Upload File

proyecto-de-investigacion-auditoria-en-base-de-datos.docx

  • Home
  • Documents
  • Proyecto-de-investigacion-auditoria-en-base-de-datos.docx
prev
next
out of 28
Download Proyecto-de-investigacion-auditoria-en-base-de-datos.docx

Upload: gaby-santiago

Post on 01-Mar-2016

217 views

Category:

Documents


0 download

Report

TRANSCRIPT

Tecnologico Nacional de Mexico

INSTITUTO TECNOLGICO DEL VALLE DE OAXACA

CARRERA:Ingeniera en tecnologas de la informacin y comunicaciones

Reporte de Investigacin unidad 5:

Auditoria de base de datos

GRUPO: Octavo B MATERIA: AuditoriaCATEDRATICO: Santibez Miguel MiguelIntegrantes del equipo 5:Cruz Bustamante Karen Eugenia Cayetano Castellanos Carlos EnriqueHernndez Garca Miguel ngelSantiago Pacheco Magali GabrielaMorales Valencia Cecilia

Ex-hacienda de Nazareno Xoxocotln, OaxacaINDICEContenidoINDICE2Introduccin4Objetivo general4Objetivos Especficos4Marco de referencia4Tecnologas de bases de datos4Definicin de Base de Datos4Caractersticas de las Bases de Datos5Auditoria de base de datos (BD)5Quines participan en la Auditora de Base de Datos5Normalmente estn orientados a:5Objetivos generales de la auditoria de BD5Importancia de la Auditoria de BD6Aspectos claves6Instrumentos de la evaluacin7Metodologas para la auditoria de la base de datos7Metodologa8Objetivo de Control8Tcnica de Control8Recomendaciones de los COBIT9Objetivos de control9Objetivos de las tecnologas de la informacin9Objetivos de los procesos:10Objetivos de las actividades10Objeticos de control en el ciclo de vida11Concepcin de la base de datos y seleccin del equipo12Diseo y carga12Explotacin y mantenimiento13Revisin post-implantacin13Otros procesos auxiliares13Auditora y control interno13Sistema de Gestin de Bases de Datos (SGBD)14Software de auditora14Sistema de monitorizacin y ajuste (tuning)14Sistema Operativo (SO)15Monitor de Transacciones15Protocolos y Sistemas Distribuidos15Paquetes de seguridad15Diccionarios de datos15Herramientas CASE (Computer Aided System/Software Engineering)/IPSE (Integrated Project Support Environments)15Lenguajes de Cuarta Generacin (L4G) independientes16Facilidades de usuario16Herramientas de "minera de datos"16Aplicaciones16Tcnicas para el Control en Entorno Complejos16Estndares17Estndar ISO 2700117COBIT17Cinco formas normales de las bases de datos relacionales18Conclusin21Referencias21

Tabla de IlustracionesIlustracin 1: Objetivos7Ilustracin 2: Proceso de evaluacin9Ilustracin 3: Objetivos de control10Ilustracin 4: Circulo de vida13Ilustracin 5: Alcance14Ilustracin 6: SGBD16Ilustracin 7: Enfoques23

IntroduccinLas bases de datos se han convertido en el corazn de los sistemas de informacin de las organizaciones, que cada da ms dependen del buen funcionamiento de stos para su supervivencia. El control interno y la auditora de bases de datos resultan fundamentales para el control y la auditora de las aplicaciones que acceden a las mismas, y para proporcionar confianza sobre todo del sistema de informacin.ITGI (Information Technology Governance lnstitute) La informacin, definida en el COBIT como "los datos en todos sus formatos, de entrada, procesados o de salida de los sistemas de informacin sea cual sea la forma en que son usados por la organizacin". La infraestructura, es decir, la tecnologa e instalaciones, incluyendo el sistema de gestin de bases de datos.Objetivo generalAnalizar las metodologas para el control de la auditoria y los riesgos a las bases de datos.Objetivos Especficos Consultar fuentes bibliogrficas referentes a la prctica de la Auditora de los Sistemas de Informacin y del diseo y anlisis de Metodologas para auditorias de sistemas basadas en riesgos. Conocer las normas nacionales e internacionales que dan soporte a las auditoras de Sistemas de Informacin. Conocer los riesgos y controles asociados a los diferentes tpicos de sistemas informticos.Marco de referenciaTecnologas de bases de datos Para comprender el proceso de una auditora de bases de datos, se debe conocer su significado y su funcionamiento en los sistemas de informacin. Al obtener una visin y conocimiento del entorno informtico, el auditor juzgar de manera eficiente, la naturaleza de la problemtica y riesgos a los cuales se ver enfrentado al planificar y realizar la auditora. Definicin de Base de DatosSe define una base de datos como una serie de datos organizados y relacionados entre s, los cuales son recolectados y explotados por los sistemas de informacin de una empresa o negocio en particular. El trmino de base de datos fue escuchado por primera vez en 1963 en un simposio celebrado en California, USA.

