Auditoría y Control Interno de un entorno de Base de Datos

Cuando el auditor se encuentra el sistema en explotación, deberá estudiar el

SGBD y su entorno. Como se señala en Menkus (1991), “en el desarrollo y
mantenimiento de sistemas informáticos en entornos de BD, deberían
considerarse el control, la integridad y la seguridad de los datos compartidos
por múltiples usuarios. Esto debe abarcar a todos los componentes del entorno
de BD”. El gran problema de las bases de datos es que su entorno cada vez es
más complejo y no puede limitarse solo al propio SGBD.

La complejidad del entorno de las Bases de Datos hace que no se pueda limitar
solo al SGBD.

Aunque existen distintas metodologías que se aplican en auditoria informática

(prácticamente cada firma de auditores y cada empresa desarrolla la suya
propia), se pueden agrupar en dos clases:

Existen básicamente 2 metodologías las cuales están basadas en la

minimización de los riesgos, que se conseguirá en función de que existan los
controles y de que éstos funcionen. En consecuencia el auditor deberá revisar
estos controles y su funcionamiento.

Este tipo de sistemas complementan las facilidades ofrecidas por el propio

SGBD, ofreciendo mayor información para optimizar el sistema llegando a ser
en ciertas ocasiones verdaderos sistemas expertos que proporcionan la
estructura óptima de la base de datos y de ciertos parámetros del SGBD y
SO.

Sistema de Gestión de Base de Datos. (SGBD)

Entre sus componentes podemos destacar, el Kernel, el catálogo (componente

fundamental para asegurar la seguridad de la base de datos), las utilidad para
el administrador (crear usuarios, conceder privilegios) y resolver otras
cuestiones relativas a la confidencialidad.

En cuanto a las funciones de auditoría que ofrece el propio sistema,

prácticamente todos los productos del mercado permiten registrar la mayoría
de las operaciones.

“el requisito para la auditoria es que la causa y el efecto de todos los cambios
de la base de datos sean verificables”

SISTEMA DE MONITORIZACIÓN Y AJUSTE (tuning)

Este tipo de sistemas complementan las facilidades ofrecidas por el propio

SGBD, ofreciendo mayor información para optimizar el sistema llegando a ser
en ciertas ocasiones verdaderos sistemas expertos que proporcionan la
estructura óptima de la base de datos y de ciertos parámetros del SGBD y
SO.

SOFTWARE DE AUDITORÍA

Son paquetes que pueden emplearse para facilitar la labor del auditor en
cuanto a la extracción de datos de la base, el seguimiento de las transacciones,
datos de prueba otros.

Cuando se realizan auditorías, la funcionalidad de la base de datos es dejar

constancia de los comandos correctos e incorrectos.

Ejemplo

AUDAP / AUDIRISK

Software de Auditoría Basada en Riesgos para Procesos de Negocio, Sistemas

de Información y la Infraestructura de TI El software AUDAP (AUDIRISK, a
partir del año 2010) es una herramienta para apoyar a auditores internos,
externos y de sistemas en el desarrollo de "AUDITORÍAS BASADAS EN
RIESGOS" a los procesos del modelo de operación de la Empresa
(estratégicos, misionales, de apoyo y de evaluación), procesos de tecnología
de información (modelos COBIT, ITIL), Aplicaciones de Computador (o
módulos de ERPs) y el seguimiento a los planes de mejoramiento institucional
que surgen de auditorías internas y externas realizadas en la organización. El
software AUDAP consta de 5 módulos:

1) Planeación Anual de la Auditoria;

2) Auditorías Basadas en Riesgos;

3) Seguimiento a Auditorías efectuadas por terceros;

4) Gestión de la Auditoría

5) Administración y Seguridad del software.

SISTEMA OPERATIVO (S.O)

El sistema operativo es una pieza clave del entorno puesto que el SGBD se
apoyará en mayor o menor medida en los servicios que le ofrezca; el S.O en
cuanto a control de memoria , gestión de áreas de almacenamiento intermedio
(buffers), manejo de errores, control de confidencialidad, mecanismo de
interbloqueo otros.
MONITOR DE TRANSACCIONES

Se considera un elemento más del entorno con responsabilidades de

confidencialidad y rendimiento.

PROTOCOLOS Y SISTEMAS DISTRIBUIDOS

Cinco objetivos de control a la hora de revisar la distribución de datos.

