Auditora Informtica

Integrantes: Oswaldo Zapata Criollo Arturo Checa Fernndez Antony Oliva Sandoval

Auditoria de Base de Datos

Sistemas de Gestin de Bases de Datos (SGBD)

Auditoria de Base de Datos

La auditora informtica se aplica de dos formas distintas; por un lado, se auditan las principales reas del departamento de informtica: explotacin, direccin, metodologa de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc. Y, por otro, se auditan las aplicaciones (desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditora del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditora de las aplicaciones que utiliza esta tecnologa

METODOLOGAS PARA LA AUDITORA DE BASES DE DATOS

Aunque existen distintas metodologas que se aplican en auditoria informtica (prcticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases.

Metodologa tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar.

Por ejemplo:
Existe una metodologa de diseo de Base de Datos? S N NA

Metodologa de evaluacin de riesgos

Este tipo de metodologa, conocida tambin por ROA risk oriented approach, es la que propone la ISACA (Asociacin de Auditora y Control de Sistemas de Informacin), y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno.

Considerando estos riesgos, se podran definir por ejemplo lo siguiente

Objetivo de control:
El SGBD deber preservar la confiabilidad de la base de datos. Una vez establecidos los objetivos de control, se especifican las tcnicas especficas correspondientes a dichos objetivos.

Tcnicas de control:
Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos.

Objetivos de control en el ciclo de vida de una base de datos

ESTUDIO PREVIO Y PLAN DE TRABAJO

F O R M A C I O N

CONCEPCION DE LA BD Y SELECCIN DEL EQUIPO

DISEO Y CARGA EXPLOTACION Y MANTENIMIENTO REVISION POST-IMPLEMENTACION

D O C U M E N T A C I O N

C A L I D A D

Estudio previo y plan de trabajo

En esta primera fase, es muy importante elaborar un estudio tecnolgico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompaados de un anlisis de costo-beneficio para cada una de las opciones.

Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre est justificada la implementacin de un sistema de base de datos)

Estudio previo y plan de trabajo

En caso de que se desarrolle esta fase se aumenta considerablemente el riesgo de fracasar en la implementacin de sistema. En caso de que se decida llevar a cabo el proyecto es fundamental que se establezca un plan director, debiendo el auditor verificar que efectivamente dicho plan se emplea para el seguimiento y gestin del proyecto y que cumple con los procedimientos generales de gestin de proyectos que tengan aprobados la organizacin.

Concepcin de la base de datos y seleccin del equipo

En esta fase se empieza a disear la base de datos. La metodologa de diseo debera tambin emplearse para especificar los documentos fuentes, los mecanismos de control, las caractersticas de seguridad y las pistas de auditoria estos son indispensables por que al incluir en el sistema, produce mayores costos y problemas cuando se quieren incorporar la implementacin de la base de datos y la programacin de las aplicaciones.

El auditor debe por tanto:

En primer lugar, analizar la metodologa de diseo (lgico y fsico BD) con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilizacin. Como son:
Modelo de arquitectura de informacin y su actualizacin. Datos y diccionario de datos corporativo. Esquema de clasificacin de datos en cuanto a seguridad. Niveles de seguridad para cada anterior clasificacin de datos.

Diseo y carga
En esta fase se llevarn a cabo los diseo lgico y fsico estructuralmente de la bases de datos , adems por lo que el auditor tendr que examinar su estructura, las asociaciones y las restricciones oportunas, as como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad. El auditor tendr que tomar una muestra de ciertos elementos (tablas, vistas, ndices) y comprobar que su definicin es completa, que ha sido aprobada por el usuario y que el administrador de la base de datos particip en su establecimiento. Una vez diseada la BD, se proceder a su carga, ya sea migrando datos de un soporte magntico o introducindolo manualmente.

Explotacin y mantenimiento
Una vez realizadas las pruebas de aceptacin, con la participacin de los usuarios, el sistema se pondr (autorizadas y con procedimientos establecidos) en explotacin. Es esta fase, se debe comprobar que se establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente exacta y que el contenido de los sistemas slo se modifica mediante la autorizacin adecuada. El auditor debe hacer un revisin sobre el rendimiento del sistema de BD, comprobando procesos de reajuste (tuning) y optimizacin adecuados.

