Você está na página 1de 26

reas de la Auditora de Sistemas

Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 2
1. Introduccin
Divisiones principales:
Auditora informtica de la explotacin
Auditora informtica de sistemas
Auditora informtica de comunicaciones
Auditora informtica de desarrollo de proyectos
Auditora informtica de seguridad
Cada rea informtica puede ser auditada desde los
siguientes criterios generales:
Desde su propio funcionamiento interno
Desde el apoyo que recibe de la direccin y, en sentido
ascendente, del grado de cumplimiento de las directrices de
sta.
Desde la perspectiva de los usuarios, destinatarios reales de
la informtica
Desde el punto de vista de la seguridad que ofrece la
Informtica en general o la rama auditada
Las tcnicas de auditora :
Pruebas de cumplimiento, que verifican la correcta ejecucin
y registro de una operacin o proceso mediante la repeticin
u observacin de la misma.
Pruebas de carcter sustantivo, que llevan a cabo las
revisiones analticas aplicadas directamente a los datos para
valorar su calidad.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 3
1. Introduccin
Tcnicas y pruebas de auditora:
entrevistas, observacin in situ del entorno de trabajo, cuestionarios
de auditoras, organigramas de sistemas incluyendo flujos de procesos
manuales y mecanizados, interrelacin de ficheros, etc,
documentacin de sistemas y descripcin del entorno auditado,
organizacin jerrquica del personal y segregacin de funciones,
paquetes especficos para auditora, muestro estadstico, etc.
Pruebas especficas en la auditora informtica:
Juegos de ensayo: a partir de una coleccin de datos, se debe generar
una solucin conocida.
Caso bsico: similar al anterior, pero se incluye la prueba de todas las
posibilidades del sistema, mediante la simulacin a escala reducida
del rea a mecanizar.
Sistema paralelo: se mantiene en funcionamiento el sistema antiguo
junto al nuevo comparando resultados.
Revisin de pistas de auditora: todo sistema debe dejar rastros de
quin, cundo y cmo realiz una modificacin determinada, tanto sea
de datos significativos como de programas o software bsico.
Revisiones del sistema de seguridad: control de acceso, proteccin de
comunicaciones, etc.
Comparacin de programas: versiones, objetos/fuentes, autorizaciones
de compilacin, etc.
Evaluacin de ciclo de vida de aplicacin: validez, efectividad,
oportunidad de la aplicacin.
El factor sorpresa puede llegar a ser necesario en las revisiones,
segn lo que se quiera verificar.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 4
1. Introduccin
Fases del mtodo de trabajo del auditor
1. Alcance y objetivos de la auditora informtica.
Lmites consensuados por el auditor y el cliente. Excepciones de
alcance. Fijar objetivos, interlocutores y destinatarios del informe
final.
2. Estudio inicial del entorno auditable.
Examinar funciones y actividades generales: organizacin, entorno
operacional y aplicaciones informticas, bases de datos y ficheros.
3. Determinacin de los recursos necesarios para efectuar la
auditora.
Recursos hardware proporcionados por el cliente. Convenir tiempo de
mquina y fecha, hora y duracin de las sesiones de medida.
4. Elaboracin del plan y de los programas de trabajo.
5. Actividades propiamente dichas de la auditora (anlisis,
entrevistas, etc)
6. Confeccin y redaccin del informe final.
Unica referencia constatable de toda auditora. Realizar borradores e
informes parciales, para poder contrastar opiniones. Estructura del
informe final: Definicin de objetivos y alcance de la auditora,
enumeracin de temas considerados, cuerpo expositivo,
recomendaciones y planes de accin
7. Redaccin de la Carta de introduccin o Carta de
presentacin del informe final.
En un mximo de 4 folios resume la auditora realizada. Destinado
exclusivamente al responsable mximo de la empresa.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 6
2. Auditora fsica
Auditora fsica no se debe limitar a comprobar la
existencia de los medios fsicos, sino tambin su
funcionalidad, racionalidad y seguridad.
Seguridad fsica: garantiza la integridad de los activos
humanos, lgicos y materiales de un CPD.
Amenazas:
sabotaje, vandalismo, terrorismo, accidentes de distinto tipo,
incendios, inundaciones, averas importantes,
derrumbamientos, explosiones...
errores, negligencias, huelgas, epidemias o intoxicaciones...
