SlideShare una empresa de Scribd logo

Informe auditoria base de datos 2016

Superior - Universitaria
Superior - Universitaria

Informe de Auditoria a la Administración de las Base de Datos en Ambiente Productivo

Educación
1 de 16
Descargar para leer sin conexión
1 INFORME DE AUDITORÍA A LA ADMINISTRACION DE LAS BASES DE DATOS EN AMBIENTE PRODUCTIVO Contenido INFORME DE AUDITORÍA A LA ADMINISTRACION DE LAS BASES DE DATOS EN AMBIENTE PRODUCTIVO..................................................1 Objetivo .....................................................................................2 Alcance ......................................................................................2 Metodología ................................................................................2 Información Solicitada..................................................................2 Desarrollo de Auditoría .................................................................3 Resultados..................................................................................4 Conclusiones .............................................................................15
2 Objetivo  Comprobar los niveles de seguridad y control de acceso definidos en las bases de datos, con el fin de identificar oportunidades de mejora para que se implementen planes de acción que mitiguen los riesgos observados.  Verificar distribución, integridad, conservación y transporte de la información en las base de datos.  Evaluar el nivel de servicio y soporte tecnológico con que cuenta la las bases de datos para su disponibilidad y funcionalidad. Alcance La evaluación a la administración de la bases de datos, se realiza a la bases datos (Misional e Icfesdb) instaladas en el ambiente de producción, a los recursos de apoyo disponibles para la operación, conservación y mantenimiento de la información allí contenida, teniendo en cuenta las disposiciones normativas y las mejores prácticas para el manejo de esta información. La revisión se realiza del 10 de mayo de 2016 al 14 de junio de 2016. Metodología Durante la auditoría se desarrollaron:  Recolección de información en la fuente (solicitud) y acceso a la base de datos de producción  Análisis de información recibida.  Reuniones con el responsable de la administración de la bases de datos. Información Solicitada Con el fin de realizar la labor inicial se solicitó:
3 INFORMACIÓN SOLICITADA ÁREA GENERADORA DE INFORMACIÓN Distribución de la BDD; modelo entidad relación de las BDD productivas; roles y privilegios; usuarios de servidores (funciones asignadas); reportes de seguridad imperva. Acuerdos niveles de servicio del procedimiento H4.P.2.; solicitudes de actualización de bases de datos-formato H4.2.F01; Log o trazabilidad del control de cambios del transporte o despliegue realizado a las BDD; Reporte de mantenimiento de las BDD realizado por el proveedor; lista de migración de datos por actividades de las pruebas definidas en calendario; Lista de tablas sensibles objeto de trazabilidad; listado de los valores de parámetros en la BDD; Subdirección de Información Desarrollo de Auditoría Con base en la información recolectada y las entrevistas efectuadas se realizaron las siguientes actividades:  Análisis y evaluación de la información suministrada, arriba enunciada, y entrevista realizada al administrador de la base de datos , los cuales proporcionaron datos para la revisión, así mismo y determinaron elementos (tareas, información) de apoyo a la evaluación.  Análisis de información de la base de datos puesta en producción.
4  Evaluación de los resultados realizados a las pruebas funcionales del software. Resultados De la revisión realizada a las bases de datos de producción, se observó la siguiente situación: Controles de acceso y usuarios base de datos: Comprende verificación a la administración de usuarios, autenticación y permisos en la base de datos. Observación y Recomendación 1. En el reporte log “Auditoria Misional” del sistema de seguridad “Imperva” se observa que la cuenta de usuario “arquitectos”, la cual tiene acceso para administrar (recursos, objetos, integridad, ajustes) la base de datos Prisma, es utilizada por los usuarios: “aarboleda”, “varanda”, “lbenavides”, “jdiaz”, “smeza”, sin cumplir con el criterio de uso personal de las cuentas de usuario y password. Recomendación Las contraseñas son de uso personal e intransferible, no se deben compartir con ninguna persona. Luego es necesario reconsiderar el uso compartido que tiene el usuario genérico “arquitectos” y asignar uno específico para cada usuario, de tal manera que se reconozca el propietario de la cuenta, de acuerdo con lo definido en la política de base de datos en cuanto a la seguridad de los usuarios de las bases de datos 2. Además, de la revisión a los roles con privilegio, opción de administración “WITH ADMIN_OPTION”, los cuales permite borrar,
5 insertar crear llaves de referencia, crear triggers, actualizar datos y ejecutar procedimientos, se evidencio que no menos de cuatro cuentas de usuario, independientemente de los que lo requieren, tienen habilitados los parámetros de administración: Usuario Rol Ad m Arquitecto s ROL_ORGANIZACIONES;ROL_MINISTERIOEDUCACIO N, ROL_DIVISIONPOLITICA, ROL_DIRECTORIOUNICO ROL_PIR,ROL_PARAMETROS, ROL_DISCAPACITADOS, ROL_RESULTADOS, R_NSM_CONSULTALK, ROL_ARMADO, ROL_CITACION, ROL_APROVISIONAMIENTO, ROL_PERSONAS, ROL_USUARIOS, ROL_CALIFICACION_DML, ROL_CALIFICACION, ROL_INSCRIPCION, ROL_RECAUDO, ROL_ENCUENTASYFORMULARIOS, ROL_RESULTADOS_DML, ROL_ZINTERNO, ROL_INSTRUMENTOS, ROL_SOPORTEINTERNO, ROL_TEMPORALES, ROL_MATRICULADO, ROL_SOLICITUDES, CONNECT, RESOURCE. Si Jdiaz ROL_ZINTERNO, ROL_CITACION, ROL_DIVISIONPOLITICA, ROL_PERSONAS, ROL_SOLICITUDES, ROL_APROVISIONAMIENTO, ROL_DIRECTORIOUNICO, ROL_PIR, ROL_RESULTADOS, ROL_CALIFICACION_DML, ROL_SOPORTEINTERNO, ROL_TEMPORALES, ROL_ARMADO, R_NSM_CONSULTALK, ROL_MATRICULADO, CONNECT, ROL_INSCRIPCION, ROL_PARAMETROS, ROL_CALIFICACION, ROL_ENCUENTASYFORMULARIOS, ROL_ORGANIZACIONES, ROL_RECAUDO, ROL_RESULTADOS_DML, ROL_DISCAPACITADOS, ROL_MINISTERIOEDUCACION, ROL_USUARIOS, RESOURCE. Si Varanda ROL_RESULTADOS, ROL_CITACION, ROL_INSCRIPCION, ROL_PIR, ROL_SOPORTEINTERNO, ROL_ARMADO, ROL_CLASIFICACION, ROL_ENCUENTASYFORMULARIOS, ROL_MATRICULADO, ROL_PARAMETROS, ROL_TEMPORALES, ROL_DISCAPACITADOS, ROL_DIVISIONPOLITICA, ROL_MINISTERIOEDUCACION, ROL_ORGANIZACIONES, ROL_APROVISIONAMIENTO, ROL_INSTRUMENTOS, ROL_RECAUDO, ROL_USUARIOS, ROL_CALIFICACION, CONNECT, ROL_DIRECTORIOUNICO, ROL_ZINTERNO, ROL_SOLICITUDES, ROL_PERSONAS. Si
