curso: auditoria y control de tecnologia de informatica … · 1. concepto de auditoria y base de...

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA

CURSO: AUDITORIA Y CONTROL DE TECNOLOGIA DE INFORMATICA

(SESION 13)

Profesor: Mg. Mario Huapaya Chumpitaz

INDICE

UNIDAD III: Tipos de Auditoria

1. Conceptos de Auditoria, Base de Datos2. Esquemas de Base de Datos3. Metodologías para la Auditoria de la Base de Datos4. Control Interno de una Base de Datos5. Auditoria de la Base de datos6. Caso practico

1. Concepto de Auditoria y Base de Datos

Auditoría de Sistemas de Información:Es la revisión técnica, especializada y exhaustiva que se realiza alos sistemas computacionales, software e información utilizadosen una empresa, sean individuales, compartidos y/ o de redes,así como sus instalaciones, telecomunicaciones, mobiliario,equipos periféricos y demás componentes

Definición de B. de DatosUna base de datos es un conjunto de datos que se comparte y esutilizada por un número de usuarios diferentes con distintospropósitos. Cada usuario no tiene necesariamente conocimiento detodos los datos almacenados en la base o en la forma en que talesdatos pueden utilizarse para múltiples propósitos. Generalmente, losusuarios individuales solo tienen acceso a los datos que utilizan ypueden contemplarlos como archivos informáticos empleados en susaplicaciones.


Organización de B. de Datos


S.Ventas S.Prod S.Adm S.Almac.

BASEDE DATOS

Ambiente Base de Datos


DATOS

S

.

O

P

E

R

A

T

I

V

O

A

P

L

I

C

D

B

M

S

Que es una transacción

2. Esquemas Base de Datos

Intercambio entre unusuario que opera unaterminal y un sistema deprocesamiento de datos.

Proceso de Registro de Transacciones

t1 t2 t3

insert 1

SQL Server

records cacheLog

Insert 1

commitlog:

insert 1

data:

insert 1Data

Insert 1

Transacción

Uncommited trans. Commited trans.


Proceso de Registro de Transacciones

t1 t2 t3

insert 2

SQL Serverrecords cache

LogInsert 1commitinsert 2log:

insert 2

data:insert 2 Data

Insert 1

Transacción

Uncommited trans. Commited trans.

RolledForward

RolledBack


Beneficios del ambiente de Base de Datos

Integración de datos Accesibilidad de datos Control de datos Facilita el desarrollo y adm. de

aplicaciones Mejora seguridad


Productos Disponibles

Informix


Utilización de base de datos principal

Sybase

4%Otros

8%

Oracle

26%

IBM(DB2,DB400 e

Informix)

26%

MS SQL

36%


Utilización de base de datos Complementaria

MySQL

13%

MS SQL

70%

Oracle

10% IBM

7%


¿Cuál es la base de datos complementaria?

Otros

5%Oracle

17%

IBM (DB2,DB400 e

Informix)

9%

Ns/Nc

21%

MS SQL

39%

MySQL

9%


Características de las Bases de Datos

Componentes: Los datos en sí y el Sistema de Gestión de

Base de Datos (SGBD).

Para funcionar requiere de software de otro software

(SO) y hardware.

Posibilidad de Compartir los datos

Independencia de datos y programas.

Diccionario de Datos. Permite la definición, validación de

ingreso y autorización para la actualización. Ejemplo en

Access


Características de las Bases de Datos Administración de las bases de datos: se describen las

tablas y las relaciones entre las mismas. La administración del recurso de datos en un ambiente

de base de datos es una situación que afecta a TODA laorganización.

La administración de los datos, su significado, su relacióncon otros datos y la integridad en toda la organización,corresponde al “dueño de los datos”.

La función de administración de la base de datos,operación de la base de datos, las políticas,procedimientos de acceso y uso diario correspondeprimariamente a la implementación técnica de la base dedatos.


Funciones del Administrador de la Base de Datos Definición de la estructura y descripción del modelo de datos y acceso. Desarrollo, implantación y cumplimiento de reglas relacionadas con la

integridad, completitud y acceso. Definir quien es el responsable por el monitoreo del apropiado origen

de los datos y como ese monitoreo es realizado. Definir quien puede acceder a los datos y la manera de hacerlo

(Escritura-Lectura-Modificación) Prevenir la inclusión de datos incompletos o no válidos; Asegurar la base de datos contra accesos no autorizados o

destrucción; Monitorear y seguir los incidentes de seguridad y el regular resguardo

de los datos; y Asegurar la total recuperación en un caso de pérdida de datos.

Coordinación de las operaciones informáticas relacionadas con la basede datos. Asignando responsabilidades en relación con los mediosfísicos informáticos y monitorear el uso en relación con lasoperaciones de la base de datos.

Monitoreo de la respuesta del sistema. Proveer soporte administrativo.


