Auditora de Bases de Datos

Presentacin: Aponte Shupingahua, Carlos Garca Salazar, Tony Granados Zevallos, Pabel Panduro Estrada, Manuel Vsquez Meza, Eric 100% 100% 100% 100% 100%

C a p t u l o 14

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.1

INTRODUCCION
CONTROL INTERNO y AUDITORA cada da cobran mayor inters

DATOS
como recursos fundamentales de la empresa difusin de los

DBMS o SGBD

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

La Auditora Informtica se aplica de dos formas distintas

Auditora de las principales reas del Departamento de Informtica: explotacin, direccin, metodologa del desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc. Auditora de las Aplicaciones: desarrolladas, subcontratadas o adquiridas.

Importancia de la Auditora del entorno de Bases de Datos

La Auditora de Bases de Datos es el punto de partida para poder realizar la Auditora de las Aplicaciones que utilizan esta tecnologa

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.2 METODOLOGIAS PARA LA AUDITORIA DE BASES DE DATOS

14.2.1 Metodologa Tradicional

Revisin del entorno con la ayuda de una lista de control (check list), consistente en una serie de cuestiones (preguntas). Por ejemplo:
Existe una metodologa de diseo de Base de Datos? S N NA

Suele ser aplicada a la auditora de productos de productos bases de datos, especificndose en la lista de control todos los aspectos a tener en cuenta

14.2.1 Metodologa de Evaluacin de Riesgos

Conocida tambin por risk oriented approach, es la que propone ISACA. Empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno

Riesgos debidos a la utilizacin de una base de datos: Incremento de la dependencia del servicio informtico debido a la concentracin de datos Mayores posibilidades de acceso en la figura del administrador de la base de datos Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general de la instalacin Mayor impacto de errores en datos o programas que en los sistemas tradicionales Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicacin Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional Mayor dependencia del nivel de conocimientos tcnicos del personal que realice tareas relacionadas con el software de base de datos (administrador, programadores, etc) Tourio y Fernndez, 1991

Considerando estos riesgos, se podra definir por ejemplo el siguiente: Objetivo de Control El SGBD deber preservar la confidencialidad de la base de datos Tcnicas de Control Un objetivo de control puede tener asociadas varias varias tcnicas que permitan cubrilo en su totalidad. Tcnicas preventivas: establecer tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos Tcnicas detectivas: como monitorizar los accesos a la base de datos Tcnicas correctivas: back-up Prueba de Cumplimiento Permiten verificar la consistencia de las tcnicas de control Listar los privilegios y perfiles existentes en el SGBD Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a disear otro tipo de pruebas (denominadas pruebas sustantivas), que permiten dimensionar el impacto de estas deficiencias Prueba Sustantiva Comprobar si la informacin ha sido corrompida, comparndola con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado

 Una vez valorados los resultados de las pruebas se obtienen unas conclusiones que sern comentadas y discutidas con los responsables directos de las reas afectadas con el fin de corroborar los resultados. Por ltimo el auditor deber emitir una serie de comentarios donde se describa la situacin, el riesgo existente y la deficiencia a solucionar, y, en su caso, sugerir la posible solucin. Como resultado de la auditora se presentara un informe final en el que se expongan las conclusiones ms importantes a las que se ha llegado, as como el alcance que ha tenido la auditora Esta ser la tcnica a utilizar para auditar el entorno general de un sistema de base de datos, tanto en su desarrollo como en su fase de explotacin.