6 - De la revisión a la lista de roles, se encontró que al usuario “Jvargas” sin tener función de administración, se le permite administrar la base de datos. -crear, eliminar y/o modificar archivos de la base de datos (create table, create any table; drop any table; alter any table). Recomendación La cantidad de usuarios con privilegios super usuario o administrador del sistema operativo que soporta la base de datos debe ser limitada (máximo dos usuarios). Se debe evaluar la cantidad de usuarios que utilizan estos privilegios y corregir su asignación. 3. Se encontró que el usuario “Jmelendez” se encuentra activo en la base de datos, la cual correspondió a un contratista que prestó servicios de administración de base de datos. Recomendación Cuando un usuario no se esté utilizando por un periodo de 30 días se debe bloquear. Se recomienda validar permanentemente las cuentas de usuario para bloquear los que se ausentan y/o retiran del Instituto, a fin de cumplir la política. Para los contratos con terceros “Contratistas”, informar de manera oportuna a través de la mesa de ayuda, cualquier novedad, terminación anticipada o prórroga, para garantizar el adecuado mantenimiento de las cuentas de usuarios. Igualmente, en la creación de usuarios se debe definir la vigencia, en especial para el control de usuarios que son contratistas.
7 4. En la revisión realizada a los perfiles de usuario de la base de datos “Misional”, se observó que los siguientes perfiles, no limitan los parámetros para el manejo de password, lo que puede exponer la seguridad de las cuentas de usuarios, por ejemplo: Perfiles Parámetro Observación Prueba_icfes Sysman Arquitectos(1 usuario) Misional (28 usuario) Monitoring Profile (1 usuario) Default (32 usuario) Password_life_time Se permite utilizar la contraseña sin límite de uso. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Password _reuse_time Se permite utilizar una misma contraseña en cualquier momento. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Password_reuse_max Se permite volver a utilizar una contraseña. Prueba_icfes Password_grace_time El perfil no tiene límite periodo de gracia de no utilización en su inicio. Recomendación Es importante evaluar los valores que tienen los parámetros que administran seguridad y control en el manejo de password de usuario, de acuerdo con lo establecido en la política de base de datos, en cuanto a la seguridad de las contraseñas de las bases de datos 5. Se observan perfiles de usuario de la base de datos “Misional”, para los cuales no hay limitante en la utilización de recursos del
8 sistema en la BDD, lo que puede afectar la adecuada utilización del sistema, por ejemplo: Perfiles Parámetro Observación Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Composite_limite No hay límite Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile Default(32 usuario) Sessions_per_user Límite de 180 sesiones para el perfil “prueba_icfes”. No hay imite de sesiones para el resto de perfiles Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Cpu_per_session Sin límite de Cpu por sesión. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Cpu_per_call Sin límite de Cpu por llamado. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile (1 usuario) Default(32 usuario) Logical_reads_per_ses sion Sin límite de lectura por sesión. Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile Default(32 usuario) Logical_reads_per_call Sin límite de lectura por llamado. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile (1 ) Default(32 usuario) Idle_time Los perfiles no tiene tiempo de inactividad. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile (1 usuario) Default(32 usuario) Connect_time Tiempo de conectividad ilimitada.
9 Recomendación Se hace necesario evaluar los criterios establecidos para el control y administración de los recursos del sistema que se asignan a los usuarios que acceden la base de datos, de acuerdo con lo establecido en la política de seguridad de la base de datos en cuanto a la realización de afinamientos para optimizar el rendimiento de la base de datos y garantizar el uso adecuado de los recursos. 6. No hay declaraciones escritas de privilegios de acceso al sistema que se otorgan a los usuarios, en ella el funcionario responsable del manejo de la cuenta de usuario de la base de datos manifiesta, entiende y acepta las condiciones de acceso. Recomendación Debe existir un sistema formal de registro/cancelación de usuario para acceso a las BD, aplicaciones y/o servicios. Debe entregarse a los usuarios una declaración escrita de sus privilegios, y se requiere que sea firmada por ellos de tal manera que entiendan cuáles son las condiciones de su acceso, de acuerdo con lo definido en la política de base de datos en cuanto a la seguridad de los usuarios de las bases de datos. Estándares y regulaciones - Política de Contraseñas – Seguridad de la Información v 1.1, H3.P1. - Política de Base de datos – Seguridad de la información v1.0, H3.P1 - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.4 sistemas de almacenamiento. - Manual Gobierno en Línea: Información-Gestión de la calidad y de seguridad de los componentes de información.
10 - ISO 27001:2012 Gestión de seguridad de la información, Anexo A.9 Control de acceso. Controles a la gestión de la base de datos: Incluye la gestión a las actividades que se realizan para administrar y controlar la operación sobre las bases de datos productivas. Observación - Recomendación 7. Se evidencia que no menos del 70% de las actividades registradas en log de trazabilidad del sistema de seguridad “Imperva” de febrero a mayo de 2016 sobre la operación de cambios en la base de datos no se encuentran reportadas en el listado control que administra los arquitectos de la base de datos. Recomendación Evaluar que todo transporte de datos o estructura de software al ambiente de producción de la base de datos esté registrado en una bitácora confiable y segura que mantenga el control de toda la información autorizada que se despliega al ambiente. 8. De la revisión al control de las solicitudes de actualización de base de datos que se lleva en el formato “H4.2.F01” para los 5 últimos meses, se evidenció que no se elaboró registro de novedades en la base de datos misional de producción. Únicamente se presentaron dos novedades de actualización para el ambiente icfes-interactivo (una del 19 de mayo de 2016 y otra del 10 de junio de 2016), los cuales no son consecuentes con el registro de trazabilidad del sistema de seguridad y monitoreo “Imperva” que solamente para el mes de