Revisar si existe el plan de contingencia:
si es completo y actualizado
si cubre los diferentes procesos, reas y plataformas
si existen planes diferentes segn entornos
Comprobar si se permite la reanudacin de las operaciones
en un tiempo inferior al fijado por los responsables del uso
de las aplicaciones.
Si hay participacin externa en el plan de contingencia:
existe el oportuno contrato
caso de una incidencia que afectara a varias entidades
geogrficamente prximas
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 9
2. Auditora fsica
Clasificacin de impactos
Nivel Denominacin Descripcin
Directos
3 Catastrfico Por afectar importante o duraderamente a una funcin
vital de la empresa principalmente relacionada con
produccin o tesorera. Pone en peligro la
supervivencia de la empresa.
2 Grave Afecta seria pero no catastrficamente a la produccin,
cumplimiento de plazos, calidades o facturacin.
Ocasiona prdidas sustanciales.
1 Mediano Afecta significativa pero no gravemente y ocasiona
prdidas apreciables.
0 Bajo Provoca daos, molestias y prdidas insignificantes.
Indirectos
A Efecto Sistema Por la posicin de la empresa en la cadena de
produccin (particularmente en sistemas de Justo a
Tiempo, Centros logsticos, EDI), la cadena se
interrumpe (o ve afectada) aguas arriba de la empresa,
o en la misma empresa. Esto ocasiona un efecto
domin en todas las empresas aguas abajo.
B Efecto Recursos La escasez o reasignacin de recursos informticos
afecta a desarrollos en curso o nuevos desarrollos,
retrasndolos y pudiendo perjudicar la funcionalidad
y/o la competitividad de la empresa.
Durante.-
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 14
2. Auditora fsica
Tcnicas de la auditora fsica:
Observacin de las instalaciones, sistemas, cumplimiento de
normas y procedimientos, etc. no slo como espectador, sino
tambin como actor, comprobando por s mismo su
funcionamiento
Revisin analtica de la documentacin sobre construccin y
preinstalaciones, documentacin sobre seguridad fsica,
polticas y normas de actividad de sala, normas y
procedimientos sobre seguridad fsica de los datos y
contratos de seguros y mantenimiento
Entrevistas (que no interrogatorios) con directivos y personal,
fijo o temporal
Consultas a tcnicos y peritos que formen parte de la plantilla
o independientes contratados
Herramientas:
Cuaderno de campo / grabadora de audio
Mquina fotogrfica / cmara de vdeo
Uso discreto y con el consentimiento del personal si ste va a
quedar identificado en cualquiera de las mquinas.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 17
3. Auditora de la ofimtica
Ofimtica: sistema informatizado que genera, procesa,
almacena, recupera, comunica y presenta datos
relacionados con el funcionamiento de la oficina.
Ejemplos:
aplicaciones especficas para la gestin de tareas, como hojas
de clculo o procesadores de textos, herramientas para la
gestin de documentos, como control de expedientes o
sistemas de almacenamiento ptico de informacin, agendas
y bases de datos personales, sistemas de trabajo en grupo,
control de flujos de trabajo...
Los sistemas ofimticos se soportan en dos paradigmas:
Escritorio virtual. Es un nico panel que sustituye a la mesa
de trabajo tradicional y que contiene todas las herramientas
necesarias para desarrollar las tareas del oficinista. La
interfaz debe ser natural e intuitiva, y las herramientas deben
integrarse entre s.
Trabajo cooperativo (CSCW Computed Supported
Cooperative Work): Multiplicidad de actividades
coordinadas, desarrolladas por un conjunto de participantes y
soportadas por un sistema informtico. Extensin del
concepto de integracin de aplicaciones. El entorno debe
permitir el intercambio de la informacin.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 18
3. Auditora de la ofimtica
Problemtica del entorno ofimtico:
La distribucin de las aplicaciones por los diferentes
departamentos de la organizacin, en lugar de una nica
ubicacin central
El traslado de la responsabilidad sobre ciertos controles de
los sistemas de informacin a usuarios finales no dedicados
profesionalmente a la informtica
Problemas
adquisiciones poco planificadas, desarrollos ineficaces e
ineficientes, falta de conciencia de los usuarios acerca de la
seguridad de la informacin, utilizacin de copias ilegales de
aplicaciones, procedimientos de copias de seguridad
deficientes, escasa formacin del personal, ausencia de
documentacin suficiente, etc.
