AUDITORA DE BASE DE DATOS

Mg. Julio Valero

AUDITORA EN ENTORNOS DE BD
Permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos.
Cundo se accedi a los datos? Quin accedi a los datos? Mediante que dispositivo/aplicacin? Desde que ubicacin en la Red? Cul fue la sentencia SQL? Qu efecto produce a la BD?
Auditora Informtica y de Sistemas 2

METODOLOGAS

Tradicional

ChekList

S (si) - N (no) - NA (no aplicable) Ejemplo: Existe una metodologa de diseo de BD?

Evaluacin de riesgos (ROA)

Objetivo de Control: Preservar la confidencialidad de la BD Tcnicas que utiliza:

Preventivas (establecer tipos de usuarios, perfiles, privilegios ) Detectivas (monitorizar los accesos a la base de datos) Correctivas (back-up)

Prueba de cumplimiento: privilegios y perfiles del SGBD Prueba sustantiva: si la informacin ha sido corrompida, comparndola con otra fuente, o revisando los documentos de entrada de datos y las transacciones que se han ejecutado.

Auditora Informtica y de Sistemas

CICLO DE VIDA DE UNA BD

ESTUDIO PREVIO Y PLAN DE TRABAJO

CONCEPCION DE LA BD Y SELECCIN DEL EQUIPO

F O R M A C I O N

DISEO Y CARGA

EXPLOTACION Y MANTENIMIENTO

D O C U M E N T A C I O N

C A L I D A D

REVISION POST-IMPLEMENTACION

Auditora Informtica y de Sistemas

MCV ESTUDIO PREVIO

Identificacin

de opciones Anlisis de costo/beneficio Desarrollar o comprar? Analizar los informes de viabilidad por la direccin de la empresa para evitar fracasos de implementacin Llevar a cabo la Gestin de Riesgos (COBIT)
Identificar/Valorar/Medir/Accionar/Aceptar

Plan

director de BD concordante con el plan general de sistemas de la organizacin

5

Auditora Informtica y de Sistemas

MCV CONCEPCIN DE LA BD Y SELECCIN DEL EQUIPO

Se disea la BD acorde a los modelos y tcnicas y metodologas y diseos establecidas por el plan director. Debe especificarse:

Documentacin Control Seguridad Pista de auditoria (triggers) Modelo consistente y concordante al PS de la organizacin Datos y diccionario de datos Clasificacin de los datos en cuanto a su seguridad Niveles de seguridad para cada clasificacin

Definir la arquitectura de la informacin (COBIT):

Seleccin del hardware para la BD

6

Auditora Informtica y de Sistemas

MCV DISEO Y CARGA

Examinar los diseo lgico y fsico de la BD Tomar una muestra de (tablas, vistas, ndices, etc) y comprobar que su definicin es completa.
Planificar las migraciones de un tipo de SGBD a otra, para evitar prdida de informacin. Establecer un conjunto de controles sobre la entrada manual de datos, que aseguren su integridad. Los procedimientos y el diseo de los documentos fuentes minimicen los errores y las omisiones.

Auditora Informtica y de Sistemas

MCV EXPLOTACIN Y MANTENIMIENTO

Comprobar que se establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante la autorizacin adecuada. (ISACA) Tareas de mantenimiento de BD
ndices,

compactacin, tunning, entre otros.

Auditora Informtica y de Sistemas

MCV REVISIN POST-IMPLANTACIN

Revisin

posterior que garantiza la conservacin

de la BD. Se evala:
Resultados

esperados Satisfaccin de necesidades de los usuarios Costos y beneficios reales vs los previstos

Auditora Informtica y de Sistemas

MCV OTROS PROCESOS

Capacitacin/formacin
Informticos
No

a usuarios

informticos

Plan

de formacin integral Cuidado con los usuarios sin formacin Aseguramiento de la calidad
Ej.

Teora de la normalizacin

Auditora Informtica y de Sistemas

10

AUDITORIA Y CI DE UN ENTORNO DE BD

Auditora Informtica y de Sistemas

11

AUDITORIA Y CI DE UN ENTRONO DE BD

SGBD: kernel, catlogos, etc Software de auditoria: GAS (extraccin de datos, Lotes de prueba) Sistema de monitorizacin y ajuste: SE de optimizacin SO: Relacin independiente o dependiente con el SGBD) Monitor de transacciones Protocolos y sistemas distribuidos: rol de las redes de comunicacin Paquete de seguridad: Privilegios, controles de usuarios externos Diccionario de datos: Integracin de componentes y seguridad de datos Herramientas CASE: Se usan en conjunto con los DD. Grficos, tablas. L4G/4GL o SQL Facilidades de usuario: QBE Conexin con paquetes ofimticos Herramientas de MD: DWH y DM Aplicaciones: las aplicaciones no deben afectar la integridad de los datos de la base.

Auditora Informtica y de Sistemas

12

TCNICAS PARA EL CONTROL DE BD EN ENTORNOS COMPLEJOS

Matrices de control
Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos.
CONTROLES DE SEGURIDAD DATOS PREVENTIVOS TRANSACCIONES DE ENTRADA REGISTRO DE BASE DE DATOS Verificacin Cifrado DETECTIVOS Informe de Reconciliacin Informe de excepcin Copia de seguridad CORRECTIVOS

Auditora Informtica y de Sistemas

13

TCNICAS PARA EL CONTROL DE BD EN ENTORNOS COMPLEJOS

Anlisis de caminos de acceso

Documenta el flujo, almacenamiento y procesamiento de los datos desde su entrada hasta la escritura en el disco.
ORDENADOR PERSONAL
ORDENADOR CENTRAL

MONITOR DE MULTIPROCESO

PAQUETE DE SEGURIDAD

PROGRAMA

SGBD

SO

DATOS

USUARIO Seguridad Cifrado Formacin * Controles * Procedimientos

Control de Acceso * Registro de Transacciones

Control de Acceso * Control de Integridad De datos

Controles Diversos

Control de Acceso * Cifrado * Control de Integridad

Control de Acceso * Registro de Acceso * Informe de Excepciones

Copias de Seguridad Fichero diario de Integridad de Datos

Auditora Informtica y de Sistemas

14