11 abril/016 reportó 3200 eventos en el ambiente de producción misional. Recomendación Propender por preservar un registro único y confiable que mantenga el control de información que ingresa a la base de datos. 9. De la revisión a los informes recibidos del proveedor UNE sobre el desempeño de las bases de datos Misional durante los periodos de marzo y mayo de 2016, se encontró que: - Se tiene uno objetos (archivos y/o procedimientos) que se encuentran inválidos en la base de datos que no han sido corregidos o regularizados, según el informe de mayo/2016 en su numeral “3. Esquema: Objetos inválidos”. - Existen por lo menos de 162 constraints (restricciones) deshabilitadas que no han sido tratados y se encuentran relacionados en los informes de marzo y mayo de 2016. - En los informes se citan los siguientes usuarios con rol administrador de base de datos (DBA), cuya función debe ser evaluada: Usuario Role Opción de administración Role por default Jchaves DBA No Yes Cdiazcat DBA Yes Yes Rman DBA No Yes Bfernandez DBA No Yes Dalvarfe DBA No Yes Jvelasquez DBA No Yes Mgonzalez DBA No Yes
12 Ytorres DBA No Yes 10. De la revisión a las actividades definidas para crear pistas de auditoría a los archivos (tablas) con información sensible de la base de datos, en el documento: “Plan General de Seguridad para Base de Datos”, se evidenció que las siguientes tareas del año 2015 se encuentran en estado pendiente: - Revisión y análisis de los datos arrojados por la auditoria periódica (17/08/2015). - Auditoría a la creación de librería de comandos (library statements). (17/08/2015). - Aseguramiento de los objetos de la base de datos. (tales como: tablas e índices no están operando en modo “NOLOGGING”). (17/08/2015). - Revocar los privilegios de ejecución del rol público sobre los paquetes: UTL_FILE, UTL_SMTP, UTL_TCP, UTL_HTTP, DBMS_RANDOM, DBMS_LOB, DBMS_SQL, DBMS_SYS_SQL, DBMS_JOB, DBMS_BACKUP_RESTORE, DBMS_OBFUSCATION_TOOLKIT (17/08/2015). - Respaldo del log y trazabilidad de operaciones de la base de datos. Se recomienda que todos los redo logs estén mirror on-line y que existan al menos 2 grupos de redo log (17/08/2015). - En la capa de conexión a la base de datos activar el log de conexiones establecidas (17/08/2015) - Establecer módulos de trazabilidad en las aplicaciones que se conectan a la base de datos para obtener información del usuario final que está accediendo a la base de datos (17/08/2015). Recomendación Evaluar las recomendaciones que efectúa el proveedor en sus informes periódicos en materia de
13 distribución y seguridad de la base de datos para mejorar el desempeño y protección de los datos. Estándares y regulaciones - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.4 sistemas de almacenamiento. - Manual Gobierno en Línea: Información-Gestión de la calidad y de seguridad de los componentes de información. - ISO 27001:2012 Gestión de seguridad de la información, Anexo A.12.1.3 Gestión de capacidad Controles a documentación de la base de datos La documentación proporciona entendimiento técnico, operativo, funcional y direccional que se da al proceso de la base de datos Observación - Recomendación 11. De la revisión al documento: “Plan General de Seguridad para Base de Datos”, realizado en el segundo semestre de 2015, se observó que los resultados obtenidos de este plan no han sido incluidos o actualizados en un manual o procedimiento del proceso gestión de seguridad de la información. Recomendación Es importante evaluar la actualización de los procedimientos, de tal manera que incluyan los mecanismos de control definidos en el plan de seguridad de base de datos (2015). 12. Los procedimientos y documentos que detallan el proceso de gestión de seguridad de la información, no incluyen la descripción de las actividades que se realizan para el despliegue o transporte de datos y software de la base de datos en el servidor de la Nube, la cual muestra
14 información de los aspirantes de pruebas por internet. Recomendación Evaluar que en los manuales del proceso se incluya las actividades que permiten ejercer control sobre el transporte de datos y software en la base de datos Nube, la cual contiene información que se presenta a los usuarios por internet. 13.No se ha formalizado el registro formato control que especifique los objetos (archivo y procedimientos) y componentes datos que se actualizan, modifican o eliminan en las bases de datos de producción. El procedimiento H4.P2 hace la descripción para la actualización de base de datos pruebas y desarrollo. Recomendación Se requiere formalizar el log de trazabilidad, en lo posible automático, para tener registro de las operaciones que se realizan en las bases de datos de producción. Estándares y regulaciones - Política de Base de datos – Seguridad de la información v1.0 H3.P1 - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.5 Sistema de bakcup. - ISO 27001:2013 Gestión de seguridad de la información, anexo A.12.3 copias de respaldo Controles al plan de continuidad del servicio base de datos
15 Las pruebas que se realizan al plan de continuidad, permite preparar a la institución para una emergencia, así como identificar problemas y fallas que se puedan tener con el plan, para su corrección oportuna. Observación - Recomendación 11. No se evidencia registro de pruebas realizadas a la continuidad de la operación de las bases de datos para mitigar eventualidades de interrupción que se puedan presentar en el data center del proveedor UNE. Recomendación Coordinar junto con el proveedor TIGO-UNE, la programación de pruebas de funcionalidad de las bases de datos, en las cuales considere escenarios de continuidad de operación que realiza el Icfes. Estándares y regulaciones - Modelo de Gestión IT4 plus MINTIC, numeral 6.5.2.4 Gestión de continuidad. - ISO 22301:2012 Sistema de gestión de continuidad de negocio, numeral 8.5 Ejercicio y pruebas - COBIT 5, proceso DSS04 Administración de la continuidad Conclusiones Como resultado de la evaluación realizada a la base de datos productiva, presentamos la siguiente conclusión:  Se encuentran implementados niveles de seguridad para el acceso a las bases de datos productivas, sin embargo se observan algunas debilidades, como las arriba mencionadas, de administración de acceso a usuarios y de definición de parámetros de control de password y de recursos al sistema que afectan la protección de la información y requieren ser tratadas.  Atender oportunamente los comentarios y recomendaciones que realiza el proveedor UNE en los informes mensuales y actualizar la
16 documentación establecida para el proceso de gestión de la información, en cuanto a la administración y seguridad de las bases de datos.  Se tienen definidos procedimientos de réplicas automáticas de información de las bases de datos y procesos de respaldo de datos, no obstante no se han realizado pruebas de interrupción que constaten la continuidad de operación de las bases de datos.

