Este documento presenta el informe de auditoría de la base de datos de la empresa Milo C.A. Se realizó entre el 31 de enero y el 28 de febrero de 2015. Se evaluaron aspectos como los privilegios de usuario, seguridad de datos, diseño, mantenimiento, rendimiento y documentación. Se encontraron debilidades como la falta de un administrador de base de datos, falta de renovación de claves de usuario y diccionario de datos.
3. Identificación de la Empresa
Empresas MILO, C.A. está alineada con la estrategia de los
negocios, a través de una marca global de herramientas de
belleza para el profesional y en general para todos aquellos que
buscan calidad e innovación para el cuidado del cabello. Nace en
el 2001, con un concepto desarrollado exclusivamente para el
mercado Latinoamericano, bajo los siguientes principios: adaptado
al tipo de cabello, a las posibilidades económicas del consumidor,
a las necesidades del mercado y brindar una imagen impecable.
5. Objetivos
General
• Realizar Auditoría Informática de Base de Datos de la empresa MILO,
C.A.
Específicos
• Diagnosticar la gestión de la Base de Datos.
• Evaluar la gestión de la Base de Datos.
• Analizar la situación actual de la gestión de Base de Datos.
• Presentar informe
6. Área Evaluada
Se realizó la evaluación en el departamento de sistema donde se
encuentra toda la estructura física y lógica de la base de datos de la
empresa MILO C.A
7. Alcance y Limitaciones
ALCANCE:
Se realizó la evaluación en el área del departamento de sistema donde se encuentra
toda la estructura física y lógica de la base de datos de la empresa MILO C.A
LIMITACIONES:
No se tuvo ninguna limitación en la aplicación de la lista de verificación en la empresa MILO
C.A, debido a que se logró chequear cada uno de los puntos establecidos en la misma.
8. Aspecto COBIT
Satisfacer las necesidades de las partes interesadas
En Empresas MILO, C.A., la disponibilidad de la información de forma eficiente y
eficaz es de suma importancia para las partes interesadas (la directiva, los
empleados, los miembros ordinarios y los clientes), en tal sentido el enfoque
principal de la Auditoría de Base de Datos a realizar, se basa principalmente en el
“Rendimiento” que garantice a las partes interesadas obtener beneficios dentro del
contexto de la Organización, de las metas relacionadas con la TI y de las metas
habilitadoras.
9. Matriz de Auditoria
OBJETIVOS
Dimension Indicadores Instrumento
General Específicos
Realizar Auditoría
Informática de Base
de Datos de la
empresa MILO, C.A.
Diagnosticar la
gestión de la Base
de Datos.
Privilegios de
Usuario
• Número de usuarios.
• Perfil de usuarios.
• Privilegios en tablas y
procedimientos.
Entrevistas
Encuestas
EstadísticasSeguridad de los
Datos
• Numero de
restauraciones
exitosas.
• Numero de Caídas del
sistema.
• Frecuencia de prueba
de copias.
• Tiempo de
restauración de los
datos.
• Numero de datos
perdidos.
10. OBJETIVOS
Dimension Indicadores Instrumento
General Específicos
Realizar Auditoría
Informática de Base
de Datos de la
empresa MILO, C.A.
Evaluar la gestión
de Base de
Datos.
Diseño
• Recursos Físicos
• Recursos Lógicos
• Cantidad de copias al día.
Entrevistas
Encuestas
Estadísticas
Mantenimiento
• Tiempo de espera en las consultas.
• Cantidad de usuarios satisfechos.
Rendimiento
• Frecuencia de pérdida de información.
• Cantidad de datos incongruentes.
Documentación
• Diccionario de Datos.
• Perfiles de Usuarios.
• Identificación de Procedimientos y
comentarios en tablas.
Procesos y
procedimientos
• Registro de:
• Cantidad de accesos.
• Cuando acceden.
• Desde que aplicación.
• Cantidad de procesos por cada acceso.
• Cantidad de sistemas
Matriz de Auditoria
11. OBJETIVOS
Dimension Indicadores Instrumento
General Específicos
Realizar Auditoría
Informática de Base
de Datos de la
empresa MILO, C.A.
Analizar la situación
actual de la gestión
de Base de Datos.
Desempeño
Presentar informe. Resultados
Matriz de Auditoria
12. Dimensión:
Rendimiento de la Base de Datos
Aspectos a Evaluar
• Identificar las tablas de gran tamaño y los procesos más complejos que realiza la
base de datos.
• Evaluación de tiempos de respuesta en procesos críticos.
• considerar los efectos que puede tener en el rendimiento el aumento del número de
usuarios con acceso a la base de datos.
• Revisión de tiempos de espera de consultas y reportes.
• Evaluación de perdida de información.
• Evaluación de inconsistencia de datos.
• Configuración y uso de recursos físicos (discos, memoria, procesador)
• Medir el grado de satisfacción del cliente.
