Escolar Documentos
Profissional Documentos
Cultura Documentos
de Datos
Introduccin
Las bases de datos se han convertido en el corazn de los sistemas
de informacin de las organizaciones, que cada da ms dependen
del buen funcionamiento de stos para su supervivencia.
Prueba de cumplimiento:
(Si los controles existen verifican la consistencia de los mismos)
Listar los privilegios y perfiles existentes en el SGBD.
Si estas prueban detectan inconsistencias en los controles, o bien, si los
controles no existen, se pasa a disear otro tipo de pruebas (pruebas
sustantivas) que permitan dimensionar el impacto de estas deficiencias.
Metodologa
Prueba sustantiva:
Comprobar si la informacin ha sido corrompida comparndola con otra
fuente, o revisando los documentos de entrada de datos y las transacciones
que se han ejecutado.
Mtricas:
Nmero de ocurrencias de incapacidad para recuperar datos crticos para los
procesos de negocio
porcentaje de satisfaccin del usuario con la disponibilidad de los datos
Nmero de incidentes de no conformidad con las leyes debido a cuestiones de
gestin de almacenamiento.
Recomendaciones de los COBIT
Objetivos de los procesos:
Mantener la complecin, exactitud, validez y accesibilidad de los datos
almacenados; asegurar los datos durante la entrega de medios, gestionar
efectivamente el almacenamiento de los medios.
Mtricas:
Porcentaje de restauraciones de datos exitosas
Nmero de incidentes en los que se recuperan datos sensibles despus de
disponer de los medios
Nmero de cadas de sistemas o incidentes de integridad de datos causados.
Recomendaciones de los COBIT
Objetivos de las actividades:
Realizar copias de respaldo y pruebas de restauracin, gestionar
almacenamiento de datos on-site y offside, asegurar la disposicin de datos y
equipos.
Mtricas:
Frecuencia de pruebas de copias de respaldo de los medios
Tiempo medio de restauracin de datos.
Recomendaciones de los COBIT
En ITGI (2007b) se definen para cada objetivo de control los drivers
de valor y riesgo, y las pruebas de diseo del control
correspondientes.
En el caso del DS 11.6 de Requisitos de Seguridad para Gestin de
Datos se proponen los siguientes:
Drivers de valor:
Informacin sensible asegurada y protegida apropiadamente, capacidad de ver o
alterar la informacin disponible a los usuarios autorizados, complecin y
exactitud de datos transmitidos.
Drivers de riesgo:
Datos sensibles mal utilizados o destruidos, accesos a datos no autorizados, falta
de complecin e inexactitud de datos transmitidos, datos alterados por usuarios no
autorizados.
Recomendaciones de los COBIT
Pruebas de diseo del control: Preguntando y confirmando que:
Se dispone de proceso que identifica datos sensibles y aborda las
necesidades organizativas relativas a la confidencialidad de los datos,
conformidad con leyes y regulaciones aplicables, y que se ha acordado la
clasificacin de los datos con los propietarios de los procesos de negocio.
Arq. Jefe R C C
Dir. de Desarrollo C C
Dir. De Adm I I
Cumplimiento Auditora C C C I
Riesgos Seguridad
Objetivos de Control en el Ciclo de Vida
Concepcin de la base de datos y seleccin del equipo
En esta fase se empieza a disear la base de datos, por lo que deben
utilizarse los modelos y las tcnicas definidos en la metodologa de
desarrollo de sistemas de la empresa.
La metodologa de diseo debera emplearse para especificar documentos
fuentes, mecanismos de control, caractersticas de seguridad y pistas de
auditora a incluir en el sistema.
Objetivos de Control en el Ciclo de Vida
El auditor debe analizar la metodologa de diseo con el fin de
determinar si es o no aceptable, y luego comprobar su correcta
utilizacin.
En cuanto a la seleccin del equipo, en caso de que la empresa no disponga
ya de uno, deber realizarse utilizando un procedimiento riguroso, en el que
se consideren las necesidades de la empresa y las prestaciones que ofrecen
los distintos SGBD candidatos.
Adems se debe tener en cuenta el impacto que el nuevo software tiene en el
sistema y, especialmente, en su seguridad.
Objetivos de Control en el Ciclo de Vida
Diseo y carga
En esta fase se llevarn a cabo los diseos lgico y fsico de la base de
datos.
El auditor debe examinar si los diseos son correctos, si la definicin de los
datos contempla adems de su estructura, asociaciones y restricciones
oportunas, as como las especificaciones de almacenamiento de datos y las
cuestiones relativas a la seguridad.
Monitor
Aplicaciones
Transac.
Minera de Protocolos y
Datos Sist. Distrib.