Recomendados

Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisicaIsrael Rey
 
Tema 6
Tema 6Tema 6
Tema 6Carmelo Branimir España Villegas
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Taacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorTaacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorEfraín Pérez
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 

Recomendados

Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisicaIsrael Rey
 
Tema 6
Tema 6Tema 6
Tema 6Carmelo Branimir España Villegas
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Taacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorTaacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorEfraín Pérez
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
Introduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de informaciónIntroduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de informaciónIngeniería de Sistemas e Informática
 
Metodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasMetodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasChristian García
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
Tipos de Sistemas de Informacion
Tipos de Sistemas de InformacionTipos de Sistemas de Informacion
Tipos de Sistemas de InformacionMarilexisFebres
 
Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.Isa Digital
 
Seguridad y respaldo de base de datos
Seguridad y respaldo de base de datosSeguridad y respaldo de base de datos
Seguridad y respaldo de base de datosCarlos Guerrero
 
Departamento de informatica
Departamento de informaticaDepartamento de informatica
Departamento de informaticaBernardo Ndjomo Nzo Miseng
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Presentación Calidad en Gestión de Servicios de TI
Presentación Calidad en Gestión de Servicios de TIPresentación Calidad en Gestión de Servicios de TI
Presentación Calidad en Gestión de Servicios de TIFernanda Diso
 
Lista de chequeo desempeño
Lista de chequeo desempeñoLista de chequeo desempeño
Lista de chequeo desempeñoewinmauricio
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemasJose Alvarado Robles
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)Mónica Romero Pazmiño
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICApersonal
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Análisis de sistemas fases del diseño de sistemas
Análisis de sistemas fases del diseño de sistemasAnálisis de sistemas fases del diseño de sistemas
Análisis de sistemas fases del diseño de sistemasprofmyriamsanuy
 
Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11antori
 
Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11Josue Reyes
 

Más contenido relacionado

La actualidad más candente

Metodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasMetodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasChristian García
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
Tipos de Sistemas de Informacion
Tipos de Sistemas de InformacionTipos de Sistemas de Informacion
Tipos de Sistemas de InformacionMarilexisFebres
 
Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.Isa Digital
 
Seguridad y respaldo de base de datos
Seguridad y respaldo de base de datosSeguridad y respaldo de base de datos
Seguridad y respaldo de base de datosCarlos Guerrero
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Presentación Calidad en Gestión de Servicios de TI
Presentación Calidad en Gestión de Servicios de TIPresentación Calidad en Gestión de Servicios de TI
Presentación Calidad en Gestión de Servicios de TIFernanda Diso
 
Lista de chequeo desempeño
Lista de chequeo desempeñoLista de chequeo desempeño
Lista de chequeo desempeñoewinmauricio
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemasJose Alvarado Robles
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)Mónica Romero Pazmiño
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICApersonal
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Análisis de sistemas fases del diseño de sistemas
Análisis de sistemas fases del diseño de sistemasAnálisis de sistemas fases del diseño de sistemas
Análisis de sistemas fases del diseño de sistemasprofmyriamsanuy
 

La actualidad más candente (20)

Introduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de informaciónIntroduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de información
 
Metodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasMetodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemas
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
 
Tipos de Sistemas de Informacion
Tipos de Sistemas de InformacionTipos de Sistemas de Informacion
Tipos de Sistemas de Informacion
 
Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.
 
Seguridad y respaldo de base de datos
Seguridad y respaldo de base de datosSeguridad y respaldo de base de datos
Seguridad y respaldo de base de datos
 
Departamento de informatica
Departamento de informaticaDepartamento de informatica
Departamento de informatica
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Presentación Calidad en Gestión de Servicios de TI
Presentación Calidad en Gestión de Servicios de TIPresentación Calidad en Gestión de Servicios de TI
Presentación Calidad en Gestión de Servicios de TI
 
Lista de chequeo desempeño
Lista de chequeo desempeñoLista de chequeo desempeño
Lista de chequeo desempeño
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemas
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERIT
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Análisis de sistemas fases del diseño de sistemas
Análisis de sistemas fases del diseño de sistemasAnálisis de sistemas fases del diseño de sistemas
Análisis de sistemas fases del diseño de sistemas
 

Similar a Informe auditoria base de datos 2016

Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11antori
 
Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11antori
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasAngeles Zepeda
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
06 auditoria de_base_de_datos
06 auditoria de_base_de_datos06 auditoria de_base_de_datos
06 auditoria de_base_de_datosMariano Moreira
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaxsercom
 
Entregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientoEntregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientonoriarman
 
Analsis De Sistema
Analsis De SistemaAnalsis De Sistema
Analsis De SistemaVal Cornejo
 
Entregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientoEntregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientonoriarman
 
Control de acceso al SO
Control de acceso al SOControl de acceso al SO
Control de acceso al SOenviacho
 
Curso de MicroStrategy - Sesion 4/4
Curso de MicroStrategy - Sesion 4/4Curso de MicroStrategy - Sesion 4/4
Curso de MicroStrategy - Sesion 4/4anibal goicochea
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 
Modelo de prototipo
Modelo de prototipoModelo de prototipo
Modelo de prototipoyanezcabrera
 
Metodologia Estructurada - Análisis -
Metodologia Estructurada - Análisis -Metodologia Estructurada - Análisis -
Metodologia Estructurada - Análisis -Susana Daldin
 

Similar a Informe auditoria base de datos 2016 (20)

Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11
 
Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11
 
Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
06 auditoria de_base_de_datos
06 auditoria de_base_de_datos06 auditoria de_base_de_datos
06 auditoria de_base_de_datos
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
13-Auditoria a Base de Datos
13-Auditoria a Base de Datos13-Auditoria a Base de Datos
13-Auditoria a Base de Datos
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Smdb Equipo11
Smdb Equipo11Smdb Equipo11
Smdb Equipo11
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4
 
Entregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientoEntregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimiento
 
