SlideShare una empresa de Scribd logo
AUDITORIA EN UN
AMBIENTE DE
BASE DE DATOS.
Enrique Carlos mangones Díaz
INTRODUCCIÓN
 La gran difusión de los Sistemas de Gestión de Bases de Datos
(SGBD), junto con la consagración de los datos como uno de los
Activos fundamentales de las empresas, ha hecho que los temas
relativos a su control interno y auditoría cobren, cada día, mayor
interés. Como ya se ha comentado, normalmente la auditoría
informática se aplica de dos formas distintas; por un lado, se
auditan las principales áreas del departamento de informática:
explotación, dirección, metodología de desarrollo, sistema
operativo, telecomunicaciones, bases de datos, etc.; y, por otro,
se auditan las aplicaciones (desarrolladas internamente,
subcontratadas o adquiridas) que funcionan en la empresa. La
importancia de la auditoría del entorno de bases de datos hace
énfasis en que es el punto de partida para poder realizar la
auditoría de las aplicaciones que utiliza esta tecnología.
AUDITORIA A UNA BASE DE DATOS
 Es el proceso que permite medir, asegurar, demostrar, monitorear
y registrar los accesos a la información almacenada en las bases
de datos incluyendo la capacidad de determinar:
 – Quién accede a los datos
– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
– Cuál fue el efecto del acceso a la base de datos
OBJETIVOS GENERALES DE LA
AUDITORÍA DE BD
 Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas
relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas
con el objetivo de:
 Monitorear y registrar el uso de los datos por los usuarios
Autorizados o no.
 Mantener trazas de uso y del acceso a bases de datos
 Permitir investigaciones
 Generar alertas en tiempo real
 Mitigar los riesgos asociados con el manejo inadecuado de los datos
 Apoyar el cumplimiento regulatorio.
 Satisfacer los requerimientos de los auditores
 Evitar acciones criminales
METODOLOGIAS PARA LA AUDITORIA
DE BASES DE DATOS
Existen 2 tipos de Metodologías:
 Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control,
que consta de una serie de cuestiones S cuando la respuesta es
afirmativa, N en caso contrario y NA no aplicable.
S_ N_ NA_
METODOLOGIA DE EVALUACION DE
RIESGOS
En este tipo de metodología se deben seguir una secuencia de
pasos los cuales son:
Objetivo de Control
Fijar los objetivos de Control minimizan los riesgos potenciales a
los que se somete el entorno.
Técnica de Control
Se establece los tipos de Usuario, perfiles y Privilegios
necesarios para controlar el acceso a la base de datos.
Prueba de Cumplimiento
Listar los privilegios y perfiles existentes.
Si se detectan inconsistencias en los controles, o si los controles no
existen, se diseña otro tipo de prueba que permiten dimensionar el
impacto de estas deficiencias.
Prueba Sustantiva
Comprobar si la información presenta alteraciones, comparándola
con otra fuente, revisando los documentos de entrada de datos y las
transacciones que se han ejecutado.
OBJETIVOS DE CONTROL EN EL
CICLO DE VIDA DE UNA BASE DE
DATOS
Estudio Previo Y Plan de
Trabajo
Concepción De La BD Y Selección De
Equipo
Diseño y Carga
Explotación y Mantenimiento
Revisión post implantación
 Estudio Previo y Plan de Trabajo
Se elabora un estudio tecnológico de viabilidad en el cual se
contemplen distintas alternativas para alcanzar los objetivos del
proyecto acompañados de un análisis coste-beneficio para cada una
de las opciones.
 Concepción de la BD Y Selección del Equipo
En esta etapa se empieza a diseñar la base de datos. La metodología
de diseño determina si es o no aceptable, y luego comprueba su
correcta utilización.
 DISEÑO Y CARGA
Se llevan acabo los diseños lógico y Físico de la BD, el auditor tendrá
que examinar si estos diseños se han realizado correctamente;
determinando si la definición de los datos contempla además de su
estructura, las asociaciones y las restricciones oportunas, así como
las especificaciones de almacenamiento de datos y las cuestiones
relativas a la seguridad.
 EXPLOTACION Y MANTENIMIENTO
Se comprueba que se establezcan los procedimientos de explotación
y mantenimiento que aseguren que los datos se tratan de forma
congruente y exacta y que el contenido solo tendrá modificaciones
mediante la autorización adecuada.
 REVISION POST-IMPLANTACION
En bastantes organizaciones omiten esta fase pos falta de tiempo o
recursos, pero es necesario contar con una revisión post-implantación
de el sistema nuevo o modificado con el fin de evaluar:
Se han conseguido los resultados esperados.
Se satisfacen las necesidades de los usuarios.
Los costes y beneficios coinciden con los
previstos.
AUDITORIA Y CONTROL INTERNO EN
UN ENTORNO DE BASES DE DATOS
 Sistema de Gestión de BD (SGBD)
Existen diferentes componentes del SGBD como el catalogo(
componente fundamental que asegura la seguridad de la BD), las
utilidades para el administrador (se suelen encontrar algunas
para crear usuarios, conceder privilegios y resolver otras
cuestiones relativas a la confidencialidad), las que se encargan