Caractersticas de las Bases de DatosEntre las principales caractersticas de las bases de datos podemos mencionar: Independencia lgica y fsica de los datos Redundancia mnima Acceso concurrente por parte de muchos usuarios Integridad de los datos Consulta complejas optimizadas Seguridad de acceso y auditora Respaldo y recuperacin Acceso a travs de lenguajes de programacin estndarAuditoria de base de datos (BD)

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar:

Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos

Quines participan en la Auditora de Base de Datos Auditores de Sistemas Tecnologa de Informacin Cumplimiento Corporativo Riesgo Corporativo Seguridad CorporativaNormalmente estn orientados a: Impedir el acceso externo Impedir el acceso interno a usuarios no autorizados Autorizar el acceso slo a los usuarios autorizados

Objetivos generales de la auditoria de BD

Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento Definicin de estructuras fsicas y lgicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y proteccin de accesos Estndares para anlisis y programacin en el uso de bases de datos Procedimientos de respaldo y de recuperacin de datos

Ilustracin 1: Objetivos

Importancia de la Auditoria de BD

Toda la informacin de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial es responsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocios representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo.Aspectos claves

No se debe comprometer el desempeo de las bases de datos Soportar diferentes esquemas de auditora Se debe tomar en cuenta el tamao de las bases de datos a auditarSegregacin de funciones El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de TIProveer valor a la operacin del negocio Informacin para auditora y seguridad Informacin para apoyar la toma de decisiones de la organizacin Informacin para mejorar el desempeo de la organizacinAuditora completa y extensiva Cubrir gran cantidad de manejadores de bases de datos Estandarizar los reportes y reglas de auditora

Instrumentos de la evaluacinInvestigacin Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la informacin relevante para apoyar el examen que el equipo de Auditora realizara. El resultado de esta recopilacin se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditora. Conocimiento del negocio y del Sistema. Informacin sobre la empresa y su objeto social, sobre sus polticas y normas. Adems toda la informacin referente al Sistema de Bases de Datos. Definir grupos de riesgos Escenarios de Riesgo Sistema de Bases de Datos. Agrupacin. Evaluacin del estado de control existente (checklist). Problemas por seguridad en instalaciones y acceso fsico. Riesgos relacionados con el acceso lgico y la privacidad a las bases de datos. Causado por la relacin Sistema Operativo - DBMS. Riesgos asociados a las aplicaciones y utilitarios.

Metodologas para la auditoria de la base de datos

Existen dos tipos:Metodologa tradicional (Checklist)Metodologa de evaluacin de riesgos

Metodologa tradicionalEl auditor revisa el entorno con la ayuda de una lista de control, que consta de una serie de cuestionarios (S), cuando la respuesta es afirmativa, N en caso contrario y NA no aplicable.Metodologa de evaluacin de riesgosEl anlisis de riesgos es la consideracin del dao probable que puede causar en el negocio un fallo en la seguridad de la informacin, con las consecuencias potenciales de prdida de confidencialidad, integridad y disponibilidad de la informacin. A continuacin se visualiza el proceso de evaluacin de riesgo en una organizacin y la relacin de las diferentes etapas que participan en el anlisis.

Ilustracin 2: Proceso de evaluacin

MetodologaObjetivo de Control

El SGBD deber preservar la confidencialidad de la base de datos. Una vez establecidos los objetivos de control, se especifican las tcnicas especficas correspondientes a dichos objetivos.

