• 1. AUDITORIA DE BASES DE DATOS
• 2. DEFINICION La Auditoria de Bases de Datos es el punto de partida para realizar la Auditoria de las aplicaciones que utilizan esta tecnología.
• 3. METODOLOGIAS PARA LA AUDITORIA DE BASES DE DATOS Existen 2 tipos de Metodologías: Metodología Tradicional El auditor revisa el entorno con la ayuda de una lista de control, que consta de una serie de cuestiones S cuando la respuesta es afirmativa, N en caso contrario y NA no aplicable. S_ N_ NA_
• 4. METODOLOGIA DE EVALUACION DE RIESGOS En este tipo de metodología se deben seguir una secuencia de pasos los cuales son: Objetivo de Control Fijar los objetivos de Control minimizan los riesgos potenciales a los que se somete el entorno. Técnica de Control Se establece los tipos de Usuario, perfiles y Privilegios necesarios para controlar el acceso a la base de datos.
• 5. Prueba de Cumplimiento Listar los privilegios y perfiles existentes. Si se detectan inconsistencias en los controles, o si los controles no existen, se diseña otro tipo de prueba que permiten dimensionar el impacto de estas deficiencias. Prueba Sustantiva Comprobar si la información presenta alteraciones, comparándola con otra fuente, revisando los documentos de entrada de datos y las transacciones que se han ejecutado.
• 6. OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS Estudio Previo y Plan de trabajo Concepción de la BD y selección del equipo Diseño y Carga Explotación Y Mantenimiento Revisión Post- Implantación
• 7. Estudio Previo y Plan de Trabajo Se elabora un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. Concepción de la BD Y Selección del Equipo En esta etapa se empieza a diseñar la base de datos. La metodología de diseño determina si es o no aceptable, y luego comprueba su correcta utilización.
• 8. DISEÑO Y CARGA Se llevan a cabo los diseños lógico y Físico de la BD, el auditor tendrá que examinar si estos diseños se han realizado correctamente; determinando si la definición de los datos contempla además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
• 9. EXPLOTACION Y MANTENIMIENTO Se comprueba que se establezcan los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido solo tendrá modificaciones mediante la autorización adecuada. REVISION POST-IMPLANTACION En bastantes organizaciones omiten esta fase pos falta de tiempo o recursos, pero es necesario contar con una revisión post-implantación de el sistema nuevo o modificado con el fin de evaluar: Se han conseguido los resultados esperados. Se satisfacen las necesidades de los usuarios. Los costes y beneficios coinciden con los previstos.
• 10. AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS Sistema de Gestión de BD (SGBD) Existen diferentes componentes del SGBD como el catalogo (componente fundamental que asegura la seguridad de la BD), las utilidades para el administrador (se suelen encontrar algunas para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad), las que se encargan de la recuperación de la BD: re arranque, copias de respaldo, archivos diarios, etc. Entre otras.
• 11. SOFTWARE DE AUDITORIA Paquetes que facilitan la labor del auditor, en cuanto a la extracción de datos de la BD, el seguimiento de las transacciones, datos de prueba, etc. SISTEMA DE MONITORIZACION Y AJUSTE Complementa las facilidades ofrecidas por el SGBD, ofreciendo mayor información para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos.
• 12. SISTEMA OPERATIVO (SO) Es una pieza clave del entorno, en cuanto a control de memoria, gestión de área de almacenamiento intermedio, manejo de errores, control de confidencialidad, mecanismos de ínter bloqueo, etc. MONITOR DE TRANSACCIONES Se considera un elemento más del entorno con responsabilidades de confidencialidad y rendimiento.
• 13. PAQUETE DE SEGURIDAD Existe una gran variedad de productos que permiten la implantación de una política de seguridad, puesto que centralizan el control de accesos, la definición de privilegios, perfiles de usuario, etc. DICCIONARIO DE DATOS Conjunto de metadatos que contiene las características lógicas y puntuales de los datos que se van a utilizar en el sistema incluyendo nombre, descripción, alias, contenido y organización.
• 14. HERRAMIENTAS CASE Permite al auditor revisar el diseño de la base de datos, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad. LENGUAJES DE 4 GENERACION Se utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios la exposición de necesidades.