El documento describe varias metodologías y herramientas para la auditoría de bases de datos. Explica los objetivos de control a lo largo del ciclo de vida de una base de datos, así como los sistemas, software y herramientas necesarios para la auditoría como sistemas de gestión de bases de datos, software de auditoría y herramientas de minería de datos. También cubre aspectos como la seguridad física y lógica, auditoría de aplicaciones, producción, bases de datos, comunicaciones y redes, y continuidad de operaciones.
CULTURA NAZCA, presentación en aula para compartir
Capitulo 14,15,17. Auditoria informatica un enfoque practico
1.
2. Metodologías para las
base de datos
Metodología de la
evaluación de riesgos
Objetivos de control en el
ciclo de vida de una base
de datos.
Concepción de la base de
datos y selección del
equipo.
Diseño y carga
Explotación y
mantenimiento.
Revisión post
implantación
Auditoria y control interno
en un entorno de base de
datos.
Sistema de gestión de
base de datos(SGBD)
Software de auditoria
Sistema de
monitorización y
ajuste(tuning)
Sistema operativo(SO)
Montos de transacciones.
Protocolos y sistemas
distribuidos
Paquete de seguridad. Diccionario de datos
Herramientas
case(computer aided
system/software
engineering).
IPSE(integrated Project
Support Environments)
Lenguaje de cuarta
generación (L4G)
independientes
Facilidades del usuario
Herramientas de minería
de datos
3. DEFINICION
La Auditoria de Bases de Datos es el punto de partida
para realizar la Auditoria de las aplicaciones que
utilizan esta tecnología.
4. Una metodología es un conjunto de procedimientos, técnicas y ayudas
a la documentación para el desarrollo de un producto software" .
a) actividades a seguir en el desarrollo de principio a fin de la BD
b) qué es lo que hay que realizar en cada actividad indicando
c) qué se necesita como entrada,
d) qué se produce como salida e
e) quién está involucrado.
5. METODOLOGIAS PARA LA AUDITORIA DE
BASES DE DATOS
Existen 2 tipos de Metodologías:
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una
lista de control, que consta de una serie de
cuestiones S cuando la respuesta es
afirmativa, N en caso contrario y NA no
aplicable.
S_ N_ NA_
6. METODOLOGIA DE EVALUACION DE
RIESGOS
En este tipo de metodología se deben seguir
una secuencia de pasos los cuales son:
Objetivo de Control
Fijar los objetivos de Control minimizan los
riesgos potenciales a los que se somete el
entorno.
Técnica de Control
Se establece los tipos de Usuario, perfiles y
Privilegios necesarios para controlar el acceso
a la base de datos.
7. Prueba de Cumplimiento
Listar los privilegios y perfiles existentes.
Si se detectan inconsistencias en los controles,
o si los controles no existen, se diseña otro tipo
de prueba que permiten dimensionar el impacto
de estas deficiencias.
Prueba Sustantiva
Comprobar si la información presenta
alteraciones, comparándola con otra fuente,
revisando los documentos de entrada de datos y
las transacciones que se han ejecutado.
9. • Se elabora un estudio tecnológico de
viabilidad en el cual se contemplen
distintas alternativas para alcanzar los
objetivos del proyecto acompañados de
un análisis coste-beneficio para cada
una de las opciones.
Estudio
Previo y
Plan de
Trabajo
• En esta etapa se empieza a diseñar la
base de datos. La metodología de
diseño determina si es o no aceptable,
y luego comprueba su correcta
utilización.
Concepción
de la BD Y
Selección
del Equipo
10. DISEÑO Y CARGA
•Se llevan acabo los diseños lógico y Físico
de la BD, el auditor tendrá que examinar si
estos diseños se han realizado
correctamente; determinando si la
definición de los datos contempla además
de su estructura, las asociaciones y las
restricciones oportunas, así como las
especificaciones de almacenamiento de
datos y las cuestiones relativas a la
seguridad.
11. EXPLOTACION Y
MANTENIMIENTO
•Se comprueba que se establezcan los procedimientos
de explotación y mantenimiento que aseguren que los
datos se tratan de forma congruente y exacta y que el
contenido solo tendrá modificaciones mediante la
autorización adecuada.
