auditoria de base de datos
DESCRIPTION
auditoria bdTRANSCRIPT
AUDITORIA DE BASE DE DATOS
1. Origen de la Auditoria:
La presente auditoria se realiza como programa de estudios para la materia de Auditoria y Sistemas de Informacin de la Universidad Cesar Vallejo teniendo como docente al Ing. Wigberto Martn Nicho Vir, como forma de proyecto de Investigacin se usaran los conocimientos tericos expuestos en clase. La misma est basada en el modelo de la gua de Auditoria, aplicada al rea de Sistemas de la institucin elegida, la cual ha sido el caso de nuestra firma auditora, la empresa Mundo Electrnico S.A.C.
2. Objetivos de la Auditoria:
Objetivos General:
Realizar una evaluacin del gestor de base de datos actual usado en la empresa, su administracin, seguridad, acceso, confidencialidad y uso de datos.
Objetivos Especficos:
Evaluar la seguridad lgica y fsica de los datos. Evaluar el diseo y estructura de los datos. Evaluar los niveles de acceso. Evaluar los procedimientos de respaldo de informacin. Evaluar los planes de contingencia. Evaluar la integridad de los datos. Evaluar la confiabilidad de los datos.
3. Alcance:
Periodo comprendido entre 24 de Setiembre y el 24 de Octubre, la auditoria se llevara a cabo en concordancia con las Normas de Auditoria Gubernamental NAGU y las Normas Tcnicas Peruanas Aplicables Aceptadas; comprender la revisin y anlisis selectivo de las actividades desarrolladas por el rea de Informtica.
4. Descripcin de las Actividades:
La actividad principal del Departamento de Sistemas est referida a administrar las tecnologas de informacin a fin de que las actividades administrativas, operativas y financieras que realiza la empresa, cuenten con el ms eficiente soporte tecnolgico para la captura, procesamiento, acceso, difusin y explotacin de la informacin, facilitando el cumplimiento de los objetivos y metas de las unidades orgnicas.
5. Normatividad Aplicable:
Se cumplir con aplicar las Normas de Auditoria Generalmente Aceptadas, Normas de Auditoria Gubernamental aprobadas por la Contralora General, mediante Resolucin N 162-95 de 95.09.22 y por la Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales no Arancelarias INDECOPI y tambin por la Comisin de Reglamentos Tcnicos y Comerciales INDECOPI.
Compendio de Normas Tcnicas Peruanas Aplicables:
a. Normas de Tcnicas de seguridad y sistemas de gestin de seguridad de la informacin (NTP-ISO/IEC 27001-2008).b. Normas de Cdigo de buenas prcticas para la gestin de la seguridad de la informacin (NTP-ISO/IEC 17799-2007).
6. Informes por emitir y fecha de entrega:
La formulacin del proyecto de informe con los resultados de la auditoria, se har al Jefe de la Comisin de la Auditoria, dentro de los cinco (05) das de concluida la comisin y se formular de acuerdo a las normas establecidas en la NAGU 4 y dems numerales que la conforman.
7. Identificacin de las reas Crticas:
reaProcedimientos Bsicos
InformticaVerificar el motor de base de datos a ser utilizado en ejecucin de acuerdo al Plan General acordado.
Instalaciones Constatar el uso del Servidor de Base de Datos, el ambiente en donde se encuentra y los dems equipos de TI.
8. Puntos a evaluar:
4. 5. 6. 7. 8. 8.1. Para la evaluacin del Departamento de Sistemas se llevan a cabo las siguientes actividades:
Solicitud del organigrama del departamento. Solicitud del manual de organizacin funcional. Solicitud de plan de trabajo. Elaboracin de una entrevista para el personal. Anlisis y evaluacin de la informacin Elaboracin del informe.
8.2. Para la evaluacin del SGDB y de la base de datos se llevan a cabo las siguientes actividades:
Elaboracin de entrevista al DBA. Aplicacin de la entrevista al DBA. Elaboracin de pruebas manuales. Aplicacin de las pruebas manuales. Anlisis y evaluacin de la informacin. Identificacin de los problemas. Elaboracin del informe.