Ilustracin 3: Objetivos de control

Tcnica de Control Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos. Un objetivo de control puede llevar asociadas varias tcnicas que permiten cubrirlo en su totalidad. Estas tcnicas pueden ser preventivas, detectivas (monitorizar los accesos a la BD) o conectivas (copia de respaldo).Si los controles existen, se disean pruebas de cumplimiento que permiten verificar la consistencia de los mismos. Prueba de cumplimiento: (Si los controles existen verifican la consistencia de los mismos) Listar los privilegios y perfiles existentes en el SGBD. Si estas prueban detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a disear otro tipo de pruebas (pruebas sustantivas) que permitan dimensionar el impacto de estas deficienciasPrueba sustantiva: Comprobar si la informacin ha sido corrompida comparndola con otra fuente, o revisando los documentos de entrada de datos y las transacciones que se han ejecutado. Valorados los resultados de las pruebas se obtienen conclusiones que sern comentadas y discutidas con los responsables directos de las reas afectadas con el fin de corroborar los resultados. El auditor deber emitir una serie de comentarios donde se describa la situacin, el riesgo existente, la deficiencia a solucionar y, en su caso, sugerir la posible solucin.Recomendaciones de los COBIT Objetivos de control En COBIT los principales objetivos de control relacionados con las bases de datos son los siguientes (ITGI, 2007a): P02 Definir la Arquitectura de Informacin P02.1 Modelo Corporativo de Arquitectura de Informacin. P02.2 Diccionario de Datos Corporativo y Reglas de Sintaxis de Datos. P02.3 Esquema de Clasificacin de Datos. P02.4 Gestin de Integridad. DS 11 Gestionar Datos DS 11.1 Requisitos de Negocio para la Gestin de Datos DS 11.2 Planes de Almacenamiento y Retencin de Datos DS 11.3 Sistema de Gestin de Bibliotecas de Medios DS 11.4 Eliminacin de Datos DS 11.5 Copia de Respaldo y Restauracin DS 11.6 Requisitos de Seguridad para Gestin de DatosPara estos objetivos de control se definen diferentes objetivos y mtricas. Objetivos de las tecnologas de la informacinOptimizar la utilizacin de la informacin, asegurar que la informacin crtica y confidencial es inaccesible para aquellos que no deben tener acceso a la misma y asegurar la conformidad de las tecnologas de la informacin con las leyes, regulaciones y contratos. Mtricas Nmero de ocurrencias de incapacidad para recuperar datos crticos para los procesos de negocio. Porcentaje de satisfaccin del usuario con la disponibilidad de los datos. Nmero de incidentes de no conformidad con las leyes debido a cuestiones de gestin de almacenamiento. Objetivos de los procesos: Mantener la complecin, exactitud, validez y accesibilidad de los datos almacenados; asegurar los datos durante la entrega de medios, gestionar efectivamente el almacenamiento de los medios. Mtricas: Porcentaje de restauraciones de datos exitosas Nmero de incidentes en los que se recuperan datos sensibles despus de disponer de los medios Nmero de cadas de sistemas o incidentes de integridad de datos causados.Objetivos de las actividades Realizar copias de respaldo y pruebas de restauracin, gestionar almacenamiento de datos on-site y offside, asegurar la disposicin de datos y equipos. Mtricas Frecuencia de pruebas de copias de respaldo de los medios Tiempo medio de restauracin de datosEn ITGI (2007b) se definen para cada objetivo de control los drivers de valor y riesgo, y las pruebas de diseo del control correspondientes. En el caso del DS 11.6 de Requisitos de Seguridad para Gestin de Datos se proponen los siguientes: Drivers de valor: Informacin sensible asegurada y protegida apropiadamente, capacidad de ver o alterar la informacin disponible a los usuarios autorizados, complecin y exactitud de datos transmitidos. Drivers de riesgo: Datos sensibles mal utilizados o destruidos, accesos a datos no autorizados, falta de complecin e inexactitud de datos transmitidos, datos alterados por usuarios no autorizados.Pruebas de diseo del control: Preguntando y confirmando que: Se dispone de proceso que identifica datos sensibles y aborda las necesidades organizativas relativas a la confidencialidad de los datos, conformidad con leyes y regulaciones aplicables, y que se ha acordado la clasificacin de los datos con los propietarios de los procesos de negocio. Se define e implementa una poltica para proteger datos y mensajes sensibles de accesos no autorizados y transmisiones y transportes incorrectos, incluyendo: cifrado, cdigo de autenticacin de mensajes, totales hash, etc. Se han establecido requisitos para el acceso fsico y lgico a salidas de datos y se define y se tiene en cuenta la confidencialidad de la salida. Se han establecido reglas y procedimientos para el acceso por parte de los usuarios finales a las salidas de datos y para la gestin y realizacin de copias de respaldo de datos sensibles.Objetivos de control en el ciclo de vida

