Capítulo 14

Auditoria en las base de datos

Metodologías para las base de datos

Metodología de la evaluación de riesgos

Objetivos de control en el ciclo de vida de una base de datos.

Concepción de la base de datos y selección

del equipo.

Diseño y carga Explotación y mantenimiento.

Revisión post implantación

Auditoria y control interno en un entorno

de base de datos.

Sistema de gestión de base de datos(SGBD) Software de auditoria

Sistema de monitorización y ajuste(tuning)

Sistema operativo(SO)

Montos de transacciones.

Protocolos y sistemas distribuidos Paquete de seguridad. Diccionario de datos

Herramientas case(computer aided

system/software engineering).

IPSE(integrated Project Support Environments)

Lenguaje de cuarta generación (L4G) independientes

Facilidades del usuario

Herramientas de minería de datos

DEFINICION

La Auditoria de Bases de Datos es el punto de part ida para

realizar la Auditoria de las aplicaciones que uti l izan esta

tecnología.

Una metodología es un conjunto de procedimientos, técnicas y ayudasa la documentación para el desarrollo de un producto software" .

a) actividades a seguir en el desarrollo de principio a fin de la BD

b) qué es lo que hay que realizar en cada actividad indicando

c) qué se necesita como entrada,

d) qué se produce como salida e

e) quién está involucrado.

METODOLOGIAS PARA LA AUDITORIA DE BASES DE DATOS

Existen 2 tipos de Metodologías:

Metodología TradicionalEl auditor revisa el entorno con la ayuda de una lista de control, que consta de una serie de cuestiones S cuando la respuesta es afirmativa, N en caso contrario y NA no aplicable.

S_ N_ NA_

METODOLOGIA DE EVALUACION DE RIESGOS

En este tipo de metodología se deben seguir una secuencia de pasos los cuales son:

Objetivo de ControlFijar los objetivos de Control minimizan los riesgos potenciales a los que se somete el entorno.

Técnica de ControlSe establece los tipos de Usuario, perfiles y Privilegios necesarios para controlar el acceso a la base de datos.

Prueba de CumplimientoListar los privilegios y perfiles existentes.Si se detectan inconsistencias en los controles, o si los controles no existen, se diseña otro tipo de prueba que permiten dimensionar el impacto de estas deficiencias.

Prueba SustantivaComprobar si la información presenta alteraciones, comparándola con otra fuente, revisando los documentos de entrada de datos y las transacciones que se han ejecutado.

OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE

DATOS

Concepción de la BD y selección del equipo

Estudio Previo y Plan de trabajo

Diseño y CargaExplotación Y MantenimientoRevisión Post- Implantación

•Se elabora un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones.

Estudio Previo y Plan de Trabajo

•En esta etapa se empieza a diseñar la base de datos. La metodología de diseño determina si es o no aceptable, y luego comprueba su correcta utilización.

Concepción de la BD

Y Selección del Equipo

DISEÑO Y CARGA

•Se llevan acabo los diseños lógico y Físico de la BD, el auditor tendrá que examinar si estos diseños se han realizado correctamente; determinando si la definición de los datos contempla además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.

EXPLOTACION Y

MANTENIMIENTO

•Se comprueba que se establezcan los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido solo tendrá modificaciones mediante la autorización adecuada.

REVISION POST-

IMPLANTACION

•En bastantes organizaciones omiten esta fase pos falta de tiempo o recursos, pero es necesario contar con una revisión post-implantación de el sistema nuevo o modificado con el fin de evaluar: •Se han conseguido los resultados esperados.•Se satisfacen las necesidades de los usuarios.•Los costes y beneficios coinciden con los previstos.

AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE

BASES DE DATOSSistema de Gestión de BD (SGBD)

Existen diferentes componentes del SGBD como el catalogo( componente fundamental que asegura la seguridad de la BD), las utilidades para el administrador (se suelen encontrar algunas para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad), las que se encargan de la recuperación de la BD: rearranque, copias de respaldo, archivos diarios, etc. Entre otras.

