AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
1. UNIVERSIDAD ESTATAL DE BOLÍVAR
FACULTAD DE CIENCIAS ADMINISTRATIVAS GESTIÓN
EMPRESARIAL E INFORMÁTICA
INGENIERÍA EN CONTABILIDAD Y AUDITORIA
TRABAJO DE: AUDITORIA DE SISTEMA INFORMÁTICO
TEMA: AUDITORIA DE BASE DE DATOS
INTEGRANTES: MISHEL GARCÍA
NANCY ESCOBAR
FREDDY RIBADENEIRA
JOE PAUCAR
LUCIANO TUQUERES
PARALELO: IX “M”
ING. ALEXANDRA VELOZ
ASESOR PEDAGÓGICO
2. AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir,
asegurar, demostrar, monitorear y
registrar los accesos a la informacion
almacenada en las bases de datos
incluyendo la capacidad de determinar:
♣ Quien accede a los datos.
♣ Cuando se accedió a los datos.
♣ Desde que tipo de dispositivo/aplicación.
♣ Desde que ubicación en la red.
♣ Cual fue la sentencia SQL ejecutada.
♣ Cual fue el afecto del acceso a la base de
datos.
3. La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir
controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de
datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las
organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus
datos.
4. Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las
bases de datos.
Control de carga y de mantenimiento de las bases
de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso
de bases de datos.
Procedimientos de respaldos y recuperación de
datos.
5. Planificación de la Auditoria de Base de Datos
1. Identificar todas las bases de datos de la organización.
2. Clasificar los niveles de riesgo de los datos en las
bases de datos.
3. Analizar los permisos de accesos.
4. Analizar los controles existentes de acceso a las bases
de datos.
5. Establecer los modelos de auditoria de bases de datos
a utilizar.
6. Establecer las pruebas a realizar para cada base de
datos, aplicación y/o usuario.
6. El auditor revisa el entorno con la ayuda de
una lista de control (Checklist), que consta de
una serie de cuestiones a verificar, registrando
los resultados de su investigación. En esta
investigación se confecciona una lista de
control de todos los aspectos a tener en cuenta.
Metodologías para la auditoria de
Base de Datos
Metodología Tradicional
7. Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que
propone la ISACA y empieza fijando los objetivos de control que minimizan los
riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
• Dependencia por la concentración de datos.
• Accesos no restringidos en la figura del DBA.
• Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general
de instalación.
• Impactos de los errores en Datos y programas.
• Rupturas de enlaces o cadenas por fallos del sofware.
• Impactos por accesos no autorizados.
• Dependencias de las personas con alto conocimiento técnico.
8. Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se establecen niveles y tipos de usuarios, privilegios para el
control de acceso a la base de datos Metadatos.
APLICACIÓN
SOFWARE DE
PROCESAMIENTO DE
CONSULTAS
SOFWARE DE ACCESO
A DATOS
Definición de la Base de Datos
METADATOS
SGBD
9. Modelos de datos:
Un modelo de datos define las reglas
generales para la especificación de la
estructura de los datos y el conjunto de
operaciones permitidas sobre ellos.
10. Estructuras
Las estructuras se pueden especificar de dos
maneras:
Representación de los datos e interrelaciones
entre ellos: descripción de empleo,
departamento e interrelación.
Restricciones sobre los datos: ningún empleado
cobra mas que su jefe.
11. Metadatos: Son datos que describen otros datos, metadatos son <<datos sobre datos>>.
Los metadatos adhieren contenido, contexto y estructura a los objetos de información.
12. Los metadatos permiten generar distintos puntos de vista
conceptuales para sus usuarios o sistemas.
Los metadatos permiten el intercambio de la información
sin la necesidad de que implique el intercambio de los
propios recursos.
Los metadatos permiten preservar los objetos de
información permitiendo migrar sucesivamente éstos, para
su posible uso por parte de las futuras generaciones.