UNIVERSIDAD TECNOLÓGICA NACIONAL

FACULTAD REGIONAL CÓRDOBA

AUDITORÍA DE SISTEMAS

TRABAJO DE INVESTIGACIÓN: AUDITORÍA DE BASES

DE DATOS, DATOS Y DATAWARE HOUSE

Curso: 5K3

GRUPO N° 4

Integrantes:

Garzón, Sebastián Leg. 38527

Giordano, Ricardo Leg. 37798
Oliva, Diana Leg. 29331
Palacios, Ramiro Leg. 37289
Valdemarín, Guillermo Leg. 38247

Córdoba, Abril del 2002

Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Índice

Introducción ..................................................................................................................... 3
Objetivos.......................................................................................................................... 3
Límite................................................................................................................................ 3
Alcances........................................................................................................................... 3
Herramientas a utilizar...................................................................................................... 4
Desarrollo del trabajo........................................................................................................4
AUDITORÍA DE DATOS....................................................................................... 4
¿Cómo se pueden eliminar los errores de los datos? .......................................... 4
Componentes a tener en cuenta en una Auditoría de Datos................................ 5
Controles en el Ciclo de Vida de los Datos............................................................ 5
Control de datos fuente (entrada).......................................................................... 5
Controles de procesamiento................................................................................. 6
Controles de salida............................................................................................... 6
Control de almacenamiento masivo...................................................................... 7
Fraude Informático................................................................................................ 7
AUDITORÍA DE BASES DE DATOS.................................................................... 7
¿Qué es una Base de Datos? ...............................................................................8
Tipo de Base de Datos .................................................................................. 8
Bases de Datos Planas................................................................................... 8
Bases de Datos Relacionales......................................................................... 9
Bases de Datos Orientadas a Objetos............................................................ 9
Riesgos en un Ambiente de Base de Datos............................... ......................... 9
Objetivos de la Auditoría de Base de Datos............................... ........................ 10
Metodología para Auditar ........................................................... ......................... 11
Metodología tradicional.................................................................................. 11
Metodología de evaluación de riesgos.......................................................... 11
El Administrador de la Base de Datos................................................................. 12
Niveles de Acceso............................................................................................... 14
La protección y la confidencialidad de los Datos................................................. 15
Medidas de prevención ....................................................................................... 15
Identificación del individuo recurrente.............................................................. 16
Identificación del terminal recurrente............................................................... 17
Forma de los datos y su soporte de almacenamiento...................................... 18
DATAWARE HOUSE............................................................................................ 18
Auditoría en Bases de Datos comerciales ............................................................ 20
La auditoría en ORACLE ..................................................................................... 21
La auditoría en SYBASE SQL SERVER .............................................................. 23
Descripción del software de auditoría - WizRule .................................................. 26
Aplicación práctica: Auditoría de Base de Datos en AVEIT ................................. 28
Conclusiones................................................................................................................... 30
Bibliografía....................................................................................................................... 31
Glosario........................................................................................................................... 32

2
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Introducción
La importancia de la auditoría de bases de datos radica en que actualmente los
datos constituyen uno de los activos más críticos en una organización.

La protección de los datos puede tener varios enfoques respecto a las

características de confidencialidad, disponibilidad e integridad. Puede haber datos críticos
en cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles
(religión, raza, sexo). Otros datos cuya criticidad viene dada por la disponibilidad: si se
pierden o no están utilizables a tiempo pueden causar perjuicios graves y, en casos más
extremos, poner en peligro la continuidad de la entidad. Y finalmente otros datos críticos
atendiendo a su integridad, especialmente cuando su pérdida no puede detectarse
fácilmente o una vez detectada no es fácil reconstruirlos.

Los sistemas de gestión de bases de datos (DBMS) son las herramientas primarias
para la automatización del almacenamiento de datos. Son usados para guardar y
mantener un registro de todas las transacciones de negocio, y también crear y mantener
datos que derivan de ese conjunto de transacciones.

Tal como en el almacenamiento de datos manual, los sistemas automatizados

deben ser monitoreados cuidadosamente para mantener la calidad de los datos. Una gran
variedad de errores pueden filtrarse dentro de las bases de datos organizacionales, desde
errores en la entrada hasta violaciones de seguridad. De alguna manera los DBMS han
revolucionado el almacenamiento de datos en términos de eficiencia y seguridad, pero la
capacidad de mantener calidad y detectar errores no ha evolucionado en tal magnitud.
Por ello la auditoría de las bases de datos cumple un papel fundamental en los sistemas
de una empresa.

Objetivo del trabajo

El objetivo de este trabajo es desarrollar una investigación de auditoría de datos,

bases de datos y DataWare House.

Límites

 Desde: conceptos generales de bases de datos y sus riesgos

 Hasta: cómo proteger y auditar esos datos

Alcances

 Auditoría de Datos - Importancia

 ¿Cómo eliminar los errores?
 Componentes a tener en cuenta
 Controles en el Ciclo de Vida de los Datos (de entrada, procesamiento, salida y
almacenamiento masivo)
 Fraude Informático
 Base de Datos (planas, relacionales y orientadas a objetos)
 Riesgos en un Ambiente de Base de Datos
 Objetivos de la Auditoría de Base de Datos
 Metodologías para Auditar

3
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

 El Administrador de la Base de Datos

 Los Niveles de Acceso
 La protección y la confidencialidad de los Datos
 Eficacia de una protección de acceso
 Identificación física del individuo que opera
 Principales modos de acceso a los datos
 Principios funcionales del control de las autorizaciones de acceso
 DataWare House
 Auditorías en Oracle y SqlServer
 Software de Auditoría WizRule
 Aplicación práctica: Auditoría de Base de Datos en AVEIT

Herramientas a utilizar

 Bibliografía
 Páginas web

Desarrollo del Trabajo

AUDITORÍA DE DATOS
Los datos y la información pueden llegar a constituir el activo más crítico para la
entidad. Estos datos, además de alfanuméricos, pueden consistir en imágenes de planos,
en otros diseños u objetos, gráficos, acústicos, y otros, y estar almacenados en medios y
soportes diversos.

La protección de los datos puede tener varios enfoques respecto a las

características de confidencialidad, disponibilidad e integridad. Puede haber datos críticos
en cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles
(religión, raza, sexo). Otros datos cuya criticidad viene dada por la disponibilidad: si se
pierden o no están utilizables a tiempo pueden causar perjuicios graves y, en casos más
extremos, poner en peligro la continuidad de la entidad. Y finalmente otros datos críticos
atendiendo a su integridad, especialmente cuando su pérdida no puede detectarse
fácilmente o una vez detectada no es fácil reconstruirlos.

La mayoría de las personas que trabajan con grandes volúmenes de datos, desde
usuarios finales hasta administradores de bases de datos, no se percatan de
inconsistencias o errores que puedan tener los mismos. Estos errores se pueden producir
por diferentes factores, por ejemplo: una falla del data-entry, por el mal funcionamiento de
hardware y software, y fraude entre otros.
Estos errores que pueden causar daños considerables y no son fáciles de corregir
generalmente se traducen en pérdidas para una empresa.

¿Cómo se pueden eliminar los errores de los datos?

Existen distintos métodos para eliminar los errores en los datos. Generalmente se utilizan
los siguientes:

4
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

 Uno de los métodos consiste en la utilización de un hardware especial, por ej.: un

lector de códigos de barras, esto reduce considerablemente la falla en la carga de
un número importante de ítems.
 Otro método consiste en agregar al software del data-entry una serie de
procedimientos de control de captura. Estos procedimientos avisan al usuario de
alguna inconsistencia en los datos, por ejemplo cuando se ingresa un precio de
venta que se halla por debajo del precio de compra.
 El tercer método consiste en generar reportes de auditoría que revelan errores en
los datos. Estos reportes son una lista de las transacciones realizadas, cada
transacción tiene un valor asociado y se evalúa cuánto se aleja de otro valor
tomado como referencia.

Componentes a tener en cuenta en una auditoría de datos

1- Seguridad de datos y confiabilidad. El acceso a los datos está limitado al personal
autorizado.
2- Seguridad física. El acceso a las instalaciones y activos relacionados está limitado al
personal que lo requiere para realizar su trabajo.
3- Seguridad de programa. El acceso a archivos de programas y bibliotecas está
restringido al personal autorizado utilizando el software de seguridad.