A continuacin se muestran varios controles de auditora
bsicos, agrupados por criterios de:
economa, eficacia y eficiencia
seguridad
condicionantes legales
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 19
3. Auditora de la ofimtica
Economa, eficacia y eficiencia
Determinar si el inventario ofimtico refleja con exactitud los
equipos y aplicaciones existentes en la organizacin. Inventarios no
actualizados debido al dinamismo de adquisiciones. Problema: difcil
de detectar sustracciones.
Determinar y evaluar el procedimiento de adquisiciones de
equipos y aplicaciones. Ventajas/desventajas de una poltica de
adquisiciones descentralizada. Se debe tener en cuenta la necesidad
real de los nuevos equipos, su adecuacin a las necesidades y su
capacidad de integracin con los existentes. Estudiar la posibilidad de
reducir los gastos de adquisicin con una poltica de compras
coordinada.
Determinar y evaluar la poltica de mantenimiento definida en la
organizacin. Utilizacin adecuada de los periodos de garanta.
Estudiar la responsabilidad del mantenimiento de los equipos.
Comprobar la capacidad de la empresa de mantenimiento externa.
Debe existir un registro de incidencias.
Evaluar la calidad de las aplicaciones del entorno ofimtico
desarrollada por personal de la propia organizacin. A menudo no
han sido sometidas a controles de calidad y seguridad. Comprobar la
existencia de un departamento responsable del desarrollo. Las
aplicaciones desarrolladas deben tener capacidades de registro de
pistas de auditora, para controlar su ejecucin.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 20
3. Auditora de la ofimtica
Evaluar la correccin del procedimiento existente para la
realizacin de los cambios de versiones y aplicaciones.
Cambios de aplicaciones o de versiones pueden producir
fallos de integracin y de incompatibilidad. Comprobar la
existencia de procedimientos para la autorizacin,
aprobacin, adquisicin de nuevas aplicaciones y cambios de
versiones.
Determinar si los usuarios cuentan con suficiente
formacin y la documentacin de apoyo necesaria para
desarrollar sus tareas de un modo eficaz y eficiente.
Existencia de un plan de formacin para garantizar que el
personal conoce los productos que tiene que utilizar,
incluyendo las nuevas aplicaciones. Comprobacin del
aprovechamiento de los cursos. Suministro a los usuarios la
documentacin bsica. Estudiar cauces de resolucin de
dudas sobre el manejo de las aplicaciones.
Determinar si el sistema existente se ajusta a las
necesidades reales de la organizacin. Valorar el uso de los
equipos existentes, mostrando aquellas mquinas
inoperativas, infrautilizadas o colapsadas. Elaborar una lista
de recomendaciones sobre descatalogacin de productos
obsoletos, redistribuciones y adquisiciones de nuevos
equipos y aplicaciones.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 21
3. Auditora de la ofimtica
Seguridad.-
Determinar si existen garantas suficientes para proteger los
accesos no autorizados a la informacin reservada de la empresa y
la integridad de la misma. Examinar la documentacin en materia de
seguridad. Existencia de procedimientos de clasificacin de la
informacin, control de acceso, identificacin y autenticacin, gestin
de soportes, gestin de incidencias y controles de auditora.
Comprobar que las medidas de seguridad estn realmente operativas.
Asegurar que todo el personal conoce las normas de seguridad y las
responsabilidades en caso de incumplirlas. Comprobar la seguridad
lgica. Proceso de notificacin y gestin de incidencias, como a quin
se dirigen, o quin debe comprobarlas. Todos los soportes
informticos deben estar etiquetados con la informacin que
contienen, estar inventariados y almacenados de acuerdo con su
importancia.
Determinar si el procedimiento de generacin de las copias de
respaldo es fiable y garantiza la recuperacin de la informacin en
caso de necesidad. La informacin generada por el sistema debe estar
disponible en todo momento. Examinar el procedimiento de copias de
seguridad de la organizacin: suficiencia de la periodicidad,
asignacin de responsabilidades y almacenamiento de los soportes.
Nivel de seguridad en las copias equivalente al sistema primario.
Determinar si est garantizado el funcionamiento ininterrumpido
de aquellas aplicaciones cuya cada podra suponer prdidas de
integridad de la informacin y aplicaciones. Determinar la
existencia SAI. Simular una cada de tensin.
