Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
General: Llevar a cabo un control y seguimiento de las bases de datos para saber
qu tan segura, continua, disponible, integra y confiable es la informacin de las
matriculas que se tiene guardada en el SGBD de la Universidad, a su vez evaluar el
flujo de datos de entrada y salida con la aplicacin de matrcula.
Especficos:
o
o
o
PROCESO: Eliminacin
Objetivo de Control: Establecer procedimientos para identificar y proteger datos
sensibles de la Universidad.
Objetivos
Pregunta
Si
No
DS11.1
PO2.4
PO2.1
PO2.4
PO2.4
DS11.6
Todas las tablas cuentan con llave primaria que evita tener informacin repetida
en la base de datos?
Son gestionados los accesos a las instancias de la Base de Datos?
7
8
DS11.6
DS11.6
9
10
DS11.6
DS11.5
11
12
DS11.5
DS11.5
Existe una instancia con copia del Repositorio para el entorno de desarrollo?
Se llevan a cabo copias de seguridad del repositorio?
X
X
13
14
DS11.5
DS11.5
X
X
15
DS11.5
Se ha probado restaurar alguna vez una copia de seguridad, para probar que las
X
X
X
X
X
16
DS11.5
17
18
DS11.2
DS11.2
19
DS11.6
20
PO2.3
21
PO2.1
22
PO2.1
23
X
X
X
PO2.1
24
25
DS11.2
DS11.2
X
X
26
DS11.2
Para tener acceso al sistema existe una validacin a la entrada del sistema?
27
28
DS11.5
DS11.5
29
30
DS11.5
DS11.6
X
X
31
32
DS11.6
DS11.6
X
X
33
DS11.6
34
35
DS11.5
DS11.5
X
X
36
37
DS11.2
DS11.2
38
DS11.2
39
40
DS11.6
DS11.6
41
42
DS11.6
DS11.4
43
44
DS11.5
DS11.5
X
X
45
PO2.2
X
X
X
X
X
X
X
X
X
X
X
No
N/A
Observaciones:
40. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por agua?
Si
X
No
N/A
Observaciones:
41. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por el fuego?
X
Si
No
N/A
Observaciones:
42. La ubicacin del centro de cmputo es acorde con las mnimas condiciones de seguridad?
X
Si
No
N/A
Observaciones:
43. Existe y es conocido un plan de actuacin para el personal del centro de cmputo, en caso de incidentes naturales u otros
que involucren gravemente la instalacin?
X
Si
No
N/A
Observaciones:
44. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?
Si
X
No
N/A
Observaciones:
45. La informacin que poseen en la base de datos es real?
X
Si
No
N/A
Observaciones:
ANLISIS DE RIESGOS
La siguiente lista de riesgos est basada en las 2 herramientas anteriormente usadas (CheckList
y Cuestionario):
Lista de Riegos Encontrados:
No se generan backups, copias de respaldo o seguridad de la informacin almacenada
en la base de datos.
Los Equipos no son resistentes al agua.
No se cuenta con un diccionario de datos.
No existen procedimientos para dar de alta o baja los usuarios de la base de datos.
No hay un procedimiento para llevar a cabo el control de entrada o salida de datos de
la BD.
No existen logs sobre las acciones realizadas en la base de datos.
No documentan los cambios efectuados.
Las contraseas de los usuarios no son encriptados.
Valoracin de Riegos:
De acuerdo con los riesgos anteriormente listados y teniendo en cuenta cual es la probabilidad
de que uno de estos se presente y el impacto que podra generar en el flujo normal de trabajo
Riesgos / Valoracin
R1
R2
R3
R4
R5
R6
R7
R8
Probabilidad:
Impacto:
Impacto
L M C
X
X
X
X
X
X
X
X
De acuerdo a la valoracin que se hace a los riesgos encontrados en la visita que se realiza al
rea de OTI de la Universidad Cesar Vallejo Lima Este se puede clasificar los riesgos como se
muestra en la siguiente tabla.