8.3. Para la evaluacin de la Seguridad se llevan a cabo las siguientes actividades:
Solicitud de normas y polticas de seguridad. Solicitud de planes de contingencia. Anlisis y evaluacin de la informacin. Identificacin de las casusticas encontradas. Elaboracin del informe.
9. Personal:La comisin de la Auditoria para el presente examen, estar constituida por los Auditores que se indican a continuacin:
CARGOAPELLIDOS Y NOMBRESTAREAS BSICAS
Jefe de Comisin (Supervisor)Jos Luis Castilla Evaluar el ambiente de control y la informacin recopilada sobre los aspectos objeto de la auditoria. Participar en la determinacin preliminar del nivel de materialidad y la estrategia de auditoria en orden a la emisin del Memorndum de Planificacin de Auditoria. Dirigir la planificacin de la auditoria y el desarrollo de la estrategia. Revisar y aprobar la planificacin de la auditoria. Revisar y aprobar los programas de trabajo de la auditoria. Revisar los papeles de trabajo. Analizar los problemas significativos detectados en la auditoria preliminar. Discutir con los problemas encontrados durante la realizacin del trabajo, informando al Auditor Interno de dichos problemas y de las soluciones propuestas.
Auditor General Encargado de ComisinCarlos Reyes Ortega Coordinar con el Supervisor la distribucin del tiempo y la duracin de las diversas fases del trabajo, los lugares a ser visitados y la cantidad de horas hombre necesarias para hacer frente a las tareas proyectadas. Introducir y revisar con el Supervisor los cambios en el programa de auditoria que se consideren necesarios. Asignar las diferentes fases del trabajo a los Asistentes. Planear el tiempo y orden en que se har el trabajo de campo y la elaboracin de los distintos informes. Con acuerdo del Supervisor, ajustar o redefinir la naturaleza, alcance y extensin de los procedimientos de auditoria en funcin de los descubrimientos y resultados derivados de las pruebas de cumplimiento de control interno (si son aplicables). Mantener un control constante sobre el tiempo insumido por los asistentes en relacin con el presupuesto de horas proyectado a utilizar. Revisar con el Supervisor y los responsables de las reas auditadas, las deficiencias de control interno observadas, preparando un informe a tal fin.
Auditor AsistenteJosu Villanueva Medina.Catherine Vargas Salas.Noem Olaya Bautista.Yessenia Manco Gutirrez.Emily Mendoza Bravo. Asistir en obtener informacin acerca de los aspectos a analizar junto con las normas y reglamentaciones aplicables. Desarrollar una evaluacin ampliada de los riesgos de control a travs de la aplicacin de formularios de control interno. Coordinar con el Auditor Encargado los cambios en la naturaleza y extensin en las pruebas de validacin y otros procedimientos de auditoria. Identificar los asuntos significativos descubiertos en la auditoria y los que requieran la atencin del Auditor Encargado. Completar los procedimientos de auditoria y las informaciones correspondientes a los distintos legajos del trabajo (permanente y transitorio). Preparar los borradores de recomendaciones de acuerdo con el formato tipo especificado para el trabajo.
10. Cronograma de Actividades
24 de Setiembre10.1. Visita Preliminar a la Empresa. Recopilar Informacin Organizacional de la empresa.Visitar el Departamento de Sistemas.Solicitud del Organigrama del Departamento.Solicitud del Manual de Organizacin Funcional.Solicitud del Plan de Trabajo.Elaborar Pruebas y Entrevistas.
01-10 de Octubre10.2. Desarrollo de Auditoria. Evaluacin al Departamento de Sistemas.Evaluacin al SGDB y de la Base de Datos.Evaluacin de la Seguridad.Reorganizacin de evaluaciones y plan entre los auditores.
11-14 de Octubre10.3. Revisin y Pre-Informe. Discusin de los Resultados de las Entrevistas y Pruebas Manuales.Identificar Problemas Detectados.Discutir con los Auditados los problemas encontrados.
17 de Octubre10.4. Informe Final Elaboracin y Presentacin del Informe.
11. Presupuesto de Tiempo
El examen se efectuara en los calendarios especificados, debiendo iniciarse y culminar en las fechas indicadas de acuerdo al siguiente detalle:
ACTIVIDADCANTIDAD DAS TILESN DE PERSONASTOTAL H/H
Planeamiento050210
Trabajo de campo200304
Ordenamiento de los papeles de Trabajo y Archivos050202
Evaluacin de redaccin de informe preliminar050630
Revisin y supervisin de proyecto020102
12. Participacin de otros profesionales:
Por parte del rea de Auditoria Corporativa.
