• Author / Uploaded
• AljirioTapia

Citation preview

[SUBTÍTULO DEL DOCUMENTO]

Administrador1 FAMILIA ALFARO | [DIRECCIÓN DE LA COMPAÑÍA]

pág. 0

Contenido 1. Auditoría de bases de datos

3

2. Metodologías para la Auditoría de Bases de Datos

3

2.1.

Metodología Tradicional

3

2.2.

Metodología de Evaluación de Riesgos.

3

Técnica de Control

3

Prueba de Cumplimiento.

3

Prueba Sustantiva.

3

3. Recomendaciones COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas) para la Auditoría de Bases de Datos

4

4. Objetivos de control en el Ciclo de Vida de una B.D. (si se desea implantarla nueva)

5

4.1.

Estudio previo y plan de trabajo

5

4.2.

Auditoría de la Concepción de la BD y de la selección del equipo.

6

4.3.

Auditoría del diseño y carga de la BD

6

4.4.

Auditoría de la explotación y el mantenimiento

8

4.5.

Revisión post-implantación

8

4.6.

Revisión otros procesos auxiliares

8

4.7.

Auditoría y Control Interno en un entorno de Base de Datos.

8

4.7.1.

Sistema de Gestión de Base de Datos (SGBD).

9

4.7.2.

Software de Auditoria.

9

4.7.3.

Sistema de Monitorización y Ajuste (tuning).

9

4.7.4.

Sistema Operativos SO

10

4.7.5.

Monitor de Transacciones

10

4.7.6.

Protocolos y Sistemas Distribuidos

10

4.7.7.

Paquetes de Seguridad

10

4.7.8.

Diccionario de Datos

10

4.7.9.

Herramientas CASE

10

4.7.10. Lenguajes de Cuarta Generación (L4G) Independientes

10

4.7.11. Facilidades y aplicaciones de usuario

11

4.7.12. Herramientas de minería de datos

11

4.7.13. Aplicaciones

11

4.8. pág. 1

TECNICAS PARA EL CONTROL DE BASES DE DATOS EN UN ENTORNO COMPLEJO. 11

4.8.1.

Matrices de control

11

4.8.2.

Análisis de los Caminos de Acceso

12

CONCLUSIONES

1. pág. 2

AUDITORÍA DE BASES DE DATOS

13

Uno de los principales campos dentro del Control Interno y de la Auditoría Informática. Aplicables LORTAD y LOPD. Se trata de proteger y revisar tanto los datos como la estructura lógica (tablas, claves, etc.) como la infraestructura física que lo soporta (discos, etc.).

2. METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS 2.1. Metodología Tradicional  Se revisa el entorno con ayuda de una lista de control (checkList) que consta de una serie de cuestiones a verificar.  Es un método bastante repetitivo y pobre.

2.2. Metodología de Evaluación de Riesgos. Es la recomendada por ISACA (Asociación de Auditoría y Control de Sistemas de Información).

Técnica de Control El SGBD deberá preservar la confidencialidad de la BD. Se establecen los tipos de usuarios, Perfiles y privilegios necesarios para controlar el acceso a la BD. El objetivo de Control conlleva a varias técnicas asociadas como:

-

Preventivas. Detectivas. Motorizar el acceso a la BD. Correctivas. Realizar un BACKUP.

Prueba de Cumplimiento. Listar los privilegios y perfiles existentes en el SGBD. Si esta prueba detecta inconsistencia o no existe esos controles pasara a la prueba sustantiva.

Prueba Sustantiva.

Comprobar si la información ha sido corrompida comparándola con otra fuente o revisando, los documentos de entrada de datos y las transacciones que se ha ejecutado. Una vez obtenido y valorado los resultados de la prueba se pondrá en observación los puntos críticos se hará un análisis con los responsables de las áreas afectadas el auditor responsable para sugerir posibles soluciones. Como resultado final de la auditoria se presentara un informe final de las conclusiones obtenidas en el proceso. Como también el alcance que ha tenido la Auditoria. pág. 3

Técnica empleada en el desarrollo del sistema como también en su explotación.

3.