de la recuperación de la BD: copias de respaldo, archivos diarios,
etc. Entre otras.
COMPONENTES DE UN SGBD
 SOFTWARE DE AUDITORIA
Paquetes que facilitan la labor del auditor, en cuanto a la extracción
de datos de la BD, el seguimiento de la transacciones, datos de
prueba, etc.
 SISTEMA DE MONITORIZACION Y AJUSTE
Complementa las facilidades ofrecidas por el SGBD, ofreciendo
mayor información para optimizar el sistema, llegando a ser en
determinadas ocasiones verdaderos sistemas expertos.
 SISTEMA OPERATIVO (SO)
Es una pieza clave del entorno, en cuanto a control de memoria,
gestión de área de almacenamiento intermedio, manejo de errores,
control de confidencialidad, mecanismos de ínter bloqueo, etc.
 MONITOR DE TRANSACCIONES
Se considera un elemento mas del entorno con responsabilidades de
confidencialidad y rendimiento.
 PAQUETE DE SEGURIDAD
Existe una gran variedad de productos que permiten la implantación
de una política de seguridad, puesto que centralizan el control de
accesos, la definición de privilegios, perfiles de usuario, etc.
 DICCIONARIO DE DATOS
Conjunto de metadatos que contiene las características lógicas y
puntuales de los datos que se van a utilizar en el sistema incluyendo
nombre, descripción, alias, contenido y organización.
 HERRAMIENTAS CASE
Permite al auditor revisar el diseño de la base de datos, comprobar si
se ha empleado correctamente la metodología y asegurar un nivel
mínimo de calidad.
 LENGUAJES DE 4 GENERACION
Se utilizan en la actualidad para desarrollar prototipos que facilitan a
los usuarios la exposición de necesidades.
 FACILIDADES DEL USUARIO
Con la aparición de interfaces graficas fáciles de usar ( con menús,
ratón, ventanas, etc.) se ha desarrollado toda una serie de
herramientas que permiten al usuario final acceder a los datos sin
tener que conocer la sintaxis de los lenguajes del SGBD. El auditor
debe investigar las medidas de seguridad que ofrecen estas
herramientas y bajo que condiciones han sido instaladas; las
herramientas de este tipo deberán “ proteger al usuario de sus
propios errores”
 HERRAMIENTAS DE MINERIA DE DATOS
Ofrecen el soporte a la toma de decisiones sobre los datos de calidad
integrados en le almacén de datos.
PASOS PARA ELABORAR UN INFORME
DE AUDITORÍA
 Se requieren varios pasos para realizar una auditoría. El auditor
de sistemas debe evaluar los riesgos globales y luego desarrollar
un programa de auditoria que consta
de objetivos de control y procedimientos de auditoria que deben
satisfacer esos objetivos
 El proceso de auditoria exige que el auditor de sistemas reúna
evidencia, evalúe fortalezas y debilidades de los controles existentes
basado en la evidencia recopilada, y que prepare un informe de
auditoria que presente esos temas en forma objetiva a la gerencia.
Asimismo, la gerencia de auditoría debe garantizar una disponibilidad
y asignación adecuada de recursos para realizar el trabajo de
auditoria además de las revisiones de seguimiento sobre
las acciones correctivas emprendidas por la gerencia.
 La importancia de la auditoría del entorno de bases de datos radica
en que es el punto de partida para poder realizar la auditoría de las
aplicaciones que utiliza esta tecnología.
LA AUDITORÍA DE BD ES IMPORTANTE
PORQUE:
 Toda la información financiera de la organización reside en bases de datos y deben existir
controles relacionados con el acceso a las mismas.
 Se debe poder demostrar la integridad de la información almacenada en las bases de datos.
 Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de
información.
 La información confidencial de los clientes, son responsabilidad de las organizaciones.
 Los datos convertidos en información a través de bases de datos y procesos de negocios
representan el negocio.
 Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. Deben
monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y
cómo.
PLANIFICACIÓN DE LA AUDITORIA DE
BD
1. Identificar todas las bases de datos de la organización
2. Clasificar los niveles de riesgo de los datos en las bases de datos
3. Analizar los permisos de acceso
4. Analizar los controles existentes de acceso a las bases de datos
5. Establecer los modelos de auditoría de BD a utilizar
6. Establecer las pruebas a realizar para cada BD, aplicación y/o
usuario
CONSIDERANDO LOS RIESGOS
DE:
 Dependencia por la concentración de Datos
 Accesos no restringidos en la figura del DBA
 Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el
general de instalación
 Impactos de los errores en Datos y programas
 Rupturas de enlaces o cadenas por fallos del software.
Impactos por accesos no autorizados
 Dependencias de las personas con alto conocimiento técnico
SE PUEDEN DEFINIR LOS SIGUIENTES
CONTROLES:
 Objetivo de control: el SGBD deberá preservar la confidencialidad
de la BD
 Técnicas de Control: se establecen niveles y tipos de usuarios,
privilegios para el control de
Acceso a la base datos.
Capitulo 10 auditoria en base de datos