Determinar el grado de exposicin ante la posibilidad de intrusin
de virus. Comprobar protecciones de las posibles entradas de virus,
como disqueteras, mdem, accesos a redes, etc, y revisar la normativa
para la instalacin de instalacin y actualizacin peridica de
productos antivirus.
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 22
3. Auditora de la ofimtica
Normativa vigente.-
Determinar si en el entorno ofimtico se producen
situaciones que puedan suponer infracciones a lo
dispuesto en la Ley Orgnica de Proteccin de Datos de
carcter personal. Cumplimiento de las normas establecidas
por la Ley, dependiendo del tipo de datos de carcter
personal, incluyendo que se haya notificado su existencia al
Registro General de la Agencia de Proteccin de Datos.
Determinar si en el entorno ofimtico se producen
situaciones que puedan suponer infracciones a lo
dispuesto en el Real Decreto Legislativo 1/1996, de 12 de
abril, sobre la propiedad intelectual. Mayora de las copias
ilegales corresponden a aplicaciones microinformticas, en
especial a aplicaciones ofimticas. Comprobar que cada
aplicacin tenga la licencia correspondiente, y que est
registrada en el inventario. Verificar la definicin y
aplicacin de medidas con carcter:
preventivo: existencia de un rgimen disciplinario que sea
conocido por todos los empleados, inhabilitacin de las
disqueteras y otros puertos de entrada y salida, y limitaciones en
el acceso a redes externas a la organizacin.
detectivas
correctivas
disciplinarias
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 30
4. Auditora de la direccin
La direccin de una empresa influencia su forma de actuar
Aunque el departamento informtico recibe los mismos
estmulos que el resto de departamentos, recibe ms
influencia de la propia direccin de informtica
Auditora de la direccin ~ gestin de la informtica
Aplicables a empresas de gran tamao
Actividades bsicas de cualquier proceso de direccin:
planificar, organizar, coordinar y controlar
Planificar
Prever la utilizacin de las TI en la empresa
Plan Estratgico de Sistemas de Informacin:
marco bsico de actuacin de los SI en la empresa
debe seguir los objetivos estratgicos de la empresa
creado por la direccin informtica, comit de informtica y
direccin general
El auditor deber:
Evaluar el periodo de vigencia del plan (3 o 5 aos)
Si est sintonizado con el Plan Estratgico de la empresa
Si tiene en cuenta cambios organizativos, el entorno
legislativo, la evolucin tecnolgica...
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 31
4. Auditora de la direccin
El auditor deber:
Comprobar que los objetivos tienen asignados recursos y
fechas realistas
Fuentes de la auditora:
Actas de sesiones del Comit de Informtica
Entrevistas con el director de informtica, otros miembros
pertenecientes al Comit y representantes de clientes
Revisin de los planes de actualizacin y seguimiento
Otros tipos de planes:
plan operativo anual: recoge las actividades a realizar, como
SI a desarrollar, cambios tecnolgicos previstos, etc
plan de recuperacin ante desastres: define los pasos a seguir
tras un desastre (responsabilidad directa de la Direccin)
Organizar y coordinar
Estructurar recursos, flujos de informacin y controles que
permitan alcanzar los objetivos marcados durante la
planificacin
Comit de Informtica:
lugar de encuentro entre el departamento de informtica de
una empresa y sus usuarios
se discuten los grandes asuntos de la informtica
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 36
5. Auditora de la explotacin
Las aplicaciones acceden a los elementos del sistema
de informacin e interactan con el usuario
Este punto se centra en la fase final de la vida de una
aplicacin informtica, la de su funcionamiento
ordinario.
Objetivos de los sistemas de informacin:
Registrar fielmente la informacin importante para la
organizacin.
Permitir realizar los procesos de clculo y edicin
necesarios con dicha informacin.
Facilitar respuestas a consultas sobre dicha
informacin.
Generacin de informes con la informacin adecuada.
Objetivos para el xito de la actividad
organizacional:
las aplicaciones cumplan los anteriores requisitos
el personal de la organizacin las manejen con
eficiencia
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 37
5. Auditora de la explotacin
Amenazas al normal cumplimiento de la finalidad de
la aplicacin:
El personal de la organizacin comete errores u
omisiones involuntariamente.
El personal provoca errores o fallos
intencionadamente.
La posibilidad de fallo en cualquiera de los elementos
que intervienen en el proceso informtico.
La conexin de las empresas a entornos abiertos e
inseguros.