SOFTWARE DE AUDITORIA Paquetes que facilitan la labor del auditor, en cuanto a la extracción de datos de la BD, el seguimiento de la transacciones, datos de prueba, etc.

SISTEMA DE MONITORIZACION Y AJUSTEComplementa las facilidades ofrecidas por el SGBD, ofreciendo mayor información para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos.

SISTEMA OPERATIVO (SO)Es una pieza clave del entorno, en cuanto a control de memoria, gestión de área de almacenamiento intermedio, manejo de errores, control de confidencialidad, mecanismos de ínter bloqueo, etc.

MONITOR DE TRANSACCIONESSe considera un elemento mas del entorno con responsabilidades de confidencialidad y rendimiento.

PAQUETE DE SEGURIDADExiste una gran variedad de productos que permiten la implantación de una política de seguridad, puesto que centralizan el control de accesos, la definición de privilegios, perfiles de usuario, etc.

DICCIONARIO DE DATOSConjunto de metadatos que contiene las características lógicas y puntuales de los datos que se van a utilizar en el sistema incluyendo nombre, descripción, alias, contenido y organización.

HERRAMIENTAS CASEPermite al auditor revisar el diseño de la base de datos, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.

LENGUAJES DE 4 GENERACIONSe utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios la exposición de necesidades.

FACILIDADES DEL USUARIO

Con la aparición de interfaces graficas fáciles de usar ( con menús, ratón, ventanas, etc.) se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD. El auditor debe investigar las medidas de seguridad que ofrecen estas herramientas y bajo que condiciones han sido instaladas; las herramientas de este tipo deberán “ proteger al usuario de sus propios errores”

HERRAMIENTAS DE MINERIA DE DATOSOfrecen el soporte a la toma de decisiones sobre los datos de calidad integrados en le almacén de datos.

Capítulo 15

Auditoria en técnica de sistemas

Ámbito técnica de sistemas

Definición de la

función

El nivel de servicio

Los procedimien

tos

Instalación y pues en servicio

Mantenimiento y

soporte

Requisito par otros

componentes

Resolución de

incidencias

Seguridad y control

Información sobre la actividad

Los controles

Auditoria de la función

Consideraciones sobre la

tecnología y su evolución.

ÁMBITO DE TÉCNICA DE SISTEMAS

La evolución de la informática ha obligado a un

grado tal de especialización que comunicaciones,

sistemas operativos , seguridad y base de datos

han necesitado expertos en aéreas muy concretas

dejando la figura de TS relacionadaexclusivamente con el sistema operativo.

DEFINICIÓN DE LA FUNCIÓN

La primera tare es auditar como una actividad informática que se requiere un determinado desempeño profesional para cumplir unos

objetivos precisos.

Disponer de todos los elementos necesarios Por parte de los usuarios autorizados En el momento requerido Con el rendimiento adecuado

EL NIVEL DE SERVICIO

No debemos perder de vista el cumplimiento de tales características constituye el objetivo de los SI (sistemas de información) y que su consecución se expresa en términos de nivel de servicio.

Los procedimientos de actuación como los correspondientes controles, deberían tener como fin ultimo dicha meta.

LOS PROCEDIMIENTOS

Toda tarea organizada debe estar descompuesta en una serie de

Actividades o acciones a realizar con unos procedimientos

específicos que garanticen su calidad (o correcto Funcionamiento).

1. Instalación y puesta en servicio 2. Mantenimiento y Soporte 3. Requisitos para otros componentes 4. Resolución de Incidencia 5. Seguridad y control6. Información sobre la actividad.