13. N° CARACTERISTICA A CHEQUEAR SI NO
1 ¿Existió una metodología para el diseño de la base de datos? X
2 ¿Se cuenta con un diseño conceptual y lógico de la base de datos? X
3 ¿Posee el diccionario de datos un diseño físico y lógico? X
4 ¿Existen políticas de gestión de datos? X
5 ¿Se cuenta con procedimientos para controlar la integridad y seguridad de los datos? X
6 ¿Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la base de datos? X
7 ¿Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)? X
8 ¿Existe algún usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor? X
9 ¿Se encuentra un administrador de sistemas en la empresa que lleve un control de los usuarios? X
10 ¿Son gestionados los perfiles de estos usuarios por el administrador? X
11 ¿Las instancias que contienen el repositorio, tienen acceso restringido? X
12 ¿Se renuevan las claves de los usuarios de la base de datos? X
13 ¿Se obliga el cambio de la contraseña de forma automática? X
14 ¿Se realiza chequeos de consistencia de la base de datos? X
Lista de Chequeo
15. HojadeControl
CODIGO ABD-5
Tipo de Documento: Rendimiento de la Base de Datos. Pág. 5 de 7
Propósito: Identificar si la base de datos realiza todas la operaciones en forma rápida y correcta.
Tipo de
Prueba:
Pruebas de consentimiento
Auditor: Luis Pérez
Noriarman Páez
Empresa: Milo, C.A.
Pre-requisitos: Revisión del hardware existente: disco de almacenamiento, diseño de índices usados, parámetros de
configuración.
Pasos: Identificación de procesos críticos
Revisión de tiempos de espera de consultas y reportes
Evaluación de tiempos de respuesta en procesos críticos
Evaluación de satisfacción de usuario
Evaluación de perdida de información
Evaluación de inconsistencia de datos
Resultados
Esperados:
Lograr un mejor rendimiento en el uso de la base de datos optimizando su desempeño y el manejo de la
información en la empresa.
Observación: La empresa no realiza mediciones en los usuarios finales, en cuanto a la satisfacción del manejo de los sistemas
y tiempo de respuesta.
No se cuenta con un ambiente de desarrollo para evaluar mejoras y/o nuevas opciones en los sistemas de
información.
Hoja de Control
16. Entrevista
N°
PREGUNTAS RESPUESTA
1 ¿Con cuántos usuarios cuenta la base de datos? 20
2 ¿Con cuántos servidores cuenta la empresa para almacenar la data? 2
3 ¿Cuántas unidades de respaldo poseen? 1
4 ¿Cada cuánto hacen respaldos a la base de datos? Cada 15 días
5 ¿Cómo previenen los errores? En este momento no lo hacemos
6 ¿Cuantos usuarios tienen perfil de administrador? 2
7 ¿Establecen accesos específicos para cada usuario? Si
8 ¿Cómo se limita el acceso a la base de datos a los usuarios?
Asignando el usuario a grupos de uso de
base de datos especifica
9 ¿Realizan pruebas de la copia de los respaldos? No
10 ¿Con cuántos sistemas de información cuentan en la organización? 14
11 ¿Cuál es el volumen de tablas por bases de datos? 15 tablas por BD
12 ¿Cuál es el número de procedimientos por bases de datos?
50 procedimientos (sumando triggers y SP)
13 ¿Cuál es la cantidad de procesos por cada acceso? 5
14 ¿Poseen diccionario de datos para cada una de las bases de datos? No
15 ¿Qué base de datos utilizan para el resguardo de la data? SQL Server 2012
17. Cuestionario
No DESCRIPCION Si NO N/A OBSERVACIONES
1 ¿Existe reporte de fallas del sistema por parte del usuario?
X
2 ¿Existe medición del grado de confianza sobre los datos almacenados?
X
3 ¿El proceso de obtención de resultados resulta rápido? X
4 ¿El personal aplica de manera correcta los procedimientos?
X La mayor parte de ellos
5 ¿Considera que los usuarios están satisfechos? X Medianamente satisfechos
6 ¿Cuenta con controles que identifiquen el desempeño de la base de datos?
X No siempre se usan
7
¿Cuentan con controles que identifiquen las desviaciones en el desempeño
de la base de datos?
X
8 ¿Se implementan medidas para corregir las desviaciones?
X
9
¿Utilizan software de contadores para evaluar el rendimiento de la base de
datos?
X En ciertas ocasiones
10
¿Considera que el sistema de gestión utilizado para valorar la base de datos
es suficientes?
X
11 ¿Cuentan con sala de servidores? X
12 ¿Existe resguardo contra incendios en el salón de servidores?
X
13 ¿Está el personal preparado contra eventualidad de incendio?
X
18. Informe
Uno de los procedimientos de auditoría a seguir se basa en lo
siguiente:
5. Evaluar el rendimiento de la base de datos.
Cuando se diseña una base de datos, se debe asegurar de que realiza
todas las operaciones importantes de forma rápida y correcta. Es
importante identificar las tablas de gran tamaño y los procesos más
complejos que realizará la base de datos. También se debe prestar
atención al rendimiento en cuanto a los recursos del sistema operativo
utilizados (espacio, memoria, procesador) y los efectos que puede tener
en el rendimiento el aumento del número de usuarios con acceso a la
base de datos.
19. Luego del desarrollo de la auditoría en la empresa MILO, C.A., se
encontraron las siguientes debilidades:
• No poseen la figura DBA (Administrador de la Base de Datos).
• No se renuevan las claves de los usuarios de la base de datos.
• No tienen definido un diccionario de datos.
• No llevan periódicamente estadísticas de rendimiento y de
consumo de recursos.
• No poseen un buen sistema de protección de la base de datos frente a ataques externos.
• Poseen un gran uso de tablas temporales en la generación de
reportes, lo que hace que se tenga un alto nivel de
almacenamiento y procesamiento.
• La cantidad de usuarios en la base de datos es elevada. No
tienen actividades de limpieza de usuarios.
Hallazgos