Auditoria de bases de datos

Introducción

   En la actualidad, cualquier organización, por pequeña que sea, debe contar con una Base de Datos ya que representa una evolución en el manejo de  la información, porque es un  almacén que nos permite guardar grandes cantidades de información de una manera organizada para que luego podamos encontrar y utilizar fácilmente. Pero para poder desarrollar al máximo el potencial que estas ofrecen hay que saber gestionarlas, y contar con una persona que se encargue de esta labor. Si una base de datos (BD) se gestiona adecuadamente, la organización obtendrá varias ventajas, entre las que se pueden mencionar aumentar la eficacia realizando los trabajos con mayor rapidez y agilidad debido a la simplificación, se puede mejorar la seguridad de los datos que almacenamos,  con estos factores maximizar los tiempos, y por tanto, se producirá una mejora en la productividad.

   La auditoría de base de datos es un proceso implementado por los auditores de sistemas con el fin de mejorar la seguridad de la información, por lo general siguiendo una metodología determinada que contemple los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales.

   Una auditoria de bases de datos facilita herramientas eficaces para conocer de forma exacta cual es la relación de los usuarios a la hora de acceder a la base de datos, incluyendo las actuaciones que deriven en una generación, modificación o eliminación de datos.

1. Metodología para la auditoria de base de datos.

Aunque existen distintas metodologías que se aplican en auditoria informática, prácticamente cada firma de auditores y cada empresa desarrolla la suya propia, Se pueden agrupar en dos clases:

1. Metodología Tradicional.

En este tipo de metodología el auditor revisa en entorno el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:

        ¿Existe una metodología de diseño de BD?

                S _        N_         NA_

El auditor deberá registrar el resultado de su investigación: S, si la respuesta es afirmativa. N, en caso contrario, o NA (no aplicable).

Este tipo de técnicas suele ser aplicada a la auditoría de productos de base de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Así, por ejemplo, si el auditor se enfrenta a un entorno Oracle 8, en la lista de control se recogerán los  parámetros de instalación que más riesgos comportan, señalando cuál es su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de un experto en el producto, puede comprobar por lo menos los aspectos más importantes de su instalación

1. Metodología para la evaluación de riesgos.

Este tipo de metodología, conocida también por risk oriented approach, es la que propone la ISACA, y empieza fijando los objetivos de control que minimizan los reisgos potenciales a los que está sometido en entrono. En Touriño y Fernández (1991) se señalan los riesgos más importantes que lleva consigo la utilización de una base de datos.

Considerando los riesgos, se podría definir por ejemplo el siguiente:

• Objetivo de Control: El SGBD deberá perseverar la confidencialidad de la base de datos.

Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos.

• Técnica de Control: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos.

Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en su totalidad, Estas técnicas pueden ser preventivas, detectivas (como monitorizar los accesos a la BD) o correctivas (por ejemplo, una copia de respaldo, backup). En caso de que los controles existan, se diseñan unas pruebas (denominadas pruebas de cumplimiento) que permite verificar la consistencia de los mismos.

Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a diseñar otro tipo de pruebas (denominadas Prueba sustantivas) que permiten dimensionar el impacto de estas deficiencias.

Una vez valorados los resultados de las pruebas se obtienen unas conclusiones que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie de cuestionarios donde se describa la situación, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerirá la posible solución.

Como resultado de la auditoria, se presentará un informe final en el que se expongan las conclusiones más importantes a las que se ha llegado, así como el alcance que ha tenido la auditoría.

1. Objetivos de control  en el ciclo de vida de una base de datos.

   Durante el ciclo de vida de una base de datos se deben tener en cuenta algunos objetivos y técnicas de control, que abarca desde el estudio previo hasta su exportación.

1. Estudio previo y Plan de trabajo.

Es muy importante elaborar un estudio tecnología de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos de proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre está justificada la implantación de un sistema de base de datos) así como la disyuntiva entre desarrollar y comprar (en la práctica, a veces se encuentran con que se ha desarrollado una aplicación que ya existía en el mercado, cuya compra hubiese supuesto un riesgo menor, asegurando incluso una mayor calidad a un precio inferior).

   Desafortunadamente, en bastantes empresas este estudio de viabilidad no se lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando, los sistemas demuestran, a veces, ser poco rentables.

El auditor debe comprobar también que la alta dirección revisa los informes de los estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los técnico han de tener en cuenta que si no existe una decidida voluntad de la organización en su conjunto, impulsada por los directivos, aumenta considerablemente el riesgo de fracasar en la implantación del sistema.

...