AUDITORIA DE LA FUNCIÓN

Una adecuada metodología en el desarrollo de la auditoria es fundamental y requiere de aspectos generales, tanto del campo de la auditoria como de la organización de los sistemas de información

Capítulo 17

Auditoria de la seguridad

Áreas que puede cubrir la

auditoria de la seguridad

Evaluación de los

riesgos

Fases de la auditoria de

las seguridad

Auditoria de la seguridad

física

Auditoria de la seguridad

lógica

Auditoria en la seguridad y el desarrollo de aplicaciones

Auditoria de la seguridad en el

área de producción

Auditoria en la seguridad de las base de datos

Auditoria en la seguridad en

comunicaciones y redes

Auditoria de la continuidad de las operaciones

Fuentes de la auditoria

El perfil del auditor

Técnica, métodos y

herramientas.

Consideraciones respecto

al informe

Contratación de auditoria

externa

Relación de la auditoria con

administración de seguridad

AUDITORIA DE SEGURIDAD Definiciones.-

EVIDENCIA DE LA AUDITORIARegistro, declaraciones de hecho u otra información relevantes para los criterios de auditoria y que son verificables

HALLAZGOS DE LA AUDITORIAResultado de la evaluación de las evidencias de la auditoria, frente a los criterios de auditoria.

AUDITORIA DE SEGURIDAD Definiciones.-

CONCLUSIONES DE LA AUDITORIA

• Consecuencia de una auditoria, proporcionada por el equipo auditor después de

la consideración de los objetivos y de los hallazgos

de la auditoria.

EQUIPO AUDITOR• Uno o más auditores

que realizan una auditoria, ayudado por expertos técnicos, si es

necesario.

EXPERTO TECNICO• Persona que aporta

conocimientos específicos o

experiencia al equipo auditor.

AUDITORIA DE SEGURIDAD Definiciones.-

PROGRAMA DE AUDITORIAConjunto de una o más auditorias planificadas para periodo de tiempo y dirigidas hacia un propósito específico.

PLAN DE AUDITORIADescripción de las actividades “in situ” y los preparativos de la auditoria.

ALCANCE DE AUDITORIAExtensión y límites de una auditoria

NO CONFORMIDADIncumplimiento a un requisito especificado

TIPOS DE AUDITORIAS

SEGURIDAD CALIDADAuditorias Internas

Las realizadas por miembros de la propias empresa

De primera parte

Auditorias Externas de clientes

Las realizadas por de sucursales o clientes de la

empresa

De Segunda parte

Auditorias de certificaciónLas realizadas organizaciones

independientes

De Tercera parte

PARAMETROS PARA REALIZAR

LAS AUDITORIAS DE SEGURIDAD

OBJETIVOPRINCIPIOSALCANCE FRECUENCIACRITERIOS DE AUDITORIACONTENIDOPLANMEJORAMIENTO CONTINUO

PARAMETROS PARA REALIZAR

AUDITORIAS DE SEGURIDAD OBJETIVO

OBJETIVO GENERAL

Verificar que la organización cuenta con un sistema o programa de Prevención de Riesgos capaz de evitar las perdidas a la organización debido a los accidentes (personales, daños a la propiedad, al proceso al medio ambiente) y que permita a a la vez garantizar la salud de sus trabajadores.

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

OBJETIVOS ESPECIFICOS

Ayudar en la mejora de la seguridad e higiene ocupacionales

Determinar el cumplimiento de normas, reglamentos y procedimientos

Mejorar el sistema de gestión de riesgos de la seguridad en todos sus procesos.

Mejorar el nivel de concientización sobre la seguridad e higiene ocupacional.

Conseguir el cumplimiento de las exigencias de auditorias externas.

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

PRINCIPIOS

Una auditoria de seguridad no busca criticar o menoscabar el trabajo realizado. Mas bien desea mejorar lo que se ha hecho hasta el presente.

Objetividad Confidencialidad Confianza Profesionalismo Imparcialidad Evidencia

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

ALCANCE Se puede analizar la gestión general de la

prevención de riesgos. Se puede analizar una determinada parte de la

organización Se pude tocar aspectos específicos a

determinadas áreas: Gestión de riesgos en el proceso Riesgos eléctricos Protección frente a los incendios Riesgos de tareas críticas Estándares específicos en una determinada área.