Revisin y post- implementacin

Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo y recursos, se debera establecer el desarrollo de un plan para efectuar una revisin postimplantacin de todo sistema nuevo o modificado con el fin de evaluar si: Se han conseguido los resultados esperados. Se satisfacen las necesidades de los usuarios. Los costes y beneficios coinciden con lo previsto

Otros procesos auxiliares

A lo largo de todo el ciclo de vida de la base de datos se deber controlar la formacin que precisan tanto los usuarios informativos (administrador, analistas, programadores, etc.)
Esta no es simplemente instalar el producto, sino que debe tener precisa informacin de base de datos. Hay que tener en cuenta que usuarios poco formados constituyen unos de los peligros ms importantes de un sistema. Esta formacin es relativa a los conceptos de control y seguridad. Lo ideal sera que en la propia empresa existiera un grupo de calidad que se encargar, entre otras cosas, de asegurar la calidad de los diseos de bases de datos.

Auditora y control interno de un entorno de base de datos

Cuando el auditor, se encuentra en el sistema en explotacin, deber estudiar el SGBD y su entorno. Como control , integridad y seguridad de los datos compartidos entre usuarios. El gran problema de las bases de datos es que su entorno cada vez es ms complejo y no puede limitarse slo al propio SGBD.

Entorno de base de datos

Sistema de gestin de base de datos (SGBD)

Entre sus componentes podemos destacar, el Kernel, el catlogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidad para el administrador (crear usuarios, conceder privilegios) y resolver otras cuestiones relativas a la confidencialidad.
En cuanto a las funciones de auditora que ofrece el propio sistema, prcticamente todos los productos del mercado permiten registrar la mayora de las operaciones. El requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean verificables

Software de auditoria
Son paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la extraccin de datos de la base, el seguimiento de las transacciones, datos de prueba, etc. Hay tambin productos muy interesantes que permiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera auditoria de datos.

Sistema de monitorizacin de ajuste (tuning)

Este tipo de sistema complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor informacin para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del SGBD y del SO.

La optimizacin de la base de datos, como ya hemos sealado, es fundamental, puesto que se acta en un entorno concurrente puede degradarse fcilmente el nivel de servicio que haya podido establecerse con los usuarios.

Sistemas operativos (SO)

El sistema operativo es una pieza clave del entorno puesto que el SGBD se apoyar en mayor o menor medida en los servicios que le ofrezca el S.O en cuanto a control de memoria , gestin de reas de almacenamiento intermedio (buffers) manejo de errores, control de confidencialidad mecanismo de interbloqueo Etc.

Monitor de transacciones
Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede considerarse un elemento ms del entorno con responsabilidades de confidencialidad y rendimiento.

Paquete de seguridad
Existen en el mercado varios productos que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos, la definicin de privilegios, perfiles de usuarios, etc. Un grave inconveniente de este tipo de software es que a veces no se encuentra bien integrado con el SGBD, pudiendo resultar poco til su implantacin si los usuarios pueden saltarse los controles a travs del propio SGBD.

Diccionario de datos
Juegan un papel primordial en el entorno de los SGBD en cuanto a la integracin de componentes y al cumplimiento de la seguridad de datos.

Los diccionarios de datos se pueden auditar de manera anloga a las bases de datos, ya que, despus de todo, son bases de datos de metadatos
Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo ms peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difciles de detectar.

Herramientas CASE (computer aided system/ software engineering) IPSE (integrated project support environments)
Constituyen una herramienta clave para que el auditor pueda revisar el diseo de la DB, comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad.

Lenguajes de cuarta generacin (L4g) independientes

Son elementos a considerar en el entrono del SGB destacan los siguientes: El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados. Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatizacin y peticin que los proyectos de desarrollo convencionales. Las aplicaciones desarrolladas con L4G deben sacar ventajas de las caractersticas incluidas en el mismo.

Lenguajes de cuarta generacin (L4g) independientes

Son elementos a considerar en el entrono del SGB destacan los siguientes: Uno de los peligros ms graves de los L4G es que no se aplican controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin. Otros problemas pueden ser la ineficacia y elevado consumo de recursos El Auditor deber estudiar los controles disponibles el los L4G, en caso negativo, recomendar su construccin con lenguajes de tercera generacin.

Facilidades de usuario
El auditor deber investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz grfica de usuario) y bajo que condiciones han sido instaladas; las herramientas de este tipo deberan proteger a los usuarios de sus propios errores. Objetivos de control:

La documentacin de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas.
Los cambios de estas aplicaciones requieren la aprobacin de la direccin y deben documentarse de forma completa.

