[SUBTTULO DEL DOCUMENTO]

Administrador1
FAMILIA ALFARO | [DIRECCIN DE LA COMPAA]

pg. 0

Contenido
1. Auditora de bases de datos

2. Metodologas para la Auditora de Bases de Datos

2.1.

Metodologa Tradicional

2.2.

Metodologa de Evaluacin de Riesgos.

Tcnica de Control

Prueba de Cumplimiento.

Prueba Sustantiva.

3. Recomendaciones COBIT (Objetivos de Control para la Informacin y Tecnologas

Relacionadas) para la Auditora de Bases de Datos

4. Objetivos de control en el Ciclo de Vida de una B.D. (si se desea implantarla

nueva)

4.1.

Estudio previo y plan de trabajo

4.2.

Auditora de la Concepcin de la BD y de la seleccin del equipo.

4.3.

Auditora del diseo y carga de la BD

4.4.

Auditora de la explotacin y el mantenimiento

4.5.

Revisin post-implantacin

4.6.

Revisin otros procesos auxiliares

4.7.

Auditora y Control Interno en un entorno de Base de Datos.

4.7.1.

Sistema de Gestin de Base de Datos (SGBD).

4.7.2.

Software de Auditoria.

4.7.3.

Sistema de Monitorizacin y Ajuste (tuning).

4.7.4.

Sistema Operativos SO

10

4.7.5.

Monitor de Transacciones

10

4.7.6.

Protocolos y Sistemas Distribuidos

10

4.7.7.

Paquetes de Seguridad

10

4.7.8.

Diccionario de Datos

10

4.7.9.

Herramientas CASE

10

4.7.10. Lenguajes de Cuarta Generacin (L4G) Independientes

10

4.7.11. Facilidades y aplicaciones de usuario

11

4.7.12. Herramientas de minera de datos

11

4.7.13. Aplicaciones

11

4.8.
pg. 1

TECNICAS PARA EL CONTROL DE BASES DE DATOS EN UN ENTORNO COMPLEJO. 11

4.8.1.

Matrices de control

11

4.8.2.

Anlisis de los Caminos de Acceso

12

CONCLUSIONES

1.
pg. 2

AUDITORA DE BASES DE DATOS

13

Uno de los principales campos dentro del Control Interno y de la Auditora

Informtica. Aplicables LORTAD y LOPD. Se trata de proteger y revisar tanto
los datos como la estructura lgica (tablas, claves, etc.) como la
infraestructura fsica que lo soporta (discos, etc.).

2.
METODOLOGAS PARA LA AUDITORA DE
BASES DE DATOS
2.1. Metodologa Tradicional
Se revisa el entorno con ayuda de una lista de control (checkList) que consta de una
serie de cuestiones a verificar.
Es un mtodo bastante repetitivo y pobre.

2.2. Metodologa de Evaluacin de Riesgos.

Es la recomendada por ISACA (Asociacin de Auditora y Control de
Sistemas de Informacin).

Tcnica de Control
El SGBD deber preservar la confidencialidad de la BD.
Se establecen los tipos de usuarios, Perfiles y privilegios necesarios
para controlar el acceso a la BD.
El objetivo de Control conlleva a varias tcnicas asociadas como:

Preventivas.
Detectivas. Motorizar el acceso a la BD.
Correctivas. Realizar un BACKUP.

Prueba de Cumplimiento.
Listar los privilegios y perfiles existentes en el SGBD. Si esta prueba
detecta inconsistencia o no existe esos controles pasara a la prueba
sustantiva.

Prueba Sustantiva.

Comprobar si la informacin ha sido corrompida comparndola con

otra fuente o revisando, los documentos de entrada de datos y las
transacciones que se ha ejecutado. Una vez obtenido y valorado los
resultados de la prueba se pondr en observacin los puntos crticos
se har un anlisis con los responsables de las reas afectadas el
auditor responsable para sugerir posibles soluciones.
Como resultado final de la auditoria se presentara un informe final de
las conclusiones obtenidas en el proceso. Como tambin el alcance
que ha tenido la Auditoria.
pg. 3

Tcnica empleada en el desarrollo del sistema como tambin en su

explotacin.

3.