Ilustracin 4: Circulo de vida

Estudio previo y plan de trabajo Elaborar un estudio tecnolgico de viabilidad, acompaados de un anlisis costo-beneficio para cada una de las opciones. Disyuntiva entre desarrollar y comprar. El auditor debe comprobar que la alta direccin revisa informes de estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto. Si se decide ejecutar el proyecto se debe establecer un plan director y que se emplea para el seguimiento y gestin del proyecto, y que cumple con los procedimientos generales de gestin de proyectos aprobados por la organizacin. Aprobacin de la estructura orgnica no slo del proyecto en particular, sino tambin de la unidad que tendr la responsabilidad de la gestin y control de la base de datosSe recomienda una separacin de funciones entre: Personal de desarrollo de sistemas y el de explotacin. Explotacin y control de datos. Administracin de bases de datos y desarrollo.

Ilustracin 5: Alcance

Concepcin de la base de datos y seleccin del equipo En esta fase se empieza a disear la base de datos, por lo que deben utilizarse los modelos y las tcnicas definidos en la metodologa de desarrollo de sistemas de la empresa. La metodologa de diseo debera emplearse para especificar documentos fuentes, mecanismos de control, caractersticas de seguridad y pistas de auditora a incluir en el sistema.El auditor debe analizar la metodologa de diseo con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilizacin. En cuanto a la seleccin del equipo, en caso de que la empresa no disponga ya de uno, deber realizarse utilizando un procedimiento riguroso, en el que se consideren las necesidades de la empresa y las prestaciones que ofrecen los distintos SGBD candidatos. Adems se debe tener en cuenta el impacto que el nuevo software tiene en el sistema y, especialmente, en su seguridad.

Diseo y carga En esta fase se llevarn a cabo los diseos lgico y fsico de la base de datos. El auditor debe examinar si los diseos son correctos, si la definicin de los datos contempla adems de su estructura, asociaciones y restricciones oportunas, as como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad. Una vez diseada la BD, se proceder a su carga. Las migraciones o conversiones de sistemas entraan un riesgo muy importante por lo que debern estar claramente planificadas.

Entrada manual de datos, hay que establecer un conjunto de controles que aseguren la integridad de los mismos. Los procedimientos y diseo de documentos fuentes minimicen errores y omisiones, as como el establecimiento de procedimientos de autorizacin de datos. El tratamiento de datos de entrada errneos, los datos se validen y corrijan tan cerca del punto de origen como sea posible. No toda la semntica de los datos puede siempre almacenarse en el esquema de la base de datos, comprobar que los programas implementan de forma adecuada esta integridad.Explotacin y mantenimiento Una vez realizadas las pruebas de aceptacin, con la participacin de los usuarios, el sistema se pondr en explotacin. Comprobar que se establecen procedimientos de explotacin y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas slo se modifica mediante la autorizacin adecuada. El auditor podra ejecutar una auditora del rendimiento del sistema de BD.Revisin post-implantacin Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo y recursos, se debera establecer el desarrollo de un plan para efectuar una revisin post-implantacin de todo sistema nuevo o modificado, con el fin de evaluar si: Se han conseguido los resultados esperados Se satisfacen las necesidades de los usuarios Los costes y beneficios coinciden con los previstos.Otros procesos auxiliares A lo largo de todo el ciclo de vida de la base de datos se deber controlar la formacin que precisan tanto los usuarios informticos como los no informticos; ya que la formacin es una de las claves para minimizar el riesgo en la implantacin de una base de datos. El auditor tendr que revisar la documentacin que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los, estndares establecidos por la metodologa adoptada en la empresa. A este respecto resulta muy importante que se haya llevado a cabo un aseguramiento de calidad.Auditora y control internoCuando el auditor se encuentra el sistema en explotacin, deber estudiar el SGBD y su entorno. El gran problema de las bases de datos es que su entorno cada vez es ms complejo y no puede limitarse slo al propio SGBD.