RECOMENDACIONES COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas ) PARA LA AUDITORÍA DE BASES DE DATOS

Objetivo de control PO2-Definir una Arquitectura de Información (área Planificación y Organización):

-

PO2.1 – Modelo Corporativo de Arquitectura de Información

-

PO2.2 – Diccionario de datos Corporativo y Reglas de Sintaxis de Datos

-

PO2.3 – Esquema de Clasificación de Datos

-

PO2.4 – Gestión de Integridad

Objetivo de control DS11-Gestionar Datos (área Entrega y Soporte):

-

DS11.1 – Requisitos de Negocio para la Gestión de Datos

-

DS11.2 – Planes de Almacenamiento y Retención de Datos

-

DS11.3 – Sistema de Gestión de Bibliotecas de Medios

-

DS11.4 – Eliminación de Datos

-

DS11.5 - Copia de Respaldo y Restauración

-

DS11.6 – Requisitos de Seguridad para Gestión de Datos

Para cada uno de es tos objetivos de control se definen diferentes subjetivos y métricas. Es recomendable ver ejemplos página 390 para el objetivo DS11.

ITGI (Tecnologías de la Información del Instituto de Gobierno) también ha detallado drivers y pruebas de diseño y control para dichos objetivos y subojetivos.

pág. 4

4. OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA B.D. (si se desea implantarla nueva) ESTUDIO PREVIO Y PLAN DE TRABAJO

F O R M A C I O N

CONCEPCION DE LA BD Y SELECCIÓN DEL EQUIPO DISEÑO Y CARGA

EXPLOTACION Y MANTENIMIENTO

REVISION

D O C U M E N T A C I O N

C A L I D A D

POST IMPLANTACION

4.1. Estudio previo y plan de trabajo - Estudio técnico de viabilidad para alcanzar los objetivos del proyecto. - aprobación de la estructura orgánica no sólo del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión y control de la base de datos, por parte de la alta dirección de la organización. - Obligatorio un análisis coste-beneficio.

pág. 5

- Siempre debe estar la opción de desechar el proyecto y la de implantar desarrollo externo. - Estos estudios deben llevarse hasta la alta dirección y es ella quien tiene que decidir qué alternativa se elige (auditor comprueba este circuito) - Si no se desecha proyecto, debe redactarse un Plan Director y se ha de comprobar que es seguido. - Auditoría debe establecer al menos los siguientes objetivos de control: a) Existencia de separación lógica (medios, documentos y responsabilidades) entre el administrador de datos (diseño conceptual BD, formador, diseña documentación, diseña procesos...) y el administrados de la base de datos (diseño físico BD, estadísticas, duplicados, seguridad, software gestor, etc.). b) Existencia de separación de funciones entre personal de desarrollo y el de explotación. c) Ídem entre explotación y control de datos. d) Ídem entre administración BD y desarrollo. e) Otras separaciones de funciones.

4.2. Auditoría de la Concepción de la BD y de la selección del equipo.  Se debería verificar si ha existido diseño conceptual + diseño lógico + diseño físico  Verificar objetivos de control relativos a Arquitectura de la Información:

pág. 6



Modelo de arquitectura (centralizado, distribuido...).



Existencia y complitud del diccionario de datos.



Esquema de clasificación de datos a nivel de seguridad (LOPD).



Niveles de seguridad para las anteriores clasificaciones.

de

información

elegido

4.3. Auditoría del diseño y carga de la BD  Verificar corrección diseño lógico + diseño físico (en especial asociaciones de elementos, restricciones oportunas, especificaciones almacenamiento y seguridad).  El auditor debe comprobar su correcta utilización.  Los diseños deben estar autorizados, al menos por los usuarios, pero es recomendable que también por la dirección  Si la carga proviene de una migración de otro entorno, se debe establecer un paralelo durante cierto tiempo para ver qué resultados son iguales  Si ha habido entrada manual de datos, hay que establecer controles que aseguren la integridad de los mismos  Si el proceso de carga es mixto (como casi siempre), dobles controles anteriores  Control de errores de entrada en el proceso de carga. Siempre existen problemas. Cuando se detecten, los datos de corregidos deben proceder lo más cerca posible del punto de origen. Importante aspecto de COBIT a considerar: la identificación de la arquitectura de la información que son los siguientes: -

Modelo de arquitectura de información, y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información.