Herramientas de minera de datos

Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacn de datos

Se deber controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin que modifican las bases de datos operacionales a partir de los datos del almacn.

Aplicaciones
El auditor deber controlar que las aplicaciones no atentan contra la integridad de los datos de la base.

Tcnicas para el control de base de datos en un entorno complejo

Existen muchos elementos del entorno del SGBD que influyen en la seguridad e integridad de los datos, en los que cada uno se apoya en la operacin correcta y predecible de otros. La direccin de la empresa tiene, por tanto, una responsabilidad fundamental por lo que se refiere a la coordinacin de los distintos elementos y a la aplicacin consistente de los controles de seguridad.

Tcnicas para el control de base de datos en un entorno complejo

Cuando el auditor se enfrenta a un entorno de este tipo, puede emplear, entre otras, dos tcnicas de control: Matrices de control Anlisis de los caminos de acceso

Matrices de control
Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos.
CONTROLES DE SEGURIDAD DATOS TRANSACCIONES DE ENTRADA REGISTRO DE BASE DE DATOS PREVENTIVOS Verificacin Cifrado DETECTIVOS Informe de Reconciliacin Informe de excepcin Copia de seguridad CORRECTIVOS

Los controles se clasifican como se puede observar en detectivos, preventivos y correctivos

Anlisis de los caminos de acceso

Con esta tcnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hardware como Software) y los controles asociados

ORDENADOR PERSONAL

ORDENADOR CENTRAL

MONITOR DE MULTIPROCESO

PAQUETE DE SEGURIDAD

PROGRAMA

SGBD

SO

DATOS

USUARIO

Control de Acceso * Registro de Transacciones Seguridad Cifrado

Control de Acceso * Control de Integridad De datos

Controles Diversos

Formacin * Controles * Procedimientos

Control de Acceso * Cifrado * Control de Integridad

Control de Acceso * Registro de Acceso * Informe de Excepciones

Copias de Seguridad Fichero diario de Integridad de Datos

Auditoria de Tcnicas de Sistemas

Objetivo General
Determinar las posibles vulnerabilidades del sistema y plataforma tecnolgicas utilizadas en el centro de comunicaciones, con el fin de hacer las recomendaciones que dieran lugar.

Objetivos Especficos
Incrementar la satisfaccin de los usuarios de los sistemas computarizados. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles.

Conocer la situacin actual del rea de navegacin y del rea de telefona del Centro de Comunicaciones, as como tambin, las actividades que se desarrollan y los esfuerzos que se realizan para lograr los objetivos propuestos en dicha empresa.

Objetivos Especficos
Reducir riesgos y aumentar los controles. Seguridad, utilidad, confianza, privacidad disponibilidad en el ambiente informtico. y

Capacitacin y educacin sobre controles en los sistemas de informacin.

mbito de Tcnica de Sistemas

La evolucin de la informtica ha obligado a un grado tal de especializacin que comunicaciones, sistemas operativos , seguridad y base de datos han necesitado expertos en areas muy concretas dejando la figura de Tcnicas de Sistemas relacionada exclusivamente con el sistema operativo.

Definicin de la Funcin
La primera tarea es auditar como una actividad informtica que requiere un determinado desempeo profesional para cumplir unos objetivos precisos.
Disponer de todos los elementos necesarios. Por parte de los usuarios autorizados . En el momento requerido . Con el rendimiento adecuado .

El Nivel de Servicio
No debemos perder de vista que el cumplimiento de tales caractersticas constituye el objetivo de los SI (Sistemas de Informacin) y que su consecucin se expresa en trminos de nivel de servicio.

Los procedimientos de actuacin como los correspondientes controles, deberan tener como fin ultimo dicha meta.

Los Procedimientos
Toda tarea organizada debe estar descompuesta en una serie de Actividades o acciones a realizar con unos procedimientos especficos que garanticen su calidad (o correcto Funcionamiento).
1. 2. 3. 4. 5. 6. Instalacin y puesta en servicio Mantenimiento y Soporte Requisitos para otros componentes Resolucin de Incidencia Seguridad y control Informacin sobre la actividad.

