AUDITORIA DE BASE DE DATOS
Enviado por n1nd0 • 19 de Diciembre de 2012 • 911 Palabras (4 Páginas) • 1.132 Visitas
AUDITORIA DE BASE DE DATOS
1.- INTRODUCCION
La gran difusión de los Sistemas de Gestión de Base de Datos (SGBD), junto con la consagración de los Datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés.
Como ya se ha comentado, normalmente la auditoria informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección metodología de desarrollo, sistema operativo, telecomunicaciones, base de datos, etc. Y por otro, se auditan las aplicaciones desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoria del entorno de base de datos radica en que es el punto de partida para poder realizar la auditoria de las aplicaciones que utiliza esta tecnología.
2.- METODOLOGIAS PARA LA AUDITORIA DE BASE DE DATOS:
Aunque existen distintas metodologías que se aplican en auditoria informática prácticamente cada firma de auditores y cada empresa desarrolla la suya propia, en el capítulo 3, se pueden agrupar en dos clases.
2.1.- METODOLOGIA TRADICIONAL:
En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:
¿Existe una metodología de diseño de BD?
El auditor deberá, registrar el resultado de su investigación: S, si la respuesta es afirmativa, N, en caso contrario, o NA (no aplicable).
Este tipo de técnica suele ser aplicable a la auditoria de productos de base de datos, específicamente en la lista de control todos los aspectos a tener en cuenta. Así, por ejemplo, si el auditor se enfrenta a un entorno Oracle 8, en la lista de control se recogerán los parámetros de instalación que más riesgos comportan, señalando cuál es su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de un experto en el producto, puede comprobar por lo menos los aspectos más importantes de su instalación.
2.2.- METODOLOGIA DE EVALUACION DE RIESGOS:
Este tipo de metodología, conocida también por risk oriented approach, es la que propone la ISACA, y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. En tourino y fernandez (1991) se señalan los riesgos más importantes que lleva consigo la utilización de una base de datos y que se reconocen en la figura 1.4.1
Considerando estos riesgos, se podría definir por ejemplo el siguiente:
Objetivo de Control:
El SGBD deberá preservar la confidencialidad de la base de datos.
Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos;
Técnica de Control:
Se deberán establecer los tipos de usuarios, perfiles y privilegios
...