UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONOMICAS/ESCUELA DE AUDITORIA
AUDITORIA 5 / AUDITORIA DE BASE DE DATOS
GRUPO DE TRABAJO No. 01 SALON 210 EDIFICIO S-3
AUDITORIA DE BASE DE DATOS
QUE ES AUDITORIA: La palabra auditoria viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y
revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que
se est operando
QUE ES BASE DE DATOS (BD): Tambin denominado Banco de Datos, es el conjunto de datos que se resguardan de
manera masiva y ordenada los cuales pueden ser encontrados con mayor facilidad y son susceptibles de modificaciones,
ya que se encuentran relacionados entres s.
Caractersticas de una Base de Datos:
a. Independencia lgica y fsica de los datos.
b. Redundancia mnima.
c.
Acceso concurrente por parte de mltiples usuarios.
d. Integridad de los datos.
e. Consultas complejas optimizadas.
f.
Seguridad de acceso y auditora.
g. Respaldo y recuperacin.
h. Acceso a travs de lenguajes de programacin estndar.
QUE ES UNA AUDITORIA DE BASE DE DATOS: Es el proceso que permite medir, asegurar, demostrar, monitorear y
registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar:
a.
b.
c.
d.
e.
f.
Quin accede a los datos.
Cundo se accedi a los datos.
Desde qu tipo de dispositivo/aplicacin.
Desde que ubicacin en la Red.
Cul fue la sentencia SQL ejecutada.
Cul fue el efecto del acceso a la base de datos.
Objetivos: Disponer de mecanismos que permitan capturar de una auditora la relacin del personal con el acceso a las
bases de datos incluyendo la capacidad de generar, modificar y/o eliminara datos.
Importancia: Dentro de los aspectos de mayor importancia de la auditora del entorno de bases de datos radica en que
es el punto de partida para poder realizar la auditora de las aplicaciones que se utilizan, adems que toda la informacin
financiera de una compaa reside en una de estas, ya que debe existir controles adecuados y relacionados con el
acceso a las mismas.
METODOLOGAS DE LA AUDITORIA DE BASE DE DATOS.
METODOLOGIA TRADICIONAL: En este tipo de metodologa el auditor revisa el entorno con la ayuda de una lista de
control (checklist), que consta de una serie de cuestiones a verificar.
�UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONOMICAS/ESCUELA DE AUDITORIA
AUDITORIA 5 / AUDITORIA DE BASE DE DATOS
GRUPO DE TRABAJO No. 01 SALON 210 EDIFICIO S-3
METODOLOGIA DE LA EVALUACION DE RIESGOS: Este tipo de metodologa, conocida tambin por Risk Oriented
Approach, esta inicia fijando objetivos de control que minimizan los riesgos potenciales a los que est sometido el
entorno, de acuerdo a los siguientes riesgos:
a.
b.
c.
d.
e.
f.
g.
Incremento de la "dependencia" del servicio informatico debido a la concentracin de Datos
Mayores posibilidades de acceso en la figura del administrador de base de datos
Impcompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalacin.
Mayor impacto de los errores en datos o programas que en los sistemas tradcionales.
Ruptura de enlaces o cadenas por fallos del sofware o de los programas de aplicacin.
Mayor impaco de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional.
Mayor dependencia del nivel de conocimientos tcnicos del personal que realice tareas relacionadas conel
software de base de datos.
OBJETIVO DE CONTROL EN EL CICLO DE VIDA DE UNA BD
ESTUDIO PREVIO Y PLAN DE TRABAJO: Primera etapa del ciclo de vida, se un estudio tecnolgico el cual contempla
las alternativas para alcanzar los objetivos del proyecto, mediante un anlisis que involucrar los beneficios vrs. costo de
las todas las opciones. Adems que debe considerarse las alternativas, es decir la posibilidad de no llevar a cabo el
proyecto (ya que no siempre hay una justificacin para implementar una BD), as como la alternativa entre desarrollar y/o
comprar una sistema que adecese la BD a las necesidades de la compaa. Otro aspecto de importancia en esta fase
es la aprobacin de la estructura orgnica del proyecto, sino como tambin de la unidad que tendr la responsabilidad
de la gestin y control de la base de datos.
CONCEPCION DE LA BASE DE DATOS Y SELECCIN DEL EQUIPO: En esta fase se disea la base de datos. La
metodologa de diseo deber emplearse para especifirar los documentos fuentes, as como los mecanismos de control,
los mtodos de seguridad y las pistas de auditoria que se incluir en el sistema. El auditor debe analizar la metodologa
del diseo para determinar si es correcto o no, y si ser funcional para cubrir todas la necesidades de utilizacin. El
requisito mnimo para el diseo de la BD deber completar dos fases de diseo: Lgico y Fsico, aunque en la mayora
de los casos se incluye una tercera fase, el Diseo Conceptual.