Auditora y Control Interno
Sistema de Gestin de Bases de Datos (SGBD)
Ncleo (kernel), catlogo (seguridad BD), utilidades del administrador
(usuarios, privilegios y confidencialidad); recuperacin de la BD:
Rearranque, copias de respaldo, ficheros diarios (log), etc. y algunas
funciones de auditora, y los lenguajes de cuarta generacin (L4G) que
incorpora el propio SGBD.
Productos del mercado permiten registrar operaciones realizadas sobre la base de
datos en un fichero de pistas de auditora (audit traif).
El auditor deber revisar la utilizacin de las herramientas que ofrece el propio
SGBD, las polticas y procedimientos que sobre su utilizacin haya definido el
administrador, para valorar si son suficientes o si deben ser mejorados.
Auditora y Control Interno
Software de auditora
Son paquetes que pueden emplearse para facilitar la labor del auditor,
en cuanto a la extraccin de datos de la base, el seguimiento de las
transacciones, datos de prueba, etc.
Hay tambin productos muy interesantes que permiten cuadrar datos de
diferentes entornos, permitiendo realizar una verdadera "auditora del dato".
Auditora y Control Interno
Sistema de monitorizacin y ajuste (tuning)
Este tipo de sistemas complementan las facilidades ofrecidas por el
propio SGBD, ofreciendo mayor informacin para optimizar el sistema,
llegando a ser en determinadas ocasiones verdaderos sistemas expertos
que proporcionan la estructura ptima de la base de datos y de ciertos
parmetros del SGBD y del SO.
Auditora y Control Interno
Sistema Operativo (SO)
El SGBD se apoyar en los servicios que ofrece el SO en control de
memoria, gestin de reas de almacenamiento intermedio (buffers),
manejo de errores, control de confidencialidad, mecanismos de
interbloqueo, etc.
Auditora y Control Interno
Monitor de Transacciones
Algunos autores lo incluyen dentro del propio SGBD actualmente puede
considerarse un elemento ms del entorno, con responsabilidades de
seguridad y, sobre todo, de rendimiento.
Diccionarios de datos
Se pueden auditar de manera anloga a las bases de datos, un fallo en
una BD puede atentar contra la integridad de datos y producir mayor
riesgo financiero, un fallo en un diccionario suele llevar consigo una
prdida de integridad de los procesos; siendo ms peligrosos los fallos
en los diccionarios puesto que pueden introducir errores de forma
repetitiva a lo largo del tiempo.
Auditora y Control Interno
Herramientas CASE (Computer Aided System/Software
Engineering)/IPSE (Integrated Project Support Environments)
Esta herramientas suelen llevar incorporado un diccionario de datos ms
amplio que los mencionados anteriormente en los que se almacenan
adems de informacin sobre datos, programas, usuarios, etc., los
diagramas, matrices y grafos de ayuda al diseo.
Constituyen una herramienta clave para que el auditor pueda revisar el
diseo de la base de datos, comprobar si se ha empleado correctamente la
metodologa y asegurar un nivel mnimo de calidad.
Auditora y Control Interno
Lenguajes de Cuarta Generacin (L4G) independientes
El auditor puede encontrar una amplia gama de generadores de
aplicaciones, de formas, de informes, etc. que actan sobre la base de
datos y que, por tanto, tambin son un elemento importante a considerar
en el entorno del SGBD.
Uno de los peligros ms graves de los L4G es que no se apliquen controles
con el mismo rigor que a los programas desarrollados con lenguajes de
tercera generacin.
El auditor deber estudiar los controles disponibles en los L4G utilizados en la
empresa, analizando con atencin si permiten construir procedimientos de Control
y auditora dentro de las aplicaciones.
Auditora y Control Interno
Facilidades de usuario
Se ha desarrollado toda una serie de herramientas que permiten al
usuario final acceder a los datos sin tener que conocer la sintaxis de los
lenguajes del SGBD.
El auditor deber investigar las medidas de seguridad que ofrecen estas
herramientas y bajo qu condiciones han sido instaladas; las herramientas
de este tipo deberan "proteger al usuario de sus propios errores".
Auditora y Control Interno
Herramientas de "minera de datos"
Ofrecen soporte a la toma de decisiones, sobre datos de calidad
integrados en el almacn de datos, debindose controlar la poltica de
refresco y carga de los datos en el almacn a partir de las bases de
datos operacionales existentes, as como la existencia de mecanismos
de retroalimentacin (feedback), que modifican las bases de datos
operacional es a partir de los datos del almacn.
Aplicaciones
El auditor deber controlar que las aplicaciones no atentan contra la
integridad de los datos de la base.
Tcnicas para el Control en Entorno Complejos
Debilitar la seguridad global del sistema, reduciendo la fiabilidad e
introduciendo un conjunto de controles descoordinados y solapados,
difciles de gestionar".