REVISION POST-
IMPLANTACION
•En bastantes organizaciones omiten esta fase pos
falta de tiempo o recursos, pero es necesario contar
con una revisión post-implantación de el sistema
nuevo o modificado con el fin de evaluar:
•Se han conseguido los resultados esperados.
•Se satisfacen las necesidades de los usuarios.
•Los costes y beneficios coinciden con los previstos.
12. AUDITORIA Y CONTROL INTERNO EN UN
ENTORNO DE BASES DE DATOS
Sistema de Gestión de BD (SGBD)
Existen diferentes componentes del SGBD
como el catalogo( componente fundamental
que asegura la seguridad de la BD), las
utilidades para el administrador (se suelen
encontrar algunas para crear usuarios,
conceder privilegios y resolver otras cuestiones
relativas a la confidencialidad), las que se
encargan de la recuperación de la BD:
rearranque, copias de respaldo, archivos
diarios, etc. Entre otras.
13. SOFTWARE DE AUDITORIA
Paquetes que facilitan la labor del auditor, en
cuanto a la extracción de datos de la BD, el
seguimiento de la transacciones, datos de
prueba, etc.
SISTEMA DE MONITORIZACION Y AJUSTE
Complementa las facilidades ofrecidas por el
SGBD, ofreciendo mayor información para
optimizar el sistema, llegando a ser en
determinadas ocasiones verdaderos sistemas
expertos.
14. SISTEMA OPERATIVO (SO)
Es una pieza clave del entorno, en cuanto a
control de memoria, gestión de área de
almacenamiento intermedio, manejo de
errores, control de confidencialidad,
mecanismos de ínter bloqueo, etc.
MONITOR DE TRANSACCIONES
Se considera un elemento mas del entorno con
responsabilidades de confidencialidad y
rendimiento.
15. PAQUETE DE SEGURIDAD
Existe una gran variedad de productos que
permiten la implantación de una política de
seguridad, puesto que centralizan el control
de accesos, la definición de privilegios,
perfiles de usuario, etc.
DICCIONARIO DE DATOS
Conjunto de metadatos que contiene las
características lógicas y puntuales de los
datos que se van a utilizar en el sistema
incluyendo nombre, descripción, alias,
contenido y organización.
16. HERRAMIENTAS CASE
Permite al auditor revisar el diseño de la base
de datos, comprobar si se ha empleado
correctamente la metodología y asegurar un
nivel mínimo de calidad.
LENGUAJES DE 4 GENERACION
Se utilizan en la actualidad para desarrollar
prototipos que facilitan a los usuarios la
exposición de necesidades.
17. FACILIDADES DEL USUARIO
Con la aparición de interfaces graficas fáciles
de usar ( con menús, ratón, ventanas, etc.) se
ha desarrollado toda una serie de
herramientas que permiten al usuario final
acceder a los datos sin tener que conocer la
sintaxis de los lenguajes del SGBD. El auditor
debe investigar las medidas de seguridad que
ofrecen estas herramientas y bajo que
condiciones han sido instaladas; las
herramientas de este tipo deberán “ proteger
al usuario de sus propios errores”
18. HERRAMIENTAS DE MINERIA DE DATOS
Ofrecen el soporte a la toma de decisiones
sobre los datos de calidad integrados en le
almacén de datos.
19.
20. Ámbito técnica
de sistemas
Definición de la
función
El nivel de
servicio
Los
procedimientos
Instalación y
pues en servicio
Mantenimiento y
soporte
Requisito par
otros
componentes
Resolución de
incidencias
Seguridad y
control
Información
sobre la
actividad
Los controles
Auditoria de la
función
Consideraciones
sobre la
tecnología y su
evolución.
21. ÁMBITO DE TÉCNICA DE SISTEMAS
La evolución de la informática ha obligado a un
grado tal de especialización que comunicaciones,
sistemas operativos , seguridad y base de datos
han necesitado expertos en aéreas muy concretas
dejando la figura de TS relacionada
exclusivamente con el sistema operativo.
22. DEFINICIÓN DE LA FUNCIÓN
La primera tare es auditar como una actividad
informática que se requiere un determinado
desempeño profesional para cumplir unos objetivos
precisos.
Disponer de todos los elementos necesarios
Por parte de los usuarios autorizados
En el momento requerido
Con el rendimiento adecuado
23. EL NIVEL DE SERVICIO
No debemos perder de vista el cumplimiento de
tales características constituye el objetivo de los SI
(sistemas de información) y que su consecución se
expresa en términos de nivel de servicio.