Auditora de las aplicaciones:
1. Revisin de las metodologas utilizadas
2. Control Interno de las aplicaciones
3. Satisfaccin de usuarios
4. Control de procesos y ejecuciones de programas
crticos
1. Revisin de las metodologas utilizadas
Asegurar la modularidad y el fcil mantenimiento
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 38
5. Auditora de la explotacin
2. Control Interno de las aplicaciones
Revisin de las fases que sigui Desarrollo:
Estudio de viabilidad de la aplicacin: revisado por
informtica, usuarios, direccin... Puede empezar a
indicar las pistas de auditora
Definicin lgica de la aplicacin: si el desarrollo ha
seguido los puntos de la metodologa
Desarrollo tcnico de la aplicacin
Diseo de programas: sencillez, modularidad y
economa de recursos
Mtodos de prueba
Equipo de programacin
Tipos de controles internos:
Controles manuales
Realizados por personal del rea usuaria, preparan,
autorizan y procesan las operaciones, corrigiendo los
posibles errores
Controles automticos
Incorporados a los programas, para mantener la
seguridad, confidencialidad y correccin en todos los
procesos
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 39
5. Auditora de la explotacin
Los controles anteriores se pueden dividir en:
Controles preventivos. Ayudan a evitar que se
produzcan errores, controlando la entrada de datos
Controles detectivos. Tratan de descubrir a posteriori
errores que no se hayan podido evitar.
Controles correctivos. Intentan solucionar los errores
identificados en los controles detectivos
3. Satisfaccin de usuarios.
Una aplicacin tcnicamente eficiente y bien
desarrollada ser un fracaso si no sirve al cliente
La opinin del usuario disminuye el mantenimiento de
la aplicacin
4. Control de procesos y ejecuciones de programas
crticos
Comprobar que coinciden cdigo fuente/compilado
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 40
5. Auditora de la explotacin
Dar de alta nuevas aplicaciones:
UAT (User Acceptance Test): el usuario la utiliza
como si estuviera en produccin, encontrando los
errores, para luego dar el visto bueno.
El auditor deber comprobar que:
la prueba sea correcta
exista un plan de pruebas consensuado por el
desarrollador y por el usuario
se corrijan los defectos detectados
Herramientas en la auditora de una aplicacin
1. Entrevistas
Buscar las personas ms adecuadas
Preparar la entrevista
El entrevistador debe conocer bien la aplicacin
Concertar la entrevista con antelacin, indicando los
temas a tratar
Informar al jefe del entrevistado
Durante la entrevista tomar las notas imprescindibles,
y completarlas lo antes posible
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 44
6. Auditora del desarrollo y mantenimiento
Auditora del desarrollo
trata de verificar la aplicacin de procedimientos de
control para garantizar que el desarrollo de SI se
lleva a cabo segn los principios de ingeniera
Importancia de la auditora del desarrollo:
El gasto en software supera al gasto en hardware
El software es difcil de validar. A mayor control
durante el desarrollo, menor coste de mantenimiento
En empresas de TI, las aplicaciones son la nica
herramienta
Las funciones del rea de Desarrollo son:
Participacin en el plan estratgico de informtica
Desarrollo de nuevos sistemas
Estudio para mantener el nivel tecnolgico necesario
Establecer un plan de formacin para su personal
Establecer normas y controles para su actividad
La auditora del desarrollo se divide en:
A. Auditora de la organizacin y gestin del rea
B. Auditora de proyectos de desarrollo de SI
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 48
6. Auditora del desarrollo y mantenimiento
Auditora del mantenimiento
El mantenimiento consume la mayor parte de los
recursos utilizados en proyectos software
La mantenibilidad del software es un factor
importante en la calidad
Los problemas de mantenimiento nacen en las
primeras etapas de desarrollo del software
Modelizacin de la etapa de mantenimiento
COCOMO: modelo de estimacin de costes (1981).
3 modelos: orgnico, semidetached y embedded, en
funcin del tamao, comunicacin y experiencias
anteriores en proyectos similares
3 versiones del modelo: bsico, intermedio y detallado
Ejemplo: versin bsica, modelo orgnico:
05 . 1
4 . 2 KS MM
des
MM: mes/hombre
KS: estimacin del tamao del
programa en miles de lneas
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 51
7. Auditora de Bases de Datos
El principal activo de las compaas tecnolgicas es
la informacin, normalmente soportada por Bases de
datos.