Analsis De Sistema
Analsis De SistemaAnalsis De Sistema
Analsis De Sistema
 
Implementación Sistema BI
Implementación Sistema BIImplementación Sistema BI
Implementación Sistema BI
 
Entregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimientoEntregable 6 auditoria de bases de datos - rendimiento
Entregable 6 auditoria de bases de datos - rendimiento
 
Control de acceso al SO
Control de acceso al SOControl de acceso al SO
Control de acceso al SO
 
Curso de MicroStrategy - Sesion 4/4
Curso de MicroStrategy - Sesion 4/4Curso de MicroStrategy - Sesion 4/4
Curso de MicroStrategy - Sesion 4/4
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
 
Modelo de prototipo
Modelo de prototipoModelo de prototipo
Modelo de prototipo
 
Metodologia Estructurada - Análisis -
Metodologia Estructurada - Análisis -Metodologia Estructurada - Análisis -
Metodologia Estructurada - Análisis -
 

Más de Superior - Universitaria

Clases Híbridas para un Modelo Educativo Pospandemia
Clases Híbridas para un Modelo Educativo PospandemiaClases Híbridas para un Modelo Educativo Pospandemia
Clases Híbridas para un Modelo Educativo PospandemiaSuperior - Universitaria
 
Introductorio tsd_software2021_disciplinar
Introductorio tsd_software2021_disciplinar Introductorio tsd_software2021_disciplinar
Introductorio tsd_software2021_disciplinarSuperior - Universitaria
 
Aporte integracion curricular de las tic sanchez sofia
Aporte integracion curricular de las tic sanchez sofiaAporte integracion curricular de las tic sanchez sofia
Aporte integracion curricular de las tic sanchez sofiaSuperior - Universitaria
 
Aporte integracion curricular de las tic lopez claudia
Aporte integracion curricular de las tic lopez claudiaAporte integracion curricular de las tic lopez claudia
Aporte integracion curricular de las tic lopez claudiaSuperior - Universitaria
 
Medios y Recusos en la Educación a Distancia
Medios y Recusos en la Educación a DistanciaMedios y Recusos en la Educación a Distancia
Medios y Recusos en la Educación a DistanciaSuperior - Universitaria
 
Proyecto de red para empresa comercializadora de electricidad
Proyecto de red para empresa comercializadora de electricidadProyecto de red para empresa comercializadora de electricidad
Proyecto de red para empresa comercializadora de electricidadSuperior - Universitaria
 

Más de Superior - Universitaria (20)

Firma Digital.pdf
Firma Digital.pdfFirma Digital.pdf
Firma Digital.pdf
 
Clases Híbridas para un Modelo Educativo Pospandemia
Clases Híbridas para un Modelo Educativo PospandemiaClases Híbridas para un Modelo Educativo Pospandemia
Clases Híbridas para un Modelo Educativo Pospandemia
 
Sistema_de_Videconferencia.pdf
Sistema_de_Videconferencia.pdfSistema_de_Videconferencia.pdf
Sistema_de_Videconferencia.pdf
 
Sistema de videconferencia
Sistema de videconferenciaSistema de videconferencia
Sistema de videconferencia
 
Introductorio tsd_software2021_disciplinar
Introductorio tsd_software2021_disciplinar Introductorio tsd_software2021_disciplinar
Introductorio tsd_software2021_disciplinar
 
Area de taller_tecnicaturas_informaticas
Area de taller_tecnicaturas_informaticas Area de taller_tecnicaturas_informaticas
Area de taller_tecnicaturas_informaticas
 
Red lan centro_local_amazonas_br_j
Red lan centro_local_amazonas_br_jRed lan centro_local_amazonas_br_j
Red lan centro_local_amazonas_br_j
 
Aporte integracion curricular de las tic sanchez sofia
Aporte integracion curricular de las tic sanchez sofiaAporte integracion curricular de las tic sanchez sofia
Aporte integracion curricular de las tic sanchez sofia
 
Aporte integracion curricular de las tic lopez claudia
Aporte integracion curricular de las tic lopez claudiaAporte integracion curricular de las tic lopez claudia
Aporte integracion curricular de las tic lopez claudia
 
Santiago agustin romero
Santiago agustin romeroSantiago agustin romero
Santiago agustin romero
 
Sofia a sanchez
Sofia a sanchezSofia a sanchez
Sofia a sanchez
 
Aprendizaje Ubicuo
Aprendizaje UbicuoAprendizaje Ubicuo
Aprendizaje Ubicuo
 
Medios y Recusos en la Educación a Distancia
Medios y Recusos en la Educación a DistanciaMedios y Recusos en la Educación a Distancia
Medios y Recusos en la Educación a Distancia
 
Trabajo y aprendizaje colaborativo
Trabajo y aprendizaje colaborativoTrabajo y aprendizaje colaborativo
Trabajo y aprendizaje colaborativo
 
Lopez claudia
Lopez claudiaLopez claudia
Lopez claudia
 
Los retosdelasociedaddelconocimiento
Los retosdelasociedaddelconocimientoLos retosdelasociedaddelconocimiento
Los retosdelasociedaddelconocimiento
 
Proyecto red-de-cableado estructurado
Proyecto red-de-cableado estructuradoProyecto red-de-cableado estructurado
Proyecto red-de-cableado estructurado
 
Proyecto de red para empresa comercializadora de electricidad
Proyecto de red para empresa comercializadora de electricidadProyecto de red para empresa comercializadora de electricidad
Proyecto de red para empresa comercializadora de electricidad
 
Realidad aumentada en e a cs naturales
Realidad aumentada en e a cs naturalesRealidad aumentada en e a cs naturales
Realidad aumentada en e a cs naturales
 
Trabajo Cooperativo
Trabajo CooperativoTrabajo Cooperativo
Trabajo Cooperativo
 

Último

Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxPRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxinformacionasapespu
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 

Último (20)

Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxPRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 