Los procedimientos de actuación como los
correspondientes controles, deberían tener como fin
ultimo dicha meta.
24. LOS PROCEDIMIENTOS
Toda tarea organizada debe estar descompuesta en una
serie de
Actividades o acciones a realizar con unos
procedimientos
específicos que garanticen su calidad (o correcto
Funcionamiento).
1. Instalación y puesta en servicio
2. Mantenimiento y Soporte
3. Requisitos para otros componentes
4. Resolución de Incidencia
5. Seguridad y control
6. Información sobre la actividad.
25. AUDITORIA DE LA FUNCIÓN
Una adecuada metodología en el desarrollo de
la auditoria es fundamental y requiere de
aspectos generales, tanto del campo de la
auditoria como de la organización de los
sistemas de información
26.
27. Áreas que puede
cubrir la
auditoria de la
seguridad
Evaluación de los
riesgos
Fases de la
auditoria de las
seguridad
Auditoria de la
seguridad física
Auditoria de la
seguridad lógica
Auditoria en la
seguridad y el
desarrollo de
aplicaciones
Auditoria de la
seguridad en el
área de
producción
Auditoria en la
seguridad de las
base de datos
Auditoria en la
seguridad en
comunicaciones
y redes
Auditoria de la
continuidad de
las operaciones
Fuentes de la
auditoria
El perfil del
auditor
Técnica,
métodos y
herramientas.
Consideraciones
respecto al
informe
Contratación de
auditoria externa
Relación de la
auditoria con
administración
de seguridad
28. AUDITORIA DE SEGURIDAD
Definiciones.-
EVIDENCIA DE LA AUDITORIA
Registro, declaraciones de hecho u otra
información relevantes para los criterios de
auditoria y que son verificables
HALLAZGOS DE LA AUDITORIA
Resultado de la evaluación de las evidencias
de la auditoria, frente a los criterios de
auditoria.
30. AUDITORIA DE SEGURIDAD
Definiciones.-
PROGRAMA DE AUDITORIA
Conjunto de una o más auditorias planificadas
para periodo de tiempo y dirigidas hacia un
propósito específico.
PLAN DE AUDITORIA
Descripción de las actividades “in situ” y los
preparativos de la auditoria.
ALCANCE DE AUDITORIA
Extensión y límites de una auditoria
NO CONFORMIDAD
Incumplimiento a un requisito especificado
31. TIPOS DE AUDITORIAS
SEGURIDAD CALIDAD
Auditorias Internas
Las realizadas por miembros de la
propias empresa
De primera parte
Auditorias Externas de clientes
Las realizadas por de sucursales o
clientes de la empresa
De Segunda parte
Auditorias de certificación
Las realizadas organizaciones
independientes
De Tercera parte
32. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
OBJETIVO
PRINCIPIOS
ALCANCE
FRECUENCIA
CRITERIOS DE AUDITORIA
CONTENIDO
PLAN
MEJORAMIENTO CONTINUO
33. PARAMETROS PARA REALIZAR
AUDITORIAS DE SEGURIDAD
OBJETIVO
OBJETIVO GENERAL
Verificar que la organización cuenta con un
sistema o programa de Prevención de
Riesgos capaz de evitar las perdidas a la
organización debido a los accidentes
(personales, daños a la propiedad, al
proceso al medio ambiente) y que permita
a a la vez garantizar la salud de sus
trabajadores.
34. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
OBJETIVOS ESPECIFICOS
Ayudar en la mejora de la seguridad e higiene
ocupacionales
Determinar el cumplimiento de normas, reglamentos y
procedimientos
Mejorar el sistema de gestión de riesgos de la
seguridad en todos sus procesos.
Mejorar el nivel de concientización sobre la seguridad
e higiene ocupacional.
Conseguir el cumplimiento de las exigencias de
auditorias externas.
35. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
PRINCIPIOS
Una auditoria de seguridad no busca criticar o
menoscabar el trabajo realizado. Mas bien desea
mejorar lo que se ha hecho hasta el presente.
Objetividad
Confidencialidad
Confianza
Profesionalismo
Imparcialidad
Evidencia
36. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
ALCANCE
Se puede analizar la gestión general de la prevención
de riesgos.