RECOMENDACIONES COBIT (Objetivos de

Control para la Informacin y Tecnologas Relacionadas ) PARA
LA AUDITORA DE BASES DE DATOS

Objetivo de control PO2-Definir una Arquitectura de Informacin (rea

Planificacin y
Organizacin):

PO2.1 Modelo Corporativo de Arquitectura de Informacin

PO2.2 Diccionario de datos Corporativo y Reglas de Sintaxis de

Datos

PO2.3 Esquema de Clasificacin de Datos

PO2.4 Gestin de Integridad

Objetivo de control DS11-Gestionar Datos (rea Entrega y Soporte):

DS11.1 Requisitos de Negocio para la Gestin de Datos

DS11.2 Planes de Almacenamiento y Retencin de Datos

DS11.3 Sistema de Gestin de Bibliotecas de Medios

DS11.4 Eliminacin de Datos

DS11.5 - Copia de Respaldo y Restauracin

DS11.6 Requisitos de Seguridad para Gestin de Datos

Para cada uno de es tos objetivos de control se definen diferentes subjetivos

y mtricas. Es recomendable ver ejemplos pgina 390 para el objetivo DS11.

ITGI (Tecnologas de la Informacin del Instituto de Gobierno) tambin ha

detallado drivers y
pruebas de diseo y control para dichos objetivos y
subojetivos.

pg. 4

4.
OBJETIVOS DE CONTROL EN EL CICLO DE
VIDA DE UNA B.D. (si se desea
implantarla nueva)
ESTUDIO PREVIO
Y PLAN DE
TRABAJO

F
O
R
M
A
C
I
O
N

CONCEPCION DE
LA BD Y
SELECCIN DEL
EQUIPO
DISEO Y CARGA

EXPLOTACION Y
MANTENIMIENTO

REVISION

D
O
C
U
M
E
N
T
A
C
I
O
N

C
A
L
I
D
A
D

POST
IMPLANTACION

4.1. Estudio previo y plan de trabajo

- Estudio tcnico de viabilidad para alcanzar los objetivos del
proyecto.
- aprobacin de la estructura orgnica no slo del proyecto
en particular, sino tambin de la unidad que tendr la
responsabilidad de la gestin y control de la base de datos,
por parte de la alta direccin de la organizacin.
- Obligatorio un anlisis coste-beneficio.

pg. 5

- Siempre debe estar la opcin de desechar el proyecto y la

de implantar desarrollo externo.
- Estos estudios deben llevarse hasta la alta direccin y es
ella quien tiene que decidir qu alternativa se elige (auditor
comprueba este circuito)
- Si no se desecha proyecto, debe redactarse un Plan
Director y se ha de comprobar que es seguido.
- Auditora debe establecer al menos los siguientes objetivos
de control:
a) Existencia de separacin lgica (medios, documentos y
responsabilidades) entre el administrador de datos (diseo
conceptual BD, formador, disea documentacin, disea
procesos...) y el administrados de la base de datos (diseo
fsico BD, estadsticas, duplicados, seguridad, software
gestor, etc.).
b) Existencia de separacin de funciones entre personal de
desarrollo y el de explotacin.
c) dem entre explotacin y control de datos.
d) dem entre administracin BD y desarrollo.
e) Otras separaciones de funciones.

4.2. Auditora de la Concepcin de la BD y de la

seleccin del equipo.
Se debera verificar si ha existido diseo conceptual + diseo
lgico + diseo fsico
Verificar objetivos de control relativos a Arquitectura de la
Informacin:

pg. 6

Modelo de arquitectura
(centralizado, distribuido...).

Existencia y complitud del diccionario de datos.

Esquema de clasificacin de datos a nivel de seguridad

(LOPD).

Niveles de seguridad para las anteriores clasificaciones.

de

informacin

elegido

4.3. Auditora del diseo y carga de la BD

Verificar correccin diseo lgico + diseo fsico (en especial
asociaciones
de
elementos,
restricciones
oportunas,
especificaciones almacenamiento y seguridad).
El auditor debe comprobar su correcta utilizacin.
Los diseos deben estar autorizados, al menos por los
usuarios, pero es recomendable que tambin por la direccin
Si la carga proviene de una migracin de otro entorno, se
debe establecer un paralelo durante cierto tiempo para ver
qu resultados son iguales
Si ha habido entrada manual de datos, hay que establecer
controles que aseguren la integridad de los mismos
Si el proceso de carga es mixto (como casi siempre), dobles
controles anteriores
Control de errores de entrada en el proceso de carga.
Siempre existen problemas. Cuando se detecten, los datos de
corregidos deben proceder lo ms cerca posible del punto de
origen.
Importante aspecto de COBIT a considerar: la identificacin de la
arquitectura de la informacin que son los siguientes:
-

Modelo de arquitectura de informacin, y su actualizacin,

que es necesaria para mantener el modelo consistente con
las necesidades de los usuarios y con el plan estratgico
de tecnologas de la informacin.