Informe auditoria base de datos 2016

  • 1. 1 INFORME DE AUDITORÍA A LA ADMINISTRACION DE LAS BASES DE DATOS EN AMBIENTE PRODUCTIVO Contenido INFORME DE AUDITORÍA A LA ADMINISTRACION DE LAS BASES DE DATOS EN AMBIENTE PRODUCTIVO..................................................1 Objetivo .....................................................................................2 Alcance ......................................................................................2 Metodología ................................................................................2 Información Solicitada..................................................................2 Desarrollo de Auditoría .................................................................3 Resultados..................................................................................4 Conclusiones .............................................................................15
  • 2. 2 Objetivo  Comprobar los niveles de seguridad y control de acceso definidos en las bases de datos, con el fin de identificar oportunidades de mejora para que se implementen planes de acción que mitiguen los riesgos observados.  Verificar distribución, integridad, conservación y transporte de la información en las base de datos.  Evaluar el nivel de servicio y soporte tecnológico con que cuenta la las bases de datos para su disponibilidad y funcionalidad. Alcance La evaluación a la administración de la bases de datos, se realiza a la bases datos (Misional e Icfesdb) instaladas en el ambiente de producción, a los recursos de apoyo disponibles para la operación, conservación y mantenimiento de la información allí contenida, teniendo en cuenta las disposiciones normativas y las mejores prácticas para el manejo de esta información. La revisión se realiza del 10 de mayo de 2016 al 14 de junio de 2016. Metodología Durante la auditoría se desarrollaron:  Recolección de información en la fuente (solicitud) y acceso a la base de datos de producción  Análisis de información recibida.  Reuniones con el responsable de la administración de la bases de datos. Información Solicitada Con el fin de realizar la labor inicial se solicitó:
  • 3. 3 INFORMACIÓN SOLICITADA ÁREA GENERADORA DE INFORMACIÓN Distribución de la BDD; modelo entidad relación de las BDD productivas; roles y privilegios; usuarios de servidores (funciones asignadas); reportes de seguridad imperva. Acuerdos niveles de servicio del procedimiento H4.P.2.; solicitudes de actualización de bases de datos-formato H4.2.F01; Log o trazabilidad del control de cambios del transporte o despliegue realizado a las BDD; Reporte de mantenimiento de las BDD realizado por el proveedor; lista de migración de datos por actividades de las pruebas definidas en calendario; Lista de tablas sensibles objeto de trazabilidad; listado de los valores de parámetros en la BDD; Subdirección de Información Desarrollo de Auditoría Con base en la información recolectada y las entrevistas efectuadas se realizaron las siguientes actividades:  Análisis y evaluación de la información suministrada, arriba enunciada, y entrevista realizada al administrador de la base de datos , los cuales proporcionaron datos para la revisión, así mismo y determinaron elementos (tareas, información) de apoyo a la evaluación.  Análisis de información de la base de datos puesta en producción.
  • 4. 4  Evaluación de los resultados realizados a las pruebas funcionales del software. Resultados De la revisión realizada a las bases de datos de producción, se observó la siguiente situación: Controles de acceso y usuarios base de datos: Comprende verificación a la administración de usuarios, autenticación y permisos en la base de datos. Observación y Recomendación 1. En el reporte log “Auditoria Misional” del sistema de seguridad “Imperva” se observa que la cuenta de usuario “arquitectos”, la cual tiene acceso para administrar (recursos, objetos, integridad, ajustes) la base de datos Prisma, es utilizada por los usuarios: “aarboleda”, “varanda”, “lbenavides”, “jdiaz”, “smeza”, sin cumplir con el criterio de uso personal de las cuentas de usuario y password. Recomendación Las contraseñas son de uso personal e intransferible, no se deben compartir con ninguna persona. Luego es necesario reconsiderar el uso compartido que tiene el usuario genérico “arquitectos” y asignar uno específico para cada usuario, de tal manera que se reconozca el propietario de la cuenta, de acuerdo con lo definido en la política de base de datos en cuanto a la seguridad de los usuarios de las bases de datos 2. Además, de la revisión a los roles con privilegio, opción de administración “WITH ADMIN_OPTION”, los cuales permite borrar,
  • 5. 5 insertar crear llaves de referencia, crear triggers, actualizar datos y ejecutar procedimientos, se evidencio que no menos de cuatro cuentas de usuario, independientemente de los que lo requieren, tienen habilitados los parámetros de administración: Usuario Rol Ad m Arquitecto s ROL_ORGANIZACIONES;ROL_MINISTERIOEDUCACIO N, ROL_DIVISIONPOLITICA, ROL_DIRECTORIOUNICO ROL_PIR,ROL_PARAMETROS, ROL_DISCAPACITADOS, ROL_RESULTADOS, R_NSM_CONSULTALK, ROL_ARMADO, ROL_CITACION, ROL_APROVISIONAMIENTO, ROL_PERSONAS, ROL_USUARIOS, ROL_CALIFICACION_DML, ROL_CALIFICACION, ROL_INSCRIPCION, ROL_RECAUDO, ROL_ENCUENTASYFORMULARIOS, ROL_RESULTADOS_DML, ROL_ZINTERNO, ROL_INSTRUMENTOS, ROL_SOPORTEINTERNO, ROL_TEMPORALES, ROL_MATRICULADO, ROL_SOLICITUDES, CONNECT, RESOURCE. Si Jdiaz ROL_ZINTERNO, ROL_CITACION, ROL_DIVISIONPOLITICA, ROL_PERSONAS, ROL_SOLICITUDES, ROL_APROVISIONAMIENTO, ROL_DIRECTORIOUNICO, ROL_PIR, ROL_RESULTADOS, ROL_CALIFICACION_DML, ROL_SOPORTEINTERNO, ROL_TEMPORALES, ROL_ARMADO, R_NSM_CONSULTALK, ROL_MATRICULADO, CONNECT, ROL_INSCRIPCION, ROL_PARAMETROS, ROL_CALIFICACION, ROL_ENCUENTASYFORMULARIOS, ROL_ORGANIZACIONES, ROL_RECAUDO, ROL_RESULTADOS_DML, ROL_DISCAPACITADOS, ROL_MINISTERIOEDUCACION, ROL_USUARIOS, RESOURCE. Si Varanda ROL_RESULTADOS, ROL_CITACION, ROL_INSCRIPCION, ROL_PIR, ROL_SOPORTEINTERNO, ROL_ARMADO, ROL_CLASIFICACION, ROL_ENCUENTASYFORMULARIOS, ROL_MATRICULADO, ROL_PARAMETROS, ROL_TEMPORALES, ROL_DISCAPACITADOS, ROL_DIVISIONPOLITICA, ROL_MINISTERIOEDUCACION, ROL_ORGANIZACIONES, ROL_APROVISIONAMIENTO, ROL_INSTRUMENTOS, ROL_RECAUDO, ROL_USUARIOS, ROL_CALIFICACION, CONNECT, ROL_DIRECTORIOUNICO, ROL_ZINTERNO, ROL_SOLICITUDES, ROL_PERSONAS. Si