Ilustracin 6: SGBD

Sistema de Gestin de Bases de Datos (SGBD) Ncleo (kernel), catlogo (seguridad BD), utilidades del administrador (usuarios, privilegios y confidencialidad); recuperacin de la BD: Rearranque, copias de respaldo, ficheros diarios (log), etc. y algunas funciones de auditora, y los lenguajes de cuarta generacin (L4G) que incorpora el propio SGBD. Productos del mercado permiten registrar operaciones realizadas sobre la base de datos en un fichero de pistas de auditora (audit traif). El auditor deber revisar la utilizacin de las herramientas que ofrece el propio SGBD, las polticas y procedimientos que sobre su utilizacin haya definido el administrador, para valorar si son suficientes o si deben ser mejorados.Software de auditoraSon paquetes que pueden emplearse para facilitar la labor del auditor, en cuanto a la extraccin de datos de la base, el seguimiento de las transacciones, datos de prueba, etc. Hay tambin productos muy interesantes que permiten cuadrar datos de diferentes entornos, permitiendo realizar una verdadera "auditora del dato".Sistema de monitorizacin y ajuste (tuning) Este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor informacin para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura ptima de la base de datos y de ciertos parmetros del SGBD y del SO.Sistema Operativo (SO) El SGBD se apoyar en los servicios que ofrece el SO en control de memoria, gestin de reas de almacenamiento intermedio (buffers), manejo de errores, control de confidencialidad, mecanismos de interbloqueo, etc.

Monitor de Transacciones Algunos autores lo incluyen dentro del propio SGBD actualmente puede considerarse un elemento ms del entorno, con responsabilidades de seguridad y, sobre todo, de rendimiento. Protocolos y Sistemas DistribuidosCada vez ms se est accediendo a las bases de datos a travs de redes, con lo que el riesgo de violacin de la confidencialidad e integridad se acenta.Paquetes de seguridad Existen productos que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos, definicin de privilegios, perfiles de usuario, etc. Un grave inconveniente de este tipo de software es que a veces no se encuentra bien integrado con el SGBD. Diccionarios de datos Se pueden auditar de manera anloga a las bases de datos, un fallo en una BD puede atentar contra la integridad de datos y producir mayor riesgo financiero, un fallo en un diccionario suele llevar consigo una prdida de integridad de los procesos; siendo ms peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo.Herramientas CASE (Computer Aided System/Software Engineering)/IPSE (Integrated Project Support Environments) Estas herramientas suelen llevar incorporado un diccionario de datos ms amplio que los mencionados anteriormente en los que se almacenan adems de informacin sobre datos, programas, usuarios, etc., los diagramas, matrices y grafos de ayuda al diseo. Constituyen una herramienta clave para que el auditor pueda revisar el diseo de la base de datos, comprobar si se ha empleado correctamente la metodologa y asegurar un nivel mnimo de calidad.Lenguajes de Cuarta Generacin (L4G) independientesEl auditor puede encontrar una amplia gama de generadores de aplicaciones, de formas, de informes, etc. que actan sobre la base de datos y que, por tanto, tambin son un elemento importante a considerar en el entorno del SGBD. Uno de los peligros ms graves de los L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generacin. El auditor deber estudiar los controles disponibles en los L4G utilizados en la empresa, analizando con atencin si permiten construir procedimientos de Control y auditora dentro de las aplicacionesFacilidades de usuario Se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD. El auditor deber investigar las medidas de seguridad que ofrecen estas herramientas y bajo qu condiciones han sido instaladas; las herramientas de este tipo deberan "proteger al usuario de sus propios errores".Herramientas de "minera de datos" Ofrecen soporte a la toma de decisiones, sobre datos de calidad integrados en el almacn de datos, debindose controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de mecanismos de retroalimentacin (feedback), que modifican las bases de datos operacional es a partir de los datos del almacn. Aplicaciones El auditor deber controlar que las aplicaciones no atentan contra la integridad de los datos de la base.Tcnicas para el Control en Entorno Complejos Debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados, difciles de gestionar". El auditor puede emplear, dos tcnicas de control: Matrices de control: Sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos. Anlisis de los caminos de acceso: Se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto hardware como software) y los controles asociados.Con este marco, el auditor puede identificar las debilidades que expongan los datos a riesgos de integridad, confidencialidad y seguridad, los distintos interfaces entre componentes y la complecin de los controles. En la prctica se suelen utilizar conjuntamente ambas tcnicas, si bien la del anlisis de caminos de acceso requiere unos mayores conocimientos tcnicos y se emplea en sistemas ms complejos.