Datos y diccionario de dalos corporativo.

Esquema de clasificacin de datos en cuanto a su

seguridad.

Niveles de seguridad para cada anterior clasificacin de

datos.

En cuanto a la adquisicin del equipo, en caso la organizacin

no cuente ser determinado utilizando un procedimiento
riguroso tomando en cuenta por un lado las necesidades
requeridas y por el otro las prestaciones que ofrecen los
distintos SGBD. Puntuados en (ISACF 1996) Sistemas de
Informacin de Auditora y Control de la Fundacin tomando en
cuenta el impacto que el nuevo software tiene en el sistema y
en seguridad.
DISEO
pg. 7

Es la fase en donde se lleva a cabo el diseo lgico y fsico de

la BD. El auditor deber comprobar si se disearon
correctamente. Determinando si la definicin de los datos
contempla adems de su estructura las asociaciones y
restricciones
y
restricciones
oportunas
tambin
las
especificaciones de almacenamiento de datos y seguridad.
Aprobacin de la alta direccin.
CARGA
Una vez diseada la BD se procede la carga ya sea migrando
datos o manualmente, a su vez estas debern estar planificadas
claramente para que no haya perdida de informacin
Se har una prueba en paralelo para terminar con la carga de
BD aplicando el control estricto de correccin de errores
detectados por esta fase.

4.4.Auditora de la explotacin y el
mantenimiento
Verificar que existen procedimientos de explotacin aprobados y
que el contenido / mantenimiento de los sistemas slo se
realizan mediante la autorizacin adecuada
Es muy recomendable realizar pruebas de rendimiento, y
comprobar que el administrador de la BD ha respondido
adecuadamente a los posibles mensajes de degradacin que
haya presentado el sistema
Objetivos de control COBIT para la gestin de datos:

pg. 8

Procedimientos de preparacin de datos

Manejo de errores de entrada

Integridad del procesamiento de datos

Manejo de errores de salidas

Distribucin de salidas

Proteccin de la informacin sensible (planes negocio)

4.5.Revisin post-implantacin
Aunque se hace en pocas entidades, se debera hacer una
evaluacin a
posteriori de los beneficios conseguidos con
la implantacin de la BD:
-

Se ha conseguido los resultados esperados.

Se satisfacen las necesidades esperadas.

Los costes y beneficios coinciden con los previstos.

4.6.Revisin otros procesos auxiliares

-

Existen manuales?

Se ha realizado
desarrolladores)?

Revisin de toda la documentacin generada en el proceso de

implantacin

Apoyo a sistemas de medicin de calidad (ISO 9001).

la

formacin

oportuna

usuarios

(y

4.7.Auditora y Control Interno en un entorno

de Base de Datos.
El auditor deber estudiar la BD y su entorno en el desarrollo y
mantenimiento de sistemas informticos en entorno de BD deberan de
considerarse el control, la integridad y la seguridad de los datos
compartidos por mltiples usuarios esto debe abarcar a todos los
componentes del entorno de BD (Menkus)

SGBD

CASE

DICCIONARI
O DE

DEPOSITORI
O

L4G
INDEPENDIEN
TE

UTILIDADES DEL ADO

COMPROBA
R
PRIVACIDA

AUDITOR
IA

SOFTWARE
AUDITORIA

L4G

SEGURIDAD
RECUPERA
DA

SISTEMA DE
MONITOR/AJUS
TE

CATALOG
O

NUCLEO
KERMEL

SO

APLICACION
ES

MONITOR
TRANSAC.