Controles en el ciclo de vida de los datos

Lo que ha de revisarse en la auditoría son los diferentes puntos del ciclo de vida de
los datos:

1) Control de datos fuente (entrada)

Se verificará que los controles de integridad y calidad de datos se realizan de

acuerdo a las normas. Se analizará la captura de la información en soporte compatible
con los sistemas, la correcta transmisión de datos entre entornos diferentes, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos.

Los controles de entrada tienen dos objetivos principales:

 Todas las transacciones sean ingresadas al sistema de manera completa y exacta

para su procesamiento.
 Asegurar que solamente las transacciones autorizadas sean inicializadas y
completamente registradas.

La mayoría de los delitos por computadora son cometidos por modificaciones de

datos fuente al:

 Suprimir u omitir datos.

 Adicionar datos.
 Alterar datos.

Lo primero que se debe evaluar es la entrada de la información y que se tengan

las cifras de control necesarias para determinar la veracidad de la información, para lo
cual se puede utilizar un cuestionario como el siguiente:

5
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

1. Indique el porcentaje de datos que se reciben en el área de captación.

2. Indique cuál/es control/es interno/s existe/n en el área de captación de datos:
 Firmas de autorización
 Revisión del documento
 Errores por trabajo
3. ¿Existe un programa de captación de datos?
4. ¿Quién controla las entradas de documentos fuente? ¿En que forma las controla?
5. ¿Qué documentos de entradas se tienen?
6. ¿Se anota que persona recibe la información y su volumen?
7. ¿Se verifica la cantidad de información recibida para su captura?
8. ¿Se revisan las cifras de control antes de enviarlas a captura?

2) Controles de procesamiento

Los controles de procesamiento tienen cuatro objetivos principales:

 Asegurar que las transacciones ingresadas para su procesamiento sean aceptadas
por el sistema e incluidas en el ciclo de procesamiento correspondiente.
 Todas las transacciones son procesadas una sola vez
 Todas las transacciones son exactamente procesadas; y
 Todas las transacciones rechazadas son informadas por el sistema.

Es necesario controlar los procesamientos de los datos de manera que éstos se

hagan correctamente según lo planificado y no haya datos erróneos y no se alteren la
integridad y consistencia de la base de datos.

Para realizar esto se propone un cuestionario como el siguiente:

1. ¿Existen procedimientos formales para la operación del sistema de cómputos?

2. ¿Están actualizados los procedimientos, con qué periodicidad se realiza?
3. ¿Existen órdenes de proceso para cada corrida en la computadora
4. ¿Los retrasos con el programa de operación diaria, se revisa y analiza?
5. ¿Puede el operador modificar los datos de entrada?
6. ¿Se prohíbe al operador modificar información de archivos?
7. ¿Se rota al personal de control de información con los operadores, procurando el
entrenamiento cruzado y evitando la manipulación fraudulenta de datos?

3) Controles de salida

Proveen la garantía de que los resultados de la entrada y el procesamiento son

informados. Componen el proceso final para verificar la integridad de la información y
aseguran que la salida sea accesible solamente para el personal autorizado. Incluyen
controles en transmisiones, en impresión, en distribución, en manipulación y envío;
conciliación previa de salidas con entradas, por personas diferentes, para detectar errores
y posibles intentos de fraude.

Para realizar el control se propone el siguiente cuestionario:

1. ¿Quién entrega los documentos de salida?

2. ¿En qué forma se entregan?
3. ¿Qué controles se tienen?

6
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

4. ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se

atienden solicitudes de información a otros usuarios del mismo sistema?
5. ¿Se destruye la información, o bien que se hace con ella?

4) Controles de almacenamiento masivo

Los dispositivos de almacenamiento representan, para cualquier centro de

cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría tener
repercusiones muy serias, no sólo en la unidad de informática, sino en la dependencia en
la cual se presta servicio. Una dirección de informática bien administrada debe tener
perfectamente protegidos estos dispositivos de almacenamiento, además de mantener
registros sistemáticos de la utilización de estos archivos de modo que sirvan de base a los
programas de limpieza (borrado de información), principalmente en el caso de las cintas.
Es necesaria la designación de propietarios, clasificación de los datos, aprovechar
al máximo las posibilidades de protección, control y auditoria del sistema de gestión de
bases de datos que se este utilizando.
Además se deben tener perfectamente identificados los carretes para reducir la
posibilidad de utilización errónea o destrucción de la información.
En cuanto a la clasificación de datos e información debe revisarse quien la ha
realizado y según que criterios y estándares. En ocasiones la denominación “sin clasificar”
se aplica tanto a los datos que no requieren protección como a los que están pendientes
de clasificar, por lo que es necesario diferenciar las dos situaciones.
Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y
segura, mejorando los tiempos de procesos.

El auditor deberá tener en cuenta las condiciones de los medios físicos que
soportan las bases de datos. Debe controlar que aquellos soportes que contengan datos
más críticos estén especialmente protegidos, incluso cifrados. Verificará que el ordenador
este en un lugar donde no pueda golpearse, donde no haya acumulación de calor. Estas
son unas de las causas más frecuentes de las fallas de los discos duros.
En la auditoria se analizará la destrucción de la información clasificada, y
especialmente donde se almacena hasta su destrucción, que suele ser un punto débil.
Es importante incorporar dispositivos de seguridad durante el diseño del sistema,
en vez de añadirlos después.

Fraude informático

 Características

El fraude informático es el fraude que se produce utilizando herramientas informáticas,

desde programas (software) de base o de aplicación hasta información almacenada y
actualizada por estos medios.
Una de las principales características del fraude informático es la vulnerabilidad que
ofrecen las grandes concentraciones de información y las facilidades de su acceso a
través de herramientas como:
- Base de datos de todo tipo
- Redes de comunicaciones locales y/o remotas.
- Internet
a las cuales se puede acceder cada vez con mayor facilidad y a un número casi
ilimitado de posibilidad de cometer ilícitos.

7
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

 Métodos de fraude

Se pueden distinguir dos métodos de fraude muy frecuentes:

- Fraudes cometidos por accesos no autorizados
Por lo general, son cometidos por personas no autorizadas que conociendo claves
de acceso cometen todo tipo de ilícitos.
La proliferación de las redes y la conectividad entre las bases de datos, ha sido y
es en la actualidad un campo propicio para ese tipo de delitos.
Los ejemplos son innumerables, y van desde transferencias dolosas de fondos
bancarios hasta cancelaciones de deudas con gran perjuicio financiero para las
empresas.
- Fraudes cometidos por manejo de la información en forma no legal
Este tipo de fraude depende en gran parte de la capacidad y conocimiento de la
persona que los efectúa y son generalmente no sistemáticos y realizados de
manera puntual.

AUDITORÍA DE BASES DE DATOS

¿Qué es una Base de Datos?

Es una colección de datos interrelacionados y almacenados en conjunto, sin

redundancias innecesarias; su finalidad es la de servir a una o más aplicaciones de la
mejor manera posible.
Los datos se almacenan de modo que mantengan la independencia con los
programas que los usan.
La Base de Datos es una colección completa de datos, punteros, tablas, índices,
diccionarios y otros.
Uno de los aspectos más interesantes de las nuevas bases de datos, es el inmenso
potencial para dejar rastros o pistas de auditoría. La principal herramienta para llevar a
cabo esta tarea son los manipuladores de eventos o triggers. Un trigger es un pequeño
programa que se ejecuta cuando se intenta realizar una operación contra la base de
datos. De esta manera, se pueden generar registros de las acciones que efectúan los
usuarios a través de los programas o directamente sobre la base de datos.
Esta característica es muy importante desde el punto de vista de que permite
realizar un análisis de esos registros que delate tendencias y actitudes sospechosas,
tanto de los operadores como de los usuarios.
Actualmente, además de este mecanismo básico presente en todas las bases de
datos importantes, existen otras características sofisticadas que permiten controlar hasta
el puesto y el programa que se estaba utilizando para interactuar con la base de datos.