Estndares Estndar ISO 27001

ISO 27001 es una norma internacional emitida por la Organizacin Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en una empresa. La revisin ms reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se public en 2005 y fue desarrollada en base a la norma britnica BS 7799-2.ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los mejores especialistas del mundo en el tema y proporciona una metodologa para implementar la gestin de la seguridad de la informacin en una organizacin. Tambin permite que una empresa sea certificada; esto significa que una entidad de certificacin independiente confirma que la seguridad de la informacin ha sido implementada en esa organizacin en cumplimiento con la norma ISO 27001.ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la informacin y muchas empresas han certificado su cumplimiento; aqu se puede ver la cantidad de certificados en los ltimos aos.COBITLas mejores prcticas en auditoria recomiendan Cobit como la herramienta estndar para tecnologas de informacin ms utilizada en la ejecucin de auditoras; a continuacin se explica detalladamente algunos conceptos manejados por sta y los dominios, procesos y actividades que lo conforman:

Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad: Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin: Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. Datos: Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Aplicaciones: Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. Tecnologa: La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones: Recursos para alojar y dar soporte a los sistemas de informacin. Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacinCinco formas normales de las bases de datos relacionales

Las reglas de normalizacin estn diseadas para prevenir anomalas de actualizacin e inconsistencia de datos.Primera forma normalLa primera forma normal trata con la forma del registro. Bajo la primera forma normal, todas las ocurrencias de tipo registro deben contener el mismo nmero de campos. La primera forma normal excluye campos repetidos y grupos.Segunda y tercera formal normalLa segunda y tercera forma normal trata con las relaciones entre campos clave y campos no clave. Bajo la segunda y tercera forma normal un campo no clave debe de proveer un hecho (valor) referente al campo clave. Adems el registro debe satisfacer la primera forma normal.Segunda forma normalLa segunda forma normal es violada cuando un campo que no es clave tiene un valor de un subconjunto del campo de la clave. Es solo relevante cuando el campo clave es compuesto por varios campos.Cuando el diseo de datos es cambiado para reemplazar registros no normalizados por registros normalizados, a estos procesos se le llama normalizacin.El diseo normalizado refuerza la integridad de los datos minimizando la inconsistencia y redundancia de datos.Tercera forma normalLa tercera forma normal es violada cuando un campo no clave contiene un valor de otro campo no clave.Dependencias funcionalesEn la teora de las bases de datos relacionales, la segunda y la tercera forma normal son definidas en trminos de dependencias funcionales. Un campo Y es funcionalmente dependiente de un campo (o campos) X si es invalido tener dos registros con el mismo valor de X pero diferentes valores en Y. Cuando X es el campo clave, entonces todos los campos son por definicin funcionalmente dependientes en X, siempre y cuando no existan dos registros que tengan el mismo valor en X.Las dependencias funcionales solo existen cuando las cosas involucradas tienen identificadores nicos y singulares. Es importante puntualizar que las dependencias funcionales y las varias formas normales son realmente solo definidas por situaciones en donde existen identificadores nicos y singulares.Cuarta y Quinta formas normalesLa cuarta y quinta formas normales tratan con campos que pueden tener diferentes valores. Un campo que puede tener diferentes valores debe corresponder a una relacin muchos a muchos o muchos a uno. En ese sentido la cuarta y la quinta forma normal son tambin llaves compuestas. Estas llaves normales intentan minimizar el nmero de campos involucrados en la llave compuesta.Cuarta forma normalBajo la cuarta forma normal, un registro no debe contener campos que acepten diferentes valores independientes en una entidad. Adems el registro debe satisfacer la tercera forma normal.El problema principal con violar la cuarta forma normal es que lleva hacia incertidumbres en las polticas de mantenimiento. Varias polticas son posibles para el mantenimiento de dos campos que aceptan diferentes valores independientes en un registro.Otros problemas causados por violar la cuarta forma normal son similares a esos mencionados antes por violar la segunda y tercera forma normal. Estos toman diferentes variaciones dependiendo de las polticas de mantenimiento seleccionadas. Si hay repeticiones, entonces la actualizacin debe hacerse en mltiples registros, y los registros pueden volverse inconsistentes.Dependencias multivaluadas son definidas esencialmente como una relacin que acepta la poltica de mantenimiento del producto cruzado. La dependencia multivaluadas y la cuarta forma normal tambin aplica a las relaciones que involucran a ms de dos campos.Quinta forma normalLa quinta forma normal trata con casos donde la informacin puede ser reconstruida de piezas pequeas de informacin que puede ser mantenida con menos redundancia. La segunda, tercera y cuarta formas normales tambin sirven a este propsito, pero la quinta forma normal generaliza los casos no cubiertos por las otras.En otras palabras podemos decir que un registro si cumple con la quinta forma normal cuando la informacin que contiene no puede ser reconstruida de varios registros pequeos (de registros que cada uno tienen menos campos que el registro original). El caso donde todos los registros pequeos tienen la misma llave es excluido. Si un registro puede ser solo descompuesto en registros pequeos donde todos tienen la misma llave, entonces el registro es considerado dentro de la quinta forma normal sin descomposicin. Un registro que cumple con la quinta forma normal cumple tambin con la cuarta, tercera, segunda y primera forma normal.La quinta forma normal no difiere de la cuarta forma normal a menos de que exista una limitacin simtrica.Una ventaja de la quinta forma normal es que ciertas redundancias pueden ser eliminadas.Debe de observarse que la normalizacin involucra mas registros, deben existir un total menor de ocurrencias. La ventaja es notoria cuando se almacenan un numero grandes de registros, mientras que las bases de datos normalizadas crecen en forma sumatoria, las bases de datos no normalizadas crecen en forma multiplicativa.La cuarta y quinta formas normales tratan con combinaciones de cambios que contienen valores diferentes. Si un registro viola la cuarta forma normal, el proceso de normalizacin asociado lo descompone en dos registros, cada uno contiene menos campos que el registro original. Cualquiera de estas violaciones a la cuarta forma normal son descompuestos en dos registros y as sucesivamente hasta que todos los registros resultantes cumplan con la cuarta forma normal. En cada etapa el conjunto de registros despus de la composicin contiene exactamente la misma informacin que antes de la descomposicin.

