Академический Документы
Профессиональный Документы
Культура Документы
Integrantes: Oswaldo Zapata Criollo Arturo Checa Fernndez Antony Oliva Sandoval
Metodologa tradicional
En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar.
Por ejemplo:
Existe una metodologa de diseo de Base de Datos? S N NA
Objetivo de control:
El SGBD deber preservar la confiabilidad de la base de datos. Una vez establecidos los objetivos de control, se especifican las tcnicas especficas correspondientes a dichos objetivos.
Tcnicas de control:
Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos.
F O R M A C I O N
D O C U M E N T A C I O N
C A L I D A D
Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre est justificada la implementacin de un sistema de base de datos)
Diseo y carga
En esta fase se llevarn a cabo los diseo lgico y fsico estructuralmente de la bases de datos , adems por lo que el auditor tendr que examinar su estructura, las asociaciones y las restricciones oportunas, as como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad. El auditor tendr que tomar una muestra de ciertos elementos (tablas, vistas, ndices) y comprobar que su definicin es completa, que ha sido aprobada por el usuario y que el administrador de la base de datos particip en su establecimiento. Una vez diseada la BD, se proceder a su carga, ya sea migrando datos de un soporte magntico o introducindolo manualmente.
Explotacin y mantenimiento
Una vez realizadas las pruebas de aceptacin, con la participacin de los usuarios, el sistema se pondr (autorizadas y con procedimientos establecidos) en explotacin. Es esta fase, se debe comprobar que se establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente exacta y que el contenido de los sistemas slo se modifica mediante la autorizacin adecuada. El auditor debe hacer un revisin sobre el rendimiento del sistema de BD, comprobando procesos de reajuste (tuning) y optimizacin adecuados.
Software de auditoria
Son paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la extraccin de datos de la base, el seguimiento de las transacciones, datos de prueba, etc. Hay tambin productos muy interesantes que permiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera auditoria de datos.
La optimizacin de la base de datos, como ya hemos sealado, es fundamental, puesto que se acta en un entorno concurrente puede degradarse fcilmente el nivel de servicio que haya podido establecerse con los usuarios.
Monitor de transacciones
Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede considerarse un elemento ms del entorno con responsabilidades de confidencialidad y rendimiento.
Paquete de seguridad
Existen en el mercado varios productos que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos, la definicin de privilegios, perfiles de usuarios, etc. Un grave inconveniente de este tipo de software es que a veces no se encuentra bien integrado con el SGBD, pudiendo resultar poco til su implantacin si los usuarios pueden saltarse los controles a travs del propio SGBD.
Diccionario de datos
Juegan un papel primordial en el entorno de los SGBD en cuanto a la integracin de componentes y al cumplimiento de la seguridad de datos.
Los diccionarios de datos se pueden auditar de manera anloga a las bases de datos, ya que, despus de todo, son bases de datos de metadatos
Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo ms peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difciles de detectar.
Herramientas CASE (computer aided system/ software engineering) IPSE (integrated project support environments)
Constituyen una herramienta clave para que el auditor pueda revisar el diseo de la DB, comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad.
Facilidades de usuario
El auditor deber investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz grfica de usuario) y bajo que condiciones han sido instaladas; las herramientas de este tipo deberan proteger a los usuarios de sus propios errores. Objetivos de control:
La documentacin de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas.
Los cambios de estas aplicaciones requieren la aprobacin de la direccin y deben documentarse de forma completa.
Se deber controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin que modifican las bases de datos operacionales a partir de los datos del almacn.
Aplicaciones
El auditor deber controlar que las aplicaciones no atentan contra la integridad de los datos de la base.
Matrices de control
Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos.
CONTROLES DE SEGURIDAD DATOS TRANSACCIONES DE ENTRADA REGISTRO DE BASE DE DATOS PREVENTIVOS Verificacin Cifrado DETECTIVOS Informe de Reconciliacin Informe de excepcin Copia de seguridad CORRECTIVOS
ORDENADOR PERSONAL
ORDENADOR CENTRAL
MONITOR DE MULTIPROCESO
PAQUETE DE SEGURIDAD
PROGRAMA
SGBD
SO
DATOS
USUARIO
Controles Diversos
Objetivo General
Determinar las posibles vulnerabilidades del sistema y plataforma tecnolgicas utilizadas en el centro de comunicaciones, con el fin de hacer las recomendaciones que dieran lugar.
Objetivos Especficos
Incrementar la satisfaccin de los usuarios de los sistemas computarizados. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea de navegacin y del rea de telefona del Centro de Comunicaciones, as como tambin, las actividades que se desarrollan y los esfuerzos que se realizan para lograr los objetivos propuestos en dicha empresa.
Objetivos Especficos
Reducir riesgos y aumentar los controles. Seguridad, utilidad, confianza, privacidad disponibilidad en el ambiente informtico. y
Definicin de la Funcin
La primera tarea es auditar como una actividad informtica que requiere un determinado desempeo profesional para cumplir unos objetivos precisos.
Disponer de todos los elementos necesarios. Por parte de los usuarios autorizados . En el momento requerido . Con el rendimiento adecuado .
El Nivel de Servicio
No debemos perder de vista que el cumplimiento de tales caractersticas constituye el objetivo de los SI (Sistemas de Informacin) y que su consecucin se expresa en trminos de nivel de servicio.
Los procedimientos de actuacin como los correspondientes controles, deberan tener como fin ultimo dicha meta.
Los Procedimientos
Toda tarea organizada debe estar descompuesta en una serie de Actividades o acciones a realizar con unos procedimientos especficos que garanticen su calidad (o correcto Funcionamiento).
1. 2. 3. 4. 5. 6. Instalacin y puesta en servicio Mantenimiento y Soporte Requisitos para otros componentes Resolucin de Incidencia Seguridad y control Informacin sobre la actividad.
AUDITORIA DE LA CALIDAD
Es el cumplimiento de unas especificaciones de salida del producto
DEFINICION
La Auditoria de la Calidad se refiera a La calidad del software en concordancia con los requisitos funcionales y de rendimiento explcitamente establecidos, con los estndares de desarrollo explcitamente documentados y con las caractersticas implcitas que se espera de todo software desarrollado profesionalmente.
AUDITORIA
Los productos software reflejaran lo diseado en la documentacin . Los datos de prueba cumplen con la especificacin. Los productos software fueron sucesivamente probados y alcanzaron sus especificaciones. Los informes de pruebas son correctos y las discrepancias entre los resultados conseguidos y lo esperado han sido resueltas. La documentacin del usuario cumple con los estndares. El costo y cronograma se ajustan a los planes establecidos.