Tipos de Bases de Datos

Bases de Datos Planas

Antes de la aparición de las bases de datos relacionales los sistemas de

almacenamiento de datos eran sistemas manuales llevados a velocidades electrónicas. El
principal problema de este tipo de sistemas era la calidad de los datos. Para lograrla se
acudía a mejorar la captura validando por programa lo máximo posible.
En cuanto a los usuarios y al esquema de seguridad el control lo realizaba el
sistema operativo. Los auditores tenían serios problemas para controlar estos tipos de
sistemas ya que era relativamente simple cometer fraudes e incurrir en errores.
8
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Bases de datos relacionales

Con el advenimiento de los modelos relacional, aparecen sistemas de

administración de bases de datos con una arquitectura de control de la integridad y de
seguridad muy superiores a lo que permitía realizar una aplicación. Las aplicaciones se
volvieron más simples y la tarea de los auditores más especializada.
La principal herramienta de control sobre este tipo de bases de datos son las reglas
de integridad, sentencias lógicas que capturan la semántica de los datos y la intención de
una transacción. Las mismas deben ser satisfechas para obtener información correcta y
completa. Por ello la tarea del auditor se especializa en el conocimiento y el control de
estas reglas.
Existen dos enfoques que debe verificar el auditor: por un lado un buen modelo de
datos que defina la totalidad de las reglas que deberán ser implantadas en la base de
datos; por otro lado la base de datos debe poder satisfacer el control de estas reglas.
El aspecto más importante que surge con estos motores es, como dijimos
anteriormente, la posibilidad de registrar pistas de auditoría.

Bases de datos orientadas a objetos

Los auditores deben contemplar las posibilidades de error de mapeo (si se traslada
la base relacional a una orientada a objetos), la complejidad y las reglas generadas. Con
la aparición de las bases de datos orientadas a objetos se produce un quiebre del
paradigma anterior en donde las aplicaciones estaban guiadas por el modelo de datos.
Los auditores de sistemas se ven obligados a conocer y dominar estas metodologías y
todas sus reglas. A su vez, la arquitectura de las aplicaciones se complica en grados
nunca sospechados hace algunos años.
En cada capa de la aplicación se encuentran nuevas formas de dejar pistas de
auditoría. Dejar pistas de auditoría al nivel de use-case permite capturar mucho mejor la
intencionalidad del usuario que dejarlas alrededor de las transacciones de conjunto de
tablas.

Riesgos en un ambiente de Base de Datos

1. Acceso no autorizado
Implica permitir el acceso a la base de datos sin la debida autorización.

2. Debilidad en las políticas de control de la información

Se refiere a la insuficiencia de control implantado por la gerencia de la organización.
Tiene que ver con el manejo de la información dentro de la entidad y especialmente de
aquella información relacionada a la base de datos. Se hace referencia
específicamente al control de flujo de la información, al uso que se le pueda dar y a
quien tiene acceso sin la debida autorización.

3. Fraude y desfalco
Estos riesgos atentan contra los activos de la base de datos, especialmente por el uso
y/o retiro no autorizado de los mismos, por parte del personal de confianza de la
organización
Pero evidentemente el riesgo también puede tener origen en el personal extraño o que
no esté relacionado directamente con la entidad.

4. Violación de la privacidad

9
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Se trata de la violación intencional de la información, contraviniendo lineamientos

éticos de la organización.

5. Manejo inadecuado de errores

Uso de procedimientos deficientes para manejar los errores después de que han
entrado a la base de datos.

6. Pistas de auditoría incompletas

No se han diseñado suficientes pistas de auditoría, que permitan el rastreo de los
datos a través de todas las funciones de la base de datos.

7. Falta de cotejo y balanceo de salidas

Este riesgo evidencia la falta de controles a la base de datos que aseguren la
integridad de los datos durante su proceso y emisión de informes.

8. Falta de control a los programas de interface

No hay o son deficientes los controles de interface entre los programas de la
administración de base de datos (sistema operativo, programas para
telecomunicaciones y monitores de teleproceso) y el software de tipo aplicativo.

Objetivos de la Auditoría de Bases de Datos

El objetivo de la auditoría es comprobar la existencia y efectividad de controles

sobre todos los componentes de la base de datos.

 Administrador de la BD
 Software de la BD
 Logs y reportes
 Estándares operativos de la BD
 Diccionario de datos
 Recursos humanos
 Reconstrucción de la BD
 Enmascaramiento-Encriptamiento
 Plan de contingencia
 Predictibilidad
 Niveles de Acceso

1. Administrador de la base de datos (ABD):

Es la persona responsable del mantenimiento y del control de la base de datos. Se
responsabiliza además del diccionario de datos, del software para el acceso a la base
de datos, de las estructuras de los datos y de cualquier otra faceta relacionada con la
base de datos.

2. Software de la base de datos:

Son los programas específicos que se utilizan para acceder a los datos, actualizar la
base de datos y servir de interfaces con cualquier otro programa, como son los
sistemas operativos y los programas aplicativos.

3. LOGs y reportes:
Son los registros históricos que normalmente operan en las bases de datos y que
pueden utilizarse para controlar o rastrear lo que ha sido introducido o retirado de la
10
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

base de datos. Esto incluye también aquellos reportes de salida que muestren
cualquier cambio hecho a la base de datos, al diccionario, al software y otros aspectos
asociados.

Es necesario tener un LOG de seguridad, por lo menos sobre los siguientes aspectos:

 Comandos del operador

 Control de cambios al programa
 Todas las fallas del sistema, razones y acciones seguidas
 Intentos de acceso no autorizados
 Estadísticas sobre el uso de datos confidenciales
 Informe de accesos por usuario y por tiempo

4. Estándares operativos de la base de datos:

Son la base de documentación escrita sobre la estructura de la base de datos, de sus
características operativas, del diccionario de datos y de cualquier otra información
escrita que se relacione de alguna manera con la base de datos.

5. Diccionario de datos:
Este sistema comprende un paquete que ayuda al administrador a controlar el sistema
de la base de datos.
Es la lista de los elementos dentro de la base de datos, en la cual se explican
detalladamente y en forma ordenada, todos los campos que ésta contiene. El
diccionario de datos describe las relaciones entre los diversos campos, indicando el
nombre, membrete de encabezamiento, la extensión, el tipo de dato y otros detalles.

Los problemas de control se relacionan con:

 Nivel de protección. Acceso.

 Procedimientos para efectuar cambios.
 Distribución.
 Aspectos de completitud, precisión y control.

6. Recursos Humanos:
Comprende los usuarios de la base de datos, las personas responsables de las
operaciones de proceso de datos, la programación, el desarrollo de sistemas y todas
las personas que de una u otra forma tienen relación con la base de datos.

En este punto se tiene en cuenta lo siguiente:

 Tablas de autorización
 Características del usuario

7. Reconstrucción de la base de datos:

La administración deberá contemplar planes suficientemente confiables que
garanticen, en un momento dado, la reconstrucción parcial o total de la base de datos.
El auditor debe controlar que se hagan backups de la información vital para la
empresa, y almacenarse en lugares adecuadamente preparados para ese fin, y de
preferencia aparte del local donde se encuentran los equipos que usualmente lo
manejan.

11
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

8. Enmascaramiento-Encriptamiento:
Es una técnica de control que protege los datos durante la comunicación o mientras
estén almacenados, dentro de un sistema o red de computadores.

9. Plan de contingencia:
EL ABD deberá diseñar un plan de contingencia para proteger la BD como parte del
plan general de desastres y si es posible, deberá probarse en todas sus fases.

10. Predictibilidad:
Debe hacerse una prueba de predictibilidad mediante la cual se puede predecir la
respuesta de sí el sistema se ejecuta apropiadamente o tiene fallas. Por ejemplo, un
programa tiene integridad si la respuesta a todos sus ingresos anticipados es la salida
esperada. Para ingresos no anticipados, el ingreso deberá permanecer predicho
(mensajes de error o códigos de retorno). Si el programa no da siempre la misma
salida para entradas dadas, o si la salida para entradas no previstas no es predicha,
entonces ésta carece de integridad.

11. Niveles de Acceso (Detallado más adelante):

 Nivel de consulta de la información
 Nivel de mantenimiento de la información

Metodologías para auditar

Aunque existen varias metodologías que se aplican en auditoría informática, se

pueden agrupar en dos clases principales:

Metodología tradicional

En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista
de control (checklist), que consta de una serie de cuestiones a verificar.
Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de
datos, especificándose en la lista de control todos los aspectos a tener en cuenta.
De esta manera, si el auditor no cuenta con la asistencia de un experto en un
producto en particular, puede comprobar por lo menos los aspectos más importantes de
su instalación.