  • 6. 6 - De la revisión a la lista de roles, se encontró que al usuario “Jvargas” sin tener función de administración, se le permite administrar la base de datos. -crear, eliminar y/o modificar archivos de la base de datos (create table, create any table; drop any table; alter any table). Recomendación La cantidad de usuarios con privilegios super usuario o administrador del sistema operativo que soporta la base de datos debe ser limitada (máximo dos usuarios). Se debe evaluar la cantidad de usuarios que utilizan estos privilegios y corregir su asignación. 3. Se encontró que el usuario “Jmelendez” se encuentra activo en la base de datos, la cual correspondió a un contratista que prestó servicios de administración de base de datos. Recomendación Cuando un usuario no se esté utilizando por un periodo de 30 días se debe bloquear. Se recomienda validar permanentemente las cuentas de usuario para bloquear los que se ausentan y/o retiran del Instituto, a fin de cumplir la política. Para los contratos con terceros “Contratistas”, informar de manera oportuna a través de la mesa de ayuda, cualquier novedad, terminación anticipada o prórroga, para garantizar el adecuado mantenimiento de las cuentas de usuarios. Igualmente, en la creación de usuarios se debe definir la vigencia, en especial para el control de usuarios que son contratistas.
  • 7. 7 4. En la revisión realizada a los perfiles de usuario de la base de datos “Misional”, se observó que los siguientes perfiles, no limitan los parámetros para el manejo de password, lo que puede exponer la seguridad de las cuentas de usuarios, por ejemplo: Perfiles Parámetro Observación Prueba_icfes Sysman Arquitectos(1 usuario) Misional (28 usuario) Monitoring Profile (1 usuario) Default (32 usuario) Password_life_time Se permite utilizar la contraseña sin límite de uso. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Password _reuse_time Se permite utilizar una misma contraseña en cualquier momento. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Password_reuse_max Se permite volver a utilizar una contraseña. Prueba_icfes Password_grace_time El perfil no tiene límite periodo de gracia de no utilización en su inicio. Recomendación Es importante evaluar los valores que tienen los parámetros que administran seguridad y control en el manejo de password de usuario, de acuerdo con lo establecido en la política de base de datos, en cuanto a la seguridad de las contraseñas de las bases de datos 5. Se observan perfiles de usuario de la base de datos “Misional”, para los cuales no hay limitante en la utilización de recursos del
  • 8. 8 sistema en la BDD, lo que puede afectar la adecuada utilización del sistema, por ejemplo: Perfiles Parámetro Observación Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Composite_limite No hay límite Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile Default(32 usuario) Sessions_per_user Límite de 180 sesiones para el perfil “prueba_icfes”. No hay imite de sesiones para el resto de perfiles Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Cpu_per_session Sin límite de Cpu por sesión. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring Profile (1 usuario) Default(32 usuario) Cpu_per_call Sin límite de Cpu por llamado. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile (1 usuario) Default(32 usuario) Logical_reads_per_ses sion Sin límite de lectura por sesión. Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile Default(32 usuario) Logical_reads_per_call Sin límite de lectura por llamado. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile (1 ) Default(32 usuario) Idle_time Los perfiles no tiene tiempo de inactividad. Prueba_icfes Sysman Arquitectos(1 usuario) Misional(28 usuario) Monitoring_ Profile (1 usuario) Default(32 usuario) Connect_time Tiempo de conectividad ilimitada.
  • 9. 9 Recomendación Se hace necesario evaluar los criterios establecidos para el control y administración de los recursos del sistema que se asignan a los usuarios que acceden la base de datos, de acuerdo con lo establecido en la política de seguridad de la base de datos en cuanto a la realización de afinamientos para optimizar el rendimiento de la base de datos y garantizar el uso adecuado de los recursos. 6. No hay declaraciones escritas de privilegios de acceso al sistema que se otorgan a los usuarios, en ella el funcionario responsable del manejo de la cuenta de usuario de la base de datos manifiesta, entiende y acepta las condiciones de acceso. Recomendación Debe existir un sistema formal de registro/cancelación de usuario para acceso a las BD, aplicaciones y/o servicios. Debe entregarse a los usuarios una declaración escrita de sus privilegios, y se requiere que sea firmada por ellos de tal manera que entiendan cuáles son las condiciones de su acceso, de acuerdo con lo definido en la política de base de datos en cuanto a la seguridad de los usuarios de las bases de datos. Estándares y regulaciones - Política de Contraseñas – Seguridad de la Información v 1.1, H3.P1. - Política de Base de datos – Seguridad de la información v1.0, H3.P1 - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.4 sistemas de almacenamiento. - Manual Gobierno en Línea: Información-Gestión de la calidad y de seguridad de los componentes de información.
  • 10. 10 - ISO 27001:2012 Gestión de seguridad de la información, Anexo A.9 Control de acceso. Controles a la gestión de la base de datos: Incluye la gestión a las actividades que se realizan para administrar y controlar la operación sobre las bases de datos productivas. Observación - Recomendación 7. Se evidencia que no menos del 70% de las actividades registradas en log de trazabilidad del sistema de seguridad “Imperva” de febrero a mayo de 2016 sobre la operación de cambios en la base de datos no se encuentran reportadas en el listado control que administra los arquitectos de la base de datos. Recomendación Evaluar que todo transporte de datos o estructura de software al ambiente de producción de la base de datos esté registrado en una bitácora confiable y segura que mantenga el control de toda la información autorizada que se despliega al ambiente. 8. De la revisión al control de las solicitudes de actualización de base de datos que se lleva en el formato “H4.2.F01” para los 5 últimos meses, se evidenció que no se elaboró registro de novedades en la base de datos misional de producción. Únicamente se presentaron dos novedades de actualización para el ambiente icfes-interactivo (una del 19 de mayo de 2016 y otra del 10 de junio de 2016), los cuales no son consecuentes con el registro de trazabilidad del sistema de seguridad y monitoreo “Imperva” que solamente para el mes de
