5/12/2016

AUDITORADELASBASESDEDATOS

Ing.CIPGersonE.PrezGarca

ImportanciadelaAuditoradelentorno
deBasesdeDatos
La Auditora de Bases de Datos es el punto de
partida para poder realizar la Auditora de las
Aplicaciones que utilizan esta tecnologa

Ing.CIPGersonE.PrezGarca

QueslaAuditoradeBD?
Es el proceso que permite :

Medir Asegurar

Demostrar Monitorear

Los Accesos a la informacin

Registrar Almacenada en las Base de
Datos

Ing.CIPGersonE.PrezGarca

1
 5/12/2016

continua
Incluyelacapacidaddedeterminar:

Quinaccedealosdatos

Cundoseaccedialosdatos

Desdequtipodedispositivo/aplicacin

DesdequeubicacinenlaRed

CulfuelasentenciaSQLejecutada

Culfueelefectodelaccesoalabasededatos
Ing.CIPGersonE.PrezGarca

QuinesparticipanenlaAuditora
deBasedeDatos?

Auditoresde
Sistemas
Tecnologade
Informacin
Cumplimiento
Corporativo
Riesgo
Corporativo
Seguridad
Corporativa

Ing.CIPGersonE.PrezGarca

ObjetivosPrincipales
Los esfuerzos en seguridad de base de datos
Normalmente estn orientados a:

Impedir el acceso externo

Impedir el acceso interno a usuarios no
autorizados
Autorizar el acceso slo a los usuarios
autorizados

Ing.CIPGersonE.PrezGarca

2
 5/12/2016

ObjetivosPrincipales
Disponer de mecanismos que permitan tener
trazas de auditora completas y automticas con
el objetivo de:
Impedir el acceso externo
Mitigar los riesgos asociados con el manejo
inadecuado de los datos
Apoyar el cumplimiento regulatorio.
Satisfacer los requerimientos de los auditores
Evitar acciones criminales
Evitar multas por incumplimiento
Ing.CIPGersonE.PrezGarca

LaAuditoradeBDesimportante
porque:
Toda la informacin financiera de la
organizacin reside en bases de datos y deben
existir controles relacionados con el acceso a las
mismas.
Se debe poder demostrar la integridad de la
informacin almacenada en las bases de datos.
Lainformacinconfidencialdelosclientes,son
responsabilidaddelasorganizaciones.

Ing.CIPGersonE.PrezGarca

LaAuditoradeBDesimportante
porque:
Los datos convertidos en informacin a travs de
bases de datos y procesos de negocios
representan el negocio.
Las organizaciones deben tomar medidas mucho
ms all de asegurar sus datos.
Deben monitorearse perfectamente a fin de
conocer quin o qu les hizo exactamente qu,
cundo y cmo.

Ing.CIPGersonE.PrezGarca

3
 5/12/2016

Mediantelaauditoradebasesdedatos
seevaluar:
Definicin de estructuras fsicas y lgicas de las bases de
datos.
Control de carga y mantenimiento de las bases de datos.
Integridad de los datos y proteccin de accesos.
Estndares para anlisis y programacin en el uso de
bases de datos
Procedimientos de respaldo y de recuperacin de datos.

Ing.CIPGersonE.PrezGarca

CONTROL INTERNO
y AUDITORA
cada da cobran mayor
inters

DATOS
como recursos difusin de los
fundamentales de la
empresa DBMS o SGBD

Ing.CIPGersonE.PrezGarca

ControlesdeBasedeDatos
Es crtico que se mantengan la integridad y la
disponibilidad de la base de datos.
Esto se asegura a travs de los siguientes
controles:
Establecer y ejecutar normas de definicin
Establecer e implementar copias de seguridad de
los datos y procedimientos de recuperacin para
asegurar la disponibilidad de la base de datos.

Ing.CIPGersonE.PrezGarca

4
 5/12/2016

ControlesdeBasedeDatos
Establecerlosnivelesde
controlesdeaccesonecesarios
paralosrubrosdedatos,
tablasyarchivosparaprevenir
elaccesoinadvertidoono
autorizado.
Establecercontrolespara
asegurarquesloelpersonal
autorizadopuedaactualizarla
basededatos.
Ing.CIPGersonE.PrezGarca

ControlesdeBasedeDatos
Establecercontrolespara
manejarlosproblemasde
accesoconcurrente,talescomo,
mltiplesusuariosquedeseen
actualizarelementosdelos
mismosdatosalmismotiempo.