Metodología de evaluación de riesgos

Este tipo de metodología conocida también por Risk Oriented Approach, es la que
propone la ISACA, y empieza fijando los objetivos de control que minimizan los riesgos
potenciales a los que está sometido el entorno. Una vez establecidos los objetivos de
control, se especifican las técnicas específicas correspondientes a dichos objetivos. Estas
técnicas pueden ser preventivas, detectivas o correctivas (por ejemplo, una copia de
respaldo).
En caso de que los controles existan, se diseñan unas pruebas (denominadas
pruebas de cumplimiento) que permiten verificar la consistencia de los mismos. Si estas
pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se
pasa a diseñar otro tipo de pruebas – denominadas pruebas sustantivas – que permitan
dimensionar el impacto de estas deficiencias.
Una vez valorados los resultados de las pruebas se obtienen unas conclusiones
que serán comentadas y discutidas con los responsables directos de las áreas afectadas
12
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie de
comentarios donde se describa la situación, el riesgo existente y la deficiencia a
solucionar y en su caso sugerirá la posible solución, y presentará un informe.

El Administrador de la Base de Datos (ABD)

El administrador de la base de datos es responsable de la instrucción a los

usuarios y al personal técnico, en los conceptos y procedimientos de la base de datos,
además establece y controla la definición de los datos y estándares, determina las
relaciones entre los elementos de datos y diseña el sistema de seguridad que impida el
uso de la base de datos sin autorización.

El ABD deberá facilitar a los auditores y diseñadores del sistema todos los detalles
necesarios, concernientes a la seguridad y control de los archivos de la base de datos. El
auditor debe conocer las funciones del ABD, y verificar que estás se realicen
correctamente, algunas de ellas son las siguientes:

 Supervisión de la Base de Datos

El administrador debe responsabilizarse de la conservación de los registros y de otras
funciones estadísticas tales como establecer quienes tienen acceso a la base de
datos.
 Autoridad para hacer cambios
Solamente el ABD podrá hacer cambios a la biblioteca del sistema administrativo de la
base de datos.
 Restricciones al ABD
No deberá permitirse que el ABD tenga acceso, sin supervisión, al área de operación y
no acepte que instrumentalice las computadoras.
 Autorización externa al ABD
No se podrá aceptar que el ABD inicie transacciones sin la aprobación del
departamento de usuario.
 Recuperación de la Base de Datos
El ABD debe establecer procedimientos escritos para recuperar la base de datos, en el
caso de destrucción total o parcial de ésta.
 Documentación de la Base de Datos
El ABD debe documentar el contenido de la base de datos, definir las entidades y
atributos y definir plenamente las interrelaciones.
 Control lógico de la Base de Datos
El ABD debe tener control del contenido de la base de datos, la organización, la
integridad, la privacía en todos los elementos físicos y lógicos.
 Diccionario de datos
El ABD será el responsable del desarrollo, mantenimiento y control de la base de
datos.
 Relación con el ambiente de la Base de Datos.
El ABD deberá funcionar independientemente de la administración del procesamiento
de datos y del usuario, como norma de control interno.

Controles especiales de acceso

Deben diseñarse procedimientos especiales para prevenir el acceso no autorizado

a la base de datos cuando no esté bajo el control del software del SGBD.

13
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Controles que verifica el auditor

El auditor debe examinar los controles específicos como por ejemplo:

 Registrar las solicitudes de acceso para identificar la terminal, la hora y el operador
que accionó la máquina.
 Bloquear el acceso de los usuarios a las partes de las bases de datos que no son
necesarias para su trabajo.
 Limitar rigurosamente los cambios y las actualizaciones de los archivos de las
bases de datos a los respectivos usuarios.
 Llevar un registro de transacciones para efectos de control, auditoría y
recuperación.
 Controlar el acceso cuando se está reorganizando la base de datos.

Pistas de auditoría

Una pista de auditoría completa es un control clave de salida. La pista de

auditoría constituye un conjunto de referencias de procesamiento, datos, informes o
documentación lógica que permiten el seguimiento del procesamiento de la transacción
desde su fuente hasta la inclusión en los registros de la organización.
Deberán incluirse en el diccionario las pistas de auditoría y administrativas. El
diccionario de datos constituye una senda efectiva de la base de datos porque suministra
relaciones programa/datos y permite el rastreo de datos en forma detallada.

Niveles de acceso

Las distinciones que existen en los niveles de acceso están referidas a la lectura, o
modificación en sus diferentes formas.
De acuerdo a ello se tienen los siguientes niveles de acceso a la información:

A) Nivel de consulta de la información

La autorización de lectura permite leer pero no modificar la base de datos.

B) Nivel de mantenimiento de la información

Consiste en: Ingreso, insertar datos nuevos pero no se modifican los existentes.
Actualización, permite modificar la información pero no eliminar datos. Borrado,
permite eliminar datos.

La autorización para modificar el esquema de la base de datos, es preferible que

sea asignada al centro de cómputos.

El auditor debe controlar que se hagan backups de la información vital para la

empresa, y almacenarse en lugares adecuadamente preparados para ese fin, y de
preferencia aparte del local donde se encuentran los equipos que usualmente lo manejan.

La integridad se refiere a la exactitud o validez de la información contenida en una

base de datos. Un auditor debe verificar que dicha integridad exista. Debe hacerse una
prueba de predictibilidad mediante la cual se puede predecir la respuesta de sí el
sistema se ejecuta apropiadamente o tiene fallas.
Por ejemplo, un programa tiene integridad si la respuesta a todos sus ingresos
anticipados es la salida esperada.
14
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Para ingresos no anticipados, el ingreso deberá permanecer predicho (mensajes de

error o códigos de retorno). Si el programa no da siempre la misma salida para entradas
dadas, o si la salida para entradas no previstas no es predicha, entonces ésta carece de
integridad.

El auditor debe verificar la coherencia de la Base de Datos a través de las

siguientes reglas:

1. Todo proceso debe tener un bloqueo compartido del elemento antes de leerlo.
2. Todo proceso debe tener un bloqueo exclusivo del elemento antes de grabarlo.
3. No deben existir bloqueos compartidos sobre elementos con bloqueo exclusivo.
4. No deben existir bloqueos sobre elementos con bloqueo de cualquier tipo.
5. Todo proceso debe mantener el bloqueo compartido sobre un elemento, hasta finalizar
por completo su lectura.
6. Todo proceso debe mantener el bloqueo exclusivo hasta completar sus operaciones y
haber grabado todas las modificaciones en la base datos.

La protección y la confidencialidad de los datos

La protección y el control de los datos de la empresa implican la prevención de tres
tipos de manipulaciones:
 El acceso no autorizado a los datos y al software que se encuentran en el
emplazamiento central.
 El robo a los copiados de ficheros o software depositado en un soporte magnético de
seguridad
 La conexión física con las líneas de telecomunicación por las cuales circulan los datos
por copia de estas.

El acceso no autorizado a los datos que se encuentran en el emplazamiento central:

Este riesgo permite al operador fraudulento la posibilidad de consultar los datos y

programas, como así también modificarlos con las consecuencias catastróficas que
pueden tener las manipulaciones, como malversaciones de fondos y destrucción de datos.

Medidas de prevención

1- Identificación del individuo recurrente.

Modos de identificación:
A) La identificación lógica por contraseña
B) La identificación por cualquier medio físico

Técnicas de software de protección:

C) Principales modos de acceso a los datos
D) Principios fundamentales del control de las autorizaciones de acceso

2- Identificación del terminal recurrente.

3- Forma de los datos y su soporte de almacenamiento.

Vemos cada uno de ellos a continuación:

15
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

1- Identificación del individuo recurrente.

A) La eficacia de una protección de acceso por atribución de nombres de usuario y

contraseña supone respetar algunas reglas básicas:

¿Las contraseñas se distribuyen individualmente a cada usuario?

Se deben evitar las contraseñas colectivas, por ejemplo por servicio o por aplicación
porque raramente mantienen la confidencialidad por mucho tiempo.

¿Las contraseñas se modifican regularmente?

Algunos programas dedicados al control de las protecciones de acceso imponen que
la contraseña sea modificada con regularidad por su propietario, por ejemplo la
obligación de una modificación cada trimestre.

¿Las contraseñas son lo suficientemente sofisticadas?

Algunas contraseñas son utilizadas tan a menudo que unas cuantas tentativas son
suficientes para dar con ellas. Estas son, por ejemplo, las iniciales de los usuarios, su
fecha de nacimiento, su número de documento, el nombre del perro, etc. El auditor
procederá al control de la verdadera confidencialidad de las contraseñas.

¿Se protege el cuadro de contraseñas?