Clasificacin de Riesgos:
ALTO
LEVE
MODERADO
R6
R8
MEDIO
BAJO
R3, R4, R7
CATASTROFICO
R1, R5
R2
GUA DE PRUEBAS
Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la siguiente
coleccin de pruebas para los riesgos seleccionados previamente.
GUA DE PRUEBA P1
UNIVERSIDAD CESAR VALLEJO LIMA ESTE
UCV LE
Gua de Pruebas
P1
Dominio
Planificar y Organizar
Proceso
PO2 Definir la infraestructura de la informacin
PO2.2 Diccionario de Datos Empresarial y Reglas de
Objetivo de Control
Sintaxis de Datos
Riesgos Asociados
R3
N Evidencia
Descripcin
En la Universidad Cesar Vallejo Lima Este no se
encuentra establecido el diccionario de datos que
1
No hay Diccionario de Datos
permite tener una anlisis y percepcin del modelo de
base de datos ms al detalle, con respecto a los tipos de
datos, llenado de cada tabla, etc.
GUA DE PRUEBA P2
UNIVERSIDAD CESAR VALLEJO LIMA ESTE
UCV LE
Gua de Pruebas
P2
Dominio
Planificar y Organizar
Proceso
PO2 Definir la infraestructura de la informacin
Objetivo de Control
PO2.4 Administracin de Integridad
Riesgos Asociados
R5, R7, R6
N Evidencia
Descripcin
No hay un procedimiento
Si bien en la UCV se controla la entrada y salida de datos,
para llevar a cabo el control
1
no hay un procedimiento estndar para llevar a cabo ello,
de entrada o salida de datos
poniendo en riesgo la integridad de la informacin.
de la BD.
Realizar cambios sin documentarlos podra generar
No documentan los cambios
confusin en los datos que tiene la UCV en su base de
2
efectuado
datos, podra crear datos repetidos, entre diferentes
acciones que afectan a la BD.
GUA DE HALLAZGOS
Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de informacin, los
objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.
GUA DE HALLAZGOS H1
UNIVERSIDAD CESAR VALLEJO LIMA ESTE
UCV LE
Hallazgos de Auditoria
H1
Dominio
Planificar y Organizar
Proceso
PO2 Definir la infraestructura de la informacin
PO2.2 Diccionario de Datos Empresarial y Reglas de
Objetivo de Control
Sintaxis de Datos
Riesgos Asociados
R3
Descripcin
En la Universidad Cesar Vallejo Lima Este no se encuentra establecido el diccionario
de datos que permite tener una anlisis y percepcin del modelo de base de datos ms
al detalle, con respecto a los tipos de datos, llenado de cada tabla, etc.
Recomendacin
Se recomienda crear un diccionario de datos de la base de datos, quizs usar alguna
herramienta que facilite la creacin del mismo, la parte ms importante sera el detallar
cmo ser el llenado de cada campo de cada tabla.
Causa
Poca importancia por parte de los manejadores de BD para crear un diccionario de datos de las
bases de datos.
GUA DE HALLAZGOS H2
UNIVERSIDAD CESAR VALLEJO LIMA ESTE
UCV LE
Hallazgos de Auditoria
H2
Dominio
Planificar y Organizar
Proceso
PO2 Definir la infraestructura de la informacin
Objetivo de Control
PO2.4 Administracin de Integridad
Riesgos Asociados
R5, R7, R6
Descripcin
Si bien en la UCV se controla la entrada y salida de datos, no hay un procedimiento
estndar para llevar a cabo ello, poniendo en riesgo la integridad de la informacin.
Realizar cambios sin documentarlos podra generar confusin en los datos que tiene la
UCV en su base de datos, podra crear datos repetidos, entre diferentes acciones que
afectan a la BD
Recomendacin
Se recomienda establecer un procedimiento que regule el flujo de entrada y salida de
datos de la BD, mediante el cual registre los movimientos realizados en la empresa.
Establecer un formato para llevar a cabo cambios en las bases de datos.
Causa
Falta de compromiso por parte del personal de OTi para realizar un historial de los movimientos
que se realizan en las bases de datos as como tambin, no documentar todo cambio que se
realiza.