La auditoria de las bases de datos es el punto de
partida para poder realizar la auditoria de las
aplicaciones
Metodologas:
Tradicional, revisando el entorno siguiendo listas de
control, por ejemplo:
Existe un plan de contingencia para el SGBD?
Son suficientes los controles de seguridad fsica para
proteger la BD?
El administrador de la BD (ABD) es responsable de la
instruccin a los usuarios y al personal tcnico, en
materia de conceptos y procedimientos del sistema?
Est prohibido que el ABD inicie transacciones sin la
aprobacin del departamento afectado?
Existen procedimientos escritos para recuperar la BD?
Est debidamente documentada la BD?
Es responsable el ABD del desarrollo, mantenimiento y
control del diccionario de datos?
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 52
7. Auditora de Bases de Datos
Lleva el ABD un control efectivo de los programas de
utilidad?
Existen controles programados para evitar el acceso no
autorizado a la BD?
El ABD autoriza las modificaciones a las BD?
Evaluacin de riesgos
Es la metodologa propuesta por la ISACA, siguiendo
los siguientes pasos:
1. Fijar los objetivos de control que minimizan los riesgos
potenciales
2. Especificar las tcnicas de control que permiten cumplir
dichos objetivos (preventivas, detectivas o correctivas)
3. Disear pruebas de cumplimiento para verificar la
consistencia de los controles. Si se detectan inconsistencias,
disear pruebas sustantivas para medir el impacto
4. Comentar conclusiones con los responsables y emitir el
informe
Riesgos en una base de datos:
Accesos no autorizados, violacin de la privacidad,
errores con mayor impacto, ruptura de enlaces o
cadenas, desastres e interrupciones, fraude y desfalco,
mayor dependencia del nivel de conocimientos tcnicos
del personal que realice tareas relacionadas con la BD...
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 53
7. Auditora de Bases de Datos
El ciclo de vida de una BD consta de:
1. Estudio previo y plan de trabajo
2. Concepcin de la BD y seleccin del equipo
3. Diseo y carga
4. Explotacin y mantenimiento
5. Revisin post-implantacin
Objetivos de control
1. Estudio previo y plan de trabajo
Desarrollar un estudio de viabilidad para determinar
funcionalidad, coste, beneficio, etc,
La decisin de construir la BD debe depender del
estudio de viabilidad
La alta direccin debe tomar la decisin
Si el proyecto sigue, establecer un plan director que
divida el proyecto en fases:
Naturaleza, mbito, recursos necesarios y periodo
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 57
7. Auditora de Bases de Datos
Cuando el auditor se encuentra el sistema en
explotacin, debe estudiar el SGBD y su entorno.
Sistema de Gestin de Bases de Datos
ISO: el requisito para la auditora es que la causa y
el efecto de todos los cambios en la base de datos sean
verificables
Se debe revisar la utilizacin de las herramientas para
determinar si son suficientes o si deben ser mejoradas
CASE
REPOSITORIO
DICCIONARIO
DE DATOS
UTILIDADES DEL ABD
SGBD
L4G
CATLOGO
NCLEO
-KERNEL-
CONFIDEN.
PRIVACIDAD
AUDITORA
SEGURIDAD
RECUPERAC.
L4G Ind.
FACILIDADES
DE USUARIO
PAQUETE DE
SEGURIDAD
SOFTWARE
AUDITORA
SISTEMA DE
MONIT/AJUST
.
SO
PROTOCOLOS
Y SISTEMAS
DISTRIBUIDOS
MONITOR
TRANSAC.
MINERIA DE
DATOS
APLICACIONES
reas de la Auditora de Sistemas
Auditora de Sistemas
Ing. O. Daniel Casazola C.
CIP 95831 58
7. Auditora de Bases de Datos
Hay que prevenir tres tipos de manipulaciones:
El acceso no autorizado a los datos
identificacin del usuario (contrasea o biomtrica)
identificacin del terminal (se podra reducir el acceso de
cada usuario a ciertos terminales)
medidas de prevencin de acceso a la forma de los datos
y su soporte de almacenamiento
El robo de los datos depositados en un soporte
magntico de seguridad
Se deben proteger del acceso no autorizado y de posibles
desastres
La conexin fsica con las lneas de
telecomunicaciones por las que circulan los datos
Utilizar tcnicas criptogrficas