Además de la protección de acceso a la tabla de contraseñas, el auditor se asegura
que esta no sea objeto de ediciones regulares. O sea, verificar quien tiene acceso a
esta tabla y si esta haciendo un uso apropiado de ella.

¿Es posible detectar las tentativas de acceso no autorizadas?

La identificación, en tiempo real o en tiempo definido, de las tentativas de acceso no
autorizado permite detectar a tiempo operaciones fraudulentas eventuales.
Por lo general se prevé una desactivación de un nombre de usuario después de tres
tentativas de acceso con contraseñas equivocadas.

¿Se ha educado a los usuarios de los riesgos que pueden originar el préstamo
de sus contraseñas?
Es necesario que el auditor haga un relevamiento de la importancia que los usuarios
le dan a la confidencialidad de su contraseña. Por ejemplo probarlos diciéndole:
“necesito que me dé su contraseña para hacer unas verificaciones”, un número
elevado de usuarios accederá al pedido, esto demuestra que no hay conciencia de la
importancia de guardar en privado la contraseña. Muchos usuarios creen que deben
facilitarle su contraseña a su jefe. Por esto es importante enseñarles a los usuarios
que su acceso a las bases de datos debe ser responsable, por lo tanto ceder su
contraseña, es ceder a otro el permiso en su nombre a los datos, y constituye un acto
de irresponsabilidad, o mejor dicho, de responsabilidad por el daño que otros pueden
hacer.

B) La identificación física del individuo que opera. Estas técnicas sustituyen el uso de
contraseñas, salvo en aplicaciones de altísima seguridad que las usan como
complemento.

El auditor debe indagar sobre algunas cuestiones:

¿Existen sistemas de autorización de acceso por medio de tarjeta magnética?

16
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

¿Existen otros sistemas de identificación?

Citamos el reconocimiento vocal, la identificación de huellas dactilares, del fondo de
ojo, etc. Estas técnicas están en fase experimental y reservadas a campos
específicos de altísima seguridad.

C) Los principales modos de acceso a los datos. Se deben conocer perfectamente

todos los modos posibles de acceder a los datos. Pueden ser clasificados en varias
categorías:

Acceso a través de una aplicación transaccional

Para cada una de las aplicaciones procesadas en una empresa (gestión comercial,
compras, contabilidad, stock, etc.). Las transacciones son puestas a disposición de
los usuarios, el acceso inicial se hace por lo general a través de menúes. Según sea
el caso las transacciones autorizan la toma de datos.

Acceso a través de herramientas del sistema

Por medio del editor, existe software básico que permite consultar y poner al día los
ficheros sin parar por un programa o una transacción. Este software no deja ninguna
pista de las modificaciones llevadas a cabo.

D) Principios funcionales del control de las autorizaciones de acceso.

¿Hay un responsable de la autorización de accesos?

Este responsable podrá crear los perfiles de cada director o jefe de servicio, y les
proporcionara el conjunto de las habilitaciones necesarias para el ejercicio de sus
funciones. Cada uno de ellos podrá, a su vez, definir las habilitaciones que concederá
a sus colaboradores.

¿Las habilitaciones están acordes con el principio de un buen control interno?

El auditor se interesa en particular por:
 El principio de separación de las funciones
 El principio de control jerárquico

2- Identificación del terminal recurrente

Cada vez más, las aplicaciones informáticas utilizan las conexiones a la unidad
central desde terminales no identificados nominativamente por el sistema. :
 El ingeniero de sistema se conecta desde su terminal personal para asegurar un
mantenimiento urgente.
 El fabricante se conecta con el sistema central para asegurar el telemantenimiento, o
sea el mantenimiento a distancia.
 La aplicación administración de ventas prevé una conexión de los vendedores durante
sus viajes desde una computadora portátil
 Los clientes se conectan desde puestos miniterminal para obtener informaciones
comerciales.

Estos tipos de acceso son extremadamente peligrosos, pues la sola protección

contra intrusiones externas reside en la confidencialidad de las contraseñas.
En algunos casos las técnicas de identificación de terminal que se conecta permite
reducir notablemente el riesgo de intrusión.
17
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

¿Está previsto un procedimiento de identificación física del terminal que se

conecta?
Cuando los terminales susceptibles de conectarse a la unidad central son
conocidos, es posible memorizar sus señas físicas en la tabla. La tentativa de acceso de
cualquier terminal será rechazada.

3- Las medidas de prevención de acceso a las formas de datos y su soporte de

almacenamiento

¿Los datos más sensibles son objeto de una codificación?

La codificación consiste en la transformación con la ayuda de un software
apropiado, de los datos en un formato que les hace totalmente incomprensibles para una
persona que no disponga del software.
La técnica de la codificación solo puede ser totalmente eficaz cuando el acceso a
los datos, o por lo menos al software de codificación este también reglamentado.

DataWare House
Para comenzar, podemos establecer las diferencias entre dos clases de sistemas:

 Sistemas orientados al proceso de datos transaccionales – OLTP (on line

transaccion processing): orientados a los sistemas de información finalistas
(aplicaciones de admisión, archivos, consultas, etc) y a los sistemas operacionales,
que deben ejecutar transacciones rápida y eficientemente.

 Sistemas orientados al análisis de datos – OLAP (On line analytical processing): el

más reconocido es el DataWare House. Los datos están consolidados, limpios,
resumidos, temporales y estáticos.
A continuación vemos las diferencias entre un sistema transaccional y un sistema
de análisis:
Aspectos Sistema Transaccional Sistema de Análisis

Usuarios Programadores, ABD, usuarios finales. Ejecutivos, Expertos, decisores. Pocos.

Muchos.

Función Operaciones diarias, a tiempo real, Soporte a la decisión a tiempo real, estudio
transacciones. analítico.

Datos Actuales, atómicos, relacionales, aislados. Históricos, resumidos, multidimensionales,

integrados, específicos, indicadores.

Uso Repetitivo, rutinario. Discontinuo, aleatorio.

Acceso Escritura/lectura, transacciones simples Lectura de datos, consultas complejas.

Complejidad Baja a muy alta. Alta a muy alta.

La manera tradicional hasta ahora de entregar la información es a través de

emisión de reportes impresos desde los sistemas operacionales, con consultas a nivel de
cliente y extracción ocasional de datos para suplir actividades basadas en papel. Los
problemas con la entrega de la información actual son muchos, incluyendo inconsistencia,
inflexibilidad y carencia de integración a través de la empresa.

18
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Los sistemas transaccionales son dinámicos, en el sentido que constantemente se

encuentran actualizando datos. Llevar a cabo un análisis complejo sobre un sistema
transaccional, puede resultar en la degradación del sistema, con el consiguiente impacto
en la operación del negocio.

El Server OLAP (On line analytic processing: procesamiento analítico en línea) que se ve en el gráfico, es un software
de DataWare que permite saber qué esta sucediendo en mi empresa. Se usa para analizar datos externos de mercado
y datos internos de movimientos de productos.

El DataWare House intenta responder a la compleja necesidad de obtención de

información útil sin el sacrificio del rendimiento de las aplicaciones operacionales, debido
a lo cual se ha convertido actualmente en una de las tendencias tecnológicas más
significativas en la administración de información.

El valor de un DataWare queda descrito en tres dimensiones

1. Mejorar la Entrega de Información: información completa, correcta,

consistente, oportuna y accesible. Información que la gente necesita, en el
tiempo que la necesita y en el formato que la necesita.
2. Mejorar el Proceso de Toma de Decisiones: con un mayor soporte de
información se obtienen decisiones más rápidas; así también, la gente de
negocios adquiere mayor confianza en sus propias decisiones y las del
resto, y logra un mayor entendimiento de los impactos de sus decisiones.

19
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

3. Impacto Positivo sobre los Procesos Empresariales: cuando a la gente se le

da acceso a una mejor calidad de información, la empresa puede lograr por
sí sola:
- Eliminar los retardos de los procesos empresariales que resultan de
información incorrecta, inconsistente y/o no existente.
- Integrar y optimizar procesos empresariales a través del uso compartido
e integrado de las fuentes de información.
- Eliminar la producción y el procesamiento de datos que no son usados ni
necesarios, producto de aplicaciones mal diseñados o ya no utilizados.

Casos de aplicación de DataWare

El Banco de Santiago (segundo Banco privado de Chile), asistido por Pampa Bytes
de Argentina, montó un DataWare para sus áreas comercial y de auditoría, para que los
ejecutivos de Marketing y Control Financiero contaran con información para la toma de
decisión respecto de sus clientes productos y servicios.
Medicus (Medicina Prepaga), asistida por Deloitte & Touche, montó un DataWare
sobre Oracle. Se pueden programar prestaciones o determinar si es necesario reforzar
maternidad o pediatría, consultar enfermedades por edad, etc.