-

Datos y diccionario de dalos corporativo.

-

Esquema de clasificación de datos en cuanto a su seguridad.

-

Niveles de seguridad para cada anterior clasificación de datos.

En cuanto a la adquisición del equipo, en caso la organización no cuente será determinado utilizando un procedimiento riguroso tomando en cuenta por un lado las necesidades requeridas y por el otro las prestaciones que ofrecen los distintos SGBD. Puntuados en (ISACF – 1996) Sistemas de Información de Auditoría y Control de la Fundación tomando en cuenta el impacto que el nuevo software tiene en el sistema y en seguridad. DISEÑO pág. 7

Es la fase en donde se lleva a cabo el diseño lógico y físico de la BD. El auditor deberá comprobar si se diseñaron correctamente. Determinando si la definición de los datos contempla además de su estructura las asociaciones y restricciones y restricciones oportunas también las especificaciones de almacenamiento de datos y seguridad. Aprobación de la alta dirección. CARGA Una vez diseñada la BD se procede la carga ya sea migrando datos o manualmente, a su vez estas deberán estar planificadas claramente para que no haya perdida de información Se hará una prueba en paralelo para terminar con la carga de BD aplicando el control estricto de corrección de errores detectados por esta fase.

4.4.Auditoría de la explotación y el mantenimiento  Verificar que existen procedimientos de explotación aprobados y que el contenido / mantenimiento de los sistemas sólo se realizan mediante la autorización adecuada  Es muy recomendable realizar pruebas de rendimiento, y comprobar que el administrador de la BD ha respondido adecuadamente a los posibles mensajes de degradación que haya presentado el sistema  Objetivos de control COBIT para la gestión de datos:

pág. 8

-

Procedimientos de preparación de datos

-

Manejo de errores de entrada

-

Integridad del procesamiento de datos

-

Manejo de errores de salidas

-

Distribución de salidas

-

Protección de la información sensible (planes negocio)

4.5.Revisión post-implantación Aunque se hace en pocas entidades, se debería hacer una evaluación a posteriori de los beneficios conseguidos con la implantación de la BD: -

Se ha conseguido los resultados esperados.

-

Se satisfacen las necesidades esperadas.

-

Los costes y beneficios coinciden con los previstos.

4.6.Revisión otros procesos auxiliares -

¿Existen manuales?

-

¿Se ha realizado desarrolladores)?

-

Revisión de toda la documentación generada en el proceso de implantación

-

Apoyo a sistemas de medición de calidad (ISO 9001).

la

formación

oportuna

a

usuarios

(y

4.7.Auditoría y Control Interno en un entorno de Base de Datos. El auditor deberá estudiar la BD y su entorno “en el desarrollo y mantenimiento de sistemas informáticos en entorno de BD deberían de considerarse el control, la integridad y la seguridad de los datos compartidos por múltiples usuarios esto debe abarcar a todos los componentes del entorno de BD” (Menkus)

SGBD

CASE

DICCIONARI O DE

DEPOSITORI O

L4G INDEPENDIEN TE

UTILIDADES DEL ADO COMPROBA R PRIVACIDA

AUDITOR IA

SOFTWARE AUDITORIA

L4G

SEGURIDAD RECUPERA DA

SISTEMA DE MONITOR/AJUS TE

CATALOG O

NUCLEO KERMEL

SO

APLICACION ES

MONITOR TRANSAC.

MINERA DE DATOS

PROTOCOLOS Y SISTEMAS DISTRIBUIDO

RACHIO PAQUETE SEGURIDAD

pág. 9

4.7.1. Sistema de Gestión de Base de Datos (SGBD).

En la SGBD se destaca el Núcleo (KERMEL) el catalogo (componente fundamental para asegurar la seguridad de la BD, utilidades para el administrador para crear usuarios, conceder privilegios y resolver cuestiones relativa a la confidencialidad. Que se encargan en la recuperación de BD, re arranque, copias de respaldo, archivos diario, etc. y funciones de auditoria de Lenguajes de Cuarta Generación (LG4). “Requisito para la auditoria es que lo causa y e l efecto de todos los cambios de La base de datos sean verificables” ISO (I993).