Más contenido relacionado

La actualidad más candente

LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
1426NA
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Roberto Porozo
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
Giovani Roberto Gómez Millán
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemas
Jose Alvarado Robles
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de información
Yaskelly Yedra
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
Amd Cdmas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Enrique Cabello
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
Natii Rossales Hidrobo
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
Carlos R. Adames B.
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemas
kathia_mile
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
TAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computadorTAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computador
Efraín Pérez
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
Acosta Escalante Jesus Jose
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
Hector Chajón
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
oamz
 
Analisis y determinacion de requerimientos
Analisis y determinacion de requerimientosAnalisis y determinacion de requerimientos
Analisis y determinacion de requerimientos
Yesith Valencia
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
Maria Jaspe
 

La actualidad más candente (20)

LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemas
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de información
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemas
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
TAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computadorTAAC, Técnicas de auditoria asistida por computador
TAAC, Técnicas de auditoria asistida por computador
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
 
Analisis y determinacion de requerimientos
Analisis y determinacion de requerimientosAnalisis y determinacion de requerimientos
Analisis y determinacion de requerimientos
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
 

Similar a Capitulo 10 auditoria en base de datos

13-Auditoria a Base de Datos
13-Auditoria a Base de Datos13-Auditoria a Base de Datos
13-Auditoria a Base de Datos
Luis Fernando Aguas Bucheli
 
Cap #4 5
Cap #4 5Cap #4 5
Cap #4 5
hmitre17
 
06 auditoria de_base_de_datos
06 auditoria de_base_de_datos06 auditoria de_base_de_datos
06 auditoria de_base_de_datos
Mariano Moreira
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Manuel Medina
 
Cap #4 y 5
Cap #4 y 5Cap #4 y 5
Cap #4 y 5
hmitre17
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
Leidy Andrea Sanchez
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
Leidy Andrea Sanchez
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficheros
Armando Landazuri
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
galactico_87
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controles
Eliecer Espinosa
 
Auditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptxAuditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptx
EduardoManosalvas1
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control Interno
Roberto Porozo
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
Can00
 
5 grupo 5..
5 grupo 5..5 grupo 5..
5 grupo 5..
Can00
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
Can00
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
GABRIELCARRASQUEL1
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Ernesto Herrera
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
MariaSalazarLopez
 
Tema 7
Tema 7Tema 7

Similar a Capitulo 10 auditoria en base de datos (20)

13-Auditoria a Base de Datos
13-Auditoria a Base de Datos13-Auditoria a Base de Datos
13-Auditoria a Base de Datos
 
Cap #4 5
Cap #4 5Cap #4 5
Cap #4 5
 
06 auditoria de_base_de_datos
06 auditoria de_base_de_datos06 auditoria de_base_de_datos
06 auditoria de_base_de_datos
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Cap #4 y 5
Cap #4 y 5Cap #4 y 5
Cap #4 y 5
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficheros
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controles
 
Auditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptxAuditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptx
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control Interno
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
 
5 grupo 5..
5 grupo 5..5 grupo 5..
5 grupo 5..
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
 
Tema 7
Tema 7Tema 7
Tema 7
 

Último

importancia de la organizacion moderna jjj
importancia de la organizacion moderna jjjimportancia de la organizacion moderna jjj
importancia de la organizacion moderna jjj
gallegoscarneronelso
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
sthefannydelgado765
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
anacruztone06
 
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
hadzitbalchetranspar
 
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdfLA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
YulianaCori
 
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6GAVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
jesusdeveloper00
 
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptxcáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
contrerasvivancoj
 
aplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdfaplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdf
jordanovillacorta09
 