Conclusión

Un sistema datawarehousing es una eficaz herramienta de organización y análisis

de los complejos volúmenes de información que las compañías generan, que
posteriormente permite el desarrollo de estrategias más efectivas y rentables. Pero la
definición del nuevo modelo de datos, y el método de cargo y mantenimiento de la
información, requiere de un personal especializado que atienda a las necesidades de
cada empresa y obliga a los encargados de auditarlo a capacitarse en nuevas tecnologías
y formas de trabajo.

Auditoría en Bases de Datos comerciales

Uno de los aspectos más interesantes de las nuevas bases de datos, es el inmenso
potencial para dejar rastros o pistas de auditoría. La principal herramienta para llevar a
cabo esta tarea son los manipuladores de eventos o triggers.
Un trigger es un pequeño programa que se ejecuta cuando se intenta realizar una
operación contra la base de datos. De esta manera, se pueden generar registros de las
acciones que efectúan los usuarios a través de los programas o directamente sobre la
base de datos.
Vale la pena mencionar que resulta de suma utilidad que estos pequeños
programas registren incluso las acciones directas sobre la base de datos. Con
anterioridad a estos recursos tecnológicos, sólo se podían registrar las acciones desde los
programas, en tanto que los usuarios que tenían algún tipo de contacto directo con la
base de datos tenían abiertas posibilidades de cometer fraudes sin ser detectados, ya que
"salteaban" los mecanismos de auditoría que proporcionaban los programas.
Esta característica es muy importante desde el punto de vista de que permite
realizar un análisis de esos registros que delate tendencias y actitudes sospechosas,
tanto de los operadores como de los usuarios.

20
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Actualmente, además de este mecanismo básico presente en todas las bases de

datos importantes, existen otras características sofisticadas que permiten controlar hasta
el puesto y el programa que se estaba utilizando para interactuar con la base de datos.

La auditoría en ORACLE

Sin duda, Oracle es una de las bases de datos que más atención ha prestado, en
su constitución y diseño interno, a los detalles de auditoría. A continuación se resume su
funcionalidad.

Tipos de auditoría

Oracle soporta tres tipos generales de auditoría:

 Auditoría de sentencias: actúa sobre las sentencias de SQL con respecto
solamente al tipo de sentencia y no al esquema específico sobre el cual esta
opera. Por ejemplo AUDIT TABLE. Se puede establecer para los usuarios
seleccionados o para todos los usuarios de la base de datos.
 Auditoría de privilegios: se audita el poderoso sistema de privilegios para
realizar las acciones correspondientes, tal como AUDIT CREATE TABLE. Está
más enfocado que la auditoría de sentencia, debido a que audita sólo el uso del
privilegio objetivo. Se puede establecer para auditar a un usuario seleccionado
o a todos los usuarios en la base de datos.
 Auditoría de esquema: actúa sobre un esquema particular, tal como AUDIT
SELECT ON EMP. Este tipo de auditoría está más enfocado que el anterior,
audita solamente una específica sentencia sobre un esquema específico. Es
siempre aplicado a todos los usuarios de la base de datos.

Foco de la auditoría

Oracle permite lo siguiente:

 Auditar ejecuciones exitosas o fallidas de sentencias (o ambas a la vez).
 Auditar ejecuciones de sentencias una vez por cada sesión de usuario o una
vez cada vez que la sentencia es ejecutada.
 Auditar actividades de todos los usuarios o de un usuario específico.

Registros y pistas de auditoría

Los registros de auditoría incluyen información acerca de la operación que se

estaba auditando, el usuario que la realizó y la fecha y hora de la operación. Los mismos
pueden ser almacenados en una tabla, lo cual se denominada pistas de auditoría de base
de datos, o en pistas de auditoría del sistema operativo.
Las pistas de auditoría de base de datos son una única tabla llamada AUD$ en el
esquema SYS en cada diccionario de datos de la base de datos Oracle. Varias vistas
predefinidas son provistas para ayudar a quien usa la información de esta tabla.
Los registros de pistas de auditoría pueden contener diferentes tipos de información,
dependiendo de los eventos auditados y de las opciones de auditoría establecidas. La
siguiente información es siempre incluida en cada registro de pistas de auditoría:
 El nombre de usuario.
 El identificador de sesión.
 El identificador de terminal.
 El nombre del esquema accedido.
21
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

 La operación realizada o intentada.

 La conclusión del código de la operación.
 La fecha y hora.
 Los privilegios de sistema utilizados.

Las pistas de auditoría del sistema operativo son codificadas y por lo tanto no
pueden ser leídas, pero estas son decodificadas en archivos del diccionario de datos y
mensajes de error de la siguiente forma:
 Código de acción: describe la operación realizada o intentada. Estos códigos y
sus descripciones se encuentran almacenados en una tabla denominada
AUDIT_ACTIONS.
 Privilegios utilizados: describe cualquier privilegio de sistema utilizado para
realizar la acción. Sus códigos y descripciones están almacenados en la tabla
SYSTEM_PRIVILEGE_MAP.
 Código de conclusión: describe el resultado de la operación intentada. Las
operaciones exitosas retornan un valor de cero y las fallidas retornan un código
de error de Oracle describiendo por qué falló la operación.

Mecanismos de auditoría

¿Cuándo los registros de auditoría son generados?

El almacenamiento de información de auditoría puede estar habilitado o

deshabilitado. Esta funcionalidad permite a cualquier usuario de la base de datos
autorizado establecer opciones de auditoría en cualquier momento, pero reserva el control
y almacenamiento de la información de auditoría para el administrador de seguridad.
Cuando la auditoría está habilitada en la base de datos, un registro de auditoría es
generado durante la fase de ejecución de sentencias.
Las sentencias SQL dentro de una unidad de programa de PL/SQL son auditadas
individualmente cuando la unidad de programa es ejecutada.
La generación e inserción de un registro de pista de auditoría es independiente de
una transacción del usuario. Si una transacción de usuario realiza un rollback, el registro
de pista de auditoría realiza un commit.

Eventos siempre auditados en pistas de auditoría del sistema operativo

Aunque la auditoría de base de datos esté habilitada, Oracle siempre almacena

algunas acciones relacionadas a la base de datos en las pistas de auditoría del sistema
operativo:
 Instancia inicializada: Un registro de auditoría es generado detallando que un
usuario del sistema operativo inició una instancia, el identificador de terminal de
usuario, la fecha y hora, y si la auditoría de base de datos estaba habilitada o
no. Esta información es almacenada en las pistas de auditoría del sistema
operativo porque las pistas de auditoría de base de datos no están disponibles
hasta después de que la iniciación haya sido completada con éxito.
 Instancia cerrada: Un registro de auditoría es generado detallando que un
usuario del sistema operativo a cerrado la instancia, el identificador de terminal
de usuario, la fecha y hora.
 Conexiones a la base de datos con privilegios de administrador: Un registro de
auditoría es generado detallando que un usuario del sistema operativo se ha
conectado a Oracle con privilegios de administrador.
22
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

¿Cuándo las opciones de auditoría toman efecto?

Las opciones de las auditorías de sentencia y de privilegio toman efecto cuando el

usuario se conecta a la base de datos y permanecen durante toda la sesión. Las opciones
de auditoría modificadas toman efecto sólo cuando la sesión actual es terminada y la
nueva sesión es creada. En contraste, los cambios sobre las opciones de la auditoría de
esquema se hacen efectivos para la sesión actual inmediatamente.

Auditoría en bases de datos distribuidas

La auditoría es autónoma del sitio, una instancia audita sólo las sentencias emitidas
por los usuarios conectados directamente. Un nodo local de Oracle no puede auditar
acciones que toman lugar en una base de datos remota. Debido a que las conexiones
remotas son establecidas a través de la cuenta de usuario de un vínculo a la base de
datos, el nodo remoto de Oracle audita las sentencias emitidas a través de dicho vínculo.

