Plan de Auditoria de Base de Datos

Auditoria de Base de Datos
PLAN DE AUDITORIA DE BASE DE DATOS

Antecedentes: podremos observar que actualmente en la Oficina de Tecnologa e Informacin
(OTI) de la Universidad Cesar Vallejo - Lima Este no se cuentan con controles
necesarios para poder corroborar el cumplimiento de las polticas y procedimientos
que se encuentran establecidas en relacin a las bases de datos, entonces es necesario
poder implementar o adecuar controles que permitan saber que tan cuidado tenemos
el activo de la empresa que se encuentra en bases de datos, la informacin.
Objetivos:
-
General: Llevar a cabo un control y seguimiento de las bases de datos para saber
qu tan segura, continua, disponible, integra y confiable es la informacin de las
matriculas que se tiene guardada en el SGBD de la Universidad, a su vez evaluar el
flujo de datos de entrada y salida con la aplicacin de matrcula.
Especficos:
o
o
o
Poder identificar como e lleva el manejo de los perfiles de usuario y

contraseas.
Revisin del diccionario de datos
Evaluar las copias de seguridad que se realizan y a su vez si se prueban la
implementacin de las mismas
Alcance y Delimitacin: analizar las condiciones actuales (manejo de datos e infraestructura) y

comprobar si se cumplen con las normas ya establecidas por la Universidad o si se tienen en
cuenta las condiciones, documentacin necesaria para el manejo de las bases de datos.
Los Punto a evaluar segn COBIT sern:
PO2 Definir la infraestructura de la informacin:
PO2.1 Modelo de Arquitectura de Informacin Empresarial
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
PO2.3 Esquema de Clasificacin de Datos
PO2.4 Administracin de Integridad
DS11 Gestionar datos:
DS11.1 Requerimientos del Negocio para Administracin de Datos
DS11.2 Acuerdos de Almacenamiento y Conservacin
DS11.3 Sistema de Administracin de Libreras de Medios
DS11.4 Eliminacin
DS11.5 Respaldo y Restauracin
DS11.6 Requerimientos de Seguridad para la Administracin de Datos

Metodologa: para cubrir los objetivos planteados en esta auditoria se llevara a cabo las
siguientes actividades:
Investigacin Preliminar:
Determinar cul es la infraestructura actual del entorno en el que se encuentra el
sistema gestor de bases de datos de la Universidad
Conocer de manera general como se realizan las diferentes actividades en las
bases de datos (encriptacin de datos, autenticacin, copias de respaldo, ingreso y
salida de datos, etc.).
Evaluar que tan importante para OTI es actualmente el llevar controles para el
manejo de las bases de datos.
Evaluar manejo de espacio de almacenamiento, archivos logs, manejo de datos
(tablas, columnas, vistas, etc.), documentacin existente.
Diseo del Programa de Auditoria:
Definir los dominios, procesos y objetivos de control de COBIT, que tienen
relacin con el proceso de auditora de bases de datos.
Realizar los procedimientos que permitan recolectar la evidencia que apoye los
hallazgos y recomendaciones.
Ejecucin de las Pruebas de Auditoria:
Conseguir la evidencia sobre los controles establecidos, su utilizacin, el
entendimiento y ejecucin de los mismos por parte del personal de OTI en su
manejo de las bases de datos.
Identificacin y agrupacin de riesgos:
Identificar y clasificar los riesgos a los que est expuesto la informacin en las
bases de datos.
Segmentarlos por categoras de Seguridad, Respaldo, Encriptacin, Autenticacin,
Formato de Datos, etc.
Realizacin de guas de prueba y hallazgos:
Utilizar los riesgos encontrados con sus evidencias respectivas para anexarlas en
una gua de prueba.
Se realizara toda gua de prueba con su respectiva descripcin, recomendacin,
causas y nivel de riesgo asociado.
Elaboracin y envo del informe de Auditora:
Realizar un informe detallado sobre todos los resultados de la auditoria, con las
recomendaciones respetivas y controles que se deben establecer para
anteponerse a situacin de riesgo.
Formar parte del historial de auditoras de bases de datos con los que contara OTI
Recursos:
Humanos: auditora realizada por un grupo de auditores de bases de datos con la
asesora de un Ingeniero Auditor.

