AUDITORADELASBASESDEDATOS
Ing.CIPGersonE.PrezGarca
ImportanciadelaAuditoradelentorno
deBasesdeDatos
La Auditora de Bases de Datos es el punto de
partida para poder realizar la Auditora de las
Aplicaciones que utilizan esta tecnologa
Ing.CIPGersonE.PrezGarca
QueslaAuditoradeBD?
Es el proceso que permite :
Medir Asegurar
Demostrar Monitorear
Ing.CIPGersonE.PrezGarca
1
5/12/2016
continua
Incluyelacapacidaddedeterminar:
Quinaccedealosdatos
Cundoseaccedialosdatos
Desdequtipodedispositivo/aplicacin
DesdequeubicacinenlaRed
CulfuelasentenciaSQLejecutada
Culfueelefectodelaccesoalabasededatos
Ing.CIPGersonE.PrezGarca
QuinesparticipanenlaAuditora
deBasedeDatos?
Auditoresde
Sistemas
Tecnologade
Informacin
Cumplimiento
Corporativo
Riesgo
Corporativo
Seguridad
Corporativa
Ing.CIPGersonE.PrezGarca
ObjetivosPrincipales
Los esfuerzos en seguridad de base de datos
Normalmente estn orientados a:
Ing.CIPGersonE.PrezGarca
2
5/12/2016
ObjetivosPrincipales
Disponer de mecanismos que permitan tener
trazas de auditora completas y automticas con
el objetivo de:
Impedir el acceso externo
Mitigar los riesgos asociados con el manejo
inadecuado de los datos
Apoyar el cumplimiento regulatorio.
Satisfacer los requerimientos de los auditores
Evitar acciones criminales
Evitar multas por incumplimiento
Ing.CIPGersonE.PrezGarca
LaAuditoradeBDesimportante
porque:
Toda la informacin financiera de la
organizacin reside en bases de datos y deben
existir controles relacionados con el acceso a las
mismas.
Se debe poder demostrar la integridad de la
informacin almacenada en las bases de datos.
Lainformacinconfidencialdelosclientes,son
responsabilidaddelasorganizaciones.
Ing.CIPGersonE.PrezGarca
LaAuditoradeBDesimportante
porque:
Los datos convertidos en informacin a travs de
bases de datos y procesos de negocios
representan el negocio.
Las organizaciones deben tomar medidas mucho
ms all de asegurar sus datos.
Deben monitorearse perfectamente a fin de
conocer quin o qu les hizo exactamente qu,
cundo y cmo.
Ing.CIPGersonE.PrezGarca
3
5/12/2016
Mediantelaauditoradebasesdedatos
seevaluar:
Definicin de estructuras fsicas y lgicas de las bases de
datos.
Control de carga y mantenimiento de las bases de datos.
Integridad de los datos y proteccin de accesos.
Estndares para anlisis y programacin en el uso de
bases de datos
Procedimientos de respaldo y de recuperacin de datos.
Ing.CIPGersonE.PrezGarca
CONTROL INTERNO
y AUDITORA
cada da cobran mayor
inters
DATOS
como recursos difusin de los
fundamentales de la
empresa DBMS o SGBD
Ing.CIPGersonE.PrezGarca
ControlesdeBasedeDatos
Es crtico que se mantengan la integridad y la
disponibilidad de la base de datos.
Esto se asegura a travs de los siguientes
controles:
Establecer y ejecutar normas de definicin
Establecer e implementar copias de seguridad de
los datos y procedimientos de recuperacin para
asegurar la disponibilidad de la base de datos.
Ing.CIPGersonE.PrezGarca
4
5/12/2016
ControlesdeBasedeDatos
Establecerlosnivelesde
controlesdeaccesonecesarios
paralosrubrosdedatos,
tablasyarchivosparaprevenir
elaccesoinadvertidoono
autorizado.
Establecercontrolespara
asegurarquesloelpersonal
autorizadopuedaactualizarla
basededatos.