14.3

OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS

14.3.1

Estudio previo y plan de trabajo

ESTUDIO PREVIO Y PLAN DE TRABAJO

F O R M A C I O N

CONCEPCION DE LA BD Y SELECCIN DEL EQUIPO

DISEO Y CARGA

EXPLOTACION Y MANTENIMIENTO

REVISION POST-IMPLEMENTACION

D O C U M E N T A C I O N

C A L I D A D

Ciclo de vida de una base de datos

14.3.1 Estudio Previo y Plan de Trabajo

Estudio Tecnolgico de Viabilidad. El Auditor debe comprobar que la alta direccin revise la informacin de viabilidad

El Cobit enfatiza en la importancia de una gestin de riesgo Establecer un plan director

El auditor debe verificar que este plan se cumpla para el seguimiento y gestin, y que cumpla con el procedimiento general de gestin de proyecto de la empresa

Aprobacin de Estructura Orgnica (del Proyecto, Unidad encargada de Gestin y Control BD). Se establecen dos objetivos de control.(MENKUS)

14.3.1 Estudio Previo y Plan de Trabajo

Administradora de Datos. Planificacin Organizacin, dotacin de plantillas, y control de los activos de datos de la organizacin (Figura14.3;Pg. 316 <Brathwaite1985>) Administrador de BD. Administracin del entorno de la base de datos (Figura14.4;Pg. 317 <Brathwaite1985>)

Hay que tener en cuenta la separacin de Funciones. Se recomienda esta entre:

Personal de desarrollo de sistemas y de explotacin. Explotacin y control de datos. Administracin de BD y Desarrollo. debern establecer controles

En caso no se logre. Se compensatorios o alternativos.

Es difcil de verificar para el auditor la separacin de funciones cuando no existe una descripcin detallada de los puestos de trabajo.

14.3.2 concepcin de la Base de Datos y seleccin del equipo.

En esta fase se empieza a disear la Base de Datos, por que se debe utilizar la metodologas y tcnicas. (Cp.. 12). La Metodologas deberas utilizarse para (Documento fuente, los mecanismos de control, caractersticas de seguridad, y las pistas de auditorias)

El auditor debe de verificar la metodologa utilizada y la correcta aplicacin (Diseo Conceptuela, lgica, fsica).
El Cobit dedica un apartado a la definicin de la arquitectura de la informacin, que contempla 4 objetivos. Modelo de arquitectura de Informacin. Datos y diccionarios de Datos. Esquema de clasificacin de datos. Niveles de seguridad para cada anterior clasificacin de datos.

14.3.2 concepcin de la Base de Datos y seleccin del equipo.

Para la seleccin de equipos en el caso que no tuviera, se debe realizar bajo un procedimiento riguroso, en las que se consideren: las necesidades de la empresa, los SGBD, y el impacto que el nuevo software tiene en el sistema y en su seguridad.

14.3.3 Diseo y Carga

Se lleva a cabo los diseos lgico y fsico de la base de datos

el auditor tendr que examinar si estos diseos se han realizado correctamente.

El auditor tendr que tomar una muestra de ciertos elementos (tablas, vistas, ndices ) y comprobar que su definicin es completa. Planificar claramente las migraciones de un tipo de SGBD a otra, para evitar prdida de informacin. Establecer un conjunto de controles sobre la entrada manual de datos, que aseguren su integridad. Es aconsejable que los procedimientos y el diseo de los documentos fuentes minimicen los errores y las omisiones.

14.3.4 Explotacin y mantenimiento

En esta fase se debe comprobar que se establecen los procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante la autorizacin adecuada.

14.3.4 Explotacin y mantenimiento Clasificacin de los objetivos de control para la gestin de datos, ISACA. (1996). - Procedimiento de preparacin de datos.
Procedimientos de autorizacin de documentos fuentes Recogida de datos de documentos fuente. Manejo de errores de documentos fuente Retencin de documentos fuente Procedimientos de autorizacin de datos

Integridad del procesamiento de datos

Edicin y validacin del procesamiento de datos Manejo de errores de procesamiento de datos Retencin y manejo de salidas ....

14.3.5 Revisin post-implantacin

Se debera establecer el desarrollo de un plan para efectuar una revisin post-implantacin de todo sistema nuevo o modificado con el fin de evaluar si:

- Se han conseguido los resultados esperados - Se satisfacen las necesidades de los usuarios. - Los costes y beneficios coinciden con los previstos.