Documentacin: polticas, procedimientos y controles establecidos con relacin a las
bases de datos.
Fsicos: Infraestructura del entorno de base de datos, servidor de base de datos.
Lgicos: Sistema Gestor de Base de Datos.
Instrumentos y Tcnicas:
Cuestionario: Se plantea para utilizarla como medio de recopilar datos.
Lista de Verificacin: para el anlisis y evolucin de la informacin recolectada.
PLAN DE AUDITORIA - COBIT

PO2 - Definir la infraestructura de la informacin
PROCESO: Modelo de Arquitectura de Informacin Empresarial

Objetivo de Control: Definir que el modelo de base de datos, bajo el cual esta
soportado la integridad y seguridad de la informacin de la Universidad Cesar Vallejo.
PROCESO: Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos

Objetivo de Control: Establecer la creacin de un Diccionario de Datos que favorezca
el entendimiento de los datos al rea de OTI y dems reas del negocio.
PROCESO: Esquema de Clasificacin de Datos

Objetivo de Control: Definir y establecer el esquema bajo el cual se clasifica de que tan
crtica y sensible es la informacin a almacenar, a su vez estableciendo niveles de
seguridad.
PROCESO: Administracin de Integridad

Objetivo de Control: Implementar procedimientos para garantizar la integridad y
consistencia de los datos almacenados.
DS11 - Gestionar datos
PROCESO: Requerimientos del Negocio para Administracin de Datos

Objetivo de Control: Verificar los procedimientos mediante los cuales se reciben y
procesan los datos del negocio y a su vez el flujo de salida de estos hacia las
aplicaciones.
PROCESO: Acuerdos de Almacenamiento y Conservacin

Objetivo de Control: Salvaguardar y conservar mediante un proceso definido la
informacin que se genera en la Universidad adems de todo su flujo hasta su
almacenamiento final tambin se debe revisar que cumpla con requerimientos de
seguridad para la proteccin adecuada de este activo.
PROCESO: Sistema de Administracin de Libreras de Medios

Objetivo de Control: Definir e Implementar procedimientos para mantener un
inventario de medios almacenados para asegurar su usabilidad e integridad.
PROCESO: Eliminacin
Objetivo de Control: Establecer procedimientos para identificar y proteger datos
sensibles de la Universidad.
PROCESO: Respaldo y Restauracin

Objetivo de Control: Establecer los procedimientos de respaldo y restauracin de la
informacin, adems de ejecutarlo para verificar su efectividad, todo esto en pro de
aportar al plan de continuidad de la Universidad Cesar Vallejo.
PROCESO: Requerimientos de Seguridad para la Administracin de Datos

Objetivo de Control: Definir los mecanismos para aplicar requerimientos de seguridad,
procesamiento, almacenamiento fsico y entrega de informacin, esto para favorecer
toda la administracin y gestin de los datos de la Universidad.
CUESTIONARIO DE AUDITORIA DE BASE DE DATOS

Se agradece el tiempo tomado para responder a este cuestionario con fines de poder realizar un proceso
de auditora de base de datos.
INSTRUCCIONES:
Maque con una (X) en el casillero de la alternativa que Ud. Crea conveniente Se requiere responder con
la mayor sinceridad posible.
Recuerda: (Si) Afirmativa, (No) Negativa y (NA) No Aplica.
Base de Datos
Nro.
Objetivos
Pregunta
Si
No
DS11.1
Los datos son precisos a la hora de realizar un reporte?
PO2.4
Se ha presentado alguna incongruencia en los datos?
PO2.1
La base de datos se encuentra normalizada?
PO2.4
Los datos mantienen la consistencia?
PO2.4
DS11.6
Todas las tablas cuentan con llave primaria que evita tener informacin repetida
en la base de datos?
Son gestionados los accesos a las instancias de la Base de Datos?
7
8
DS11.6
DS11.6
9
10
DS11.6
DS11.5
Se renuevan las claves de los usuarios de la Base de Datos?

Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o
denegados a estructuras, tablas fsicas y lgicas del repositorio?
Cuentan con las asignaciones de los privilegios de la base de datos?
Se realiza copias de seguridad?
11
12
DS11.5
DS11.5
Existe una instancia con copia del Repositorio para el entorno de desarrollo?
Se llevan a cabo copias de seguridad del repositorio?
X
X
13
14
DS11.5
DS11.5
Las copias de seguridad se efectan diariamente?