1. El sistema de proceso distribuido debe tener en función de

administración de datos centralizada, que establezca estándares
generales para la distribución de datos a través de aplicaciones.
2. Deben establecerse unas funciones de administración de datos y de
base de datos fuertes, para que puedan controlar la distribución de los
datos.
3. Deben de existir pistas de auditoría para todas las actividades realizadas
por las aplicaciones contra sus propias bases de datos y otras
compartidas.
4. Deben existir controles software para prevenir interferencias de
actualización sobre las bases de datos en sistemas distribuidos.
5. Deben realizarse las consideraciones adecuadas de costes y beneficios
en el diseño de entornos distribuidos.

PAQUETES DE SEGURIDAD

Existen en el mercado varios productos que permiten la implantación Efectiva

de una política de seguridad, puesto que centralizan el Control de accesos, la
definición de privilegios, perfiles de usuarios otros.

Diccionario de Datos

Conjunto de metadatos que contiene las características lógicas y puntuales de

los datos que se van a utilizar en el sistema incluyendo nombre, descripción,
alias, contenido y organización.

Este tipo de sistemas, que empezaron a implantarse en los años setenta,

también juegan un papel primordial en el entorno de los SGBD en cuanto a la
integración de los componentes y al cumplimiento de la seguridad de los datos.

Los diccionarios de datos se pueden auditar de manera análoga a las bases de

datos, ya que, después de todo, son bases de datos de metadatos
Un fallo en la BD puede atentar contra la integridad de los datos y producir un
mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios),
suele llevar consigo un perdida de integridad de los procesos; siendo más
peligrosos los fallos en los diccionarios puesto que pueden introducir errores de
forma repetitiva a lo largo del tiempo y son más difíciles de detectar.

Herramientas CASE

Desde la década pasada venimos asistiendo a una gran difusión de este tipo
de herramientas como soporte al diseño y concepción de sistemas de
información. Suelen llevar incorporado un diccionario de datos más amplio que
los mencionados anteriormente en los que se almacenan además de
información sobre datos, programas, usuarios, etc., los diagramas, matrices y
grafos de ayuda al diseño. Constituyen una herramienta clave para que el
auditor pueda revisar el diseño de la BD, comprobar si se ha empleado
correctamente la metodología y asegurar un nivel mínimo de calidad.

Constituyen una herramienta clave para que el auditor pueda revisar el diseño
de la DB, comprobar si se ha empleado correctamente la metodología y
asegurar un nivel mínimo de calidad.

Lenguajes de Generación de Cuarta generación (L4G) independientes

Se utilizan en la actualidad para desarrollar prototipos que facilitan a los

usuarios la exposición de necesidades.

Son elementos a considerar en el entorno del SGBD

De los objetivos de control para los L4G, destacan los siguientes:

• El L4G debe ser capaz de operar en el entorno de proceso de datos con

controles adecuados.

• Las aplicaciones desarrolladas con L4G deben seguir los mismos

procedimientos de automatización y petición que los proyectos de
desarrollo convencionales.

• Las aplicaciones desarrolladas con L4G deben sacar ventajas de las

características incluidas en el mismo.

Uno de los peligros más graves de los L4G es que no se aplican controles
con el mismo rigor que a los programas desarrollados con lenguajes de
tercera generación.

Otros problemas pueden ser la ineficacia y elevado consumo de recursos.

 El Auditor deberá estudiar los controles disponibles en los L4G, en caso
negativo, recomendar su construcción con lenguajes de tercera generación.

Facilidades de Usuario

Con la aparición de interfaces gráficas fáciles de usar se ha desarrollado toda

un serie de herramientas que permiten al usuario final acceder a los datos sin
tener que conocer la sintaxis de los lenguajes del SGBD.

El auditor deberá investigar las medidas de seguridad que ofrecen estas

herramientas (Interfaz gráfica de usuario) y bajo qué condiciones han sido
instaladas; las herramientas de este tipo deberían proteger a los usuarios de
sus propios errores.

Objetivos de control:

• La documentación de las aplicaciones desarrollada por usuarios

finales debe ser suficiente para que tanto sus usuarios principales
como cualquier otro pueda operar y mantenerlas.

• Los cambios de estas aplicaciones requieren la aprobación de la

dirección y deben documentarse de forma completa.

Herramientas de Minería de Datos

Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de

calidad integrados en el almacén de datos

Se deberá controlar la política de refresco y carga de los datos en el almacén a

partir de las bases de datos operacionales existentes, así como la existencia de
mecanismos de retroalimentación que modifican las bases de datos
operacionales a partir de los datos del almacén.

Aplicaciones

El auditor deberá controlar que las aplicaciones no atentan contra la integridad

de los datos de la base.