CAPITULO 14 AUDITORA DE BASE DE DATOS

1. Establezca objetivos de control relativos al diseo de una base de datos Estudio previo y plan de trabajo. Concepcin de la base de datos y seleccin del equipo. Diseo y Carga Explotacin y Mantenimiento. Revisin post-implementacin

2. Defina un procedimiento para la adquisicin de SGBD Anlisis de las necesidades del comprador. Se recogen los factores relevantes a tener en cuenta en el proceso de adquisicin. Se describe cmo deben ser planteadas las especificaciones tcnico funcionales para la elaboracin de las Bases de Especificaciones Tcnicas, qu normas, estndares y clusulas tipo pueden ser de aplicacin, y cul es el cuestionario tcnico diseado para normalizar las ofertas y facilitar su evaluacin.

3. Cules son las diferencias ms importantes entre las funciones de un administrador de datos y las de un administrador de base de datos? El administrador de la base de datos gestiona la Base de Datos El administrador de datos administra los registros y datos incluido el aspecto de espacio fsico, el manejo fsico de los datos en s.

4. Por qu resulta tan crtico un diccionario de datos? La parte crtica reside en que un fallo en el diccionario o repositorio suele llevar consigo una prdida de integridad en los proceso y puede producir errores de forma repetitiva a lo largo del tiempo y son ms difciles de detectar. 5. Qu controles establecera sobre la distribucin de listados extrados a partir de la base de datos?

Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos:

Incremento de la dependencia del servicio informtico debido a la concentracin de datos. Mayores posibilidades de acceso en la figura del administrador de la Base de datos. Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general de la instalacin. Mayor impacto de los errores de datos o programas que en los sistemas tradicionales. Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicacin. Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional. Mayor dependencia del nivel de conocimientos tcnicos del personal que realice tareas relacionadas con el software de base de datos (Administrador, programadores, etc.)

En caso de que los controles existan, se disean unas pruebas denominadas: Prueba de cumplimiento

Prueba sustantiva

6. Objetivos de control sobre la formacin del personal relacionados con e SGBD (usuarios finales, administradores, diseadores, etc.) Se debe implementar controles en la formacin, no se puede basar simplemente en curso sobre el producto que se est instalando, sino que suele ser precisa una formacin de base que resulta imprescindible. Esta formacin no debera limitarse al rea de las base se datos sino que debera ser complementada con formacin relativa a los conceptos de control y seguridad.

7. Analice el grado de ajuste existente entre los paquetes de seguridad del mercado (TOP SECRET, RACF, ect) y los SGBD

Existe en el mercado varios productos que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos, la definicin de privilegios, perfiles de usuario, etc. Un grave inconveniente de este tipo de software es que a veces no se encuentra bien integrado con el SGBD, pudiendo resultar poco til su implantacin si los usuarios pueden saltarse los controles a travs del propio SGBD 8. Qu riesgos adicionales implica el hecho de distribuir las bases de datos? El sistema de proceso distribuido debe tener una funcin de administracin de datos centralizada que establezca entandares generales para la distribucin de datos a travs de las aplicaciones. Deben establecerse unas funciones de administracin de datos y base de datos fuertes, para que puedan controlar la distribucin de los datos. Debe existir pistas de auditora para todas las actividades realizadas por las aplicaciones contra sus propias bases de datos y otras compartidas. Deben existir controles software para prevenir interferencias de actualizacin sobre las bases de datos en sistemas distribuidos. Debe realizarse las consideraciones adecuadas de costes y beneficios en el diseo de entornos distribuidos 9. Qu controles establecera para desarrollos que empleen lenguajes visuales que acceden a bases de datos?. La documentacin de aplicaciones desarrolladas por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro puedan operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobacin de la direccin y debe documentarse de forma completa.

10. Analice el soporte que ofrecen las herramientas de minera de datos al auditor informtico Las herramientas de minera de datos ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacn de datos, debindose controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de

retroalimentacin (feedback) que modifica las bases de datos operacionales a partir de los datos del almacn.