Las copias de seguridad son encriptados?
X
X
15
DS11.5
Se ha probado restaurar alguna vez una copia de seguridad, para probar que las
X
X
X
X
X
16
DS11.5
17
18
DS11.2
DS11.2
19
DS11.6
20
PO2.3
21
PO2.1
22
PO2.1
23
mismas se encuentren bien hechas?

Los dispositivos que tienen las copias de seguridad, son almacenados fuera del
edificio de la empresa?
En caso de que el equipo principal sufra una avera, existen equipos auxiliares?
Se cuenta con niveles de seguridad para el acceso a la Base de Datos?
X
X
X
Existe y es conocido un plan de actuacin para el personal del centro de

cmputo, en caso de incidentes naturales u otros que involucren gravemente la
instalacin?
Ha presentado el sistema algn problema durante su ejecucin especficamente
en su BD?
Se ha realizado anteriormente un anlisis de riesgos?
PO2.1
Se lleva a cabo algn procedimiento cuando se detectan algn problema en el

sistema?
Existe una persona asignada para llevar a cabo lo anterior?
24
25
DS11.2
DS11.2
Existen relaciones entre las tablas de Datos?

Cuentan con perfiles de usuarios en la aplicacin?
X
X
26
DS11.2
Para tener acceso al sistema existe una validacin a la entrada del sistema?
27
28
DS11.5
DS11.5
Existen respaldos de la base de datos?

Realizan respaldos constantes en la base de datos?
29
30
DS11.5
DS11.6
Los respaldos de la base de datos son alojados en un servidor externo?

Cuentan con polticas de seguridad en la BD?
X
X
31
32
DS11.6
DS11.6
Aplican seguridad en sus procesos?

Se cuentan con Planes de Seguridad?
X
X
33
DS11.6
Se han llevado a cabo dichos Planes?
34
35
DS11.5
DS11.5
Cuenta con Planes de Contingencia?

Se han llevado a acabo dicho Planes de Contingencia?
X
X
36
37
DS11.2
DS11.2
Las polticas que existen en la Institucin son difundidas al personal de TI?

Las polticas con emitidas con frecuencia?
38
DS11.2
Se lleva a cabo un control de acceso a los usuarios de base de datos?
39
40
DS11.6
DS11.6
Las contraseas de los usuarios son encriptados?

Utilizan algoritmos para cifrar la informacin?
41
42
DS11.6
DS11.4
Existe un control de preparacin y entrega de los reportes de salida?

Es posible que la informacin sea eliminada?
43
44
DS11.5
DS11.5
Son generados respaldos de informacin especfica?

Se realiza con frecuencia los respaldos de la informacin delicada?
X
X
45
PO2.2
Se cuenta con un diccionario de datos de la BD?
X
X
X
X
X
X
X
X
X
X
X
LISTA DE CHEKEO O CHECKLIST PARA AUDITORIA DE BASE

DE DATOS
1. Existe algn archivo de tipo Log donde guarde informacin referida a las operaciones que realiza la Base de datos?
Si
No
X
N/A
Observaciones:
2. Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)?
Si
No
X
N/A
Observaciones:
3. Existe algn usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor?
Si
X
No
N/A
Observaciones:
4. Se encuentra un administrador de sistemas en la empresa que lleve un control del usuario?
X
Si
No
N/A
Observaciones:
5. Son gestionados los perfiles de estos usuarios por el administrador?
X
Si
No
N/A
Observaciones:
6. Son gestionados los accesos a las instancias de la Base de Datos?
X
Si
No
N/A
Observaciones:
7. Las instancias que contienen el repositorio, tienen acceso restringido?
X
Si
No
N/A
Observaciones:
8. Se renuevan las claves de los usuarios de la Base de Datos?
Si
X
No
N/A
Observaciones:
9. Se obliga el cambio de la contrasea de forma automtica?
Si
X
No
N/A
Observaciones:
10. Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a estructuras, tablas fsicas y
lgicas del repositorio?
Si

X
No
N/A
Observaciones:
11. Posee la base de datos un diseo fsico y lgico?

