco objetivos de control a la hora de revisar la distribución de datos. 1. El sistema de proceso distribuido tiene que tener una función de administración de datos centralizada 2. Deben establecerse unas funciones de administración de datos y de base de datos fuerte. 3. Deben existir pistas de auditoría para todas las actividades realizadas por la aplicación contra sus propias bases de datos y otras compartidas. 4. Deben existir controles software para prevenir interferencias de actualización sobre la base de datos en sistemas distribuido 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuido. Paquete de seguridad: permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de acceso, la definición de privilegios y perfiles de usuarios. Diccionario de datos: este tipo de sistemas se implantaron en los años 70, juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de los datos Los propios diccionarios se pueden auditar de manera análoga a la base de datos, ya que son base de metadatos
Herramientas case (computer aided system software):este tipo de herramientas suelen llevar incorporado un diccionario de datos amplios (enciclopedias o repositorio) en los que se almacenan información sobre datos, programas y usuarios. Lenguaje de cuarta generación (L4G) independientes: se ofrecen varios objetivos de control para los L4G entre los que se destacan:  El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados  Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de autorización y petición que los proyectos de desarrollo convencionales  Las aplicaciones desarrolladas con L4G deben sacar ventaja de las características incluidas en los mismos. Uno de los peligros más graves de L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con tercera generación Facilidades de usuarios: las aplicaciones que utilicen este proceso deben seguir los mismos sólidos principios de control y tratamiento de errores que el resto. Herramientas de minería de datos: esta herramienta ofrece soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos. Aplicaciones: el auditor debe controlar que las aplicaciones no atenten contra la integridad de los datos de la base. Técnicas para el control de base de datos en un entorno complejo: existen técnicas importantes como debilitar la seguridad del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados. Emplea dos técnicas de control; matrices de control y análisis de los caminos de acceso.
 matrices de control: sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos.  análisis de los caminos de acceso: con esta técnica se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el momento en que se introducen, identificando los componentes del sistema que atraviesan.
CONCLUSION El trabajo de auditoría, nos trae a aportar valiosos elementos que sirven de punto de enfoque para conocer y hacer un análisis de mejor la forma en cómo se trabaja, las labores que se deben cumplir para mejorar y mantener siempre un norte firme, que puede ser interrumpido por la falta de controles en nuestro diario vivir. La auditoria de base de datos sin duda es muy compleja para los auditores, para la realización de la misma ya sea verificando que los componentes del sistemas trabajen conjuntamente y coordinadamente hacen que la empresa u organización tengas resultados satisfactorios.

Recomendados

Cap #4 y 5
Cap #4 y 5Cap #4 y 5
Cap #4 y 5
hmitre17
 
Tema 7
Tema 7Tema 7
Tema 7
Carmelo Branimir España Villegas
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4
luisrobles17
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
Manuel Medina
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datos
marthacely7
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
bolacoandres
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
Leidy Andrea Sanchez
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas
yomito_2
 

Recomendados

Cap #4 y 5
Cap #4 y 5Cap #4 y 5
Cap #4 y 5
hmitre17
 
Tema 7
Tema 7Tema 7
Tema 7
Carmelo Branimir España Villegas
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4
luisrobles17
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
Manuel Medina
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datos
marthacely7
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
bolacoandres
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
Leidy Andrea Sanchez
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas
yomito_2
 
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
Aura Aguilar
 
ARQSQL.docx
ARQSQL.docxARQSQL.docx
ARQSQL.docx
ArpecArmando
 
Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacion
Christian L
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
edithua
 
METODOLOGIAS DE DISEÑO
METODOLOGIAS DE DISEÑOMETODOLOGIAS DE DISEÑO
METODOLOGIAS DE DISEÑO
Alejandro Rodriguez
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
galactico_87
 
TECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORTECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADOR
Fitto Fernandez
 
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
Diiego Saldañha
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
Mohamed Noo Noo
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
Maria Jaspe
 