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

FRECUENCIAEl criterio más correcto que hay que tomar en cuenta para efectuar las auditorias es el que se deba realizar cada año.Menores tiempos perjudican a la producción.Mayores se pierde el control de los riesgos. Después de un año hay muchas cosas que pueden haber cambiado en la organización.Es cierto que hay riesgos muy graves que deben ser controlados con menor frecuencia. Pero para ello está la observaciones e inspecciones de seguridad.

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

CRITERIOS DE AUDITORIA

Los criterios para la auditoria dependerán: De la entidad que va auditar De los objetivos que tiene la organización para

realización de la auditoria.Sin embargo los criterios más utilizados son: Los de los organismos estatales. Los de organismos internacionales. La más

conocida la OSHA ( de Estados Unidos) La de Control de Perdidas ( Es la más utilizada)

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

CONTENIDO DE LAS AUDITORIAS Gestión de la Prevención de Riesgos ( Seguridad

Industrial)

El programa de Control de Pérdidas es uno de mas completos en lo que se refiere al Sistema de Gestión de riesgos laborales.

El programa contiene 20 elementos:

1. Liderazgo y Administración2. Entrenamiento de la Administración3. Inspecciones informales y planeadas 4. Análisis de riesgos de las tareas y procedimientos5. Observaciones de Seguridad

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

CONTENIDO DE LAS AUDITORIAS …(Continuación)

6. Investigación de accidentes7. Investigación Preparación para las emergencias8. Normas, reglas e instructivos de la organización9. Capacitación en Seguridad a los trabajadores10. Entrenamiento y mantenimiento preventivo11. Equipos de protección personal12. Control y servicios de salud (Salud ocupacional)13. Controles de ingeniería14. Comunicaciones personales15. Comunicaciones con grupos

CONTENIDO DE LAS AUDITORIAS …(Continuación)

16. Promoción de la seguridad, premiación Contratación y colocación

17. Control de compras y adquisiciones. 18. Contratación y colocación19. Seguridad fuera del trabajo20. Sistema de evaluación del programa: Auditorias.

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

PLAN DE LA AUDITORIA

El plan de auditoria debe dejar bien claro El por qué?

Se va a realizar la auditoriaQue

Se se va a tocar en la auditoriaCuando

( de que fecha a que fecha)Como

(Cuales van a ser los criterios, formatos y la forma en que se va a realizar la auditoria. La metodología)

Donde. ( Que lugares se pretende visitar)

Quienes ( Van realizar la auditoria)

PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD

PLAN DE LA AUDITORIA

Un plan de auditoria debe contener los siguientes pasos:

Objetivo de la auditoriaEl alcance de la auditoriaCriterios de la auditoriaEl campo de aplicación incluyendo la identificación de la

organización y la unidades funcionales de los procesos que van a ser auditados

La fechas y lugares donde se van a realizar las actividades de auditoria

La duración de las actividadesLas funciones y responsabilidades de los auditores ( y del equipo

auditor)

ACTIVIDADES DE LA AUDITORIA

El procedimiento que normalmente se sigue en una auditoria consta de los siguientes pasos:

Inicio de la auditoria Revisión de la auditoria Revisión de la documentación Preparación de las actividades de auditorias in

situ Actividades de auditoria in situ Preparación, aprobación y distribución del

informe de auditoria. Realización del seguimiento de la auditoria

PREPARACION DEL INFORME DE AUDITORIA

El auditor debe preparar el informe de la auditoria. Este informe debe se completo, conciso y claro. Debe incluir y hacer referencia a:

1. Objetivo de la auditoria2. El alcance de la auditoria3. Identificación del auditor y/o el equipo auditor4. Las fechas y lugares donde se realizaron las actividades de

la auditoria5. La metodología y los criterios que se utilizaron en la

auditoria6. Los hallazgos de la auditoria ( Conformidades y la No

Conformidades)7. Las conclusiones de la auditoria.