Aunque existen distintas metodologías que se aplican en auditoríainformática (prácticamente cada firma de auditores y cadaempresa desarrolla la suya propia), se pueden agrupar en dosclases:Metodología tradicional. En este tipo de metodología el auditorrevisa el entorno con la ayuda de una lista de control (checklist),que consta de una serie de cuestiones a verificar. Por ejemplo:¿Existe una metodología de Diseño de Base de Datos? S N NA(S es si, N no y NA no aplicable), debiendo registrar el auditor elresultado de su investigación.Este tipo de técnica suele ser aplicada a la auditoría de productosde bases de datos, especificándose en la lista de control todos losaspectos a tener en cuenta.

3. Metodologías para la Auditoria de Base de Datos

Metodología de evaluación de riesgos: Este tipo de metodología, conocidatambién por risk oriented approach, es la que propone la ISACA, y empiezafijando los objetivos de control que minimizan los riesgos potenciales a los queestá sometido el entorno. A continuación, una lista de los riesgos másimportantes según 2 autores: Incremento de la “dependencia” del servicio informático debido a la

concentración de datos Mayores posibilidades de acceso en la figura del administrador de la base

de datos Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y

el general de la instalación. Mayor impacto de los errores en datos o programas que en los sistemas

tradicionales Ruptura de enlaces o cadenas por fallos del software o de los programas de

aplicación Mayor impacto de accesos no autorizados al diccionario de la base de datos

que a un fichero tradicional. Mayor dependencia del nivel de conocimientos técnicos del personal que

realice tareas relacionadas con el software de base de datos (administrador,programadores, etc.)


Objetivo de control (ejemplo: El SGBD deberá preservar la confidencialidad dela base de datos).Técnicas de control. Una vez establecidos los objetivos de control, seespecifican las técnicas específicas correspondientes a dichos objetivos(ejemplo: Se deberán establecer los tipos de usuarios, perfiles y privilegiosnecesarios para controlar el acceso a las bases de datos).Un objetivo de control puede llevar asociadas varias técnicas que permitencubrirlo en su totalidad. Estas técnicas pueden ser preventivas, detectivas(como monitorizar la BD) o correctivas (por ejemplo, una copia de respaldo obackup).Pruebas de cumplimiento. En caso de que los controles existan, se diseñanunas pruebas (denominada pruebas de cumplimiento) que permiten verificar laconsistencia de los mismos. Por ejemplo: Listar los privilegios y perfilesexistentes en el SGBD.Si estas pruebas detectan inconsistencias en los controles, o bien, si loscontroles no existen, se pasa a diseñar otro tipo de pruebas – denominadaspruebas sustantivas que permitan dimensionar el impacto de estas deficiencias.Prueba sustantiva. Comprobar si la información ha sido corrompidacomparándola con otra fuente o revisando los documentos de entrada de datosy las transacciones que se han ejecutado.


PRINCIPALES OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DEDATOS


4. Control Interno de una Bases de Datos

El control interno en un ambiente de base de datos requiere deefectivos controles sobre la base de datos, del SGBD y de lasaplicaciones.

Los controles generales tienen normalmente una mayor influenciaque los controles de aplicación debido a que se comparten datosentre varias aplicaciones.

Los controles generales de especial importancia en un ambiente debases de datos pueden clasificarse en los siguientes grupos: Procedimientos estándares para el desarrollo y mantenimiento

de los programas de aplicación Modelos de datos y propiedad de los datos Acceso a la base de datos Segregación de funciones Administración del recurso de datos Seguridad de datos y recuperación de la base de datos

Debe reforzarse el control cuando se utilice un procedimientoestándar para desarrollar cada nueva aplicación de los programas ypara las modificaciones en tales aplicaciones.

Propiedad de los datos: es necesaria la asignación, clara y bien

definida, por el administrador de la base de datos, de las

responsabilidades relativas a la precisión e integridad de cada

dato.

Acceso a los datos: Existencia de restricciones de acceso a los

datos.

Adecuada definición de los perfiles de usuarios.

Adecuada segregación de tareas de técnicos, diseñadores,

administrativos y usuarios.

Seguridad en la recuperación de los datos (restauración de la

base de datos).

4. Control Interno de una Bases de Datos

La auditoría de bases de datos consiste en un proceso demonitoreo continuo y riguroso de los controles que laadministración ha establecido dentro de los sistemas de bases dedatos y todos sus componentes para obtener una seguridadrazonable de la utilización adecuada de los datos que sonalmacenados por los usuarios mediante los sistemas deinformación.

5. Auditoria de Base de Datos

El propósito de los controles de las bases de datos es minimizarel riesgo inherente que tiene este valioso recurso. Los datoscontenidos en las bases de datos pueden considerarse uno de losactivos más importantes que tiene la organización, ellosfinalmente producirán la información que necesita la empresapara su funcionamiento día a día o para su planificaciónestratégica.