Se puede analizar una determinada parte de la
organización
Se pude tocar aspectos específicos a determinadas
áreas:
Gestión de riesgos en el proceso
Riesgos eléctricos
Protección frente a los incendios
Riesgos de tareas críticas
Estándares específicos en una determinada área.
37. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
FRECUENCIA
El criterio más correcto que hay que tomar en cuenta
para efectuar las auditorias es el que se deba realizar
cada año.
Menores tiempos perjudican a la producción.
Mayores se pierde el control de los riesgos. Después
de un año hay muchas cosas que pueden haber
cambiado en la organización.
Es cierto que hay riesgos muy graves que deben ser
controlados con menor frecuencia. Pero para ello está
la observaciones e inspecciones de seguridad.
38. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
CRITERIOS DE AUDITORIA
Los criterios para la auditoria dependerán:
De la entidad que va auditar
De los objetivos que tiene la organización para
realización de la auditoria.
Sin embargo los criterios más utilizados son:
Los de los organismos estatales.
Los de organismos internacionales. La más conocida
la OSHA ( de Estados Unidos)
La de Control de Perdidas ( Es la más utilizada)
39. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
CONTENIDO DE LAS AUDITORIAS
Gestión de la Prevención de Riesgos ( Seguridad Industrial)
El programa de Control de Pérdidas es uno de mas completos
en lo que se refiere al Sistema de Gestión de riesgos
laborales.
El programa contiene 20 elementos:
1. Liderazgo y Administración
2. Entrenamiento de la Administración
3. Inspecciones informales y planeadas
4. Análisis de riesgos de las tareas y procedimientos
5. Observaciones de Seguridad
40. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
CONTENIDO DE LAS AUDITORIAS …(Continuación)
6. Investigación de accidentes
7. Investigación Preparación para las emergencias
8. Normas, reglas e instructivos de la organización
9. Capacitación en Seguridad a los trabajadores
10. Entrenamiento y mantenimiento preventivo
11. Equipos de protección personal
12. Control y servicios de salud (Salud ocupacional)
13. Controles de ingeniería
14. Comunicaciones personales
15. Comunicaciones con grupos
41. CONTENIDO DE LAS AUDITORIAS …(Continuación)
16. Promoción de la seguridad, premiación Contratación y
colocación
17. Control de compras y adquisiciones.
18. Contratación y colocación
19. Seguridad fuera del trabajo
20. Sistema de evaluación del programa: Auditorias.
PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
42. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
PLAN DE LA AUDITORIA
El plan de auditoria debe dejar bien claro
El por qué?
Se va a realizar la auditoria
Que
Se se va a tocar en la auditoria
Cuando
( de que fecha a que fecha)
Como
(Cuales van a ser los criterios, formatos y la forma en que se va a realizar la
auditoria. La metodología)
Donde.
( Que lugares se pretende visitar)
Quienes
( Van realizar la auditoria)
43. PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
PLAN DE LA AUDITORIA
Un plan de auditoria debe contener los siguientes pasos:
Objetivo de la auditoria
El alcance de la auditoria
Criterios de la auditoria
El campo de aplicación incluyendo la identificación de la organización y la
unidades funcionales de los procesos que van a ser auditados
La fechas y lugares donde se van a realizar las actividades de auditoria
La duración de las actividades
Las funciones y responsabilidades de los auditores ( y del equipo auditor)
44. ACTIVIDADES DE LA AUDITORIA
El procedimiento que normalmente se sigue en una
auditoria consta de los siguientes pasos:
Inicio de la auditoria
Revisión de la auditoria
Revisión de la documentación
Preparación de las actividades de auditorias in situ
Actividades de auditoria in situ
Preparación, aprobación y distribución del informe de
auditoria.
Realización del seguimiento de la auditoria
45. PREPARACION DEL INFORME DE
AUDITORIA
El auditor debe preparar el informe de la auditoria. Este informe
debe se completo, conciso y claro. Debe incluir y hacer
referencia a:
1. Objetivo de la auditoria
2. El alcance de la auditoria
3. Identificación del auditor y/o el equipo auditor
4. Las fechas y lugares donde se realizaron las actividades de la
auditoria
5. La metodología y los criterios que se utilizaron en la auditoria
6. Los hallazgos de la auditoria ( Conformidades y la No
Conformidades)
7. Las conclusiones de la auditoria.