Ing.CIPGersonE.PrezGarca
ControlesdeBasedeDatos
Establecercontrolespara
manejarlosproblemasde
accesoconcurrente,talescomo,
mltiplesusuariosquedeseen
actualizarelementosdelos
mismosdatosalmismotiempo.
Ing.CIPGersonE.PrezGarca
PlanificacindelaAuditoriadeBD
1. Identificartodaslasbasesdedatosdela
organizacin
2. Clasificarlosnivelesderiesgodelosdatosenlas
basesdedatos
3. Analizarlospermisosdeacceso
4. Analizarloscontrolesexistentesdeaccesoalas
basesdedatos
5. EstablecerlosmodelosdeauditoradeBDautilizar
6. EstablecerlaspruebasarealizarparacadaBD,
aplicaciny/ousuario
Ing.CIPGersonE.PrezGarca
5
5/12/2016
Metodologasparalaauditorade
BasedeDatos
a) MetodologaTradicional
El auditor revisa el entorno con la ayuda de una
lista de control (Checklist), que consta de una serie
de cuestiones a verificar, registrando los resultados
de su investigacin.
Ing.CIPGersonE.PrezGarca
a)MetodologaTradicional
Por ejemplo:
Existe una metodologa de diseo de Base de Datos?
SI NO N.A.
Ing.CIPGersonE.PrezGarca
Metodologasparalaauditorade
BasedeDatos
b) Metodologadeevaluacinderiesgos
Este tipo de metodologa, conocida tambin por Risk
oriented approach es la que propone ISACA y empieza
fijando los objetivos de control que minimizan los
riesgos potenciales a los que est sometido el
entorno.
Ing.CIPGersonE.PrezGarca
6
5/12/2016
b)MetodologadeEvaluacindeRiesgos
Riesgos debidos a la utilizacin de una base de datos:
Ing.CIPGersonE.PrezGarca
Tcnicas de Control
Un objetivo de control puede tener asociadas varias tcnicas que permitan cubrirlo en
su totalidad.
Tcnicas preventivas: establecer tipos de usuarios, perfiles y privilegios necesarios
para controlar el acceso a la base de datos
Tcnicas detectivas: como monitorizar los accesos a la base de datos
Tcnicas correctivas: back-up
Prueba Sustantiva
Comprobar si la informacin ha sido corrompida, comparndola con otra fuente, o
revisando, los documentos deIng.CIPGersonE.PrezGarca
entrada de datos y las transacciones que se han
ejecutado
TcnicasparaelControldeBasedeDatos
(Enunentornocomplejo)
Existen muchos elementos del entorno del SGDB que
influyen el la seguridad e integridad de los datos, en los que
cada uno de apoya en la operacin correcta y predecible de
otra.
El efecto de esto es: debilitar la seguridad global del
sistema, reduciendo la fiabilidad e introduciendo un conjunto
de controles descoordinados y solapados, difciles de
gestionar .
Cuando el auditor se enfrenta a un entrono de este tipo,
puede emplear, entre otras, dos tcnicas de control.
7
5/12/2016
MatricesdeControl
Sirven para identificar los conjuntos de datos del SI juntos
con los controles de seguridad o integridad
implementados sobre los mismos.
CONTROLES DE SEGURIDAD
DATOS
PREVENTIVOS DETECTIVOS CORRECTIVOS
AnlisisdelosCaminosdeAcceso
Con esta tcnica se documentan el flujo, almacenamiento y procesamiento de los
datos en todas las fases por las que pasan desde el mismo momento en que se
introducen, identificando los componentes del sistema que atraviesan (tanto Hw
como Sw) y los controles asociados
COMPUTADORA
PERSONAL COMPUTADORA CENTRAL (SERVIDOR DE BASE DE DATOS)
MONITOR PAQUETE
DE DE PROGRAMA SGBD SO DATOS
MULTIPROCESO SEGURIDAD