AUDITORIA INFORMATICA

Su importancia por ser uno de los recursos

mas importantes de una empresa su control y
auditoria es importante

Tambin es importante la auditoria de base

de datos porque es el punto de partida para
la auditoria de aplicaciones que la utilizan.
 METODOLOGA TRADICIONAL
Lo realiza con la ayuda de una lista de control
(checklist), por ejemplo:
existe una metodologia de diseo de BD?
METODOLOGA DE EVALUACIN DE RIESGOS
Conocido como rick oriented approach, empieza
fijandose los objetivos de control que minimizan
los riesgos potenciales a los que este sometido el
entorno.
 Incremento de la dependencia del servicio
informtico debido a la concentracin de datos.
Mayores posibilidades de acceso en la figura del
administrador de la DB
Imcompatibilidades entre sistemas de seguridad de
acceso propios de la SGBD y el general de la
instalacin
Mayor impacto de los errores en datos o programas
que en los sistemas tradicionales
Ruptura de enlaces o cadenas por fallos del software
o de los programas de aplicacin
Mayor impacto de accesos no autorizados al
diccionario de la BD que a un fichero tradicional
Mayor dependencia del nivel de conocimiento
tecnicos del personal que realice tareas relacionadas
con el software de BD (administrador, programador,
etc)
 Considerando estos riesgos :

OBJETIVO DE CONTROL
El SGBD deber preservar la confiabilidad de
la BD :
Tcnicas de control .- tipos de usuario,
perfiles, privilegios.
Pueden ser Preventivas (cuadro anterior)
Pueden ser Detectivas (monitorizar los
accesos a la BD)
Correctivas (Backup)
 Para esto se disean unas pruebas, pruebas
de cumplimiento:
Prueba de cumplimiento.
Lista los privilegios y perfiles existentes SGBD
Si se detectan inconsistencias controles o no
existen:
Prueba Sustantiva
Comprueba si la informacin ha sido
corrompida comparndola, revisndola con
doc. de entrada y las transacciones
ejecutadas
 Valorizado los resultados de las pruebas se
obtienen conclusiones
Se comentan y discuten con los responsables
Se emite comentarios de la situacin, el riego
existente y la deficiencia a solucionar y la
solucin posible
Como resultado se presenta un informe final,
conclusiones y alcances
 ESTUDIO PREVIO Y
PLAN DE TRABAJO

CONCEPCIN DE LA BD
Y SELECCIN DE EQUIPO

DISEO Y CARGA

EXPLOTACIN Y
MANTENIMIENTO

REVISIN POST-
IMPLEMENTACIN
 Anlisis coste-beneficio de cada una de las
opciones. (justificacin de la implementacin,
disyuntiva de comprar o desarrollar riego menor)
Si no existe demostrar si es rentable o no
Revisar los informes de aprobacin, verificar la
voluntad de implementacin.
Utiliza COBIT (valoracin, identificacin, medida,
plan de accin y aceptacin)
Objetivo de control Deben asignarse
responsabilidades para la planificacin,
organizacin, dotacin de planillas y control de
activos de datos de la organizacin y debe
asignarse la responsabilidad de la adm. del
entorno de la BD
 Tareas del administrador de datos
Realizar el diseo conceptual y lgico de la base
Apoyar al personal de sistemas durante el desarrollo
de aplicaciones
Formar al personal
Establecer estandares de diseo de BD, desarrollo y
contenido del diccionario de datos
Disear la documentacin incluida en el diccionario
Desarrollar polticas de gestin de datos
Desarrollar planes estratgicos y tcticos para la
manipulacin de los datos
Desarrollar los requisitos de los elementos del
diccionario de datos
Desarrollar normas para la denominacin
Controlar la integridad y seguridad de los datos
Planificar la evolucin de la BD de la empresa
Identificar oportunidades de comparticin de datos
Trabajar con los auditores en la auditoria de la base
Proporcionar controles de seguridad
 Administrador de base de datos
Realizar el diseo fsico de la BD
Asesorar en la adquisicin de HW SW
Soportar el SGBD
Resolver problema del SGBD y el SW asociado
Monitorizar el rendimiento del SGBD
Ayudar en el desarrollo de planes que aseguren la
capacidad HW
Asegurar la integridad de los datos, comprobando
que se implementen con los controles adecuados
Asegurar la seguridad y confidencialidad
Proporcionar facilidades de prueba
Integrar paquetes, procedimientos, utilidades, etc. De
soporte al SGBD
Desarrollar estandares procedimientos y documentos
 Se recomienda separar funciones:

El personal de desarrollo de sistemas y el de

explotacin
Explotacin y control de datos
Administracin de BD y desarrollo
 Se disea la BD se utiliza modelos y las
tcnicas definidas en la metodologa de
desarrollo
Metodologa de diseo especifica los
documentos fuente, los mecanismos de
control, las caractersticas de seguridad y las
pistas de auditoria.
Se analiza la metodologa de diseo y su
correcta utilizacin, contempla el diseo
fsico , lgico y el conceptual
COBIT . :
 Modelos de arquitectura de informacin, y su
actualizacin, para mentener el modelo
consistente con las necesidades de los
usuarios y con el plan estrategico de TI
Datos y diccionario de datos corporativo
Esquema de clasificacin de datos en cuanto
a su seguridad
Niveles de seguridad para cada anterior
clasificacin de datos
 Auditor revisa el diseo lgico y fsico de la BD
(estructura , asociaciones, restricciones,
especificaciones de almacenamiento)
Se toma en cuenta las tablas, vistas, ndices
Despus de revisar el diseo se revisa la carga de
datos de un soporte magntico o introduciendo
manualmente.
Se entiende por la migracin o conversin de un
sistema de archivos a uno de BD o de tipo
SGBD(jerrquico o relacional), realizar pruebas en
paralelo
Entrada manual de datos, establecer controles,
autorizan, recopilan, preparan, transmiten y la
integridad.
no todos los datos tienen la misma semntica,
entonces se hace uso de aplicaciones especiales,
llevar el control de funcionamiento de los mismos,
pruebas.
 Es sistema se pone en explotacin
Se comprueba el establecimiento de los
procedimientos de explotacin y
manteminiento que aseguren que los datos
se tratan de forma congruente y exacta.
comprueban el sistema de la BD, parametros
de SO y tansaciones de BD.
COBIT objetivos de control de control
 Procedimiento de preparacin de datos
Procedimientos de autorizacin de documentos fuentes
Recogida de datos de documentos fuente
Manejo de errores de documentos fuente
Retencin de documentos fuente
Procedimientos de autorizacin de datos
Verificacin de exactitud, complecin y autorizacin
Manejo de errores de entrada de datos
Integridad del procesamiento de datos
Edicin y validacin del procesamiento de datos
Manejo de errores de procesamiento de datos
Retencin y manejo de salidas
Distribucin de salidas
Reconciliacin y balanceo de salidas
Manejo de errores y revisin de salidas
Medidas de seguridad para informes de salida
Pretensin de informacin sensible y dispuesta
Gestin de almacenamiento
Periodos de detencin y trminos de almacenamiento
Sistema de gestin de bibliotecas de medios
Responsabilidades de gestin de la biblioteca de medios
Copias de respaldo y recuperacin
Trabajos de copias de respaldo
Almacenamiento de respaldo
 Se establece el desarrollo de un plan para
efectuar una revisin post-implementacin
Se evala:
Se han conseguido los resultados esperados
Se satisfacen las necesidades de los usuarios
Los costes y beneficios coinciden con los
previstos.
 En el desarrollo y mantenimiento de sistemas
informativos en entornos de BD, deberan
considerarse el control, la integridad y la
seguridad de los datos compartidos por
mltiples usuarios.
SISTEMAS DE GESTION DE BD (SGBD)
 destacar el ncleo , el catlogo
(componente fundamental para asegurar
la seguridad de la base de datos),.
las utilidades para el administrador de la
base de datos ,
las que se encargan de la recuperacin de
la BD.
lenguajes de la cuarta generacin (L4G)
pistas de auditora .
revisar, por tanto, la utilizacin de todas
las herramientas
que ofrece el propio SGBD y las polticas y
procedimientos
 paquetes que pueden emplearse para facilitar
la labor del auditor

sistemas complementan las facilidades

ofrecidas por el propio SGBD
La optimizacin de la base de datos es
fundamental, puesto que se acta en un
entorno concurrente que puede degradarse
 Control de memoria, gestin de reas de
almacenamiento intermedio , manejo de
errores, control de confidencialidad,
mecanismo de interbloqueo, etc.
constituye informacin reservada

elemento ms del entorno con

responsabilidades de confidencialidad y
rendimiento
establece cinco objetivos de control a la hora de revisar la distribucin de
datos.

1. El sistema de proceso distribuido debe tener una funcin de

administracin de datos centralizada que establezca estndares
generales para la distribucin de datos a travs de las aplicaciones.

2. Deben establecerse unas funciones de administracin de datos y de

base de datos fuertes, para que puedan controlar la distribucin de
datos.

3. Deben existir pistas de auditora para todas las actividades realizadas

por las aplicaciones contra sus propias bases de datos y otras
compartidas.

4. Deben existir controles software para prevenir interferencias de

actualizacin sobre las bases de datos en sistemas distribuidos.

5. Deben realizarse las consideraciones adecuadas de costes y

beneficios en el diseo de entornos distribuidos.
 productos que permiten la implantacin
efectiva de una poltica de seguridad
grave inconveniente de este tipo de
software es que a veces no se encuentra
bien integrado con el SGBD

Son primordiales en el entorno de los SGBD

en cuando a la integracin de componentes y
al cumplimiento de la seguridad de los datos
 objetivos de control para los L4G, entre los que
destacan los siguientes:

El L4G debe ser capaz de operar en el entorno de

proceso de datos con controles adecuados.

Las aplicaciones desarrolladas con L4G deben

seguir los mismos procedimientos de autorizacin y
peticin de los proyectos de desarrollo convencional.

Las aplicaciones desarrolladas con L4G deben

sacar ventaja de las caractersticas incluidas en los
mismos.
objetivos de control:
- La documentacin de las aplicaciones
desarrolladas por los usuarios finales debe
ser suficiente para que tanto sus usuarios
principales como cualquier otro puedan
operar y mantenerlas.
- Los cambios de estas aplicaciones
requieren la aprobacin de la direccin y
deben documentarse de forma completa.
 debindose controlar la poltica de refresco y
carga de los datos en el almacn a partir
de las bases de datos operacionales
existentes.
mecanismos de retroalimentacin que
modifican las bases de datos operacionales a
partir de los datos del almacn
fijar claramente las responsabilidades sobre los
diferentes componentes, utilizar informes de
excepcin efectivos que permitan monitorizar los
controles, establecer procedimientos adecuados,
implantar una gestin rigurosa de la configuracin
del sistema, etc.