13. Instrucciones Complementarias:
Los miembros que conforman la comisin, durante el desarrollo de su misin observaran un comportamiento acorde con las normas de control vigente de lo que cuenta el auditor general encargado de la comisin.
PROGRAMA DE AUDITORIA
PROCEDIMIENTOS BASICOSConceptoP/TFechaIniciales
CONTROLES ORGANIZATIVOS GENERALES
Solicitar los procedimientos operativos previamente autorizados.T24/09/2014
Revisar que los manuales contengan polticas de sistemas y determinar que las mismas estn acordes con las polticas de la empresa.T24/09/2014
Entrevistar al personal del rea para verificar si conocen las normas y procedimientos establecidos en el manual.T24/09/2014
Entrevistar al Jefe del rea de Sistemas.T25/09/2014
Revisar el organigrama de la organizacin, a fin de determinar si el nivel funcional del rea es independiente de las reas operativas.T25/09/2014
Evaluar la disgregacin de funciones a travs de la revisin de los descriptivos de cargos contenidos en los procedimientos.T25/09/2014
Entrevistar al personal del rea de sistemas, a fin de determinar que las funciones y responsabilidades corresponden con los descriptivos de cargos y el organigrama.T25/09/2014
EVALUACION DEL PLAN DE CONTINGENCIA
Solicitar el plan de contingencia para la recuperacin de la base de datos.T30/09/2014
Determinar que la Gerencia General haya realizado la evaluacin de riesgo y vulnerabilidad de todas las operaciones del rea de Sistemas.T30/09/2014
Verificar si se hicieron las evaluaciones del impacto de la emergencia.T30/09/2014
Revisar el plan de Contingencia.T30/09/2014
Definicin de la prioridad de la recuperacin de la data y si existe respaldo de la misma en medios magnticos, como en otros.T30/09/2014
Revisar los resultados de la ltima prueba realizada.T01/10/2014
Verificar la efectividad de los sistemas de control de acceso fsico al rea de Sistemas (llaves, cdigos, otros).T01/10/2014
Determinar la condicin de los sistemas de deteccin y prevencin contra incendio e inundacin.T01/10/2014
CONTROLES AUTOMATIZADOS DE LA APLICACIN
EVALUACIN DEL SISTEMA DE SEGURIDAD LGICA
Determinar quin es el responsable por la seguridad lgica y fsica de la informacin y si dicha responsabilidad est asignada correctamente.T01/10/2014
Determinar a travs del organigrama qu unidad funcional ejerce esta responsabilidad.T01/10/2014
Entrevistar al personal del rea, a fin de verificar que autorizaciones de los usuarios se han fijado de acuerdo a las normas y procedimientos establecidos.T01/10/2014
Determinar que aplicacin de seguridad est instalada en el computador.T01/10/2014
Solicitar registros de auditoria del sistema para determinar el nivel de proteccin de todos los objetos del sistema.T01/10/2014
Revisar las herramientas disponibles en la aplicacin para monitorear los intentos de acceso no autorizados al sistema.T01/10/2014
Solicitar los perfiles de usuarios.T01/10/2014
Identificar la autoridad de los usuarios: capacidad para registrar, modificar, consultar y eliminar objetos.T01/10/2014
Verificar que la disgregacin de los niveles de accesos sean adecuados.T01/10/2014
EVALUACIN DEL DISEO CONCEPTUAL DE LA BASE DE DATOS
Determinar en las tablas generales de la base de datos los parmetros definidos.T01/10/2014
Verificar que los parmetros determinados en el punto anterior sean adecuados para el funcionamiento eficiente y correcto de la base de datos.T01/10/2014
EVALUACIN DE CONTROL DE ENTRADA, PROCESAMIENTO Y SALIDA
CONTROLES DE ENTRADA
Verificar la existencia de validaciones de sintaxis (alfanumrico, numrico, fechas y alfabticos).T01/10/2014
Determinar si existe un reporte donde se encuentren registrados todos los datos transcritos en la aplicacin, as como las modificaciones y eliminaciones realizadas a los registros de la base de datos.T01/10/2014
CONTROLES DE PROCESAMIENTO
Determinar todas las transacciones de la base de datos.T01/10/2014
Identificar todos los cdigos de transaccin.T01/10/2014
Identificar si se han utilizado programas que puedan ejecutar acciones no autorizadas o fraudulentas.T01/10/2014
CONTROLES DE SALIDA
Solicitar la lista de los reportes del SGBD.P02/10/2014
Solicitar la lista de los usuarios de los reportes a fin de determinar su adecuada distribucin.P02/10/2014
CONTROLES DE ALMACENAMIENTO
Verificar si los procedimientos de almacenamiento de la informacin son suficientes y adecuados.T02/10/2014
Verificar que se realice el respaldo de la base de datos y que el mismo sea resguardado en un lugar confiable y seguro.T02/10/2014
Verificar la existencia de archivos de respaldo permanentes apropiadamente almacenados fuera de la organizacin.T02/10/2014
