AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Características y aspectos a tomar en cuando cuando se requiera implementar un centro de cómputo.
Guía básica. Consideración de los siguientes puntos:
1. Selección del espacio físico, riesgos, ubicación.
2. Condiciones de construcción
3. Sistema eléctrico
4. Temperatura y humedad
5. Cableado de red
6. Medidas de seguridad
7. Ergonomía y funcionalidad
8. Estandarización en cuanto a hardware y software
9. Estándares de operación
10. Estándares de mantenimiento
11. Distribución de equipos y aparatos.
DISEÑO DE SISTEMAS
Es el arte de definir la arquitectura del hardware y software, componentes, módulos y datos de un sistema de cómputo para satisfacer ciertos requerimientos. Es la etapa posterior al análisis de sistemas.
Es el diseño de sistemas tiene un rol más respetado y crucial en la industria de procesamiento de datos. La importancia del software multiplataforma ha incrementado la ingeniería de software a costa de los diseños de sistemas.
TIPOS DE SISTEMAS
Diseño estructurado
Diagrama estructura de cuadros
Optimización de diseño físico
Diseño de pruebas
Prototipo
Contenidos:
1. Especificación de los requerimientos de la aplicación.
2. Objetivos al diseñar un sistema de información.
3. Que características son las que se deben diseñar.
4. Manejo del proceso de Diseño para aplicaciones institucionales.
5. Manejo de sistemas desarrollados por usuarios finales
1. Especificación de los requerimientos de la aplicación.
La determinación de requerimientos es el conjunto de actividades encaminadas a obtener las características necesarias que deberá poseer el nuevo sistema, para comprender cómo trabaja y dónde es necesario efectuar mejoras o cambios considerables. Este es el primer paso en el análisis de sistemas y se puede decir que es el más importante.
Ahora bien, existen tres formas (actividades) que ayudan a determinar los requerimientos, estas son:
Anticipación de requerimientos:
Consiste en prever las características del nuevo sistema con base en experiencias previas.
Investigación de requerimientos:
es el estudio y documentación de la necesidad del usuario o de un sistema ya existente usando para ello técnicas como el análisis de flujo de datos y análisis de decisión. Es aquí donde se debe y se pueden aplicar entrevistas, cuestionarios, observación y revisión de documentos existentes, entre otros.
Especificación de requerimientos:
los datos obtenidos durante la recopilación de hechos se analizan para desarrollar la descripción de las características del nuevo sistema. Esta actividad tiene tres partes relacionadas entre sí, a saber:
Análisis de datos basados en hechos reales.
Identificación de requerimientos esenciales.
Selección de estrategias para satisfacer los requerimientos.
Todo sistema de información posee un conjunto de requerimientos básicos y un conjunto de requerimientos específicos dependiendo de si el sistema será de soporte para transacciones o para la toma de decisiones.
Seguido se presentará un grupo de preguntas que al dárseles respuesta proporcionarán un conjunto de hechos de los que posteriormente se obtendrá una especificación de requerimientos lo más apegada posible a las necesidades de cualquier organización.
Requerimientos Básicos:
Los analistas estructuran su investigación al buscar respuestas a las siguientes cuatro preguntas:
¿Cuál es el proceso básico de la empresa?
¿Qué datos utiliza o produce este proceso?
¿Cuáles son los límites impuestos por el tiempo y la carga de trabajo?
¿Qué controles de desempeño utiliza?
Son esas las preguntas que tienen que tener una respuesta concreta al tener terminada la fase de investigación de requerimientos. Siempre se debe comenzar con lo básico, algunas preguntas proporcionan antecedentes sobre detalles fundamentales relacionados con el sistema y que sirven para describirlo. Las siguientes preguntas son de utilidad para adquirir la comprensión necesaria:
¿Cuál es la finalidad de la actividad dentro de la empresa?
¿Qué pasos se siguen para realizarla?
¿Dónde se realizan estos pasos?
¿Quiénes los realizan?
¿Cuánto tiempo tardan en efectuarlos?
¿Con cuánta frecuencia lo hacen?
¿Quiénes emplean la información resultante?
Las respuestas a estas preguntas proporcionan un conocimiento amplio de una actividad en particular y muestra también su objet
Características y aspectos a tomar en cuando cuando se requiera implementar un centro de cómputo.
Guía básica. Consideración de los siguientes puntos:
1. Selección del espacio físico, riesgos, ubicación.
2. Condiciones de construcción
3. Sistema eléctrico
4. Temperatura y humedad
5. Cableado de red
6. Medidas de seguridad
7. Ergonomía y funcionalidad
8. Estandarización en cuanto a hardware y software
9. Estándares de operación
10. Estándares de mantenimiento
11. Distribución de equipos y aparatos.
DISEÑO DE SISTEMAS
Es el arte de definir la arquitectura del hardware y software, componentes, módulos y datos de un sistema de cómputo para satisfacer ciertos requerimientos. Es la etapa posterior al análisis de sistemas.
Es el diseño de sistemas tiene un rol más respetado y crucial en la industria de procesamiento de datos. La importancia del software multiplataforma ha incrementado la ingeniería de software a costa de los diseños de sistemas.
TIPOS DE SISTEMAS
Diseño estructurado
Diagrama estructura de cuadros
Optimización de diseño físico
Diseño de pruebas
Prototipo
Contenidos:
1. Especificación de los requerimientos de la aplicación.
2. Objetivos al diseñar un sistema de información.
3. Que características son las que se deben diseñar.
4. Manejo del proceso de Diseño para aplicaciones institucionales.
5. Manejo de sistemas desarrollados por usuarios finales
1. Especificación de los requerimientos de la aplicación.
La determinación de requerimientos es el conjunto de actividades encaminadas a obtener las características necesarias que deberá poseer el nuevo sistema, para comprender cómo trabaja y dónde es necesario efectuar mejoras o cambios considerables. Este es el primer paso en el análisis de sistemas y se puede decir que es el más importante.
Ahora bien, existen tres formas (actividades) que ayudan a determinar los requerimientos, estas son:
Anticipación de requerimientos:
Consiste en prever las características del nuevo sistema con base en experiencias previas.
Investigación de requerimientos:
es el estudio y documentación de la necesidad del usuario o de un sistema ya existente usando para ello técnicas como el análisis de flujo de datos y análisis de decisión. Es aquí donde se debe y se pueden aplicar entrevistas, cuestionarios, observación y revisión de documentos existentes, entre otros.
Especificación de requerimientos:
los datos obtenidos durante la recopilación de hechos se analizan para desarrollar la descripción de las características del nuevo sistema. Esta actividad tiene tres partes relacionadas entre sí, a saber:
Análisis de datos basados en hechos reales.
Identificación de requerimientos esenciales.
Selección de estrategias para satisfacer los requerimientos.
Todo sistema de información posee un conjunto de requerimientos básicos y un conjunto de requerimientos específicos dependiendo de si el sistema será de soporte para transacciones o para la toma de decisiones.
Seguido se presentará un grupo de preguntas que al dárseles respuesta proporcionarán un conjunto de hechos de los que posteriormente se obtendrá una especificación de requerimientos lo más apegada posible a las necesidades de cualquier organización.
Requerimientos Básicos:
Los analistas estructuran su investigación al buscar respuestas a las siguientes cuatro preguntas:
¿Cuál es el proceso básico de la empresa?
¿Qué datos utiliza o produce este proceso?
¿Cuáles son los límites impuestos por el tiempo y la carga de trabajo?
¿Qué controles de desempeño utiliza?
Son esas las preguntas que tienen que tener una respuesta concreta al tener terminada la fase de investigación de requerimientos. Siempre se debe comenzar con lo básico, algunas preguntas proporcionan antecedentes sobre detalles fundamentales relacionados con el sistema y que sirven para describirlo. Las siguientes preguntas son de utilidad para adquirir la comprensión necesaria:
¿Cuál es la finalidad de la actividad dentro de la empresa?
¿Qué pasos se siguen para realizarla?
¿Dónde se realizan estos pasos?
¿Quiénes los realizan?
¿Cuánto tiempo tardan en efectuarlos?
¿Con cuánta frecuencia lo hacen?
¿Quiénes emplean la información resultante?
Las respuestas a estas preguntas proporcionan un conocimiento amplio de una actividad en particular y muestra también su objet
La Norma Mexicana NMX-J-C-I-489-ANCE-ONNCCE-NYCE-2014 establece los requisitos para el diseño, construcción y operación de las edificaciones sustentables y energéticamente eficientes denominadas Centros de Datos de Alto Desempeño (CDAD), sumada a las normas de edificaciones sustentables vigentes.
Fue presentada en la Facultad de Ingeniería de la UNAM el pasado mes de septiembre de 2014.
Organización profesional cuyas actividades incluyen el desarrollo de estándares de comunicaciones y redes. Los estándares de LANde IEEE son los estándares de mayor importancia para las LAN de la actualidad.
3. 802.1 Definición Internacional
de Redes.
• Define la relación entre los estándares 802 del IEEE
y el Modelo de Referencia para Interconexión de
Sistemas Abiertos (OSI) de la ISO (Organización
Internacional de Estándares)
4. 802.2 Control de Enlaces Lógicos
• Define el protocolo de control de enlaces lógicos
(LLC) del IEEE, el cual asegura que los datos sean
transmitidos de forma confiable por medio del
enlace de comunicación. La capa de Datos-Enlace
en el protocolo OSI esta subdividida en las subcapas
de Control de Acceso a Medios (MAC) y de Control
de Enlaces Lógicos (LLC)
5. 802.3 Redes CSMA/CD.