  • 11. 11 abril/016 reportó 3200 eventos en el ambiente de producción misional. Recomendación Propender por preservar un registro único y confiable que mantenga el control de información que ingresa a la base de datos. 9. De la revisión a los informes recibidos del proveedor UNE sobre el desempeño de las bases de datos Misional durante los periodos de marzo y mayo de 2016, se encontró que: - Se tiene uno objetos (archivos y/o procedimientos) que se encuentran inválidos en la base de datos que no han sido corregidos o regularizados, según el informe de mayo/2016 en su numeral “3. Esquema: Objetos inválidos”. - Existen por lo menos de 162 constraints (restricciones) deshabilitadas que no han sido tratados y se encuentran relacionados en los informes de marzo y mayo de 2016. - En los informes se citan los siguientes usuarios con rol administrador de base de datos (DBA), cuya función debe ser evaluada: Usuario Role Opción de administración Role por default Jchaves DBA No Yes Cdiazcat DBA Yes Yes Rman DBA No Yes Bfernandez DBA No Yes Dalvarfe DBA No Yes Jvelasquez DBA No Yes Mgonzalez DBA No Yes
  • 12. 12 Ytorres DBA No Yes 10. De la revisión a las actividades definidas para crear pistas de auditoría a los archivos (tablas) con información sensible de la base de datos, en el documento: “Plan General de Seguridad para Base de Datos”, se evidenció que las siguientes tareas del año 2015 se encuentran en estado pendiente: - Revisión y análisis de los datos arrojados por la auditoria periódica (17/08/2015). - Auditoría a la creación de librería de comandos (library statements). (17/08/2015). - Aseguramiento de los objetos de la base de datos. (tales como: tablas e índices no están operando en modo “NOLOGGING”). (17/08/2015). - Revocar los privilegios de ejecución del rol público sobre los paquetes: UTL_FILE, UTL_SMTP, UTL_TCP, UTL_HTTP, DBMS_RANDOM, DBMS_LOB, DBMS_SQL, DBMS_SYS_SQL, DBMS_JOB, DBMS_BACKUP_RESTORE, DBMS_OBFUSCATION_TOOLKIT (17/08/2015). - Respaldo del log y trazabilidad de operaciones de la base de datos. Se recomienda que todos los redo logs estén mirror on-line y que existan al menos 2 grupos de redo log (17/08/2015). - En la capa de conexión a la base de datos activar el log de conexiones establecidas (17/08/2015) - Establecer módulos de trazabilidad en las aplicaciones que se conectan a la base de datos para obtener información del usuario final que está accediendo a la base de datos (17/08/2015). Recomendación Evaluar las recomendaciones que efectúa el proveedor en sus informes periódicos en materia de
  • 13. 13 distribución y seguridad de la base de datos para mejorar el desempeño y protección de los datos. Estándares y regulaciones - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.4 sistemas de almacenamiento. - Manual Gobierno en Línea: Información-Gestión de la calidad y de seguridad de los componentes de información. - ISO 27001:2012 Gestión de seguridad de la información, Anexo A.12.1.3 Gestión de capacidad Controles a documentación de la base de datos La documentación proporciona entendimiento técnico, operativo, funcional y direccional que se da al proceso de la base de datos Observación - Recomendación 11. De la revisión al documento: “Plan General de Seguridad para Base de Datos”, realizado en el segundo semestre de 2015, se observó que los resultados obtenidos de este plan no han sido incluidos o actualizados en un manual o procedimiento del proceso gestión de seguridad de la información. Recomendación Es importante evaluar la actualización de los procedimientos, de tal manera que incluyan los mecanismos de control definidos en el plan de seguridad de base de datos (2015). 12. Los procedimientos y documentos que detallan el proceso de gestión de seguridad de la información, no incluyen la descripción de las actividades que se realizan para el despliegue o transporte de datos y software de la base de datos en el servidor de la Nube, la cual muestra
  • 14. 14 información de los aspirantes de pruebas por internet. Recomendación Evaluar que en los manuales del proceso se incluya las actividades que permiten ejercer control sobre el transporte de datos y software en la base de datos Nube, la cual contiene información que se presenta a los usuarios por internet. 13.No se ha formalizado el registro formato control que especifique los objetos (archivo y procedimientos) y componentes datos que se actualizan, modifican o eliminan en las bases de datos de producción. El procedimiento H4.P2 hace la descripción para la actualización de base de datos pruebas y desarrollo. Recomendación Se requiere formalizar el log de trazabilidad, en lo posible automático, para tener registro de las operaciones que se realizan en las bases de datos de producción. Estándares y regulaciones - Política de Base de datos – Seguridad de la información v1.0 H3.P1 - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.5 Sistema de bakcup. - ISO 27001:2013 Gestión de seguridad de la información, anexo A.12.3 copias de respaldo Controles al plan de continuidad del servicio base de datos
  • 15. 15 Las pruebas que se realizan al plan de continuidad, permite preparar a la institución para una emergencia, así como identificar problemas y fallas que se puedan tener con el plan, para su corrección oportuna. Observación - Recomendación 11. No se evidencia registro de pruebas realizadas a la continuidad de la operación de las bases de datos para mitigar eventualidades de interrupción que se puedan presentar en el data center del proveedor UNE. Recomendación Coordinar junto con el proveedor TIGO-UNE, la programación de pruebas de funcionalidad de las bases de datos, en las cuales considere escenarios de continuidad de operación que realiza el Icfes. Estándares y regulaciones - Modelo de Gestión IT4 plus MINTIC, numeral 6.5.2.4 Gestión de continuidad. - ISO 22301:2012 Sistema de gestión de continuidad de negocio, numeral 8.5 Ejercicio y pruebas - COBIT 5, proceso DSS04 Administración de la continuidad Conclusiones Como resultado de la evaluación realizada a la base de datos productiva, presentamos la siguiente conclusión:  Se encuentran implementados niveles de seguridad para el acceso a las bases de datos productivas, sin embargo se observan algunas debilidades, como las arriba mencionadas, de administración de acceso a usuarios y de definición de parámetros de control de password y de recursos al sistema que afectan la protección de la información y requieren ser tratadas.  Atender oportunamente los comentarios y recomendaciones que realiza el proveedor UNE en los informes mensuales y actualizar la
  • 16. 16 documentación establecida para el proceso de gestión de la información, en cuanto a la administración y seguridad de las bases de datos.  Se tienen definidos procedimientos de réplicas automáticas de información de las bases de datos y procesos de respaldo de datos, no obstante no se han realizado pruebas de interrupción que constaten la continuidad de operación de las bases de datos.