AUDITORIA DE LA CALIDAD
Es el cumplimiento de unas especificaciones de salida del producto

DEFINICION
La Auditoria de la Calidad se refiera a La calidad del software en concordancia con los requisitos funcionales y de rendimiento explcitamente establecidos, con los estndares de desarrollo explcitamente documentados y con las caractersticas implcitas que se espera de todo software desarrollado profesionalmente.

Esta auditoria va dirigida a los SI en produccin y en proceso de desarrollo.

OBJETIVOS DE LA AUDITORIA DE CALIDAD

ESTABLECER EL ESTADO DE UN PROYECTO. VERIFICAR LA CAPACIDAD DE REALIZAR O CONTINUAR UN TRABAJO ESPECIFICO . VERIFICAR QUE ELEMENTOS APLICABLES DEL PROGRAMA O PLAN DE ASEGURAMIENTO DE LA CALIDAD HAN SIDO DESARROLLADOS Y DOCUMENTADOS. VERIFICAR LA ADHERENCIA DE ESOS ELEMENTOS CON EL PROGRAMA O PLAN DE ASEGURAMIENTO DE LA CALIDAD.

Caractersticas de la calidad segn ISO

El modelo ISO Extendido (ISO 9126) define las caractersticas de la calidad para el SW en: 1. Funcionalidad 2. Fiabilidad 3. Usabilidad 4. Eficiencia 5. Mantenibilidad 6. Portabilidad

CALIDAD (segn norma ISO 9126) CARACTERISTICAS DEL SOFTWARE

Conjunto de atributos del producto software a travs de los cuales la calidad es descrita y evaluada.

CARACTERISTICAS DEL SOFTWARE

Funcionalidad: conjunto de funciones que satisfacen unas necesidades implcitas. Fiabilidad: conjunto de atributos que permiten que el software se mantenga en funcionamiento bajo unas condiciones especficas en un periodo determinado Usabilidad: esfuerzo necesario para usuario sobre la valoracin individual de tal uso.

CARACTERISTICAS DEL SOFTWARE

Eficiencia: relacin entre el nivel de rendimiento del software y la cantidad de recursos utilizados. Mantenibilidad: caractersticas que le permiten al software ser flexible en el momento de hacerle ajustes (mantenimiento) Portabilidad: habilidad del software para ser transferido de un entorno a otro.

LA AUDITORIA DE LA CALIDAD SERA DIRIGIDA PARA ASEGURAR QUE:

Los productos de SW codificados reflejarn lo diseado en la documentacin Los requerimientos de la revisin de aceptacin y de pruebas prescritos por la documentacin son adecuados para la aceptacin de productos de software.

LA AUDITORIA DE LA CALIDAD SERA DIRIGIDA PARA ASEGURAR QUE:

Los datos de prueba cumplen con la especificacin. Los productos de SW fueron probados sucesivamente y alcanzaron sus especificaciones.

LA AUDITORIA DE LA CALIDAD SERA DIRIGIDA PARA ASEGURAR QUE:

Los informes de prueba son correctos.
La documentacin del usuario cumple con los estndares.

LA AUDITORIA DE LA CALIDAD SERA DIRIGIDA PARA ASEGURAR QUE:

Las actividades han sido llevadas de acuerdo a los requerimientos aplicables, los planes y contrato.
El costo y el cronograma se ajustan a los planes establecidos.

Lo que el Auditor debe hacer:

Entregar un documento escrito que contenga la gua y especificaciones de los procesos de calidad para la organizacin, como medida de asesoramiento.

Los procesos de calidad deben contener:

La forma o contenido de los productos a producir. Los procesos en los que los productos deben ser producidos. Cmo debe ser medida la adherencia con los estndares o lneas gua. Calidad de los productos y servicios Plazo de entrega adecuado Costo dentro de los limites fijados

PROCESOS DE AUDITORIA DESCRITO POR ISO 12207

IMPLEMENTACION DEL PROCESO
La auditoria se realiza segn lo especificado en los planes del proyecto El personal auditor no debe tener ninguna responsabilidad en los productos software. Los recursos utilizados (hardware, software, herramientas, personal) en la auditoria debe ser pactadas.

AUDITORIA
Los productos software reflejaran lo diseado en la documentacin . Los datos de prueba cumplen con la especificacin. Los productos software fueron sucesivamente probados y alcanzaron sus especificaciones. Los informes de pruebas son correctos y las discrepancias entre los resultados conseguidos y lo esperado han sido resueltas. La documentacin del usuario cumple con los estndares. El costo y cronograma se ajustan a los planes establecidos.