La auditoría en SYBASE SQL SERVER

SQL Server puede ser configurado para proveer pistas de auditoría sobre ciertos
eventos, tales como:
 Logins y logouts del servidor.
 Uso de muchas sentencias que requieren un rol especial.
 Uso de sentencias que hacen referencia a objetos específicos o bases de datos.
 Eliminación de objetos.
 Ejecución de procedimientos almacenados y triggers.
 Cualquier acción realizada por un usuario específico

El sistema de auditoría

El sistema de auditoría consiste de:

 La base de datos sybsecurity.
 Procedimientos de sistema que establecen las variadas opciones de auditoría
 La cola de auditoría, donde los registros de auditoría son enviados antes de ser
escritos en las pistas de auditoría.

1. La base de datos Sybsecurity

Esta es creada como parte del proceso de instalación de auditoría. Contiene todas
las tablas de sistema encontradas en el modelo de base de datos y dos tablas de sistema
adicionales:
 Sysaudits: las pistas de auditoría.
 Sysauditoptions: contiene las opciones globales de auditoría.

2. Los procedimientos de sistema de auditoría

La auditoría es manejada con los siguientes procedimientos de sistema:

 sp_auditoption: habilita y deshabilita las opciones globales de auditoría y la auditoría
de todo el sistema
23
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

 sp_auditdatabase: establece la auditoría de diferentes tipos de eventos dentro de una

base de datos, o de referencias de objetos dentro de una base de datos a otra base de
datos.
 sp_auditobject: establece auditoría de accesos sobre tablas o vistas.
 sp_auditsproc: audita la ejecución de procedimientos almacenados y triggers.
 sp_auditlogin: audita intentos de usuarios para acceder a tablas y vistas o el texto de
sentencias que el usuario ejecuta.
 sp_addauditrecord: permite a los usuarios ingresar registros de auditoría definidos por
usuario (comentarios) en las pistas de auditoría.

3. La cola de auditoría

Cuando un evento auditado ocurre, un registro de auditoría primero va a la cola de

auditoría en memoria, donde este es mantenido hasta poder ser procesado por el
procedimiento de auditoría y agregado a las pistas de auditoría. Se puede configurar el
tamaño de la cola de auditoría con sp_configure.

Estableciendo la auditoría

El oficial de seguridad del sistema administra el sistema de auditoría. Sólo un

usuario que tenga asignado ese rol puede:
 Ejecutar cualquier procedimiento de sistema de auditoría (con excepción de
sp_addauditrecord).
 Leer las pistas de auditoría.
 Acceder a la base de datos de auditoría.
El oficial de seguridad del sistema que va a administrar el sistema de auditoría
debe tener asignado el acceso a la base de datos sybsecurity.
La auditoría puede ser establecida a dos niveles:
 A nivel del servidor, para auditar actividades específicas en todo el servidor.
 A nivel de la base de datos, para auditar eventos específicos dentro de una
base de datos específica.

Opciones de auditoría a nivel del servidor

A nivel del servidor, el oficial de seguridad del sistema puede establecer la auditoría
para cualquier combinación de los siguientes eventos:
 Logins y Logouts
 Acciones realizadas por cuentas en todas las bases de datos del servidor,
incluyendo accesos exitosos o fallidos sobre vistas y tablas y el texto de las
sentencias de usuario.
 Boots del servidor.
 Llamadas a procedimientos remotos.
 Sentencias que requieren roles del servidor especiales, tales como System
Administrator role, System Security role, o Operator role.
 Errores fatales.

Opciones de auditoría al nivel de base de datos

Se puede activar la auditoría al nivel de base de datos para detectar:

 Uso de las sentencias DROP, GRANT, REVOKE y TRUNCATE TABLE dentro
de una base de datos.
24
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4


Uso de las sentencias DROP DATABASE y USE sobre la base de datos.

Ejecución de sentencias SQL desde adentro de otra base de datos que
referencia a la base de datos auditada.
Dentro de una base de datos específica, también se puede:
 Activar la auditoría de accesos a tablas o vistas específicas.
 Establecer opciones por defecto que serán aplicadas a todas las futuras tablas y
vistas en la base de datos.
 Auditar intentos exitosos o fallidos de acceder a un objeto, o ambos.
 Especificar que clase de sentencias auditar: SELECT, INSERT, UPDATE,
DELETE, en cualquier combinación.
 Establecer auditoría para procedimientos almacenados y triggers.

Ejemplo

Este ejemplo ilustra como auditar un procedimiento almacenado que actualiza la

tabla Cuentas. El procedimiento recibe dos parámetros, el número de cuenta y una
cantidad, por ejemplo:

Actualizar_cuenta 23475, 2000.00

El procedimiento es el siguiente (sin cualquier control de error):

create proc actualizar_cuenta @cuenta int,

@cantidad smallmoney
as
update Cuentas set cantidad=cantidad+@cantidad where cuenta=@cuenta

Para iniciar la auditoría sobre ejecuciones exitosas de este procedimiento, el oficial de

seguridad del sistema utiliza sp_auditsproc:

sp_auditsproc actualizar_cuenta, pubs2, ok

Ahora una consulta que retorna información de auditoría acerca del procedimiento desde
sysaudits:

select eventtime, loginame, extrainfo

from sysaudits
where objname = "actualizar_cuenta"
order by eventtime

Para procedimientos almacenados, sysaudits almacena los argumentos del

procedimiento en el campo extrainfo, por lo tanto es fácil trazar toda actividad realizada
sobre la tabla.

eventtime loginname extrainfo

------------------- ------------- --------------------
Oct 19 1993 4:44PM henry 23475, 200.00
Oct 19 1993 4:49PM lulu 22376, -30.89
Oct 19 1993 4:49PM lulu 22376, 1057.23
Oct 19 1993 4:55PM carol 67892, 98.73

Triggers

25
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Un trigger es un tipo especial de procedimiento almacenado que es disparado

cuando ocurre cierto un evento. Algunos de los usos comunes de los triggers son los
siguientes:
 Para mantener las reglas de integridad de datos que extienden la simple
integridad referencial.
 Para implementar una acción referencial, tal como la eliminación en cascada.
 Para mantener un registro de auditoría de cambios.

Un trigger puede ser creado para ejecutar por cualquiera o todas las sentencias
INSERT, UPDATE y DELETE, los cuales modifican datos. Actualmente, Sybase SQL
Server no ofrece triggers sobre la sentencia SELECT, dado que la misma no modifica los
datos. Además, los triggers pueden existir sólo sobre tablas base, no sobre vistas (por
supuesto, los datos modificados a través de una vista disparan un trigger sobre la tabla
base subyacente).
Un trigger es ejecutado una vez por cada sentencia INSERT, UPDATE y DELETE,
sin tener en cuenta la cantidad de filas que esta afecta.

Ejemplo:

CREATE TRIGGER delete_trigger ON Cuentas FOR DELETE AS PRINT 'Usted eliminó

una fila!' GO

Ahora si ejecutamos la siguiente sentencia:

DELETE Cuentas where cuenta=23049

Veremos el siguiente mensaje: Usted eliminó una fila!

El mensaje apareció porque la sentencia DELETE es un DELETE legal sobre la
tabla Cuentas.

Descripción del software de auditoría - WizRule

WizRule es una herramienta de auditoría de datos basada en data mining creada
por la compañía WizSoft Inc. Se puede descargar una demostración de WizRule desde
http://www.wizsoft.com. Su función es analizar los datos para descubrir inconsistencias,
errores y casos que necesitan ser auditados.

¿Cómo trabaja Wizrule?

Cuando se analizan los datos se llevan a cabo las siguientes operaciones:

1. Se leen los datos, se puede hacer más preciso el análisis definiendo parámetros
tales como el número mínimo de casos de una regla, probabilidad mínima de
las reglas if-then. También se puede definir qué tipos de reglas aplicar.
2. En un corto tiempo, WizRule revela las reglas que gobiernan los datos e indica
la confiabilidad de cada una de ellas.
3. Calcula en cada campo de cada registro cual es el grado de verosimilitud en
referencia a las reglas descubiertas.
4. Lista aquellos casos que contengan él más alto grado de inverosimilitud como
supuestos errores.

26
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

¿Qué clases de reglas revela WizRule?