MINERA DE
DATOS

PROTOCOLOS Y
SISTEMAS
DISTRIBUIDO

RACHIO
PAQUETE
SEGURIDAD

pg. 9

4.7.1. Sistema de Gestin de Base de Datos (SGBD).

En la SGBD se destaca el Ncleo (KERMEL) el catalogo (componente

fundamental para asegurar la seguridad de la BD, utilidades para el
administrador para crear usuarios, conceder privilegios y resolver
cuestiones relativa a la confidencialidad. Que se encargan en la
recuperacin de BD, re arranque, copias de respaldo, archivos diario,
etc. y funciones de auditoria de Lenguajes de Cuarta Generacin
(LG4).
Requisito para la auditoria es que lo causa y e l efecto de
todos los cambios de La base de datos sean verificables ISO
(I993).

4.7.2. Software de Auditoria.

Son paquete que pueden emplearse para la facilitar la labor del
auditor, en cuanto a la extraccin de datos de BD, seguimiento de las
transacciones, datos de prueba, etc. hay productos que permiten
cuidar datos que conllevara a realizar una verdadera auditoria de BD

4.7.3. Sistema de Monitorizacin y Ajuste (tuning).

Complementa las facilidades ofrecidas por al SGBD, ofreciendo mayor

informacin para optimizar el sistema y llegar a ser verdaderos
sistemas expertos y estructura optima de la BD y parmetros de la
SGBD y el SO.
La optimizacin de la BD es fundamental para brindar un nivel
avanzado de servicio.

4.7.4. Sistema Operativos SO

Control de memoria, gestin de reas de almacenamiento (buffers),
manejo de errores,
control de confidencialidad, mecanismos de interbloqueo,
etc.

4.7.5. Monitor de Transacciones

Considerado un elemento ms en el entorno con responsabilidades de
confidencialidad y rendimiento.

4.7.6. Protocolos y Sistemas Distribuidos

Por el acceso en red a la BD se hace vulnerable a la violacin y se

consideran 5 objetivos de control:
1. El sistema de proceso distribuido debe tener funcin de
administracin para establecer estndares de distribucin de
datos.
2. Establecer la administracin de datos fuerte y slida para controlar
la transferencia de datos.
3. Debe existir pistas de auditoria a todas las actividades realizadas
por las aplicaciones.

pg. 10

4. Debe existir controles software para prevenir interferencias de

actualizacin sobre BD en el sistema distribuido.
5. Deben realizarse las consideraciones adecuadas de costes y
beneficios en el diseo de entornos distribuidos.

4.7.7. Paquetes de Seguridad

Implantacin de productos de seguridad, que centraliza el control de
accesos, definicin de privilegios, perfiles de usuario, con polticas que
cubran la seguridad de toda la BD.

4.7.8. Diccionario de Datos

Llevan todos los SGBD, se auditan de manera anloga a las BD (bases
de METADATOS) la diferencia entre estos reside en que un fallo de BD
es que puede atentar con la integridad de los datos y producir un
riesgo financiero. Mientras que un fallo de un diccionario o repositorios
llevan consigo una prdida de integridad de los procesos, siendo ms
peligrosos y difciles de detectar.

4.7.9. Herramientas CASE

Suelen llevar un diccionario de datos (enciclopedias o repositorios ms

amplios en los que se almacena informacin sobre datos, programas,
usuarios, los diagramas, matrices y grafos de ayuda a diseo.
Herramienta clave para auditar el diseo de la BD, comprobar si se ha
usado correctamente la metodologa y asegurar un nivel minino de
calidad.

4.7.10.
Lenguajes de Cuarta Generacin (L4G)
Independientes

El auditor cuenta con una gama de generadores de aplicaciones de

formas, informes, etc. Que actan en la BD
Objetivos segn Noeller (1991)

El L4G debe ser capaz de operar en el entorno de proceso de datos

con controles adecuados.

I.as aplicaciones desarrolladas con L4G deben seguir los mismos

procedimientos de autorizacin y peticin que los proyectos de
desarrollo convencionales.

Las aplicaciones desarrolladas con L4G deben sacar ventaja de las

caractersticas incluidas en los mismos.

El auditor deber estudiar los controles disponibles en los L4G

utilizados en la empresa. Analizando si permiten construir
procedimientos de control y auditora dentro de las aplicaciones y en
caso negativo, recomendar su construccin utilizando lenguajes de
tercera generacin.

4.7.11.