Actividad integradora 6 curso multimedia
Actividad integradora 6 curso multimediaActividad integradora 6 curso multimedia
Actividad integradora 6 curso multimedia
AliiIxh
 
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docxCOMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
Jean Apellidos
 
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdfUSOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
politamazznaa
 
FORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesssFORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesss
mariel2006torresjenn
 
Tema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptxTema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptx
contrerasvivancoj
 
Copia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptxCopia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptx
jcoloniapu
 
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docxAPLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
jordanovillacorta09
 
- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla
BERTILAARTEAGATOLENT1
 
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxYouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
SharisNoelySancaYana1
 
El uso de las tics en la vida cotidiana y en otros hábitos
El uso de las tics en la vida cotidiana y en otros  hábitosEl uso de las tics en la vida cotidiana y en otros  hábitos
El uso de las tics en la vida cotidiana y en otros hábitos
241560435
 
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdfMONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
darilpisco021
 
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptxTEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
ArmandoCastro93
 

Último (20)

importancia de la organizacion moderna jjj
importancia de la organizacion moderna jjjimportancia de la organizacion moderna jjj
importancia de la organizacion moderna jjj
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
 
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
 
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdfLA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
 
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6GAVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
 
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptxcáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
 
aplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdfaplicaciones de internet Google.20240pdf
aplicaciones de internet Google.20240pdf
 
Actividad integradora 6 curso multimedia
Actividad integradora 6 curso multimediaActividad integradora 6 curso multimedia
Actividad integradora 6 curso multimedia
 
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docxCOMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
 
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdfUSOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
 
FORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesssFORMATO GUÍA experimental resuelto yesss
FORMATO GUÍA experimental resuelto yesss
 
Tema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptxTema: gastritis. Contreras Vivanco Juan David pptx
Tema: gastritis. Contreras Vivanco Juan David pptx
 
Copia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptxCopia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptx
 
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docxAPLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
 
- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla
 
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxYouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
El uso de las tics en la vida cotidiana y en otros hábitos
El uso de las tics en la vida cotidiana y en otros  hábitosEl uso de las tics en la vida cotidiana y en otros  hábitos
El uso de las tics en la vida cotidiana y en otros hábitos
 
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdfMONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
 
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptxTEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
 