DISEO Y CARGA: En esta fase se llevarn a cabo los diseos lgico y fsico de la base de datos, por lo que el auditor
tendr que examinar si estos diseos se han realizado correctamente; determinando si la definicin de datos contemplan
adems de su estructura, las asociaciones y las restricciones oportunas, as como las especificaciones de
almacenamiento de datos y las cuestiones relativas a la seguridad.
EXPLOTACIN Y MANTENIMIENTO: Una vez que se han realizado las pruebas de aceptacin, con la participacin de
los usuarios, el sistema se pondr (tras las correspondientes autorizaciones y siguiendo los procedimientos establecidos
para ello) en explotacin. Deben verificarse que se establecen los procedimientos de explotacin y mantenimiento que
aseguren que los datos se tratan de forma congruente y exacta.
REVISIN POST-IMPLANTACINE: Establecer el desarrollo de un plan para efectuar una revisin postimplantacinde todo sistema nuevo o modificado con el fin de evaluar si cumple con las necesidad de la
empresa, mediantes las siguientes interrogantes:
Se han conseguido los resultados esperados.
Se satisfacen las necesidades de los usuarios.
Los costes y beneficios coinciden con lo previsto
OTROS PROCESOS AUXILIARES: A lo largo de todo el ciclo de vida de la base de datos se deber controlar la
formacin que precisan tanto los usuarios informtico como los no informticos; ya que la formacin es una de las
claves para minimizar el riesgo en la implantacin de una base de datos.
AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS
�UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONOMICAS/ESCUELA DE AUDITORIA
AUDITORIA 5 / AUDITORIA DE BASE DE DATOS
GRUPO DE TRABAJO No. 01 SALON 210 EDIFICIO S-3
Cuando el auditor, se encuentra en explotacin de la informacin, debera estudiar el SGBD y el entorno. El desarrollo y
manteniminto de sistemas informativos entornos de BD, deberan considerarse el control, la integridad y la seguridad de
los datos compartidos por multiples usuario, por tal razon deben abarcase todos los componentes de la BD, pero cabe
resaltar que el entorno es cada vez mas complejo y no puede limitarse al propio de una SGBD.
SISTEMA DE GESTION DE BASE DE DATOS (SGBD)
Entre sus componentes puede destacarse:
a. El ncleo (Kernel)
b. El catlogo, componente para asegurad la seguridad de la BD
c.
Las utilidades del administrador de la BD, entre las que se pueden crear usuaciros, conceder privilegios y
resolver
otras asuntos relatives a la confiencialidad.
d. Las que se encargan de la recuperacion de BD
e. Rearranque, copias de respaldo, archives diarios
f. Funciones de auditoria
g. Lenguaje de cuarta generacin (LG4) que incorpora el propio SGBD
SOFTWARE DE AUDITORIA: Son paquetes que pueden emplearse a facilitar la labor del auditor, es decir para la
extraccin de base de datos, seguimiento de transacciones, datos de prueba, etc. Hay productos muy interesantes que
premiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera AUDITORIA DE BASE DE DATOS.
SISTEMA DE MONITORIZACIN Y AJUSTE (TUNING): Este tipo de sistema complementan las facilidades ofrecidas por
el propio SGBD, ofreciendo mayor informacin para optimizar el sistema, llegando a ser en determinadas ocasiones
verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del
SGBD y del SO.
SISTEMA OPERATIVO (SO): Un sistema operativo (SO, siglas en ingls Operating System) es un programa o conjunto
de programas que en un sistema informtico gestiona los recursos de hardware y provee servicios a los programas de
aplicacin, ejecutndose en modo privilegiado respecto de los restantes y anteriores prximos y viceversa. Ademas que
es una pieza clave del entorno puesto que el SGBD se apoyara en mayor medida de los servicios que le ofrezca el SO
en cuanto control, memoria, gestion de almacenamiento, manejo de errores, control de confidencialidad, mecanismos de
bloqueo, etc.
MONITOR DE TRANSACCIONES: Un sistema de procesamiento de transacciones (TPS por sus siglas en ingls) es un
tipo de sistema de informacin que recolecta, almacena, modifica y recupera toda la informacin generada por las
transacciones producidas en una organizacin. Una transaccin es un evento que genera o modifica los datos que se
encuentran eventualmente almacenados en un sistema de informacin.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS: Protocolos: Es un conjunto bien conocido de reglas y formatos que se
utilizan para la comunicacin entre procesos que realizan una determinada tarea. Un protocolo permite que componentes
heterogneos de sistemas distribuidos puedan desarrollarse independientemente.
Sistemas Distribuidos: Sistemas cuyos componentes hardware y software, que estn en ordenadores conectados en red,
se comunican y coordinan sus acciones mediante el paso de mensajes, para el logro de un objetivo. Se establece la
comunicacin mediante un protocolo prefijado por un esquema cliente-servidor.
