Metodologías para la Auditoria de Bases de Datos

4. Metodologías para la Auditoria de Bases de Datos  4.1.

Objetivos de control en el ciclo de vida de una base de datos 

4.1.1. Estudio previo y plan de trabajo Estudio Tecnológico de Viabilidad. El Auditor debe comprobar que la alta dirección revise la información de viabilidad Establecer un plan director El auditor debe verificar que este plan se cumpla para el seguimiento y gestión, y que cumpla con el procedimiento general de gestión de proyecto de la empresa

4.1.2. Concepción de la base de datos y selección del equipo El Cobit dedica un apartado a la definición de la arquitectura de la información, que contempla 4 objetivos. Modelo de arquitectura de Información. Datos y diccionarios de Datos. Esquema de clasificación de datos. Niveles de seguridad para cada anterior clasificación de datos. El auditor debe de verificar la metodología utilizada y la correcta aplicación (Diseño Conceptuela, lógica, física). • • • •

http://aesaulat.blogspot.com/ 

4.1.3. Diseño y carga Planificar claramente las migraciones de un tipo de SGBD a otra, para evitar pérdida de información. Establecer un conjunto de controles sobre la entrada manual de datos, que aseguren su integridad. Es aconsejable que los procedimientos y el diseño de los documentos fuentes minimicen los errores y las omisiones. 4.1.4. Explotación y mantenimiento En esta fase se debe comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante la autorización adecuada. 4.2.

Metodología tradicional Revisión del entorno con la ayuda de una lista de control (check list), consistente en una serie de cuestiones (preguntas). Por ejemplo: ¿Existe una metodología de diseño de Base de Datos? SNNA Suele ser aplicada a la auditoría de productos de productos bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta

4.3.

Metodología de evaluación de riesgos Conocida también por risk oriented approach, es la que propone ISACA. Empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno

Riesgos debidos a la utilización de una base de datos: •

•

•

•

Mayor impacto de errores en datos o programas que en los sistemas tradicionales Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas con el software de base de datos (administrador, programadores, otros.

http://aesaulat.blogspot.com/