Objetivos de la auditoria en DBEl control interno como la auditoria empezaron a prosperar en lainformática pero especializándose en ella teniendo en cuenta no tantoel concepto y/o objetivo de la función sino el objeto que se controla oaudita, el Sistema de Información y sus componentes. En nuestro casolas Bases de Datos y los DBMS utilizados. Haciendo alusión al primero,tendríamos que considerar la recolección de trazas de auditoria que esvital para la tarea del auditor o el perito y está soportada nativamentesolo por algunos gestores de bases de datos.


La seguridad de una basede datos, es la protecciónespecífica de la información,debe evaluarse las medidasde seguridad y control quese tienen para proteger labase de datos. Para preveniralteración, robo deinformación.


Los controles para la seguridad de una base de datos son: Programas de protección para impedir el uso inadecuado y la

alteración de datos de uso exclusivo. Respaldos periódicos de información Planes y programas de contingencia y recuperación de información. Control de acceso a la base de datos. Rutinas y monitoreo y evaluación de operaciones relacionadas con

la base de datos


Capas auditables DBMS, componentes auditables

políticas de administración de datos políticas de actualización del soft políticas de tuning

Bases de Datos, componentes auditables: esquemas Bases Tablas restricciones


Donde Ubicar los Controles Los controles en las aplicacionesImplica que a cada sistema, módulo o programa, se le debe adicionarel control; esto implica modificaciones de código, compilaciones deprogramas y otros procesos necesarios para asegurar que todas lasaplicaciones contengan el control. Los controles en la redConsiste en poner el control entre el usuario y la base de datos,significa realmente tenerlo en la red. Control en la fuentePoner el control directamente en la base de datos. Al igual que lasegunda, hablamos de un único control, fácil de implementar y deadministrar. Con esta alternativa y en este caso sí es posible conocerlos valores de los datos antes y después de la actualización, ya quepodemos utilizar mecanismos de la base de datos que permiten llegara ese nivel.


Tipos de Auditorias de Base de Datos Auditoría de actividadesEl primer tipo de auditoría lo llamamos auditoría de actividades, queconsiste en controlar las actividades que realizan los usuarios en losobjetos de la base de datos y entenderemos como objetos todas lastablas, vistas, restricciones de integridad que los usuarios crean en labase de datos. Auditoría de transaccionesLa auditoría de transacciones consiste en implementar una serie decontroles que permiten llevar una bitácora de todas las transaccionesque los usuarios realizan, pero a un nivel tal que podamos estableceruna historia de cómo se produjeron los cambios. Al igual que en el tipoanterior, es necesario crear un registro de auditoría al que llamaremosregistro de auditoría de transacciones (RAT).


Habilitando la AuditoriaEl sistema gestor de la base de datos relacionales Oracle provee unconjunto de instrucciones SQL, a lo que llamamos script, que permitehabilitar la auditoría de actividades. El script debe ejecutarse por unusuario que tenga los privilegios necesarios.

Un detalle interesante es que se puede deshabilitar el proceso deauditoría cuando el usuario, ya sea el DBA o el encargado de laauditoría, lo desee.

En el caso de Oracle, la habilitación requiere la ejecución de unasecuencia de comandos SQL: Habilitar: CATAUDIT.SQL Deshabilitar: CATNOAUDIT.SQL


Auditando las Transacciones Los sistemas gestores de bases de datos relacionales tienen un

objeto especial llamado TRIGGER (desencadenador).

El TRIGGER consiste en un conjunto de sentencias SQL que se leadhieren a una tabla, con el propósito de que en caso que la tablareciba una transacción, el TRIGGER se ejecutará y aplicará lassentencias que tiene almacenadas.

La idea de implementar el TRIGGER como auditoría detransacciones es excelente, siempre y cuando se tome en cuentaque él interfiere en el rendimiento de la transacción, aun así, si esnecesario implementarlo tenga presente hacerlo en formaadecuada y moderada.


Auditando las TransaccionesSupongamos que deseamos registrar todos los cambios que se realizan en la tabla cuentas, quién los realiza y cuándo los realiza. Para hacer estos primeros cambios necesitamos crear nuestro propio registro de auditoría. La sentencia SQL para crear la tabla sería la siguiente:

Create table RAT( usuario varchar (10),

Fecha date, Cliente varchar (6), Saldo_anterior number (10,2) Saldo_actual number (10,2) )

En esta tabla, la columna usuario sirve para registrar el usuario querealiza la transacción; fecha almacena el día y la hora en que se efectúala transacción; cliente se refiere al cliente al cual se le actualizó el saldoy finalmente saldo anterior y saldo actual registran los valores quetenía el saldo del cliente antes y después de llevar a cabo latransacción.


Muchas [email protected]

curso: auditoria y control de tecnologia de informatica … · 1. concepto de auditoria y base de...

Documents