X
Si
No
N/A
Observaciones:
12. Posee el diccionario de datos un diseo fsico y lgico?
Si
X
No
N/A
Observaciones:
13. Existe una instancia con copia del Repositorio para el entorno de desarrollo?
Si
X
No
N/A
Observaciones:
14. Est restringido el acceso al entorno de desarrollo?
X
Si
No
N/A
Observaciones:
15. Los datos utilizados en el entorno de desarrollo, son reales?
X
Si
No
N/A
Observaciones:
16. Se llevan a cabo copias de seguridad del repositorio?
Si
X
No
N/A
Observaciones:
17. Las copias de seguridad se efectan diariamente?
Si
X
No
N/A
Observaciones:
18. Las copias de seguridad son encriptados?
Si
X
No
N/A
Observaciones:
19. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren bien hechas?
Si
X
No
N/A
Observaciones:
20. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa?
X
Si
No
N/A

Observaciones:
21. En caso de que el equipo principal sufra una avera, existen equipos auxiliares?
X
Si
No
N/A
Observaciones:
22. Cuando se necesita restablecer la base de datos, se le comunica al administrador?
X
Si
No
N/A
Observaciones:
23. La comunicacin se establece de forma escrita?
X
Si
No
N/A
Observaciones:
24. Una vez efectuada la restauracin, se le comunica al interesado?

X
Si
No
N/A
Observaciones:
25. Se lleva a cabo una comprobacin, para verificar que los cambios efectuados son los solicitados por el interesado?
X
Si
No
N/A
Observaciones:
26. Se documentan los cambios efectuados?
Si
X
No
N/A
Observaciones:
27. Hay algn procedimiento para dar de alta a un usuario?

Si
X
No
N/A
Observaciones:
28. Hay algn procedimiento para dar de baja a un usuario?
Si
X
No
N/A
Observaciones:
29. Es eliminada la cuenta del usuario en dicho procedimiento?
Si
X
No
N/A
Observaciones:
30. El motor de Base de Datos soporta herramientas de auditoria?
X
Si
No
N/A

Observaciones:
31. Existe algn tipo de documentacin referida a la estructura y contenidos de la Base de Datos?
Si
X
No
N/A
Observaciones:
32. Se cuenta con niveles de seguridad para el acceso a la Base de Datos?
X
Si
No
N/A
Observaciones:
33. Se encuentra la Base de Datos actualizada con el ltimo Set de Parches de Seguridad?
Si
X
No
N/A
Observaciones:
34. Existe algn plan de contingencia ante alguna situacin no deseada en la Base de Datos?
X
Si
No
N/A
Observaciones:
35. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las base de datos?
Si
X
No
N/A
Observaciones:
36. Se usan los generados por el DBMS?
Si
No
X
N/A
Observaciones:
37. Se usan los generados por el Sistema Operativo?
Si
No
X
N/A
Observaciones:
38. Se han configurado estos logs para que slo almacenen la informacin relevante?
Si
No
X
N/A
Observaciones:
39. Se tiene un sistema de registro de acciones propio, con fines de auditora?
Si
X
No
N/A
Observaciones:
40. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por agua?
Si
X
No
N/A
Observaciones:
41. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por el fuego?
X
Si
No
N/A
Observaciones:
42. La ubicacin del centro de cmputo es acorde con las mnimas condiciones de seguridad?
X
Si
No
N/A
Observaciones:
43. Existe y es conocido un plan de actuacin para el personal del centro de cmputo, en caso de incidentes naturales u otros
que involucren gravemente la instalacin?
X
Si
No
N/A
Observaciones:
44. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?
Si
X
No
N/A
Observaciones:
45. La informacin que poseen en la base de datos es real?
X
Si
No
N/A
Observaciones:
ANLISIS DE RIESGOS
La siguiente lista de riesgos est basada en las 2 herramientas anteriormente usadas (CheckList
y Cuestionario):
Lista de Riegos Encontrados:
No se generan backups, copias de respaldo o seguridad de la informacin almacenada
en la base de datos.
Los Equipos no son resistentes al agua.
No se cuenta con un diccionario de datos.
No existen procedimientos para dar de alta o baja los usuarios de la base de datos.
No hay un procedimiento para llevar a cabo el control de entrada o salida de datos de
la BD.
No existen logs sobre las acciones realizadas en la base de datos.
No documentan los cambios efectuados.
Las contraseas de los usuarios no son encriptados.
Valoracin de Riegos:
De acuerdo con los riesgos anteriormente listados y teniendo en cuenta cual es la probabilidad
de que uno de estos se presente y el impacto que podra generar en el flujo normal de trabajo

