Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Administrador1
FAMILIA ALFARO | [DIRECCIN DE LA COMPAA]
pg. 0
Contenido
1. Auditora de bases de datos
2.1.
Metodologa Tradicional
2.2.
Tcnica de Control
Prueba de Cumplimiento.
Prueba Sustantiva.
4.1.
4.2.
4.3.
4.4.
4.5.
Revisin post-implantacin
4.6.
4.7.
4.7.1.
4.7.2.
Software de Auditoria.
4.7.3.
4.7.4.
Sistema Operativos SO
10
4.7.5.
Monitor de Transacciones
10
4.7.6.
10
4.7.7.
Paquetes de Seguridad
10
4.7.8.
Diccionario de Datos
10
4.7.9.
Herramientas CASE
10
10
11
11
4.7.13. Aplicaciones
11
4.8.
pg. 1
4.8.1.
Matrices de control
11
4.8.2.
12
CONCLUSIONES
1.
pg. 2
13
2.
METODOLOGAS PARA LA AUDITORA DE
BASES DE DATOS
2.1. Metodologa Tradicional
Se revisa el entorno con ayuda de una lista de control (checkList) que consta de una
serie de cuestiones a verificar.
Es un mtodo bastante repetitivo y pobre.
Tcnica de Control
El SGBD deber preservar la confidencialidad de la BD.
Se establecen los tipos de usuarios, Perfiles y privilegios necesarios
para controlar el acceso a la BD.
El objetivo de Control conlleva a varias tcnicas asociadas como:
Preventivas.
Detectivas. Motorizar el acceso a la BD.
Correctivas. Realizar un BACKUP.
Prueba de Cumplimiento.
Listar los privilegios y perfiles existentes en el SGBD. Si esta prueba
detecta inconsistencia o no existe esos controles pasara a la prueba
sustantiva.
Prueba Sustantiva.
3.
pg. 4
4.
OBJETIVOS DE CONTROL EN EL CICLO DE
VIDA DE UNA B.D. (si se desea
implantarla nueva)
ESTUDIO PREVIO
Y PLAN DE
TRABAJO
F
O
R
M
A
C
I
O
N
CONCEPCION DE
LA BD Y
SELECCIN DEL
EQUIPO
DISEO Y CARGA
EXPLOTACION Y
MANTENIMIENTO
REVISION
D
O
C
U
M
E
N
T
A
C
I
O
N
C
A
L
I
D
A
D
POST
IMPLANTACION
pg. 5
pg. 6
Modelo de arquitectura
(centralizado, distribuido...).
de
informacin
elegido
4.4.Auditora de la explotacin y el
mantenimiento
Verificar que existen procedimientos de explotacin aprobados y
que el contenido / mantenimiento de los sistemas slo se
realizan mediante la autorizacin adecuada
Es muy recomendable realizar pruebas de rendimiento, y
comprobar que el administrador de la BD ha respondido
adecuadamente a los posibles mensajes de degradacin que
haya presentado el sistema
Objetivos de control COBIT para la gestin de datos:
pg. 8
Distribucin de salidas
4.5.Revisin post-implantacin
Aunque se hace en pocas entidades, se debera hacer una
evaluacin a
posteriori de los beneficios conseguidos con
la implantacin de la BD:
-
Existen manuales?
Se ha realizado
desarrolladores)?
la
formacin
oportuna
usuarios
(y
SGBD
CASE
DICCIONARI
O DE
DEPOSITORI
O
L4G
INDEPENDIEN
TE
AUDITOR
IA
SOFTWARE
AUDITORIA
L4G
SEGURIDAD
RECUPERA
DA
SISTEMA DE
MONITOR/AJUS
TE
CATALOG
O
NUCLEO
KERMEL
SO
APLICACION
ES
MONITOR
TRANSAC.
MINERA DE
DATOS
PROTOCOLOS Y
SISTEMAS
DISTRIBUIDO
RACHIO
PAQUETE
SEGURIDAD
pg. 9
pg. 10
4.7.10.
Lenguajes de Cuarta Generacin (L4G)
Independientes
4.7.11.
4.7.12.
4.7.13.
Aplicaciones
Sirve para identificar los conjuntos de datos del SI. Junto con los
controles de seguridad o integridad
Matriz que por un lado lleva el elemento a controlar y, por la otra, los
tipos de controles de seguridad (preventivos, detectivos y
correctivos) que se han diseado para ellos. En su cruce llevar la
enumeracin de dichos controles y la opinin del auditor sobre su
funcionamiento. Si no hay, casilla a blancos
CONTROLES DE SEGURIDAD
DATOS
pg. 12
PREVENTIV
OS
DETECTIV
OS
CORRECTIV
OS
Responsabilid
ades
de entrada
verificaci
n
Informe
de
recepcin
SEGURIDA
D
ORDENADORCIFRADO
PERSONAL
Informe
de
teleproce
so
Paquete
De
Segurida
d
Program
as
S
O
SGBD
DATO
S
USUARIO
CONTROL
ACCESO
CIFRADO
CONTROL
FORMACION
CONTROLES
PROCEDIMIEN
TOS
CONTROL
ACCESO
REGISTRO DE
ACCESO
INFORME DE
CONTROL
ACCESO
REGISTRO DE
TRANSACCION
OPCION
SEGURIDAD
FICHERO
DIARIO
INTEGRIDAD
DE DATOS
CONTROL ACCESO
CONTROL
SEGURIDAD DE
DATOS
CONTROLE
S
DIVERSOS
Se documentan todas las fases (flujo) por las que pasa un dato desde su
introduccin por un ente (usuario / mquina) hasta que se almacena en la
BD, identificando los componentes por los que pasa y los controles asociados
(definidos por la entidad)
Esto mismo se realiza con los datos que se obtienen del procesado de otros
(por qu componentes pasan -programas, cadenas, almacenamientos
transitorios- y a qu controles es sometido.
pg. 13
Esta tcnica permite detectar debilidades del sistema que pongan a los datos
en riesgo a nivel de:
Integridad
Confidencialidad
Seguridad
Hay que poner especial cuidado en el anlisis de los interfaces entre
componentes y los almacenamientos transitorios (debilidades de seguridad).
CONCLUSIONES
El gran nmero de componentes que forman dicho entorno y sus interfaces hacen
necesario que. Antes de empezar una revisin de control interno, el auditor deba examinar
el entorno en el que opera el SGBD; que est compuesto, como hemos visto. Por el
personal de la empresa (direccin, informticos y usuarios finales), hardware, software,
etc.
El auditor debe verificar que todos estos componentes trabajan conjunta y
coordinadamente para asegurar que k sistemas de bases de datos continan cumpliendo
los objetivos de la empresa y que se encuentran controlado de manera efectiva.
pg. 14