PROCESO DE AUDITORÍA DE SISTEMAS
PROCESO DE AUDITORÍA DE SISTEMASPROCESO DE AUDITORÍA DE SISTEMAS
PROCESO DE AUDITORÍA DE SISTEMAS
Edgar Escobar
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS
 
PRESENTACION
PRESENTACIONPRESENTACION
PRESENTACION
angelagaa
 
Herramientas y métodos
Herramientas y métodosHerramientas y métodos
Herramientas y métodos
Mónica Romero Pazmiño
 
Proceso generico de_una_auditoria_de_sistemas_exp_ultimo
Proceso generico de_una_auditoria_de_sistemas_exp_ultimoProceso generico de_una_auditoria_de_sistemas_exp_ultimo
Proceso generico de_una_auditoria_de_sistemas_exp_ultimo
edwinjaviercamachorangel
 
Proceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemasProceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemas
Mrkarito1987
 
Evaluacion de sistemas
Evaluacion de sistemasEvaluacion de sistemas
Evaluacion de sistemas
Yonnathan Mesa
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistema
gabych88
 
Clase conceptos introductorios
Clase conceptos introductoriosClase conceptos introductorios
Clase conceptos introductorios
Mónica Romero Pazmiño
 
Fotografia Blog
Fotografia BlogFotografia Blog
Fotografia Blog
guest245b2cd0
 
Eatoma De Decisiones
Eatoma De DecisionesEatoma De Decisiones
Eatoma De Decisiones
Enrique Antillano
 

Más contenido relacionado

La actualidad más candente

Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacion
Christian L
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
edithua
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
galactico_87
 
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
Diiego Saldañha
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
Mohamed Noo Noo
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
Maria Jaspe
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS
 
Proceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemasProceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemas
Mrkarito1987
 

La actualidad más candente (20)

CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
 
ARQSQL.docx
ARQSQL.docxARQSQL.docx
ARQSQL.docx
 
Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacion
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
METODOLOGIAS DE DISEÑO
METODOLOGIAS DE DISEÑOMETODOLOGIAS DE DISEÑO
METODOLOGIAS DE DISEÑO
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
TECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORTECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADOR
 
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
 
PROCESO DE AUDITORÍA DE SISTEMAS
PROCESO DE AUDITORÍA DE SISTEMASPROCESO DE AUDITORÍA DE SISTEMAS
PROCESO DE AUDITORÍA DE SISTEMAS
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
 
PRESENTACION
PRESENTACIONPRESENTACION
PRESENTACION
 
Herramientas y métodos
Herramientas y métodosHerramientas y métodos
Herramientas y métodos
 
Proceso generico de_una_auditoria_de_sistemas_exp_ultimo
Proceso generico de_una_auditoria_de_sistemas_exp_ultimoProceso generico de_una_auditoria_de_sistemas_exp_ultimo
Proceso generico de_una_auditoria_de_sistemas_exp_ultimo
 
Proceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemasProceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemas
 
Evaluacion de sistemas
Evaluacion de sistemasEvaluacion de sistemas
Evaluacion de sistemas
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistema
 
Clase conceptos introductorios
Clase conceptos introductoriosClase conceptos introductorios
Clase conceptos introductorios
 

Destacado

Bibliografía anotada de literacia
Bibliografía anotada de literaciaBibliografía anotada de literacia
Bibliografía anotada de literacia
dragonika
 
Historia Del Ordenador-Marcos.y.Andrea
Historia Del Ordenador-Marcos.y.AndreaHistoria Del Ordenador-Marcos.y.Andrea
Historia Del Ordenador-Marcos.y.Andrea
marcoslegi38
 
Google earth
Google earthGoogle earth
Google earth
juan
 
Zanly Cibernetica
Zanly CiberneticaZanly Cibernetica
Zanly Cibernetica
zrodriguezs
 
Operadores
OperadoresOperadores
Operadores
strue14
 
Material 1.1
Material 1.1Material 1.1
Material 1.1
miko2010
 
Guerra Avisada No Mata Soldado
Guerra Avisada No Mata SoldadoGuerra Avisada No Mata Soldado
Guerra Avisada No Mata Soldado
refranes
 