en la Universidad Cesar Vallejo Lima Este, a continuacin presentamos una tabla donde
valoraremos estos riesgos:
Probabilidad
A
M
B
Riesgos / Valoracin
R1
R2
R3
R4
R5
R6
R7
R8
No se generan backups, copias de respaldo o seguridad

de la informacin almacenada en la base de datos.
Los Equipos no son resistentes al agua.
No se cuenta con un diccionario de datos.
No existen procedimientos para dar de alta o baja los
usuarios de la base de datos.
No hay un procedimiento para llevar a cabo el control de
entrada o salida de datos de la BD.
No existen logs sobre las acciones realizadas en la base
de datos.
No documentan los cambios efectuados.
Las contraseas de los usuarios no son encriptados.
Probabilidad:
[Alta: A | Media: M | Baja: B]
Impacto:
[Catastrfico: C | Moderado: M | Leve: L]
Impacto
L M C
X
X
X
X
X
X
X
X
De acuerdo a la valoracin que se hace a los riesgos encontrados en la visita que se realiza al
rea de OTI de la Universidad Cesar Vallejo Lima Este se puede clasificar los riesgos como se
muestra en la siguiente tabla.
Clasificacin de Riesgos:
ALTO
LEVE
MODERADO
R6
R8
MEDIO
BAJO
R3, R4, R7
CATASTROFICO
R1, R5
R2
DEFINIR POLITICAS PARA EL REA DE BASE DE DATOS

Polticas:
1.- Acceso a la Informacin
Delimitar y controlar el acceso de terceras personas, dar seguimiento a su sesin
tiempo de conexin as como los datos que reviso, es decir toda su interaccin con la
informacin de la entidad, esta medida para minimizar el riesgo de perder la integridad
de la informacin que se encuentra en la base de datos, y en caso se presente estas
acciones que pone en riesgo a la informacin, se debe llevar un registro de esto ltimo.
2.- Seguridad de la Informacin
Se debe asignar responsabilidades para el cuidado y proteccin de la informacin en la

base de datos, para asegurar la integridad, confidencialidad, disponibilidad y
confiabilidad de la misma, teniendo en claro que tan sensibles son los datos y como se
clasifican segn su confidencialidad.
3.- Seguridad en Recursos Informticos
Administracin de usuarios: Establece como deben ser utilizadas las claves de ingreso a
los recursos informticos y los parmetros sobre la longitud mnima de las
contraseas, la frecuencia con la que los usuarios deben cambiar su contrasea y los
perodos
de
vigencia
de
las
mismas,
entre
otras.
Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos debern
contar con roles predefinidos o con un mdulo que permita definir roles, definiendo
las acciones permitidas por cada uno de estos. Debern permitir la asignacin a cada
usuario de posibles y diferentes roles. Tambin deben permitir que un rol de usuario
administre el Administracin de usuarios.
4: Seguridad en Comunicaciones
Las direcciones internas, topologas, configuraciones e informacin relacionada con el
diseo de los sistemas de comunicacin, seguridad y cmputo de la Entidad, debern
ser
consideradas
y
tratadas
como
informacin
confidencial.
5: Software Utilizado
Todo software ser adquirido de acuerdo con las normas vigentes y siguiendo los
procedimientos especficos de la Entidad o reglamentos internos.
6: Actualizacin de Hardware
Cualquier cambio que se requiera realizar en los equipos de cmputo de la entidad
(cambios de procesador, adicin de memoria o tarjetas) debe tener previamente una
evaluacin
tcnica
y
autorizacin
del
rea
responsable.
7: Almacenamiento y Respaldo
Debe existir una definicin formal de la estrategia de generacin, retencin y rotacin
de las copias de respaldo. La entidad definir la custodia de los respaldos de la
informacin que se realizar externamente con una compaa especializada en este
tema. El rea duea de la informacin en conjunto con la oficina Informtica definir la
estrategia
a
seguir
para
el
respaldo
de
la
informacin.
8: Contingencia
La administracin de la Entidad debe preparar, actualizar peridicamente y probar en
forma regular un plan de contingencia que permita a las aplicaciones crticas y
sistemas de cmputo y comunicacin estar disponibles en el evento de un desastre de
grandes proporciones como terremoto, explosin, terrorismo, inundacin etc.
9: Seguridad Fisca

