Siendo los datos de recursos fundamentales de las empresas se ha hecho que los temas relativos a su

control interno y auditorio cobran cada día mayor interés.

La auditoria informática e aplica de dos formas distintas, por un lado se auditan las principales áreas del
departamento de informática explotando dirección, metodología de desarrollo , sistemas operativos,
telecomunicaciones, base de datos, etc.; y por otro lado se auditan las aplicaciones desarrolladas
internamente (subcontratados o adquiridos) que funcionan en la empresa. La importancia de la auditoria de
la base de datos radica en que es un punto de partida para poder realizar la auditoria de las aplicaciones que
utilizan esta tecnología.

METODOLOGÍAS PARA AUDITORIA DE BASE DE DATOS

Se pueden agrupar en dos clases, la metodología tradicional y la evaluación de riesgos.

Metodología tradicional:

En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que
consta de una serie de cuestiones a verificar, el auditor deberá registrar el resultado de su investigación: S (si
la respuesta es afirmativa) N (en caso contrario) NA (si es no aplicable).

Este tipo de técnica suele ser aplicada a la auditoria de productos de BD, especificándose la lista de control
todos los aspectos a tener en cuenta, así por ejemplo, el auditor se presenta a un entorno SQL server en la
lista de control se recogerá los parámetros de instalación que mas riesgos importa señalando cual es su
rango adecuado de esta manera, si el auditor no cuenta con la asistencia de un experto en el producto
puede comprobar por lo menos los aspect6os mas importantes de su instalación.

Metodología Evaluación de Riesgos:

Este tipo de método es la que propone ISACA (Institución de normatividad de auditoria), empieza fijando los
objetivos de control que minimizan riesgos (probabilidad de que ocurra un problema) potenciales a los que
esta sometido el entorno.

Identifica el problema, establece cuales fueron las posibles causas y acatar métodos preventivos.

- Evalúa el impacto del riesgo, establece medidas para evitar que ese riesgo se de.

Por ejemplo:

a. incremento de la dependencia del servicio informático debido a la concentración de datos (Riesgo

dependencia tecnológica).
b. Mayores posibilidades de acceso en la figura del administrador de la BD. (DBA tiene acceso a todo y
es peligroso).
c. Incompatibilidad de sistemas de seguridad de acceso propios del sistema de gestión de BD y en
general que es el sistema operativo. (Incompatibilidad entre los sistemas).
d. Riesgos dependencia del nivel de conocimientos técnicos del personal que realice tareas
relacionadas con el software de la BD (dependencia profesional o técnica).