Exámenes de base de datos

AUDITORIA DE BASE DE DATOS
METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS.


Aunque   existen   distintas   metodologías   que   se   aplican   en   auditoría   informática 
(prácticamente cada firma de auditores y cada empresa desarrolla la suya propia),   se 
pueden agrupar en dos clases:
Metodología tradicional.­  En este tipo de metodología el auditor revisa el entorno con 
la  ayuda  de  una  lista  de  control  (checklist),   que  consta  de  una  serie  de  cuestiones  a 
verificar.

METODOLOGÍA DE EVALUACIÓN DE RIESGOS:


   Este tipo de metodología,   conocida también 
por  risk  oriented  approach y  empieza  fijando  los 
objetivos de control que minimizan los riesgos potenciales a los que está sometido el 
entorno.

A continuación,  una lista de los riesgos más importantes según 2 autores:



●Incremento   de   la   “dependencia”   del   servicio   informático.
●Mayores  posibilidades  de  acceso  en  la  figura  del   administrador  de  la  base  de datos
●Incompatibilidad entre sistemas de seguridad de acceso  propios del SGBD y el general de la instalación.
●Mayor   impacto   de   los   errores   en   datos   o   programas   que   en   los   sistemas tradicionales
●Ruptura  de  enlaces   o  cadenas  por  fallos  del   software   o  de  los  programas  de aplicación
OBJETIVO  DE  CONTROL  (ejemplo:    El   SGBD  deberá  preservar   la  confidencialidad  de  la base de datos).

TÉCNICAS DE CONTROL


Una vez establecidos los objetivos de control,  se especifican las 
técnicas especificas correspondientes a dichos objetivos (ejemplo: Se deberán establecer 
los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las 
bases de datos).

PRUEBAS  DE  CUMPLIMIENTO


 En  caso  de  que  los  controles   existan,     se  diseñan  unas 
pruebas (denominada pruebas de cumplimiento)   que permiten verificar la consistencia 
de los mismos.  Por ejemplo: Listar los privilegios y perfiles existentes en el SGBD.
que permitan dimensionar el impacto de estas deficiencias.

PRUEBA  SUSTANTIVA


   Comprobar  si   la  información  ha  sido  corrompida  comparándola 
con otra fuente o revisando los documentos de entrada de datos y las transacciones que 
se han ejecutado.

Pricipales objetivos de control en el ciclo de vida de una BD



*

Estudio previo y plan de trabajo


* creación de la bd y selección del equipo
* diseño y carga
* explotación y mantenimiento
* revisión post inplantacion

ESTUDIO PREVIO Y PLAN DE TRABAJO



En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis de costo­beneficio para cada una de las opciones.
Tareas del administrador de datos:
o Realizar el diseño conceptual y lógico de la base de datos
o Apoyar al personal de sistemas durante el desarrollo de aplicaciones
o Formar al personal
o Establecer estándares de diseño de b.D. Desarrollo y contenido del diccionario de datos
o Desarrollar políticas de gestión de datos
A la hora de detallar las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno:
la separación de funciones.

Se recomienda una separación de funciones entre:



 
o El personal de desarrollo de sistemas y el de explotación
o Explotación y control de datos
o Administración de base de datos y desarrollo

CONCEPCIÓN DE LA BASE DE DATOS Y SELECCIÓN DEL EQUIPO


En esta fase se empieza a diseñar la base de datos.
El auditor en primer lugar debe analizar la metodología de diseño.
Como mínimo una metodología de diseño de BD debe contemplar dos fases de diseño:
Lógico
Físico
Un punto importante a considerar, objetivos de control relativos a:
Modelo de arquitectura de información y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información
Datos y diccionario de datos corporativo
Esquema de clasificación de datos en cuanto a seguridad
Niveles de seguridad para cada anterior clasificación de datos

DISEÑO Y CARGA


En esta fase se llevaran a cabo los diseños lógico y físico de la base de datos, por lo que el auditor debe examinar si estos diseños se han realizado correctamente:
Determinando si la definición de datos contemplan además de su estructura, las asociaciones y las restricciones oportunas, así también como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.

EXPLOTACIÓN Y MANTENIMIENTO


Una vez realizadas las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá en explotación.
En esta fase, se debe comprobar que los datos se tratan de forma exacta y que el contenido de los sistemas sólo se modifica mediante la autorización adecuada

REVISIÓN POST-IMPLANTACIÓN


no se lleva a cabo, por falta de tiempo y recursos, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:
*Se han conseguido los resultados esperados
*Se satisfacen las necesidades de los usuarios
*Los costos y beneficios coinciden con lo previsto