UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA

Ao de la consolidacin del mar de Grau

INTEGRANTES:
- Muoz Villalobos, Jose Derlin
- Barrientos Trujillo, Alvaro
Alfonso

TEMA: AUDITORIA DE LA BASE DE DATOS

INTRODUCCION
Las bases de datos se Han convertido en el corazn
de los sistemas de informacin de las organizaciones,
que cada da ms dependen del buen funcionamiento

de stos para su supervivencia.

Normalmentelaauditoriainformticaseaplicadedo
sformasdistintas;por

unladose

auditan

las

principales reas del departamento de informtica:

explotacin,direccin,

metodologa

de

desarrollo,

sistema operativo, telecomunicaciones, bases de

datos, etc.; y, por otro, se auditan las aplicaciones
desarrolladas
adquiridas)

internamente,
que

funcionan

en

(subcontratadas
la

empresa.

o
La

importancia de la auditoria del entornode basesde

datos radica en que es el punto departidaparapoder
realizar la auditoria delasaplicaciones que utilizan
esta tecnologa.

ITGI (Information Technology

Gobernance Institute)
La informacin, definida en el COBIT como los datos en todos sus
formatos, entradas procesados o de salida de los sistemas de
informacin sea cual sea la forma en que son usados por la
organizacin.
La infraestructura, es decir, la tecnologa e instalaciones,
incluyendo el sistema de gestin de bases de datos.

METODOLOGIAS para la
Auditora de Bases Datos

 Aunque existen distintas metodologas que se aplican

en

auditora

cadafirmadeauditores

informtica
y

(prcticamente

cada

empresa

desarrollalasuyapropia),se puedenagruparendosclases:
Metodologatradicional.
Enestetipo
de
metodologa
ayuda

el

deuna

auditorrevisaelentornocon
listadecontrol

(checklist),

la
que

consta de una serie de cuestiones a verificar.

Porejemplo:

ExisteunametodologadeDiseodeBasede
Datos?
S

NA

debiendo

(Sessi,NnoyNAnoaplicable),

registrarelauditorelresultadodesu

investigacin.
Estetipodetcnicasueleseraplicadaalaauditor

 Metodologadeevaluacinderiesgos
Estetipodemetodologa,conocidatambinporriskorientedapproach,eslaquepropone
la ISACA, y empieza fijando los objetivosdecontrolque minimizan los riesgos
potencialesalosqueestsometidoelentorno.Acontinuacin,unalistadelosriesgosms
importantessegn2autores:
Incrementodeladependenciadelservicioinformticodebidoalaconcentracinde
datos.
Mayoresposibilidadesdeaccesoenlafiguradeladministradordelabasededatos.
IncompatibilidadentresistemasdeseguridaddeaccesopropiosdelSGBDyel general
delainstalacin.
Mayorimpactodeloserroresendatosoprogramasqueenlossistemastradicionales.
Rupturadeenlacesocadenasporfallosdelsoftwareodelosprogramasdeaplicacin.
Mayorimpactodeaccesosnoautorizadosaldiccionariodelabasededatosque

aun

ficherotradicional.
Mayordependenciadelniveldeconocimientostcnicosdelpersonalquerealice tareas
relacionadasconelsoftwaredebasededatos(administrador,programadores,etc.).

Comoenlaauditoradedesarrollo,sepuedeseguirla misma metodologa,dondese

establecenprimeramente:

Objetivodecontrol
(ejemplo:ElSGBDdeberpreservarlaconfidencialidaddela base de datos). Luego se
especificalastcnicas.

Tcnicasdecontrol.
Unavezestablecidoslosobjetivosdecontrol,seespecificanlas
tcnicasespecficas correspondientesa dichos objetivos (ejemplo: Se debern
establecerlostiposdeusuarios,perfilesyprivilegiosnecesariosparacontrolarel
accesoalasbasesdedatos).
Unobjetivodecontrolpuedellevarasociadasvariastcnicasquepermitencub
rirloensutotalidad.
Estastcnicas pueden ser preventivas, detectivas (como monitorizar la
BD)ocorrectivas(porejemplo,unacopiaderespaldoobackup).

 Pruebasdecumplimiento.Encasodequeloscontrolesexistan,sediseanunas
pruebas (denominadapruebas decumplimiento) que permiten verificarla
consistenciadelosmismos.
Porejemplo: ListarlosprivilegiosyperfilesexistentesenelSGBD.
Siestaspruebasdetectaninconsistenciasenloscontroles,obien,silos
controlesno existen, sepasaa disearotro tipode pruebas
denominadas
pruebassustantivasquepermitandimensionarelimpacto deestasdeficiencias.
Pruebasustantiva.

Comprobarsilainformacinhasidocorrompidacomparndolaconotrafuenteo
revisando los documentosdeentrada de datosy las transacciones que
sehanejecutado.
Unavezvaloradoslosresultadosdelaspruebasseobtienenconclusiones
queserncomentadasydiscutidasconlosresponsablesdirectosdelasreas
afectadasconelfindecorroborarlosresultados.
Porltimo,elauditordeberemitirunaseriedecomentariosdondese
describa la situacin, el riesgo existente y ladeficiencia a solucionar, y
ensucaso,sugerirlaposiblesolucin.

PRINCIPALES OBJETIVOS DE CONTROL EN EL

CICLO DE VIDA DE UNA BASE DE DATOS
ESTUDIO PREVIO Y PLAN DE TRABAJO

CONCEPTO DE LA BASE DE DATOS Y SELECCIN DEL

EQUIPO

ESTUDIO PREVIO Y PLAN DE TRABAJO

DISEO Y CARGA

EXPLOTACION Y MANTENIMIENTO

REVISION POST-IMPLANTACION

PREGUNTAS ? COMENTARIOS?

We are happy to
help you!