• El estándar 802.3 del IEEE (ISO 8802-3), que define
cómo opera el método de Acceso Múltiple con
Detección de Colisiones (CSMA/CD) sobre varios
medios. El estándar define la conexión de redes
sobre cable coaxial, cable de par trenzado, y medios
de fibra óptica. La tasa de transmisión original es de
10 Mbits/seg, pero nuevas implementaciones
transmiten arriba de los 100 Mbits/seg calidad de
datos en cables de par trenzado.
6. 802.4 Redes Token Bus.
• El estándar token bus define esquemas de red de
anchos de banda grandes, usados en la industria de
manufactura. Se deriva del Protocolo de
Automatización de Manufactura (MAP). La red
implementa el método token-passing para una
transmisión bus. Un token es pasado de una
estación a la siguiente en la red y la estación puede
transmitir manteniendo el tokenEl estándar no es
ampliamente implementado en ambientes LAN.
7. 802.5 Redes Token Ring.
• También llamado ANSI 802.1-1985, define los
protocolos de acceso, cableado e interface para la
LAN token ring. Usa un método de acceso de paso
de tokens y es físicamente conectada en topología
estrella, pero lógicamente forma un anillo. Los
nodos son conectados a una unidad de acceso
central (concentrador) que repite las señales de una
estación a la siguiente. Las unidades de acceso son
conectadas para expandir la red, que amplía el anillo
lógico.
8. 802.6 Redes de Área
Metropolitana (MAN).
• Define un protocolo de alta velocidad donde las
estaciones enlazadas comparten un bus dual de
fibra óptica usando un método de acceso llamado
Bus Dual de Cola Distribuida (DQDB).
9. • 802.7 Grupo Asesor Técnico de Anchos de Banda. Este
comité provee consejos técnicos a otros subcomités
en técnicas sobre anchos de banda de redes.
• 802.8 Grupo Asesor Técnico de Fibra Óptica. Provee
consejo a otros subcomités en redes por fibra óptica
como una alternativa a las redes basadas en cable
de cobre. Los estándares propuestos están todavía
bajo desarrollo.
• 802.9 Redes Integradas de Datos y Voz. El grupo de
trabajo del IEEE 802.9 trabaja en la integración de
tráfico de voz, datos y vídeo para las LAN 802 y
Redes Digitales de Servicios Integrados (ISDN's).
10. • 802.10 Grupo Asesor Técnico de Seguridad en Redes.
Este grupo esta trabajando en la definición de un
modelo de seguridad estándar que opera sobre una
variedad de redes e incorpora métodos de
autenticación y encriptamiento.
• 802.11 Redes Inalámbricas. Este comité esta
definiendo estándares para redes inalámbricas. Esta
trabajando en la estandarización de medios como el
radio de espectro de expansión, radio de banda
angosta, infrarrojo, y transmisión sobre líneas de
energía.
• 802.12 Prioridad de Demanda (100VG-ANYLAN).
Este comité está definiendo el estándar Ethernet de
100 Mbits/seg.
12. Norma ANSI/TIA 942
Es un edificio o porción de un edificio cuya función
primaria es alojar una sala de cómputo y sus áreas
de soporte.
El estándar ANSI/TIA/942, (Telecommunications
Infrastructure for Data Center) divide en cuatro
subsistemas los aspectos de infraestructura física de
los Data Center: Telecomunicaciones,
Arquitectónico, Eléctrico y Mecánico; y clasifica en
cuatro niveles (tiers) la configuración de
estos subsistemas.
13. • Estándar ANSI/TIA/EIA-568A de alambrado de
telecomunicaciones para edificios comerciales.
• Estándar ANSI/TIA/EIA-569 de rutas y espacios de
telecomunicaciones para edificios comerciales.
• Estándar ANSI/TIA/EIA-606 de administración para
la infraestructura de telecomunicaciones de
edificios comerciales.
• Estándar ANSI/TIA/EIA-607 de requerimientos de
puesta a tier ra y punteado de telecomunicaciones
de edificios comerciales.
15. ISO/IEC 20001 (Operaciones)
• ISO/IEC 20001:2007 Calidad de los Servicios TI
• Al igual que la seguridad de la información, implantar un
sistema para mejorar la gestión del servicio que
prestamos a nuestros clientes. Por este motivo, hemos
obtenido la certificación de la norma “UNE-ISO/IEC
20001:2007 Gestión del Servicio”.
• UNE/IEC 20001:2007 Gestión del Servicio
• Al igual que la seguridad de la información, implantar un
sistema para mejorar la gestión del servicio que
prestamos a nuestros clientes, ha sido un objetivo que
TDS Consultores se propuso conseguir en el año 2009.
16. ISO/IEC 27001
• ISO/IEC 27001 es la única norma internacional
auditable que define los requisitos para un sistema
de gestión de la seguridad de la información (SGSI).
La norma se ha concebido para garantizar la
selección de controles de seguridad adecuados y
proporcionales.