CAPÍTULO 14.

AUDITORÍA DE BASES DE DATOS

1. Establezca objetivos de control relativos al diseño de una base de datos.

• El SGBD deberá preservar la confidencialidad de la base de datos

2. Defina un procedimiento para la adquisición de SGBD.

1. De finir si la base de datos elegida satisfacerá los requerimientos de datos de la

empresa (objetivos)
2. Valorar el coste/beneficio de adquirir la base de datos
3. Tipo de aplicación
4. Sistema operativo a usar con la BD
5. Integridad de datos
6. Robustez de la BD
7. Facilidad de mantenimiento y aplicación de aplicativos
8. Fácil manejo con el SGBD
9. Confidencialidad de datos
10. Niveles de seguridad

3. ¿Cuáles son las diferencias más importantes entre las funciones de un administrador de
datos y las de un administrador de bases de datos?

Administrador de Datos: Deben asignarse responsabilidades para la planificación,

organización, dotación de plantillas y control de los activos de datos de la organización.

1. Realiza el diseño conceptual y lógico de la base

2. Apoya al personal de sistemas durante el desarrollo de la aplicación
3. Forma al personal
4. Establece estándares de diseño de BD, desarrollo y contenido del Diccionario de Datos
5. Diseñar documentación incluida en el diccionario
6. Desarrolla políticas de gestión de datos
7. Desarrollar planes estratégicos y tácticos para la manipulación de los datos
8. Desarrollar los requisitos de los elementos del
9. Desarrollar normas para la denominación
10. Controlar la integridad y seguridad de los datos
11. Planificar la evolución de la BD de la empresa
12. Identificar oportunidades de compartición de datos
13. Trabajar con los auditores en la auditoria de la base
14. Proporcionar controles de seguridad

Administrador de la Base de Datos: Debe asignarse la responsabilidad de la administración del

entorno de la base de datos.

1. Realizar el diseño físico de la base de datos.

2. Asesorar en la Adquisición de Hardware/software
3. Soportar el SGBD
4. Resolver problemas del SGBD y del software asociado
5. Monitorizar el rendimiento del SGBD
6. Ayudar en el desarrollo de planes que aseguren la capacidad del hardware
7. Asegurar la integridad de los datos. Comprobando que se implantan los controles adecuados
8. Asegurar la seguridad y confidencialidad
9. Proporcionar facilidades de prueba
10. Integrar paquetes, procedimientos, utilidades, etc. De soporte al SGBD.
11. Desarrollar estándares, procedimientos y documentos.

4. ¿Por qué resulta tan crítico un diccionario de datos?

Resulta crítico porque el diccionario de Datos está vinculado a sectores sensibles del diseño de
la BD como: el diseño de la documentación, los elementos del diccionario y el establecimiento
de los estándares de diseño de la BD. Además juega un papel muy importante en el entorno de
SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de los
datos. Si se da un fallo en el diccionario, se suele acarrear una pérdida de integridad de los
procesos, siendo así más peligrosos los fallos en los diccionarios puesto que pueden introducir
errores de forma repetitiva a lo largo del tiempo y estos errores son más difíciles de detectar.

5. ¿Qué controles establecería sobre la distribución de listados extraídos a partir de la base

de datos?

6. Objetivos de control sobre la formación del personal relacionado con el SGBD (usuarios
finales, administradores, diseñadores, etc.).

A lo largo del ciclo de vida de la base de datos se deberá controlar la formación que precisa
tantos usuarios informáticos, como no informáticos ya que la formación es una de la claves
para minimizar el riesgo de la implantación de una base de datos. Esta formación no debe
basarse meramente en cursos sobre el producto que se está instalando, sino que debe ser una
formación de base que resulta imprescindible en especial cuando se pasa a trabajar a un
entorno de base de datos.

7. Analice el grado de ajuste existente entre los paquetes de segundad del mercado (TOP
SECRET. RACF. etc.) y los SGBD.

8. ¿Qué riesgos adicionales implica el hecho de distribuir las bases. de datos?

Implica graves riesgos de seguridad, además el posible riesgo de violación de la

confidencialidad e integridad de los datos.

9. ¿Qué controles establecería para desarrollos que empleen lenguajes visuales que acceden
a bases de dalos?

• Deben ser capaz de operar en el entorno de procesos de datos con controles adecuados

• Las aplicaciones desarrolladas deben seguir los mismos procedimientos de autorización y

petición que los proyectos de desarrollo convencionales

• Las aplicaciones desarrolladas deben sacar ventaja de las características incluidas en los
mismos.

10. Analice el soporte que ofrecen las herramientas de minería de datos al auditor
informático.

Las herramientas de minería de datos (datamining) ofrecen un soporte a la toma de decisiones

sobre los datos de calidad almacenados en una base de datos.