Redundancias inevitablesLa normalizacin ciertamente no remueve todas las redundancias. Ciertas redundancias parecen ser inevitables, particularmente aquellas que contienen diferentes valores ya definidos son ms dependientes que independientes.Redundancias entre registrosLas formas normales que acabamos de ver tratan solo con redundancias ocurridas dentro de un registro. La quinta forma normal es considerada la ltima forma normal con respecto a tales redundancias. La redundancia entre registros ha sido reconocida durante algn tiempo y recientemente ha sido direccionado en trminos de la forma normal y la normalizacin.

Ilustracin 7: Enfoques

ConclusinEl auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente para asegurar que los sistemas de bases de datos continan cumpliendo los objetivos de la empresa y que se encuentran controlados de manera efectiva. Los sistemas aumentan su complejidad y alcance con mayor rapidez que los procedimientos y tcnicas para controlados. La de Gestin de Recursos de Informacin (IRM, Information Resource Management), logra convertir los datos en el activo ms importante de empresas; lleva consigo que medidas de control y auditora pasen a un primer plano; y que se alineen con las estrategias de las mismas y con el gobierno de sus tecnologas y sistemas de informacin.

ReferenciasLa auditora en el contexto actual. Catalina Rivas de las Casas - Gerente de Auditoria - Sucursal Ciudad Habana, CIMEX, Cuba. www.gestiopolis.com/recursos/documentos/fulldocs/fin/auditcontxactual.htm Auditoria de Sistemas. Carmen D'Sousa. http://www.monografias.com/trabajos Auditoria Informtica. Un enfoque Prctico, 2 Edicin ampliada y revisada. Mario G. Piattini, Emilio del Peso y otros. Editorial Alfaomega Ra-Ma. F13 Auditoria Informtica. Oscar Coltell. Departamento de Lenguajes y Sistemas Informticos. Universitat Jaume I. Castelln. http://www3.uji.es/~coltell/F13/OCX_F13.html Auditoria Informtica. 2 Edicin. Paraninfo. Thomas A.J., Douglas I.J .Madrid 1988. Decreto 1558/2001 Reglamentacin Ley 25326. http://www.jus.gov.ar/dnpdpnew/ Decreto 163/2005 Ministerio de Justicia y Derechos Humanos. Organigrama, Misiones y Funciones. http://www.jus.gov.ar/dnpdpnew/ Disposicin 7/2005 Clasificacin de Infracciones y Graduacin de Sanciones. http://www.jus.gov.ar/dnpdpnew/ Disposicin 11/2006 Medidas de Seguridad para el Tratamiento y Conservacin de los Datos Personales contenidos en Archivos, registros Bancos y Bases de Datos no estatales y Privados. http://www.jus.gov.ar/dnpdpnew/ Normas Generales de Control Interno (ngci.pdf). http://www.sigen.gov.ar/main/index.html Normas de Control Interno para Tecnologa de Informacin. http://www.sigen.gov.ar/main/index.html Auditoras en Base de Datos. Herramienta para rastros de actividad Activity Log Ingravallo Gabriel Entraigas Valeria Pgina: 107 