Capitulo 10 auditoria en base de datos

  • 1. AUDITORIA EN UN AMBIENTE DE BASE DE DATOS. Enrique Carlos mangones Díaz
  • 2. INTRODUCCIÓN  La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los Activos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la auditoría informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos hace énfasis en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
  • 3. AUDITORIA A UNA BASE DE DATOS  Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:  – Quién accede a los datos – Cuándo se accedió a los datos – Desde qué tipo de dispositivo/aplicación – Desde que ubicación en la Red – Cuál fue la sentencia SQL ejecutada – Cuál fue el efecto del acceso a la base de datos
  • 4. OBJETIVOS GENERALES DE LA AUDITORÍA DE BD  Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:  Monitorear y registrar el uso de los datos por los usuarios Autorizados o no.  Mantener trazas de uso y del acceso a bases de datos  Permitir investigaciones  Generar alertas en tiempo real  Mitigar los riesgos asociados con el manejo inadecuado de los datos  Apoyar el cumplimiento regulatorio.  Satisfacer los requerimientos de los auditores  Evitar acciones criminales
  • 5. METODOLOGIAS PARA LA AUDITORIA DE BASES DE DATOS Existen 2 tipos de Metodologías:  Metodología Tradicional El auditor revisa el entorno con la ayuda de una lista de control, que consta de una serie de cuestiones S cuando la respuesta es afirmativa, N en caso contrario y NA no aplicable. S_ N_ NA_
  • 6. METODOLOGIA DE EVALUACION DE RIESGOS En este tipo de metodología se deben seguir una secuencia de pasos los cuales son: Objetivo de Control Fijar los objetivos de Control minimizan los riesgos potenciales a los que se somete el entorno. Técnica de Control Se establece los tipos de Usuario, perfiles y Privilegios necesarios para controlar el acceso a la base de datos.
  • 7. Prueba de Cumplimiento Listar los privilegios y perfiles existentes. Si se detectan inconsistencias en los controles, o si los controles no existen, se diseña otro tipo de prueba que permiten dimensionar el impacto de estas deficiencias. Prueba Sustantiva Comprobar si la información presenta alteraciones, comparándola con otra fuente, revisando los documentos de entrada de datos y las transacciones que se han ejecutado.
  • 8. OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS Estudio Previo Y Plan de Trabajo Concepción De La BD Y Selección De Equipo Diseño y Carga Explotación y Mantenimiento Revisión post implantación
  • 9.  Estudio Previo y Plan de Trabajo Se elabora un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones.  Concepción de la BD Y Selección del Equipo En esta etapa se empieza a diseñar la base de datos. La metodología de diseño determina si es o no aceptable, y luego comprueba su correcta utilización.
  • 10.  DISEÑO Y CARGA Se llevan acabo los diseños lógico y Físico de la BD, el auditor tendrá que examinar si estos diseños se han realizado correctamente; determinando si la definición de los datos contempla además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
  • 11.  EXPLOTACION Y MANTENIMIENTO Se comprueba que se establezcan los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido solo tendrá modificaciones mediante la autorización adecuada.  REVISION POST-IMPLANTACION En bastantes organizaciones omiten esta fase pos falta de tiempo o recursos, pero es necesario contar con una revisión post-implantación de el sistema nuevo o modificado con el fin de evaluar: Se han conseguido los resultados esperados. Se satisfacen las necesidades de los usuarios. Los costes y beneficios coinciden con los previstos.
  • 12. AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS  Sistema de Gestión de BD (SGBD) Existen diferentes componentes del SGBD como el catalogo( componente fundamental que asegura la seguridad de la BD), las utilidades para el administrador (se suelen encontrar algunas para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad), las que se encargan de la recuperación de la BD: copias de respaldo, archivos diarios, etc. Entre otras.
  • 14.  SOFTWARE DE AUDITORIA Paquetes que facilitan la labor del auditor, en cuanto a la extracción de datos de la BD, el seguimiento de la transacciones, datos de prueba, etc.  SISTEMA DE MONITORIZACION Y AJUSTE Complementa las facilidades ofrecidas por el SGBD, ofreciendo mayor información para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos.
  • 15.  SISTEMA OPERATIVO (SO) Es una pieza clave del entorno, en cuanto a control de memoria, gestión de área de almacenamiento intermedio, manejo de errores, control de confidencialidad, mecanismos de ínter bloqueo, etc.  MONITOR DE TRANSACCIONES Se considera un elemento mas del entorno con responsabilidades de confidencialidad y rendimiento.
  • 16.  PAQUETE DE SEGURIDAD Existe una gran variedad de productos que permiten la implantación de una política de seguridad, puesto que centralizan el control de accesos, la definición de privilegios, perfiles de usuario, etc.  DICCIONARIO DE DATOS Conjunto de metadatos que contiene las características lógicas y puntuales de los datos que se van a utilizar en el sistema incluyendo nombre, descripción, alias, contenido y organización.
  • 17.  HERRAMIENTAS CASE Permite al auditor revisar el diseño de la base de datos, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.  LENGUAJES DE 4 GENERACION Se utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios la exposición de necesidades.
  • 18.  FACILIDADES DEL USUARIO Con la aparición de interfaces graficas fáciles de usar ( con menús, ratón, ventanas, etc.) se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD. El auditor debe investigar las medidas de seguridad que ofrecen estas herramientas y bajo que condiciones han sido instaladas; las herramientas de este tipo deberán “ proteger al usuario de sus propios errores”
  • 19.  HERRAMIENTAS DE MINERIA DE DATOS Ofrecen el soporte a la toma de decisiones sobre los datos de calidad integrados en le almacén de datos.
  • 20. PASOS PARA ELABORAR UN INFORME DE AUDITORÍA  Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos  El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.
  • 21.  La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
  • 22. LA AUDITORÍA DE BD ES IMPORTANTE PORQUE:  Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.  Se debe poder demostrar la integridad de la información almacenada en las bases de datos.  Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.  La información confidencial de los clientes, son responsabilidad de las organizaciones.  Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio.  Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.
  • 23. PLANIFICACIÓN DE LA AUDITORIA DE BD 1. Identificar todas las bases de datos de la organización 2. Clasificar los niveles de riesgo de los datos en las bases de datos 3. Analizar los permisos de acceso 4. Analizar los controles existentes de acceso a las bases de datos 5. Establecer los modelos de auditoría de BD a utilizar 6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario
  • 24. CONSIDERANDO LOS RIESGOS DE:  Dependencia por la concentración de Datos  Accesos no restringidos en la figura del DBA  Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación  Impactos de los errores en Datos y programas  Rupturas de enlaces o cadenas por fallos del software. Impactos por accesos no autorizados  Dependencias de las personas con alto conocimiento técnico
  • 25. SE PUEDEN DEFINIR LOS SIGUIENTES CONTROLES:  Objetivo de control: el SGBD deberá preservar la confidencialidad de la BD  Técnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el control de Acceso a la base datos.