PAQUETES DE SEGURIDAD: Son programas de software y servicios que ayuda a proteger tu computadora de hackers,
virus, spyware y otras amenazas. Paquete de seguridad de se actualizan automticamente para mantener al usuario
protegido de nuevas amenazas por internet.
DICCIONARIO DE DATOS: Un diccionario de datos es un conjunto de metadatos que contiene las caractersticas lgicas
y puntuales de los datos que se van a utilizar en el sistema que se programa, incluyendo nombre, descripcin, alias,
contenido y organizacin. Identifica los procesos donde se emplean durante el anlisis de flujo de datos y auxilia a los
�UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONOMICAS/ESCUELA DE AUDITORIA
AUDITORIA 5 / AUDITORIA DE BASE DE DATOS
GRUPO DE TRABAJO No. 01 SALON 210 EDIFICIO S-3
analistas que participan en la determinacin de los requerimientos del sistema, su contenido tambin se emplea durante
el diseo.
HERRAMIENTAS CASE: Son un conjunto de herramientas y mtodos asociados que proporcionan asistencia
automatizada en el proceso de desarrollo del software a lo largo de su ciclo de vida. Fueron desarrolladas para
automatizar esos procesos y facilitar las tareas de coordinacin de los eventos que necesitan ser mejorados en el ciclo
de desarrollo de software.
LENGUAJES DE CUARTA DIMENSIN: Los 4GL son entornos de desarrollo de aplicaciones constituidos por un
conjunto de herramientas integradas. Se centran principalmente en las fases de Construccin e Implantacin del ciclo de
vida del desarrollo de software. Los lenguajes de cuarta generacin contemplan un gran grado de abstraccin que viene
a crear una verdadera caja negra pues el programador no dice como se realizaran las aplicaciones que se desee crear,
nada ms dar una serie de parmetros que aunque dependen del programa que se quiera crear siempre van a estar
muy alejados de la mquina o hardware, esta ha sido la tendencia a seguir con cada generacin de los lenguajes de
programacin.
FACILIDADES DE USUARIO DE BASES DE DATOS: demuestran facilidades para dotar el usuario final de las ms
modernas y completas facilidades resultantes de la utilizacin de base de datos y de los ambientes que ofrecen los
lenguajes de cuarta generacin.
HERRAMIENTAS DE MINERIA DE DATOS: La minera de datos o exploracin de datos, es un campo de las ciencias de
la computacin referido al proceso que intenta descubrir patrones en grandes volmenes de conjuntos de datos. Utiliza
los mtodos de la inteligencia artificial, aprendizaje automtico, estadstica y sistemas de bases de datos. El objetivo
general del proceso de minera de datos consiste en extraer informacin de un conjunto de datos y transformarla en una
estructura comprensible para su uso posterior.
APLICACIONES: es un programa diseado como herramienta que permite al usuario realizar uno o diversos trabajos,
especialmente como una solucin informtica para la automatizacin de ciertas tareas complicadas como la contabilidad,
la redaccin de mltiples documentos, el control de gestin de un almacn o la ejecucin presupuestaria de una entidad,
siendo estas: los procesadores de texto, hojas de clculo y bases de datos. Ciertas aplicaciones desarrolladas suelen
ofrecer una gran potencia ya que estn exclusivamente diseadas para resolver un problema en especfico.
TENICAS PARA EL CONTROL DE BASES DE DATOS
La Direccin de la empresa tiene responsabilidad en lo que se refiere a la coordinacin de los distintos elementos del
entorno de la Base de Datosy a la aplicacin correcta y coherente de los controles de seguridad. Hay que fijar
responsables y procedimientos y, en la medida de lo posible, que estos faciliten una auditora posterior.
a. Tcnica de Matrices de Control
Es la tcnica bsica de toda la vida
Matriz que por un lado lleva un elemento a controlar, y por otro, los tipos de controles de seguridad (preventivos,
detectivos, correctivos) que se han diseado para ello. En su cruce llevar la enumeracin de dichos controles y
la opinin del auditor sobre su funcionamiento
�UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONOMICAS/ESCUELA DE AUDITORIA
AUDITORIA 5 / AUDITORIA DE BASE DE DATOS
GRUPO DE TRABAJO No. 01 SALON 210 EDIFICIO S-3
b. Tcnica de los Caminos de Acceso
Se documentan todas las fases (flujos) por las que pasa un dato desde su introduccin por un ente (usuario /
mquina) hasta que se almacena en la Base de Datos, identificando los componentes por los que pasa y los
controles asociados (definidos por la entidad).
Esto mismo se hace con los datos que se obtienen del proceso de otros (por qu componentes pasa
programa, cadenas, almacenamientos transitorios y a qu controles es sometido.
Esta tcnica permite detectar debilidades del sistema que pongan a las datos que pongan en riesgo a nivel
de: Integridad, confidencialidad y seguridad.
Hay que poner especial cuidado en el anlisis de los interfaces entre los componentes y los
almacenamientos transitorios (debilidades de seguridad).