Ayuda on-line de Visual Basic 6.0 Ayuda on-line de Postgres Ayuda on-line de SQL Server http://msdn2.microsoft.com/en-us/library/bb418499.aspx http://msdn2.microsoft.com/en-us/library/ms187929.aspx Pagina Oficial MySQL http://dev.mysql.com/doc/refman/4.1/en/myodbc-examplesprogramming.html Pgina Oficial IBM http://www-306.ibm.com/common/ssi/fcgi-bin/ssialias Pgina Oficial Oracle http://www.oracle.com/index.html Pgina Oficial Postgres http://www.postgresql.org/docs/8.2/static/dynamic-trace.htmlhttp://perso.wanadoo.es/aldomartin1/tic1.html

4


INFORME AUDITORIA INFORME AUDITORIA INTERNA INTERNA

Actividad en Clase 4 - Operadores-tipos de datos.docx

Diferencias entre Auditoria Administrativa y Auditoria Financiera

A1 - MODULOS DE DIGITACIÓN Y OFIMATICA Y BASE DE DATOS.docx

ESTRUCTURA DE DATOS.docx

sistema de adq. de datos.docx

ADO249 - AUDITORIA I - Desarrollo Teorico Auditoria 1

DEFINICIÓN DE TÉCNICA DE AUDITORIA Las técnicas son las metodos practicos de investigacion y prueba que el Contador Público o profesional utiliza para

Auditoria i Tecnicas y Procedimientos de Auditoria

Auditoria Ambiental Investigacion

Unidad 5 de Auditoria - Auditoria - Auditoria (2) - Copia

Fundamentos de Auditoria El Informe de Auditoria

Fundamentos de Auditoria, el dictamen de auditoria

Investigacion Formativa II - Auditoria Gubernamental - Reynaldo Enrique Ramos Flores

“AUDITORIA DE LOS PROGRAMAS SOCIALES”“AUDITORIA DE LOS PROGRAMAS SOCIALES” XI CONCURSO ANUAL DE INVESTIGACION “Porque La Pobreza Es El Símbolo Que ... auditoría y dándole

Hojas de datos.docx

AUDITORIA INTERNA: FECHA ELABORACIÓN: Auditoria Al

CLASIFICACIÓN DE LA AUDITORIA AUDITORIA INTERNA AUDITORIA EXTERNA

INVESTIGACIÓN 5 MEJORES MANEJADORES DE BASE DE DATOS.docx

TALLERES DE AUDITORIA (AUDITORIA FINANCIERA)

Auditoria de Sistemas Auditoria Centro de Computo

Electiva v - transmision de datos.docx

Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela

QUÉ ES UNA RED DE DATOS.docx

amigolecture.ecc.u-tokyo.ac.jp/.../banco-datos/banco-datos.docx · Web viewBanco de datos léxicos del español: Un proyecto internacional de investigación Hiroto Ueda 1. INTRODUCCIÓN

Base de Datos.docx

INFORME RECOLECCIÓN Y PROCESAMIENTO DE DATOS.docx

Trabajo de Investigacion Auditoria (1)

Módulo Contabilidad y Auditoria - Auditoria para Pymes

Documental 2do Parcial Base De Datos.docx

Guia Investigacion Instituto Investigacion

Auditoria , directivas de auditoria, configuración de Auditoria

Informe Final 40-12 Universidad de La Serena Auditoria de Transferencias Por Becas Estudiantiles y Fondos Centrales de Investigacion- Diciembre 2012 (1)

Auditoria - Investigacion (Examen)

AUDITORIA FORENSE “EN LA INVESTIGACION DE LA CORRUPCION ADMINISTRATIVA” Quito Ecuador, Juio de 2005 Conferencista: Miguel Antonio Cano C., C.P.A. Contador