WizRule revela tres tipos de reglas:

 Reglas de fórmula, por ejemplo:
A=B*C
A = Total
B = Quantity
C = Unit Price
Rule’s Accuracy Level: 0.99
The rule exists in 1890 records

“Accuracy Level” indica la proporción entre el número de casos en que la

fórmula se cumple y el número total de casos relevantes.
WizRule revela fórmulas aritméticas con hasta 5 variables.
 Reglas if-then, por ejemplo:
If Customer is Summit
and Item is Computer type A
Then
Price = 765
Rule’s probability: 0.98
The rule exists in 102 records
Significance level: error probability < 0.001

“probability” indica la proporción entre el número de registros en los

cuales la condición y el resultado coinciden y el número total de registros
evaluados.
“Significance level” indica el grado de validez de la regla. Éste es igual a
1 – “error probability”, cuantifica las chances en que una regla exista
accidentalmente en los datos bajo análisis.
WizRule descubre todas las reglas if-then con cualquier número de
condiciones.
 Reglas de verificación de escritura:
The value Summit appears 52 times
in the Customer field.
There are 2 case(s) containing similar value(s)

Estas reglas revelan posible palabras mal escritas. Una palabra es considerada mal
escrita si una palabra A es similar a otra palabra B, y la frecuencia de A es baja mientras
que la de B es alta.
Las reglas no son fijas, se pueden ajustar sus probabilidades y márgenes de error,
y de esta manera hacer una auditoría más o menos fina sobre los datos. Además el
WizRule determina el grado de veracidad de la regla, indicándole al auditor la relevancia
de los casos encontrados.
El descubrimiento de este tipo reglas y de sus excepciones facilita la tarea no sólo
del auditor, también ayuda notablemente al mantenimiento de una base de datos ¨sana¨,
requisito vital en una organización donde los datos conforman la base de su negocio.

Resultado de la evaluación

WizRule es un producto:

27
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

 Parametrizable, se puede definir la complejidad de las reglas a descubrir.

 Fácil de utilizar, no hay que ser DBA ni un experto matemático para comprender las
reglas que descubre.
 Potente, puede auditar desde tablas que se encuentran en un archivo de texto hasta
tablas que se encuentran en esquema de Oracle.
 Útil, esta característica se pone de manifiesto en una organización que maneja
grandes volúmenes de datos.

28
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Aplicación práctica: Auditoría de Base de Datos en AVEIT

Nuestro trabajo final de Auditoría será sobre la asociación vocacional existente en
la UTN: AVEIT. Realizando la Auditoría de Bases de Datos pudimos recabar la siguiente
información:

1- ¿Se realizan controles sobre la distribución de reportes, copias en disco y listados?

Sí se realizan.

2- ¿Existe una clara definición de funciones en el área informática que se encuentre

documentada?
No existe.

3- ¿Se registran en el sistema las fechas y el responsable de modificaciones y

actualizaciones de la BD?
Sí se registran.

4- ¿Se establecieron personas autorizadas por medio de permisos, que puedan modificar
las BD?
No se establecieron.

5- ¿Existe un plan de contingencia para el sistema de BD?

No existe

6- ¿Son suficientes los controles sobre seguridades físicas para proteger la BD?
No existen controles sobre los accesos y controles de la BD. Cualquier persona del
centro de cómputos puede ingresar a la base y realizar modificaciones sin que queden
registradas.

7- ¿El ABD es responsable de la instrucción a los usuarios y al personal técnico, en

materia de conceptos y procedimientos del sistema?
El ABD no se encuentra identificado formalmente, el presidente de cómputos es quien
otorga permisos.

8- ¿Existen niveles de permiso para el ingreso a la BD?

Cada subcomisión posee restringida la información a la que accede, existe un usuario
y una contraseña general por subcomisión. Por otra parte el personal del centro de
cómputos posee un usuario y contraseña por persona, pero todos pueden acceder a la
misma información

9- ¿Existen procedimientos escritos para recuperar la BD?

No, sólo se cuenta con los backup realizados periódicamente.

10-¿La BD y los sistemas están debidamente documentados?

De los sistemas más recientes, que son los menos, se encuentra cierta información
básica, mientras que el resto no posee ningún tipo de documentación.
Existen múltiples bases de datos, de las cuales son pocas las que se utilizan y no se
encuentran perfectamente normalizadas, registrándose datos duplicados efectuando
problemas a la hora de realizar listado para alguna de las subcomisiones.

29
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

11- ¿El ABD es responsable del desarrollo, mantenimiento y control del DD?
No existe ningún tipo de Diccionario de Datos, presentándose diferentes problemas a
la hora de interpretar los mismos.

12-¿Existen controles programados para evitar el acceso no autorizado a la BD?

Todo el personal del centro de cómputos tiene acceso a la BD.

13-¿Las modificaciones a la BD son autorizadas por el ABD?

No, cualquier persona del centro de cómputos puede realizar modificaciones en la
base sin que queden registro del usuario logueado.

14-¿Se permite el acceso a los archivos y programas a los programadores, analistas y

operadores?
Si, todo personal de cómputos tiene acceso a los archivos y programas.

15-¿Se han instruido a estas personas sobre que medidas tomar en caso de que alguien
pretenda entrar sin autorización?
No, el personal ante una situación de este tipo actúa según como crea necesario.

30
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Conclusiones

Debido a la vital importancia que adquieren la información, como activos críticos

dentro de una organización, el establecimiento de controles adecuados y el examen
riguroso del cumplimiento de los mismos se convierte en una actividad prioritaria.

Dependiendo de cuál sea el valor de la información se tendrá especial cuidado con

respecto a las características de confidencialidad, disponibilidad e integridad de los datos.

Mediante la aplicación de alguna de las metodologías existentes y comprendiendo

el ciclo de vida de los datos, es posible realizar una buena auditoría sobre la base de
datos de una empresa y comprobar la existencia y efectividad de controles sobre todos
los componentes de dicha base de datos.

Se debe hacer hincapié en los puntos de control detallados anteriormente con el

objeto de minimizar las falencias, errores y riesgos en un entorno de base de datos. Así
mismo, un minucioso control de los datos de entrada, de salida, y de sus respectivos
procesamientos favorecerán la consistencia y confiabilidad de la base de datos.

Vemos así que la auditoría de base de datos es una tarea imprescindible que se
debe realizar en toda organización, ya que es el recurso que le permitirá a la misma poder
competir en un mercado cambiante y globalizado y tomar medidas estratégicas en pos de
cumplir con los fines de la empresa.

31
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Bibliografía

Sitios en Internet

http://www.ctsnet.org/doc/790
http://www.history.routledge.com/routledge/journal/ac/ac070103.abs.html
http://www.isaca.org/cobit.htm
http://www.tpc.org
http://www.nan.shh.fi/anders/Papers/Autr92/autrtoc.htm
http://www.Inei.gob.pe/cpi/bancopub/libfree/lib611/0300.htn
http://ntserver.umanizales.edu.co/uvirtual/auditoria/capi4/ca46.html
http://www.aranzadi.es/online/publicaciones/aia/aia1_98/doctrin2.html

Libros:

 Guía de SQL LAN TIMES, James R. Groof y Paul N. Weinberg, Editorial Osborne
Mc Graw-Hill, 1998.
 Auditoría informática - Un enfoque práctico, Mario Piattini Velthius y Emilio del Peso
Navarro, Ed. Ra-Ma, 1997.
 YANN, Darrien. Técnicas de auditoría Informática

32
Auditoría de Bases de Datos Curso 5K3 - Grupo N° 4

Glosario

Fraude informático: es el fraude que se produce utilizando herramientas informáticas,

desde programas (software) de base o de aplicación hasta información almacenada y
actualizada por estos medios

LOGs y reportes: son los registros históricos que normalmente operan en las bases de
datos y que pueden utilizarse para controlar o rastrear lo que ha sido introducido o
retirado de la base de datos.

Diccionario de datos: es la lista de los elementos dentro de la base de datos, en la cual

se explican detalladamente y en forma ordenada, todos los campos que ésta contiene

Pista de auditoría: constituye un conjunto de referencias de procesamiento, datos,

informes o documentación lógica que permiten el seguimiento del procesamiento de la
transacción desde su fuente hasta la inclusión en los registros de la organización.

DataWare House: es un proceso que provee dos beneficios empresariales reales:

Integración y acceso de datos. Elimina una gran cantidad de datos inútiles y no deseados,
como también el procesamiento desde el ambiente operacional clásico.
Data-Mars: repositorio parcial de datos de la empresa, donde se almacenan datos
tácticos y operativos, al objeto de obtener información táctica.
Data-Mining: técnicas de análisis de datos encaminadas a obtener información oculta en
un DataWare House.
AVEIT: Asociación Vocacional de Estudiantes e Ingenieros Tecnológicos de la Universidad
Tecnológica Nacional, Facultad Regional Córdoba.
Oracle, SQL Server: motores de Bases de Datos.

33