CHECKLISTAuditora de bases de datos
1. Existi una metodologa para el diseo de la base de datos?
Si
No
NA
Observaciones:
2. Se cuenta con un diseo conceptual y lgico de la base de datos?
Si
No
NA
Observaciones:
3. Existen polticas de gestin de datos?
Si
No
NA
Observaciones:
4. Se cuenta con planes estratgicos y tcticos para la manipulacin de los datos?
Si
No
NA
Observaciones:
5. Se cuenta con procedimientos para controlar la integridad y seguridad de los datos?
Si
No
NA
Observaciones:
6. Cuenta con una copia de respaldo de la BD?
Si
No
NA
Observaciones:
7. Cuenta con un diccionario de datos de la BD?
Si
No
NA
Observaciones:
8. Se cuenta con alguna estrategia de recuperacin de datos en caso de un fallo?
Si
No
NA
Observaciones:
9. Se realiza copias de seguridad (diariamente, semanalmente, mensualmente.)?
Si
No
NA
Observaciones:
10. Se encuentra un administrador de sistemas en la empresa que lleve un control de los usuarios?
Si
No
NA
Observaciones:
11. Son gestionados los perfiles de estos usuarios por el administrador?
Si
No
NA
Observaciones:
12. Son gestionados los accesos a las instancias de la base de datos?
Si
No
NA
Observaciones:
13. Las copias de seguridad son encriptados?
Si
No
NA
Observaciones:
14. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentran bien hechas?
Si
No
NA
Observaciones:
15. Los dispositivos que tienen las copias de seguridad son almacenados fuera del edificio de la empresa?
Si
No
NA
Observaciones:
16. En caso de que el servidor principal sufra una avera, existen servidores auxiliares?
Si
No
NA
Observaciones:
17. Hay algn procedimiento para dar de alta a un usuario?
Si
No
NA
Observaciones:
18. Hay algn procedimiento para dar de baja a un usuario?
Si
No
NA
Observaciones:
19. El motor de base de datos soporta herramientas de auditoria?
Si
No
NA
Observaciones:
20. Se cuenta con niveles de seguridad para el acceso a la base de datos?
Si
No
NA
Observaciones:
21. Existe algn plan de contingencia ante alguna situacin no deseada en la base de datos?
Si
No
NA
Observaciones:
22. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de la base de datos?
Si
No
NA
Observaciones:
*** SI EXISTEN ESTOS LOGS ***23. Se usan los generados por el DBMS?
Si
No
NA
Observaciones:
24. Se usan los generados por el Sistema Operativo?
Si
No
NA
Observaciones:
25. Se han configurado estos logs para que slo almacenan la informacin relevante?
Si
No
NA
Observaciones:
26. Se tiene un sistema de registro de acciones propio, con fines de auditoria?
Si
No
NA
Observaciones:
27. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por agua?
Si
No
NA
Observaciones:
28. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por fuego?
Si
No
NA
Observaciones:
29. La ubicacin del centro de cmputo es acorde con las mnimas condiciones de seguridad?
Si
No
NA
Observaciones:
30. Existe un control de entradas y salidas de la base de datos (a nivel datos)?
Si
No
NA
Observaciones: