Este documento presenta una introducción a la auditoría de bases de datos. Explica que existen dos metodologías principales para realizar auditorías: la metodología tradicional y la metodología de evaluación de riesgos. Luego, detalla varios objetivos de control que deben cumplirse en el ciclo de vida de una base de datos, como el estudio previo, la selección del equipo, el diseño y la carga de datos, y el mantenimiento posterior. Finalmente, cubre otros procesos auxiliares como la formación del personal y el aseg
2. INTRODUCCIÓN
La auditoria trata dos partes importantes: las áreas del Dpto.
de Informática y las Aplicaciones.
Metodologías para la Auditoría de Base de Datos.
Existen diversas metodologías. Pero se puede agrupar en dos
grupos.
1. Metodología Tradicional. Se observa el entorno. Se
establece un checklist.
3. 2. Metodología de Evaluación de Riesgos.
Debe cumplir los siguientes objetivos:
♂ Objetivos de Control.
♂ Técnica de Control.
♂ Prueba de Cumplimiento.
♂ Prueba Sumativa.
- Al final de la Auditoría se debe presentar las conclusiones
en donde se expongan los resultados arrojados por la
Auditoría.
4. OBJETIVOS DE CONTROL DE CICLO DE VIDA
DE UNA BASE DE DATOS.
1. Estudio previo y Plan de
Trabajo.
Elaborar estudio Tecnológico de
viabilidad.
Análisis de Costos-Beneficios.
Decidir si desarrollar o comprar.
Aprobación de la Estructura orgánica.
7. Se recomienda la separación de funciones entre:
También debe existir una separación de funciones entre el
Administrador de Base de Datos y Administrador de
Seguridad.
8. CONCEPCIÓN DE LA BASE DE DATOS Y
SELECCIÓN DEL EQUIPO.
Deben utilizarse modelos y técnicas definidos.
Un apartado al que COBIT dedica un apartado y que
deberían dedicársele el tiempo indicado es la
Arquitectura de la Base de Datos y que debe cumplir
cuatro objetivos:
1. Modelo de Arquitectura de Información.
2. Datos y Diccionario de Datos Corporativo.
3. Esquema de Clasificación de Datos en cuanto a
seguridad.
4. Niveles de Seguridad para cada nivel anterior.
9. En cuanto a la selección del personal deben tomarse en
cuenta las necesidades de la empresa de no tener personal en
cuanto a SGBD.
Se debe tomar en cuenta el impacto y sus niveles de
seguridad.
10. DISEÑO Y CARGA
Se lleva a cabo los diseños lógicos y físicos de la BD.
El auditor debe tomar una muestra de los principales
elementos.
Posteriormente se procede a la carga o migración de los datos.
11. EXPLOTACIÓN Y MANTENIMIENTO.
Se debe llevar a cabo una auditoria sobre el rendimiento
del sistema.
La función de la Administración de Base de Datos es
responsable de la integridad y rendimiento de las Bases
de Datos.
14. REVISIÓN POST-IMPLANTACIÓN
Se debe desarrollar para saber si se han cumplido los
objetivos trazados en la implantación.
1. Se han conseguido los resultados esperados.
2. Se satisfacen las necesidades de los usuarios.
3. Los costos y beneficios coinciden con los previstos.
15. OTROS PROCESOS AUXILIARES
Se debe controlar la formación que precisan tanto usuarios
informáticos como no informáticos, a fin de mitigar el riesgo.
Usuarios poco formados constituyen un riesgo para la
organización.
La formación debe incluir conceptos de control y seguridad.
El auditor debe corroborar que la formación cumple con los
estándares y la metodología indicada.
Debe asegurarse que se haya cumplido con un aseguramiento
de la calidad que, aunque existen pocas medidas de calidad
en BD, deben cumplirse para el bien de la organización.