Академический Документы
Профессиональный Документы
Культура Документы
AUDITORA EN ENTORNOS DE BD
Permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos.
Cundo se accedi a los datos? Quin accedi a los datos? Mediante que dispositivo/aplicacin? Desde que ubicacin en la Red? Cul fue la sentencia SQL? Qu efecto produce a la BD?
Auditora Informtica y de Sistemas 2
METODOLOGAS
Tradicional
ChekList
S (si) - N (no) - NA (no aplicable) Ejemplo: Existe una metodologa de diseo de BD?
Preventivas (establecer tipos de usuarios, perfiles, privilegios ) Detectivas (monitorizar los accesos a la base de datos) Correctivas (back-up)
Prueba de cumplimiento: privilegios y perfiles del SGBD Prueba sustantiva: si la informacin ha sido corrompida, comparndola con otra fuente, o revisando los documentos de entrada de datos y las transacciones que se han ejecutado.
F O R M A C I O N
DISEO Y CARGA
EXPLOTACION Y MANTENIMIENTO
D O C U M E N T A C I O N
C A L I D A D
REVISION POST-IMPLEMENTACION
de opciones Anlisis de costo/beneficio Desarrollar o comprar? Analizar los informes de viabilidad por la direccin de la empresa para evitar fracasos de implementacin Llevar a cabo la Gestin de Riesgos (COBIT)
Identificar/Valorar/Medir/Accionar/Aceptar
Plan
Se disea la BD acorde a los modelos y tcnicas y metodologas y diseos establecidas por el plan director. Debe especificarse:
Documentacin Control Seguridad Pista de auditoria (triggers) Modelo consistente y concordante al PS de la organizacin Datos y diccionario de datos Clasificacin de los datos en cuanto a su seguridad Niveles de seguridad para cada clasificacin
Examinar los diseo lgico y fsico de la BD Tomar una muestra de (tablas, vistas, ndices, etc) y comprobar que su definicin es completa.
Planificar las migraciones de un tipo de SGBD a otra, para evitar prdida de informacin. Establecer un conjunto de controles sobre la entrada manual de datos, que aseguren su integridad. Los procedimientos y el diseo de los documentos fuentes minimicen los errores y las omisiones.
de la BD. Se evala:
Resultados
esperados Satisfaccin de necesidades de los usuarios Costos y beneficios reales vs los previstos
a usuarios
informticos
Plan
de formacin integral Cuidado con los usuarios sin formacin Aseguramiento de la calidad
Ej.
Teora de la normalizacin
10
AUDITORIA Y CI DE UN ENTORNO DE BD
11
AUDITORIA Y CI DE UN ENTRONO DE BD
SGBD: kernel, catlogos, etc Software de auditoria: GAS (extraccin de datos, Lotes de prueba) Sistema de monitorizacin y ajuste: SE de optimizacin SO: Relacin independiente o dependiente con el SGBD) Monitor de transacciones Protocolos y sistemas distribuidos: rol de las redes de comunicacin Paquete de seguridad: Privilegios, controles de usuarios externos Diccionario de datos: Integracin de componentes y seguridad de datos Herramientas CASE: Se usan en conjunto con los DD. Grficos, tablas. L4G/4GL o SQL Facilidades de usuario: QBE Conexin con paquetes ofimticos Herramientas de MD: DWH y DM Aplicaciones: las aplicaciones no deben afectar la integridad de los datos de la base.
12
Matrices de control
Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos.
CONTROLES DE SEGURIDAD DATOS PREVENTIVOS TRANSACCIONES DE ENTRADA REGISTRO DE BASE DE DATOS Verificacin Cifrado DETECTIVOS Informe de Reconciliacin Informe de excepcin Copia de seguridad CORRECTIVOS
13
MONITOR DE MULTIPROCESO
PAQUETE DE SEGURIDAD
PROGRAMA
SGBD
SO
DATOS
Controles Diversos
14