Facilidades y aplicaciones de usuario

Con las nuevas herramientas graficas nuevas (men, mouse,

ventanas) el usuario final no necesita conocer la sintaxis del lenguaje
en SGBD. Por lo tanto el auditor deber investigar las medidas de
pg. 11

seguridad que ofrecen estas y bajo qu condiciones han sido

instaladas, estas herramientas deberan proteger a los usuarios de
sus propios errores.
El auditor debe prestar atencin a los procedimientos de carga y
descarga de BD de los paquetes de ofimtica
Objetivos de control:

la documentacin de las aplicaciones desarrolladas por usuarios

finales debe ser suficiente para que tanto sus usuarios principales
como cualquier otro puedan operar y mantenerlas.

Los cambios de estas aplicaciones requieren la aprobacin de la

direccin y deben documentarse de forma completa.

4.7.12.

Herramientas de minera de datos

4.7.13.

Aplicaciones

Nuevas herramientas para la explotacin de minera de datos que

ofrecen soporte a la toma de decisiones sobre datos de calidad
integrados en el almacn de datos, se controla la poltica de refresco y
carga de datos a partir de la BD operacionales, mecanismos de
retroalimentacin que modifican las BD operacionales a partir de los
datos de almacn.

El auditor deber controlar que las aplicaciones no atentan contra la

integridad de los datos de la base.

4.8.Tcnicas para el Control de BD en un

entorno complejo.
Debilitar la seguridad global del sistema, reduciendo la fiabilidad e
introduciendo un conjunto de controles descoordinados y solapados
difciles de gestionar (Clark - 1991)
Tipos de control

4.8.1. Matrices de control

Sirve para identificar los conjuntos de datos del SI. Junto con los
controles de seguridad o integridad
Matriz que por un lado lleva el elemento a controlar y, por la otra, los
tipos de controles de seguridad (preventivos, detectivos y
correctivos) que se han diseado para ellos. En su cruce llevar la
enumeracin de dichos controles y la opinin del auditor sobre su
funcionamiento. Si no hay, casilla a blancos

CONTROLES DE SEGURIDAD

DATOS

pg. 12

PREVENTIV
OS

DETECTIV
OS

CORRECTIV
OS

Responsabilid
ades
de entrada

verificaci
n

Informe
de
recepcin

4.8.2. Anlisis de los Caminos de Acceso

Con esta tcnica se documenta el flujo almacenamiento y
procesamiento de los datos en todas las fases desde que son
introducidos y abarca el software y hardware.

TECNICA DE LOS CAMINOS DE ACCESO

ORDENADOR CENTRAL

SEGURIDA
D
ORDENADORCIFRADO
PERSONAL

Informe
de
teleproce
so

Paquete
De
Segurida
d

Program
as

S
O

SGBD

DATO
S

USUARIO
CONTROL
ACCESO
CIFRADO
CONTROL

FORMACION
CONTROLES
PROCEDIMIEN
TOS

CONTROL
ACCESO
REGISTRO DE
ACCESO
INFORME DE

CONTROL
ACCESO
REGISTRO DE
TRANSACCION

OPCION
SEGURIDAD
FICHERO
DIARIO
INTEGRIDAD
DE DATOS

CONTROL ACCESO
CONTROL
SEGURIDAD DE
DATOS

CONTROLE
S
DIVERSOS

Se documentan todas las fases (flujo) por las que pasa un dato desde su
introduccin por un ente (usuario / mquina) hasta que se almacena en la
BD, identificando los componentes por los que pasa y los controles asociados
(definidos por la entidad)
Esto mismo se realiza con los datos que se obtienen del procesado de otros
(por qu componentes pasan -programas, cadenas, almacenamientos
transitorios- y a qu controles es sometido.

pg. 13

Esta tcnica permite detectar debilidades del sistema que pongan a los datos
en riesgo a nivel de:
Integridad
Confidencialidad
Seguridad
Hay que poner especial cuidado en el anlisis de los interfaces entre
componentes y los almacenamientos transitorios (debilidades de seguridad).

CONCLUSIONES
El gran nmero de componentes que forman dicho entorno y sus interfaces hacen
necesario que. Antes de empezar una revisin de control interno, el auditor deba examinar
el entorno en el que opera el SGBD; que est compuesto, como hemos visto. Por el
personal de la empresa (direccin, informticos y usuarios finales), hardware, software,
etc.
El auditor debe verificar que todos estos componentes trabajan conjunta y
coordinadamente para asegurar que k sistemas de bases de datos continan cumpliendo
los objetivos de la empresa y que se encuentran controlado de manera efectiva.

pg. 14