Ing.CIPGersonE.PrezGarca

PlanificacindelaAuditoriadeBD
1. Identificartodaslasbasesdedatosdela
organizacin
2. Clasificarlosnivelesderiesgodelosdatosenlas
basesdedatos
3. Analizarlospermisosdeacceso
4. Analizarloscontrolesexistentesdeaccesoalas
basesdedatos
5. EstablecerlosmodelosdeauditoradeBDautilizar
6. EstablecerlaspruebasarealizarparacadaBD,
aplicaciny/ousuario
Ing.CIPGersonE.PrezGarca

5
 5/12/2016

Metodologasparalaauditorade
BasedeDatos
a) MetodologaTradicional
El auditor revisa el entorno con la ayuda de una
lista de control (Checklist), que consta de una serie
de cuestiones a verificar, registrando los resultados
de su investigacin.

En esta investigacin se confecciona una lista de

control de todos los aspectos a tener en cuenta.

Ing.CIPGersonE.PrezGarca

a)MetodologaTradicional
Por ejemplo:
Existe una metodologa de diseo de Base de Datos?

SI NO N.A.

Suele ser aplicada a la auditora de productos de bases de datos,

especificndose en la lista de control todos los aspectos a tener
en cuenta.

Ing.CIPGersonE.PrezGarca

Metodologasparalaauditorade
BasedeDatos
b) Metodologadeevaluacinderiesgos
Este tipo de metodologa, conocida tambin por Risk
oriented approach es la que propone ISACA y empieza
fijando los objetivos de control que minimizan los
riesgos potenciales a los que est sometido el
entorno.

Ing.CIPGersonE.PrezGarca

6
 5/12/2016

b)MetodologadeEvaluacindeRiesgos
Riesgos debidos a la utilizacin de una base de datos:

Incremento de la dependencia del servicio informtico debido a

la concentracin de datos
Mayores posibilidades de acceso en la figura del administrador
de la base de datos
Incompatibilidades entre sistemas de seguridad de acceso
propios del SGBD y el general de la instalacin
Mayor dependencia del nivel de conocimientos tcnicos del
personal que realice tareas relacionadas con el software de
base de datos (administrador, programadores, etc)

Ing.CIPGersonE.PrezGarca

Considerando estos riesgos, se podra definir por

ejemplo lo siguiente:
Objetivo de Control
El SGBD deber preservar la confidencialidad de la base de datos

Tcnicas de Control
Un objetivo de control puede tener asociadas varias tcnicas que permitan cubrirlo en
su totalidad.
Tcnicas preventivas: establecer tipos de usuarios, perfiles y privilegios necesarios
para controlar el acceso a la base de datos
Tcnicas detectivas: como monitorizar los accesos a la base de datos
Tcnicas correctivas: back-up

Prueba de Cumplimiento Permiten verificar la consistencia de las tcnicas de control

Listar los privilegios y perfiles existentes en el SGBD
Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no
existen, se pasa a disear otro tipo de pruebas (denominadas pruebas sustantivas), que
permiten dimensionar el impacto de estas deficiencias

Prueba Sustantiva
Comprobar si la informacin ha sido corrompida, comparndola con otra fuente, o
revisando, los documentos deIng.CIPGersonE.PrezGarca
entrada de datos y las transacciones que se han
ejecutado

TcnicasparaelControldeBasedeDatos
(Enunentornocomplejo)
Existen muchos elementos del entorno del SGDB que
influyen el la seguridad e integridad de los datos, en los que
cada uno de apoya en la operacin correcta y predecible de
otra.
El efecto de esto es: debilitar la seguridad global del
sistema, reduciendo la fiabilidad e introduciendo un conjunto
de controles descoordinados y solapados, difciles de
gestionar .
Cuando el auditor se enfrenta a un entrono de este tipo,
puede emplear, entre otras, dos tcnicas de control.

7
 5/12/2016

MatricesdeControl
Sirven para identificar los conjuntos de datos del SI juntos
con los controles de seguridad o integridad
implementados sobre los mismos.
CONTROLES DE SEGURIDAD
DATOS
PREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONES Verificacin Informe de

DE ENTRADA Reconciliacin
REGISTRO DE Cifrado Informe de Copia de
BASE DE DATOS excepcin seguridad

Los controles se clasifican como se puede observar

en detectivos, preventivos y correctivos

AnlisisdelosCaminosdeAcceso
Con esta tcnica se documentan el flujo, almacenamiento y procesamiento de los
datos en todas las fases por las que pasan desde el mismo momento en que se
introducen, identificando los componentes del sistema que atraviesan (tanto Hw
como Sw) y los controles asociados

COMPUTADORA
PERSONAL COMPUTADORA CENTRAL (SERVIDOR DE BASE DE DATOS)

MONITOR PAQUETE
DE DE PROGRAMA SGBD SO DATOS
MULTIPROCESO SEGURIDAD

USUARIO Control de Acceso Control de Acceso Controles Diversos

* Registro de * Control de Integridad
Transacciones De datos
Seguridad
Cifrado

Control de Acceso Copias de Seguridad

Formacin Control de Acceso * Registro de Acceso Fichero diario de Integridad de Datos
* Controles * Cifrado * Informe de Excepciones
* Procedimientos * Control de Integridad