Destacado (20)

Fotografia Blog
Fotografia BlogFotografia Blog
Fotografia Blog
 
Eatoma De Decisiones
Eatoma De DecisionesEatoma De Decisiones
Eatoma De Decisiones
 
Eatoma De Decisiones
Eatoma De DecisionesEatoma De Decisiones
Eatoma De Decisiones
 
Bibliografía anotada de literacia
Bibliografía anotada de literaciaBibliografía anotada de literacia
Bibliografía anotada de literacia
 
U L T I M O
U L T I M OU L T I M O
U L T I M O
 
Presentación trabajo en red CONGDE
Presentación trabajo en red CONGDEPresentación trabajo en red CONGDE
Presentación trabajo en red CONGDE
 
Precio
PrecioPrecio
Precio
 
Panel 11 Guillermo Carbó Ronderos
Panel 11 Guillermo Carbó RonderosPanel 11 Guillermo Carbó Ronderos
Panel 11 Guillermo Carbó Ronderos
 
Historia Del Ordenador-Marcos.y.Andrea
Historia Del Ordenador-Marcos.y.AndreaHistoria Del Ordenador-Marcos.y.Andrea
Historia Del Ordenador-Marcos.y.Andrea
 
Panel 15 Bayona Juan
Panel 15 Bayona JuanPanel 15 Bayona Juan
Panel 15 Bayona Juan
 
02 Mesa Cguzman
02 Mesa Cguzman02 Mesa Cguzman
02 Mesa Cguzman
 
Google earth
Google earthGoogle earth
Google earth
 
Zanly Cibernetica
Zanly CiberneticaZanly Cibernetica
Zanly Cibernetica
 
Operadores
OperadoresOperadores
Operadores
 
Tecnologia educativa
Tecnologia educativaTecnologia educativa
Tecnologia educativa
 
Trabjo Tecnologia 8b A J
Trabjo Tecnologia 8b A JTrabjo Tecnologia 8b A J
Trabjo Tecnologia 8b A J
 
Tema 9 El Intertexto Del Lector
Tema 9 El Intertexto Del LectorTema 9 El Intertexto Del Lector
Tema 9 El Intertexto Del Lector
 
Material 1.1
Material 1.1Material 1.1
Material 1.1
 
La Navidad
La NavidadLa Navidad
La Navidad
 
Guerra Avisada No Mata Soldado
Guerra Avisada No Mata SoldadoGuerra Avisada No Mata Soldado
Guerra Avisada No Mata Soldado
 

Similar a Cap #4 5

Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controles
Eliecer Espinosa
 
Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemas
Szarguz
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
bolacoandres
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
bolacoandres
 
Articulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemasArticulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemas
Mario J Arrieta
 
Articulo de análisis y diseño de sistemas
Articulo de análisis y diseño de sistemasArticulo de análisis y diseño de sistemas
Articulo de análisis y diseño de sistemas
Mario J Arrieta
 

Similar a Cap #4 5 (20)

Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
06 auditoria de_base_de_datos
06 auditoria de_base_de_datos06 auditoria de_base_de_datos
06 auditoria de_base_de_datos
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controles
 
13-Auditoria a Base de Datos
13-Auditoria a Base de Datos13-Auditoria a Base de Datos
13-Auditoria a Base de Datos
 
Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemas
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Articulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemasArticulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemas
 
Desarrollo de sistemas
Desarrollo de sistemasDesarrollo de sistemas
Desarrollo de sistemas
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
 
5 grupo 5..
5 grupo 5..5 grupo 5..
5 grupo 5..
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
 
Articulo de análisis y diseño de sistemas
Articulo de análisis y diseño de sistemasArticulo de análisis y diseño de sistemas
Articulo de análisis y diseño de sistemas
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
 
King joe
King joeKing joe
King joe
 
Analisi1
Analisi1Analisi1
Analisi1
 
Presentacion Omar
Presentacion OmarPresentacion Omar
Presentacion Omar
 
Ciclo de vida y Diseño de los SI
Ciclo de vida y Diseño de los SICiclo de vida y Diseño de los SI
Ciclo de vida y Diseño de los SI
 

