Auditoria de bases de datos

Introducción

   En la actualidad, cualquier organización, por pequeña que sea, debe contar con una Base de Datos ya que representa una evolución en el manejo de  la información, porque es un  almacén que nos permite guardar grandes cantidades de información de una manera organizada para que luego podamos encontrar y utilizar fácilmente. Pero para poder desarrollar al máximo el potencial que estas ofrecen hay que saber gestionarlas, y contar con una persona que se encargue de esta labor. Si una base de datos (BD) se gestiona adecuadamente, la organización obtendrá varias ventajas, entre las que se pueden mencionar aumentar la eficacia realizando los trabajos con mayor rapidez y agilidad debido a la simplificación, se puede mejorar la seguridad de los datos que almacenamos,  con estos factores maximizar los tiempos, y por tanto, se producirá una mejora en la productividad.

   La auditoría de base de datos es un proceso implementado por los auditores de sistemas con el fin de mejorar la seguridad de la información, por lo general siguiendo una metodología determinada que contemple los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales.

   Una auditoria de bases de datos facilita herramientas eficaces para conocer de forma exacta cual es la relación de los usuarios a la hora de acceder a la base de datos, incluyendo las actuaciones que deriven en una generación, modificación o eliminación de datos.

1. Metodología para la auditoria de base de datos.

Aunque existen distintas metodologías que se aplican en auditoria informática, prácticamente cada firma de auditores y cada empresa desarrolla la suya propia, Se pueden agrupar en dos clases:

1. Metodología Tradicional.

En este tipo de metodología el auditor revisa en entorno el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:

        ¿Existe una metodología de diseño de BD?

                S _        N_         NA_

El auditor deberá registrar el resultado de su investigación: S, si la respuesta es afirmativa. N, en caso contrario, o NA (no aplicable).

Este tipo de técnicas suele ser aplicada a la auditoría de productos de base de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Así, por ejemplo, si el auditor se enfrenta a un entorno Oracle 8, en la lista de control se recogerán los  parámetros de instalación que más riesgos comportan, señalando cuál es su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de un experto en el producto, puede comprobar por lo menos los aspectos más importantes de su instalación

1. Metodología para la evaluación de riesgos.

Este tipo de metodología, conocida también por risk oriented approach, es la que propone la ISACA, y empieza fijando los objetivos de control que minimizan los reisgos potenciales a los que está sometido en entrono. En Touriño y Fernández (1991) se señalan los riesgos más importantes que lleva consigo la utilización de una base de datos.

Considerando los riesgos, se podría definir por ejemplo el siguiente:

• Objetivo de Control: El SGBD deberá perseverar la confidencialidad de la base de datos.

Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos.

• Técnica de Control: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos.

Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en su totalidad, Estas técnicas pueden ser preventivas, detectivas (como monitorizar los accesos a la BD) o correctivas (por ejemplo, una copia de respaldo, backup). En caso de que los controles existan, se diseñan unas pruebas (denominadas pruebas de cumplimiento) que permite verificar la consistencia de los mismos.

Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a diseñar otro tipo de pruebas (denominadas Prueba sustantivas) que permiten dimensionar el impacto de estas deficiencias.

Una vez valorados los resultados de las pruebas se obtienen unas conclusiones que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie de cuestionarios donde se describa la situación, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerirá la posible solución.

Como resultado de la auditoria, se presentará un informe final en el que se expongan las conclusiones más importantes a las que se ha llegado, así como el alcance que ha tenido la auditoría.

1. Objetivos de control  en el ciclo de vida de una base de datos.

   Durante el ciclo de vida de una base de datos se deben tener en cuenta algunos objetivos y técnicas de control, que abarca desde el estudio previo hasta su exportación.

1. Estudio previo y Plan de trabajo.

Es muy importante elaborar un estudio tecnología de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos de proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre está justificada la implantación de un sistema de base de datos) así como la disyuntiva entre desarrollar y comprar (en la práctica, a veces se encuentran con que se ha desarrollado una aplicación que ya existía en el mercado, cuya compra hubiese supuesto un riesgo menor, asegurando incluso una mayor calidad a un precio inferior).

   Desafortunadamente, en bastantes empresas este estudio de viabilidad no se lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando, los sistemas demuestran, a veces, ser poco rentables.

El auditor debe comprobar también que la alta dirección revisa los informes de los estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los técnico han de tener en cuenta que si no existe una decidida voluntad de la organización en su conjunto, impulsada por los directivos, aumenta considerablemente el riesgo de fracasar en la implantación del sistema.

En caso de que se decida llevar a cabo el proyecto es fundamental que se establezca un plan director, debiendo el auditor verificar que efectivamente dicho plan se emplee para el seguimiento y gestión del proyecto y que cumple con los procedimientos generales de gestión de proyecto que tenga aprobados la organización.

Otro aspecto muy importante en esta fase es la aprobación de la estructura orgánica no solo del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión  y control de la base de datos.

Se Pueden establecer acerca de este tema dos objetivos de control, MENKUS (1990): Deben asignarse responsabilidades para la planificación, organización, dotación de plantillas y control de los activos de datos de la organización (administrador de datos). Y debe asigna la responsabilidad de la administración del entorno de la base de datos (administrador de la base de datos). Señalando la mayor parte de los autores que ambas funciones tienen que posicionarse a un nivel lo suficientemente alto en el organigrama para asegurar su independencia.

1. Concepción de la base de datos y selección del equipo.

La metodología de diseño debería también emplearse para especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoria a incluir en el sistema, estos últimos aspectos generalmente se descuidan, lo que produce mayores costes y problemas cuando se quieren incorporar una vez concluida la implementación de la base de datos y la programación de las aplicaciones.

El auditor debe, por tanto, en primer lugar, analizar la metodología de diseño con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilización. Como mínimo una metodología de diseño de BD debería contemplar dos fases de diseño: Lógico y Físico, aunque la mayoría de las empleadas en la actualidad contemplan tras fases, además de las dos anteriores, una fase previa de diseño conceptual que será abordada en este momento del ciclo de vida de la base de datos.  

Un importante aspecto a considerar es la definición de la arquitectura de la información que contempla cuatros objetivos de control relativos a:

• Modelo de arquitectura de información, y su actualización, que  es necesaria para mantener en modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información.
• Datos y diccionarios de datos corporativo.
• Esquema de clasificación de datos en cuanto a su seguridad.
• Niveles de seguridad para cada anterior clasificación de datos

En cuanto a la selección del equipo, en caso de que la empresa no disponga ya de uno, deberá realizarse utilizando un procedimiento riguroso, en el que se consideren por un lado, las necesidades de la empresa (debidamente ponderadas) y, por otro, las prestaciones que ofrecen los distintos SGBD candidatos (puntuados de manera oportuna).En  ISACF (1996) se destaca también que en este procedimiento se debe tener en cuenta el impacto que el nuevo software tiene en el sistema y en su seguridad.  

...