Auditoria Base De Datos

Enviado por kanoesita • 13 de Mayo de 2015 • 1.568 Palabras (7 Páginas) • 265 Visitas

Página 1 de 7

II.2 Auditoría de bases de datos

Uno de los principales campos dentro del Control Interno y de la Auditoría Informática. Aplicables LORTAD y LOPD. Se trata de proteger y revisar tanto los datos como la estructura lógica (tablas, claves, etc.) como la infraestructura física que lo soporta (discos, etc.)

II.2.1 Metodologías para la Auditoría de Bases de Datos

Metodología Tradicional

• Se revisa el entorno con ayuda de una lista de control (check list) que consta de una serie de cuestiones a verificar.

• Es un método bastante repetitivo y pobre

Metodología de Evaluación de Riesgos

• Es la recomendada por ISACA.

• Se fijan los objetivos de control que minimicen los riesgos potenciales de la instalación (p.e. El SGBD deberá preservar la confidencialidad de la base de datos)

• Una vez establecidos los objetivos, se fijan qué técnicas específicas de control se habrán de aplicar para verificar esos objetivos (p.e. establecer los perfiles de usuario con sus accesos correspondientes; obligatorio perfiles de administrador)

• Como siempre, las técnicas a aplicar pueden ser preventivas, detectivas o correctivas, y es interesante que haya de los tres tipos.

• Hay que diseñar las pruebas de cumplimiento a incluir en las técnicas y objetivos concretos (p.e.: Listar los perfiles y privilegios de cada uno existentes en el SGDB)

• En caso de que las pruebas detecten debilidades en los controles (o que estos no existen), hay que pasar a diseñar pruebas sustantivas que medirán el impacto de las deficiencias (p.e. comprobar si la información ha sido corrompida en función de qué entró y los procesos que sufre en el sistema)

• En la actualidad, siempre se diseñan pruebas sustantivas aunque las de cumplimiento parezcan satisfactorias (por si acaso).

II.2.2 Recomendaciones CoBIT para la Auditoría de Bases de Datos

Objetivo de control PO2-Definir una Arquitectura de Información (área Planificación y Organización):

• PO2.1 – Modelo Corporativo de Arquitectura de Información

• PO2.2 – Diccionario de datos Corporativo y Reglas de Sintaxis de Datos

• PO2.3 – Esquema de Clasificación de Datos

• PO2.4 – Gestión de Integridad

Objetivo de control DS11-Gestionar Datos (área Entrega y Soporte):

• DS11.1 – Requisitos de Negocio para la Gestión de Datos

• DS11.2 – Planes de Almacenamiento y Retención de Datos

• DS11.3 – Sistema de Gestión de Bibliotecas de Medios

• DS11.4 – Eliminación de Datos

• DS11.5 - Copia de Respaldo y Restauración

• DS11.6 – Requisitos de Seguridad para Gestión de Datos

Para cada uno de es tos objetivos de control se definen diferentes subojetivos y métricas. Es recomendable ver ejemplos página 390 para el objetivo DS11.

ITGI (Information Technologies Governance Institute) también ha detallado divers y pruebas de diseño y control para dichos objetivos y subojetivos (ver página 391).

II.2.3 Objetivos de control en el Ciclo de Vida de una B.D. (si se desea implantarla nueva)

Estudio previo y plan de trabajo

• Estudio técnico de viabilidad para alcanzar los objetivos del proyecto

• Obligatorio un análisis coste-beneficio

• Siempre debe estar la opción de desechar el proyecto y la de implantar desarrollo externo.

• Estos estudios deben llevarse hasta la alta dirección y es ella quien tiene que decidir qué alternativa se elige (auditor comprueba este circuito)

• Si no se desecha proyecto, debe redactarse un Plan Director y se ha de comprobar que se ha seguido

• Auditoría debe establecer al menos los siguientes objetivos de control:

o Existencia de separación lógica (medios, documentos y responsabilidades) entre el administrador de datos (diseño conceptual BD, formador, diseña documentación, diseña procesos...) y el administrados de la base de datos (diseño físico BD, estadísticas, duplicados, seguridad, software gestor...)

o Existencia de separación de funciones entre personal de desarrollo y el de explotación

o Ídem entre explotación y control de datos

o Ídem entre administración BD y desarrollo

o Otras separaciones de funciones...

Auditoría de la Concepción de la BD y de la selección del equipo

• Se debería verificar si ha existido diseño conceptual + diseño lógico + diseño físico

• Verificar objetivos de control relativos a arquitectura de la información:

o Modelo de arquitectura de información elegido (centralizado, distribuido..)

o Existencia y complitud del diccionario de datos

o Esquema de clasificación de datos a nivel de seguridad (LOPD)

o Niveles de seguridad para las anteriores clasificaciones

Auditoría del diseño y carga de la BD

• Verificar corrección diseño lógico + diseño físico (en especial asociaciones de elementos, restricciones oportunas, especificaciones almacenamiento y seguridad)

• Los diseños deben estar autorizados, al menos por los usuarios, pero es recomendable que también por la dirección

• Si la carga proviene de una migración de otro entorno, se debe establecer un paralelo durante cierto tiempo para ver que resultados son iguales

• Si ha habido

...

Descargar como (para miembros actualizados) txt (11.2 Kb)

Leer 6 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

Base Datos
Una base de datos o banco de datos es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso

2 Páginas • 2881 Visualizaciones
Herrmaientas De Una Base Datos
HERRAMIENTAS PARA LA ADMINISTRACIÓN DE UNA BASE DE DATOS Herramienta de recuperación de una base de datos La herramienta de administración de recuperación de la

8 Páginas • 1805 Visualizaciones
TC1 Base Datos
Actividad Teórica 1. Conteste las siguientes preguntas: a. ¿Cuáles son las cuatro principales diferencias entre un sistema de procesamiento de archivos y un SGDB? DIFERENCIA

10 Páginas • 1512 Visualizaciones
BASE DATOS
JAIR**PRODUCTOS > REGISTRAR > EN DESCRIPCION DEBE PERMITIR INGRESAR CARACTERES NUMERICOS JAIR**PRODUCTOS > REGISTRAR > AL GUARDAR Y EDITAR LOS DATOS ERROR EN BD: La

19 Páginas • 1572 Visualizaciones
Base De Base Datos
Diseño Conceptual de una Base de Datos Es un conjunto de actividades que resultan en un esquema conceptual de alto nivel de una base de

43 Páginas • 1530 Visualizaciones
BASE DATOS
CONTENIDO Un sistema numérico es un modo sistemático de representación de números con caracteres simbólicos que utiliza un valor base para agrupar de una manera

3 Páginas • 1274 Visualizaciones
Base Datos
Estadística y estadísticas Todos hemos oído aplicar la palabra estadísticas para designar cuadros numéricos que contienen datos cuantitativos en las secciones financieras de los periódicos,

5 Páginas • 1248 Visualizaciones
Bases Datos 4
Integridad referencial en MySQL * Claves foráneas e integridad referencial Claves foráneas e integridad referencial Podemos decir de manera simple que integridad referencial significa que

15 Páginas • 1302 Visualizaciones
Base Datos
mantener dichas operaciones dentro de su infraestructura corporativa. A fines de 2005, FonelCorp se vio obligada a reexaminar las condiciones de trabajo de la infraestructura

3 Páginas • 1003 Visualizaciones
Base Datos
DISEÑO DE BASES DE DATOS RELACIONALES Esto estudia los problemas del diseño de las bases de datos relacionales. Este diseño genera un conjunto de esquemas

1 Páginas • 897 Visualizaciones