14.3.6 Otros procesos auxiliares Se deber controlar la informacion que precisan tanto usuarios informativos(administrador, analista, programadores) como no informticos, ya que la formacin es una de las claves para minimizar el riesgo en la implantacin de una base de datos.
Hay que tener en cuenta que usuarios poco formados constituyen uno de los peligros mas importantes de un sistema. Adems el auditor tendr que revisar la documentacin que se produce a lo largo de todo el proceso.

14.4 AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS -Debern considerarse los datos compartidos por mltiples usuarios. Esto debe abarcar todos los componentes del entorno de Bd.

Entorno de una base de datos

14.4 .1 Sistema de Gestion de Base de Datos. (SGBD)

Entre sus componentes podemos destacar, el Kernel, catlogo (componente fundamental para asegurar seguridad de la base de datos), las utilidad para administrador ( crear usuarios, conceder privilegios ) resolver otras cuestiones relativas a la confidencialidad.

el la el y

En cuanto a las funciones de auditora que ofrece el propio sistema, prcticamente todos los productos del mercado permiten registrar la mayora de las operaciones. el requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean veriificables

14.4.2 SOFTWARE DE AUDITORA

Son paquetes que pueden emplearse para facilitar la labor del auditor en cuanto a la extraccin de datos de la base , el seguimiento de las transacciones , datos de prueba etc.

14.4.3 SISTEMA DE MONITORIZACIN Y AJUSTE (tuning)

Este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor informacin para optimizar el sistema llegando a ser en ciertas ocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del SGBD y SO.

14.4.4 SISTEMA OPERATIVO (S.O) El sistema operativo es una pieza clave del entorno puesto que el SGBD se apoyar en mayor o menor medida en los servicios que le ofrezca; el S.O en cuanto a control de memoria , gestin de reas de de almacenamiento intermedio (buffers) manejo de errores, control de confiadencialidad mecanismo de interbloqueo Etc.

14.4.5 MONITOR DE TRANSACCIONES

Actualmente est considerado como un elemento ms del entorno Con responsabilidades de confidencialidad y rendimiento.

14.4.6 PROTOCOLOS Y SISTEMAS DISTRIBUIDOS

cinco objetivos de control a la hora de revisar la distribucin de datos -El sistema de proceso distribuido debe tener en funcn de administracin de datos centralizada, que establezca estndares generales para la distribucin de datos a travs de aplicaciones. -Deben establecerse unas funciones de administracin de datos y de base de datos fuertes, para que puedan controlar la distribucin de los datos. -Deben de existir pistas de auditora para todas las actividades realizadas por la aplicaciones contra sus propias bases de datos y otras compartidas. -Deben existir controles software para prevenir interferencias de actualizacin sobre las bases de datos en sistemas distribuidos. -Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseo de entornos distsribuidos.

14.7 PAQUETES DE SEGURIDAD

Existen en el mercado varios productos que permiten la implantacin Efectiva de de una poltica de seguridad , puesto que centralizan el Control de accesos , la definicin de privilegios , perfiles de usuarios etc.

14.4.8

Diccionario de Datos

Juegan un papel primordial en el entorno de los SGBD en cuanto a la integracin de componentes y al cumplimiento de la seguridad de datos. Los diccionarios de datos se pueden auditar de manera anloga a las bases de datos, ya que, despus de todo, son bases de datos de metadatos Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo ms peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difciles de detectar.

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.4.9 Herramientas CASE (Compuer Aided System/Software Engineering). IPSE (Integrated Project Support Environments) Constituyen una herramienta clave para que el auditor pueda revisar el diseo de la DB, comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad. 14.4.10 Lenguajes de Generacin de Cuarta independientes Son elementos a considerar en el entrono del SGBD generacin (L4G)

De los objetivos de control para los L4G, destacan los siguientes:

El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados. Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatizacin y peticin que los proyectos de desarrollo convencionales. Las aplicaciones desarrolladas con L4G deben sacar ventajas de las caractersticas incluidas en el mismo.

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

Uno de los peligros ms graves de los L4G es que no se aplican controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin.
Otros problemas pueden ser la ineficacia y elevado consumo de recursos El Auditor deber estudiar los controles disponibles el los L4G, en caso negativo, recomendar su construccin con lenguajes de tercera generacin.