Más de hmitre17

Autenticacion
AutenticacionAutenticacion
Autenticacion
hmitre17
 
Autenticación
AutenticaciónAutenticación
Autenticación
hmitre17
 
Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)
hmitre17
 
Seguridad en Gestion de redes
Seguridad en Gestion de redesSeguridad en Gestion de redes
Seguridad en Gestion de redes
hmitre17
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
hmitre17
 
Monografia Final
Monografia Final Monografia Final
Monografia Final
hmitre17
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
hmitre17
 
Virustotal
VirustotalVirustotal
Virustotal
hmitre17
 
Información básica
Información básicaInformación básica
Información básica
hmitre17
 

Más de hmitre17 (11)

Autenticacion
AutenticacionAutenticacion
Autenticacion
 
Autenticación
AutenticaciónAutenticación
Autenticación
 
Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)
 
Seguridad en Gestion de redes
Seguridad en Gestion de redesSeguridad en Gestion de redes
Seguridad en Gestion de redes
 
Cap3
Cap3Cap3
Cap3
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
 
Monografia Final
Monografia Final Monografia Final
Monografia Final
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
 
Virustotal
VirustotalVirustotal
Virustotal
 
Taller 3
Taller 3Taller 3
Taller 3
 
Información básica
Información básicaInformación básica
Información básica
 

Cap #4 5

  • 1. AUDITORIA DE BASE DE DATOS La Auditoría Informática o basada en base de datos es una ciencia aplicada, que proviene de la auditoría general, y pretende realizar una revisión exhaustiva del trabajo que se realiza en la Informática y que los controles que se aplican en los diferentes niveles donde interviene sean los adecuados. La auditoria de base de datos se puede agrupar en dos clases: Metodología tradicional: en esta etapa el auditor revisa el entorno con la ayuda de una lista que se compone de una serie de cuestiones a verificar. Este tipo de técnica suele ser aplicada a la auditoria de productos de base de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Metodología de evaluación de riesgo: también conocida por risk oriented approach, es la que propone ISACA, y empieza fijándose los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
  • 2. OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS Son técnica de control a tener en cuenta a lo largo del ciclo de vida de una base de datos. Estudio previo y plan de trabajo: es muy importante elaborar un estudio tecnológico de viabilidad en el cual se completen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. En esta fase se debe comprobar la estructura orgánica no solo del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión y control de base de datos. Concepción de la base de datos y selección de equipo: en esta fase se empieza a diseñar la base de datos, por lo que deben utilizarse los modelos y las técnicas definidas en la metodología de desarrollo de sistema. La metodología de diseño debería también emplearse para especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoría a incluir en el sistema. El auditor debe en primer lugar analizar la metodología de diseño con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilización. la metodología de diseño conlleva dos fases: física y lógica
  • 3. Diseño y carga: en esta fase se lleva a cabo los diseño físico y lógico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizados correctamente; determinando si la definición de los datos contemplan además de su estructura las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relacionadas a la seguridad. El auditor tendrá que tomar una muestra de cierto elementos (tabla, vista, índice) y comprobar que su definición es completa En aspecto importante es el tratamiento de datos en entrada erróneo, para lo que deben cuidarse con atención los procedimientos de reintroducción de forma que no disminuyan los controles. Explotación y mantenimiento: en esta fase se deben comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta Revisión post-implantación: aunque es utilizada en pocas empresas por falta de tiempo, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:  Se han conseguidos los resultados esperados  Se satisface las necesidades de los usuarios  Los costes y beneficios coinciden con los previstos. Otros procesos auxiliares: a lo largo del ciclo de vida de una base de datos se deberá controlar la formación que precisan tantos los usuarios informáticos (administradores, analistas, programadores. Etc. ) como no informáticos, ya que la formación es una de las claves para minimizar el riesgo en la implantación de una base de datos. El auditor tendrá que revisar la documentación que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por la metodología adoptada por la empresa
