Exámenes de base de datos
AUDITORIA DE BASE DE DATOS
METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS.
Aunque existen distintas metodologías que se aplican en auditoría informática
(prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se
pueden agrupar en dos clases:
Metodología tradicional. En este tipo de metodología el auditor revisa el entorno con
la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a
verificar.
Este tipo de metodología, conocida también
por risk oriented approach y empieza fijando los
objetivos de control que minimizan los riesgos potenciales a los que está sometido el
entorno.
●Incremento de la “dependencia” del servicio informático.
●Mayores posibilidades de acceso en la figura del administrador de la base de datos
●Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación.
●Mayor impacto de los errores en datos o programas que en los sistemas tradicionales
●Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación
OBJETIVO DE CONTROL (ejemplo: El SGBD deberá preservar la confidencialidad de la base de datos).
Una vez establecidos los objetivos de control, se especifican las
técnicas especificas correspondientes a dichos objetivos (ejemplo: Se deberán establecer
los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las
bases de datos).
En caso de que los controles existan, se diseñan unas
pruebas (denominada pruebas de cumplimiento) que permiten verificar la consistencia
de los mismos. Por ejemplo: Listar los privilegios y perfiles existentes en el SGBD.
que permitan dimensionar el impacto de estas deficiencias.
Comprobar si la información ha sido corrompida comparándola
con otra fuente o revisando los documentos de entrada de datos y las transacciones que
se han ejecutado.
*
* creación de la bd y selección del equipo
* diseño y carga
* explotación y mantenimiento
* revisión post inplantacion
En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis de costobeneficio para cada una de las opciones.
Tareas del administrador de datos:
o Realizar el diseño conceptual y lógico de la base de datos
o Apoyar al personal de sistemas durante el desarrollo de aplicaciones
o Formar al personal
o Establecer estándares de diseño de b.D. Desarrollo y contenido del diccionario de datos
o Desarrollar políticas de gestión de datos
A la hora de detallar las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno:
la separación de funciones.
o El personal de desarrollo de sistemas y el de explotación
o Explotación y control de datos
o Administración de base de datos y desarrollo
En esta fase se empieza a diseñar la base de datos.
El auditor en primer lugar debe analizar la metodología de diseño.
Como mínimo una metodología de diseño de BD debe contemplar dos fases de diseño:
Lógico
Físico
Un punto importante a considerar, objetivos de control relativos a:
Modelo de arquitectura de información y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información
Datos y diccionario de datos corporativo
Esquema de clasificación de datos en cuanto a seguridad
Niveles de seguridad para cada anterior clasificación de datos
En esta fase se llevaran a cabo los diseños lógico y físico de la base de datos, por lo que el auditor debe examinar si estos diseños se han realizado correctamente:
Determinando si la definición de datos contemplan además de su estructura, las asociaciones y las restricciones oportunas, así también como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
Una vez realizadas las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá en explotación.
En esta fase, se debe comprobar que los datos se tratan de forma exacta y que el contenido de los sistemas sólo se modifica mediante la autorización adecuada
no se lleva a cabo, por falta de tiempo y recursos, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:
*Se han conseguido los resultados esperados
*Se satisfacen las necesidades de los usuarios
*Los costos y beneficios coinciden con lo previsto
METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS.
Aunque existen distintas metodologías que se aplican en auditoría informática
(prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se
pueden agrupar en dos clases:
Metodología tradicional. En este tipo de metodología el auditor revisa el entorno con
la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a
verificar.
METODOLOGÍA DE EVALUACIÓN DE RIESGOS:
Este tipo de metodología, conocida también
por risk oriented approach y empieza fijando los
objetivos de control que minimizan los riesgos potenciales a los que está sometido el
entorno.
A continuación, una lista de los riesgos más importantes según 2 autores:
●Incremento de la “dependencia” del servicio informático.
●Mayores posibilidades de acceso en la figura del administrador de la base de datos
●Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación.
●Mayor impacto de los errores en datos o programas que en los sistemas tradicionales
●Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación
OBJETIVO DE CONTROL (ejemplo: El SGBD deberá preservar la confidencialidad de la base de datos).
TÉCNICAS DE CONTROL
Una vez establecidos los objetivos de control, se especifican las
técnicas especificas correspondientes a dichos objetivos (ejemplo: Se deberán establecer
los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las
bases de datos).
PRUEBAS DE CUMPLIMIENTO
En caso de que los controles existan, se diseñan unas
pruebas (denominada pruebas de cumplimiento) que permiten verificar la consistencia
de los mismos. Por ejemplo: Listar los privilegios y perfiles existentes en el SGBD.
que permitan dimensionar el impacto de estas deficiencias.
PRUEBA SUSTANTIVA
Comprobar si la información ha sido corrompida comparándola
con otra fuente o revisando los documentos de entrada de datos y las transacciones que
se han ejecutado.
Pricipales objetivos de control en el ciclo de vida de una BD
*
Estudio previo y plan de trabajo
* creación de la bd y selección del equipo
* diseño y carga
* explotación y mantenimiento
* revisión post inplantacion
ESTUDIO PREVIO Y PLAN DE TRABAJO
En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis de costobeneficio para cada una de las opciones.
Tareas del administrador de datos:
o Realizar el diseño conceptual y lógico de la base de datos
o Apoyar al personal de sistemas durante el desarrollo de aplicaciones
o Formar al personal
o Establecer estándares de diseño de b.D. Desarrollo y contenido del diccionario de datos
o Desarrollar políticas de gestión de datos
A la hora de detallar las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno:
la separación de funciones.
Se recomienda una separación de funciones entre:
o El personal de desarrollo de sistemas y el de explotación
o Explotación y control de datos
o Administración de base de datos y desarrollo
CONCEPCIÓN DE LA BASE DE DATOS Y SELECCIÓN DEL EQUIPO
En esta fase se empieza a diseñar la base de datos.
El auditor en primer lugar debe analizar la metodología de diseño.
Como mínimo una metodología de diseño de BD debe contemplar dos fases de diseño:
Lógico
Físico
Un punto importante a considerar, objetivos de control relativos a:
Modelo de arquitectura de información y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información
Datos y diccionario de datos corporativo
Esquema de clasificación de datos en cuanto a seguridad
Niveles de seguridad para cada anterior clasificación de datos
DISEÑO Y CARGA
En esta fase se llevaran a cabo los diseños lógico y físico de la base de datos, por lo que el auditor debe examinar si estos diseños se han realizado correctamente:
Determinando si la definición de datos contemplan además de su estructura, las asociaciones y las restricciones oportunas, así también como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
EXPLOTACIÓN Y MANTENIMIENTO
Una vez realizadas las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá en explotación.
En esta fase, se debe comprobar que los datos se tratan de forma exacta y que el contenido de los sistemas sólo se modifica mediante la autorización adecuada
REVISIÓN POST-IMPLANTACIÓN
no se lleva a cabo, por falta de tiempo y recursos, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:
*Se han conseguido los resultados esperados
*Se satisfacen las necesidades de los usuarios
*Los costos y beneficios coinciden con lo previsto