Auditoria base de datos

Universidad Nacional José Faustino Sánchez Carrión 



Facultad de Ingeniería Escuela Académico Profesional de Ingeniería de Sistemas Escuela Académico Profesional de Ingeniería Informática

&8562 

7(0$ 

7RPDGRSRU

$8',725,$(17(&12/2*,$'( /$,1)250$&,21

7,78/$&,21

$8',725Ì$'(%$6('('$726 $8',725Ì$'(/$',5(&&,Ð1

,

6(0$1$



“AUDITORIA INFORMÁTICA - UNENFOQUE PRÁCTICO” Por: Mario G. Piatinni, Emilio de peso Cáp. 14. “La Auditoría de Base de Datos”. Pp. 311 – 333 Cáp. 10 “Auditoría de la dirección”. Pp. 211 – 229 Editorial Alfaomega, 1996

&$3Ë78/2

$8',725Ë$'(%$6(6'('$726 ,1752'8&&,Ï1

 0DULR*3LDWWLQL9HOWKXLV

La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la auditoría informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.

0(72'2/2*Ë$63$5$/$$8',725Ë$'(%$6(6'('$726

Aunque existen distintas metodologías que se aplican en auditoría informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia),véase capitulo3, se pueden agrupar en dos clases. 

0HWRGRORJtDWUDGLFLRQDO

En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control(FKHFNOLVW),que consta de una serie de cuestiones a verificar. Por ejemplo: S

N

NA

¿Existe una metodología de diseño de BD? El auditor deberá registrar el resultado de su investigación: 6, si la respuesta es afirmativa, 1en caso contrario, o 1$ (no aplicable). Este tipo de técnica suele ser aplicada a la auditoría de bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Así, por

ejemplo, si el auditor se enfrenta a un entorno Oracle 8,en la lista de control se recogerán los parámetros de instalación que mas riesgos comportan, señalando cual es su rango adecuado. De esta manera si el auditor no cuenta con la asistencia de un experto en el producto, puede comprobar por lo menos los aspectos más importantes de su instalación. 

0HWRGRORJtDGHHYDOXDFLyQGHULHVJRV

Este tipo de metodología, conocida también por ULVNRULHQWHGDSSURDFKes la que propone la ISACA y empieza fijándolos objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. En Touriño y Fernández (1991) se señalan los riesgos más importantes que lleva consigo la utilización de una base de datos y que se recogen en la figura 14.1 Considerando estos riesgos, se podrían definir por ejemplo el siguiente: 2EMHWLYRGHFRQWURO El SGBD deberá preservar la confiabilidad de la base de datos. Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos. 7pFQLFDVGHFRQWURO Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos. 
 
   

 !"# $
%&  (' #  ) *+, 

 #-
./  0 1 (2 3 0 #)$ $456 7
89%:"; "?  @> ;