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.4.11 Facilidades de Usuario

El auditor deber investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz grfica de usuario) y bajo que condiciones han sido instaladas; las herramientas de este tipo deberan proteger a los usuarios de sus propios errores.

Objetivos de control: La documentacin de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobacin de la direccin y deben documentarse de forma completa.

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.4.12 Herramientas de Minera de Datos Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacn de datos Se deber controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin que modifican las bases de datos operacionales a partir de los datos del almacn. 14.4.13 Aplicaciones El auditor deber controlar que las aplicaciones no atentan contra la integridad de los datos de la base.

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.5

TCNICAS PARA EL CONTROL DE BASE DE DATOS EN UN ENTORNO COMPLEJO

Existen muchos elementos del entorno del SGDB que influyen el la seguridad e integridad de los datos, en los que cada uno de apoya en la operacin correcta y predecidle de otra. El efecto de esto es: debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descordinados y solapados, dificiles de gestionar .

Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear, entre otras, dos tcnicas de control:

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.5.1 Matrices de Control Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos. CONTROLES DE SEGURIDAD DATOS PREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONES DE ENTRADA
REGISTRO DE BASE DE DATOS

Verificacin
Cifrado

Informe de Reconciliacin
Informe de excepcin Copia de seguridad

Los controles se clasifican como se puede observar en detectivos, preventivos y correctivos

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.5.2 Anlisis de los Caminos de Acceso Con esta tcnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hw como Sw) y los controles asociados
ORDENADOR PERSONAL ORDENADOR CENTRAL

MONITOR DE MULTIPROCESO

PAQUETE DE SEGURIDAD

PROGRAMA

SGBD

SO

DATOS

USUARIO Seguridad Cifrado Formacin * Controles * Procedimientos

Control de Acceso * Registro de Transacciones

Control de Acceso * Control de Integridad De datos

Controles Diversos

Control de Acceso * Cifrado * Control de Integridad

Control de Acceso * Registro de Acceso * Informe de Excepciones

Copias de Seguridad Fichero diario de Integridad de Datos

Anlisis de los caminos de acceso

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.6

CONCLUSIONES

Debido a la complejidad de la tecnologa de bases de datos y al extraordinario crecimiento del entorno del SGBD la tecnologa de bases de datos ha afectado a afectado al papel del auditor interno ms que a cualquier otro individuo. Se ha convertido en extremo difcil auditar alrededor del computador, por lo que se requiere personal especializado (auditores externos). Antes de empezar una revisin de control interno, el auditor debe examinar el entorno en el que opera el SGBD. Las consideraciones de auditora deberan incluirse en las distintas fases del ciclo de vida de una base de datos Aparicin de nuevos riesgos de inters para el auditor (como por ejemplo, en el rea de seguridad) con la aparicin de nuevos tipos de bases de datos (como las activas, las orientadas a objetos, temporales, multimedia, multidimensionales, etc.), y la creciente distribucin de los datos (bases de datos federadas, multibases de datos, web, base de datos mviles, etc.).

Universidad Nacional de Ucayali Fac Cs Adm, Cont e Ing Sistemas

14.6

CONCLUSIONES

Es previsible que los SGBD aumenten el nmero de mecanismos de control y seguridad, operando de forma ms integrada con el resto de componentes. Para ello es fundamental el desarrollo e implementacin de estndares y marcos de referencia como los propuestos por el ISO y el OMG (CORBA), que faciliten unas interfases claramente definidas entre componentes del SI. Los sistemas aumentan su complejidad y alcance con mayor rapidez que los procedimientos y tcnicas para controlarlos Es importante destacar la importancia cada da mayor de una disciplina ms amplia que la de bases de datos: la de Gestin de Recursos de Informacin (IRM), que nace con la vocacin integradora necesaria para convertir los datos en el activo ms importante de las empresas; lo que lleva consigo que las medida de control y auditora pasen a un primer plano dentro de las actividades de las empresas.