  • 4. AUDITORÍA Y CONTROL INTERNO EN UN ENTRONO DE LA BASE DE DATOS Dentro de esta se estudia en sistema de gestión de base de datos y su entorno Sistema de gestión de base de datos (SGBD): se destaca el núcleo (kernel), el catalogo (componente fundamental para asegurar la seguridad en la base de datos). Las utilidades para el administrador en la base de datos entre las que se suelen encontrar algunas para crear usuarios, conceder privilegios, y resolver otras cuestiones relativas a la confiablidad. En cuanto a las funciones de auditoría que ofrece el propio sistema prácticamente todos los productos del mercado permiten registrar ciertas operaciones realizadas sobre la base de datos en el fichero. Software de auditoría: son paquetes o programas que pueden emplearse para facilitar la labor del auditor, en cuanto la extracción de datos, seguimientos de las transacciones, datos de prueba, etc. Sistema de monitorización y ajuste (tuning): este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor información para optimizar el sistema
  • 5. Sistemas operativos (SO):el SO es una pieza clave del entorno, puesto que el SGBD se apoyara, en mayor medida en los servicios que le ofrezca el SO en cuanto al control de memoria, gestión de áreas de almacenamiento interno, manejo de errores, control de confiabilidad y mecanismos de interbloqueo. Monitor de transacción: es un elemento más del entorno con responsabilidades de confiabilidad y rendimiento. Protocolos de sistemas distribuidos: establece cinco objetivos de control a la hora de revisar la distribución de datos. 1. El sistema de proceso distribuido tiene que tener una función de administración de datos centralizada 2. Deben establecerse unas funciones de administración de datos y de base de datos fuerte. 3. Deben existir pistas de auditoría para todas las actividades realizadas por la aplicación contra sus propias bases de datos y otras compartidas. 4. Deben existir controles software para prevenir interferencias de actualización sobre la base de datos en sistemas distribuido 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuido. Paquete de seguridad: permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de acceso, la definición de privilegios y perfiles de usuarios. Diccionario de datos: este tipo de sistemas se implantaron en los años 70, juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de los datos Los propios diccionarios se pueden auditar de manera análoga a la base de datos, ya que son base de metadatos
  • 6. Herramientas case (computer aided system software):este tipo de herramientas suelen llevar incorporado un diccionario de datos amplios (enciclopedias o repositorio) en los que se almacenan información sobre datos, programas y usuarios. Lenguaje de cuarta generación (L4G) independientes: se ofrecen varios objetivos de control para los L4G entre los que se destacan:  El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados  Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de autorización y petición que los proyectos de desarrollo convencionales  Las aplicaciones desarrolladas con L4G deben sacar ventaja de las características incluidas en los mismos. Uno de los peligros más graves de L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con tercera generación Facilidades de usuarios: las aplicaciones que utilicen este proceso deben seguir los mismos sólidos principios de control y tratamiento de errores que el resto. Herramientas de minería de datos: esta herramienta ofrece soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos. Aplicaciones: el auditor debe controlar que las aplicaciones no atenten contra la integridad de los datos de la base. Técnicas para el control de base de datos en un entorno complejo: existen técnicas importantes como debilitar la seguridad del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados. Emplea dos técnicas de control; matrices de control y análisis de los caminos de acceso.
  • 7.  matrices de control: sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos.  análisis de los caminos de acceso: con esta técnica se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el momento en que se introducen, identificando los componentes del sistema que atraviesan.
  • 8. CONCLUSION El trabajo de auditoría, nos trae a aportar valiosos elementos que sirven de punto de enfoque para conocer y hacer un análisis de mejor la forma en cómo se trabaja, las labores que se deben cumplir para mejorar y mantener siempre un norte firme, que puede ser interrumpido por la falta de controles en nuestro diario vivir. La auditoria de base de datos sin duda es muy compleja para los auditores, para la realización de la misma ya sea verificando que los componentes del sistemas trabajen conjuntamente y coordinadamente hacen que la empresa u organización tengas resultados satisfactorios.