La Entidad deber contar con los mecanismos de control de acceso tales como puertas
de seguridad, sistemas de control con tarjetas inteligentes, sistema de alarmas y
circuitos cerrados de televisin en las dependencias que la entidad considere crticas.
GUA DE PRUEBAS
Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la siguiente
coleccin de pruebas para los riesgos seleccionados previamente.
GUA DE PRUEBA P1
UNIVERSIDAD CESAR VALLEJO LIMA ESTE
UCV LE
Gua de Pruebas
P1
Dominio
Planificar y Organizar
Proceso
PO2 Definir la infraestructura de la informacin
PO2.2 Diccionario de Datos Empresarial y Reglas de
Objetivo de Control
Sintaxis de Datos
Riesgos Asociados
R3
N Evidencia
Descripcin
En la Universidad Cesar Vallejo Lima Este no se
encuentra establecido el diccionario de datos que
1
No hay Diccionario de Datos
permite tener una anlisis y percepcin del modelo de
base de datos ms al detalle, con respecto a los tipos de
datos, llenado de cada tabla, etc.
GUA DE PRUEBA P2
UCV LE
Gua de Pruebas
P2
Dominio
Proceso
Objetivo de Control
Riesgos Asociados
R5, R7, R6
N Evidencia
Descripcin
No hay un procedimiento
Si bien en la UCV se controla la entrada y salida de datos,
para llevar a cabo el control
1
no hay un procedimiento estndar para llevar a cabo ello,
de entrada o salida de datos
poniendo en riesgo la integridad de la informacin.
de la BD.
Realizar cambios sin documentarlos podra generar
No documentan los cambios
confusin en los datos que tiene la UCV en su base de
2
efectuado
datos, podra crear datos repetidos, entre diferentes
acciones que afectan a la BD.

GUA DE PRUEBA P3
UCV LE
Gua de Pruebas
P3
Dominio
Dar Soporte
Proceso
DS11 Gestionar datos
Objetivo de Control
Riesgos Asociados
R2, R8
N Evidencia
Descripcin
La conservacin de la informacin depende tambin del
Los equipos no son
entorno donde se encuentra, es un riesgo que ante una
1
resistentes al agua
situacin de filtrado de agua no se cuente con un plan de
contingencia.
Es muy delicado el hecho de que an no se haya
Las contraseas de los
encriptado las contraseas, de los usuarios de la base de
2
usuarios no son encriptados
datos, de tener acceso a esta sera mucho ms sencillo
saber la contrasea de algn usuario.
GUA DE PRUEBA P4
UNIVERSIDA CESAR VALLEJO LIMA ESTE
UCV LE
Gua de Pruebas
P4
Dominio
Dar Soporte
Proceso
Objetivo de Control
DS11.4 Eliminacin
Riesgos Asociados
R4
N Evidencia
Descripcin
No se lleva un procedimiento para saber si al eliminar
No existen procedimientos
algn registro hay datos relacionados a el que se pueden
1
para dar de alta o baja los
ver afectados, o que tanto podra influir la ausencia de
usuarios de la base de datos.
ciertos datos sensibles en la base de datos.
GUA DE PRUEBA P5
UCV LE
Gua de Pruebas
P5
Dominio
Dar Soporte
Proceso
Objetivo de Control
Riesgos Asociados
R1
N Evidencia
Descripcin
No se generan backups,
copias de respaldo o
No realizar copias de respaldo de la base de datos y a su
1
seguridad de la informacin vez probarlas es muy riesgoso para la Universidad ya que
almacenada en la base de
es una medida que favorece al plan de continuidad.
datos.
GUA DE HALLAZGOS
Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de informacin, los
objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.
GUA DE HALLAZGOS H1
UCV LE
Hallazgos de Auditoria
H1
Dominio
Proceso
PO2.2 Diccionario de Datos Empresarial y Reglas de
Objetivo de Control
Sintaxis de Datos
Riesgos Asociados
R3
Descripcin
En la Universidad Cesar Vallejo Lima Este no se encuentra establecido el diccionario
de datos que permite tener una anlisis y percepcin del modelo de base de datos ms
al detalle, con respecto a los tipos de datos, llenado de cada tabla, etc.
Recomendacin
Se recomienda crear un diccionario de datos de la base de datos, quizs usar alguna
herramienta que facilite la creacin del mismo, la parte ms importante sera el detallar
cmo ser el llenado de cada campo de cada tabla.
Causa
Poca importancia por parte de los manejadores de BD para crear un diccionario de datos de las
bases de datos.
GUA DE HALLAZGOS H2
UCV LE
H2
Dominio
Proceso
Objetivo de Control
Riesgos Asociados
R5, R7, R6
Descripcin
Si bien en la UCV se controla la entrada y salida de datos, no hay un procedimiento
estndar para llevar a cabo ello, poniendo en riesgo la integridad de la informacin.
Realizar cambios sin documentarlos podra generar confusin en los datos que tiene la
UCV en su base de datos, podra crear datos repetidos, entre diferentes acciones que
afectan a la BD
Recomendacin
Se recomienda establecer un procedimiento que regule el flujo de entrada y salida de
datos de la BD, mediante el cual registre los movimientos realizados en la empresa.
Establecer un formato para llevar a cabo cambios en las bases de datos.
Causa
Falta de compromiso por parte del personal de OTi para realizar un historial de los movimientos
que se realizan en las bases de datos as como tambin, no documentar todo cambio que se
realiza.

GUA DE HALLAZGOS H3
UCV LE
H3
Dominio
Dar Soporte
Proceso
Objetivo de Control
Riesgos Asociados
R2, R8
Descripcin
La conservacin de la informacin depende tambin del entorno donde se encuentra,
es un riesgo que ante una situacin de filtrado de agua no se cuente con un plan de
contingencia.
Es muy delicado el hecho de que an no se haya encriptado las contraseas, de los
usuarios de la base de datos, de tener acceso a esta sera mucho ms sencillo saber la
contrasea de algn usuario.
Recomendacin
Se recomienda que nuestro servidor de base de datos se encuentre en lo ms posible
aislados de cualquier lquido, y las personas que frecuentan por sus instalaciones deben
tener bien en claro que no se debe ingresar con ningn tipo de lquido, adems de
elaborar un plan ante el filtrado de agua en estas instalaciones.
Encriptar las contraseas nos ayudaran a darle mayor seguridad a la informacin que
tenemos en la base de datos, existen diferentes mtodos, algoritmos para encriptar
contraseas, de las cuales podramos optar una a implementar.
Causa
Falta de iniciativa de seguridad para implementar algn mtodo de encriptacin de contraseas
para las que tenemos en la base de datos.
No se ha tomado en cuenta ni dado la relevancia de alguna probable filtrado de agua en las
instalaciones donde esta nuestro sistema gestor de base de datos.
GUA DE HALLAZGOS H4
UCV LE
H4
Dominio
Dar Soporte
Proceso
Objetivo de Control
Riesgos Asociados
R1
Descripcin
No realizar copias de respaldo de la base de datos y a su vez probarlas es muy riesgoso
para la Universidad ya que es una medida que favorece al plan de continuidad.
Recomendacin
Recomendamos llevar a cabo un bakcup / copia de seguridad o respaldo de la
informacin con la que cuenta la Universidad Cesar Vallejo Lima Este, debido a que
sin duda este es un activo ms que importante, primordial para el flujo normal de
trabajo de esta organizacin.
Tener un procedimiento para la realizacin de estos bakcups y tambin sus pruebas de
implementacin, para apoyar al plan de continuidad de la Universidad, as como
tambin respaldar y asegurar la informacin en nuestras bases de datos.
Causa
Falta del cuidado y continuidad de la informacin por parte del personal de OTI, debido a que

un perdida de informacin sin contar con un respaldo de esta, puede afectar de gran forma a la
Universidad.
GUA DE HALLAZGOS H5
UCV LE
H5
Dominio
Dar Soporte
Proceso
Objetivo de Control
DS11.4 Eliminacin
Riesgos Asociados
R4
Descripcin
No se lleva un procedimiento para saber si al eliminar algn registro hay datos
relacionados a el que se pueden ver afectados, o que tanto podra influir la ausencia de
ciertos datos sensibles en la base de datos.
Recomendacin
Recomienda establecer un procedimiento que indique bajo qu condiciones se
eliminara alguna data de la base de datos, a su vez que acciones previas o posteriores
realizar para verificar que no afectara a la informacin que quedara en el sistema gestor
de base de datos.
Causa
No se da la relevancia correspondiente a contar con un procedimiento para la eliminacin de
datos, as clasificar que datos si se pueden eliminar y cules no.

Plan de Auditoria de Base de Datos

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Plan de Auditoria de Base de Datos

Caricato da

Copyright:

Formati disponibili

Auditoria de Base de Datos