4.7.2. Software de Auditoria. Son paquete que pueden emplearse para la facilitar la labor del auditor, en cuanto a la extracción de datos de BD, seguimiento de las transacciones, datos de prueba, etc. hay productos que permiten cuidar datos que conllevara a realizar una verdadera auditoria de BD

4.7.3. Sistema de Monitorización y Ajuste (tuning).

Complementa las facilidades ofrecidas por al SGBD, ofreciendo mayor información para optimizar el sistema y llegar a ser verdaderos sistemas expertos y estructura optima de la BD y parámetros de la SGBD y el SO. La optimización de la BD es fundamental para brindar un nivel avanzado de servicio.

4.7.4. Sistema Operativos SO Control de memoria, gestión de áreas de almacenamiento (buffers), manejo de errores, control de confidencialidad, mecanismos de interbloqueo, etc.

4.7.5. Monitor de Transacciones Considerado un elemento más en el entorno con responsabilidades de confidencialidad y rendimiento.

4.7.6. Protocolos y Sistemas Distribuidos

Por el acceso en red a la BD se hace vulnerable a la violación y se consideran 5 objetivos de control: 1. El sistema de proceso distribuido debe tener función de administración para establecer estándares de distribución de datos. 2. Establecer la administración de datos fuerte y sólida para controlar la transferencia de datos. 3. Debe existir pistas de auditoria a todas las actividades realizadas por las aplicaciones.

pág. 10

4. Debe existir controles software para prevenir interferencias de actualización sobre BD en el sistema distribuido. 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuidos.

4.7.7. Paquetes de Seguridad Implantación de productos de seguridad, que centraliza el control de accesos, definición de privilegios, perfiles de usuario, con políticas que cubran la seguridad de toda la BD.

4.7.8. Diccionario de Datos Llevan todos los SGBD, se auditan de manera análoga a las BD (bases de METADATOS) la diferencia entre estos reside en que un fallo de BD es que puede atentar con la integridad de los datos y producir un riesgo financiero. Mientras que un fallo de un diccionario o repositorios llevan consigo una pérdida de integridad de los procesos, siendo más peligrosos y difíciles de detectar.

4.7.9. Herramientas CASE

Suelen llevar un diccionario de datos (enciclopedias o repositorios más amplios en los que se almacena información sobre datos, programas, usuarios, los diagramas, matrices y grafos de ayuda a diseño. Herramienta clave para auditar el diseño de la BD, comprobar si se ha usado correctamente la metodología y asegurar un nivel minino de calidad.

4.7.10. Lenguajes de Cuarta Generación (L4G) Independientes

El auditor cuenta con una gama de generadores de aplicaciones de formas, informes, etc. Que actúan en la BD Objetivos según Noeller (1991)

-

El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados.

-

I.as aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de autorización y petición que los proyectos de desarrollo convencionales.

-

Las aplicaciones desarrolladas con L4G deben sacar ventaja de las características incluidas en los mismos.

El auditor deberá estudiar los controles disponibles en los L4G utilizados en la empresa. Analizando si permiten construir procedimientos de control y auditoría dentro de las aplicaciones y en caso negativo, recomendar su construcción utilizando lenguajes de tercera generación.

4.7.11.

Facilidades y aplicaciones de usuario

Con las nuevas herramientas graficas nuevas (menú, mouse, ventanas) el usuario final no necesita conocer la sintaxis del lenguaje en SGBD. Por lo tanto el auditor deberá investigar las medidas de pág. 11

seguridad que ofrecen estas y bajo qué condiciones han sido instaladas, estas herramientas deberían “proteger a los usuarios de sus propios errores”. El auditor debe prestar atención a los procedimientos de carga y descarga de BD de los paquetes de ofimática Objetivos de control:

-

la documentación de las aplicaciones desarrolladas por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro puedan operar y mantenerlas.

-

Los cambios de estas aplicaciones requieren la aprobación de la dirección y deben documentarse de forma completa.

4.7.12.

Herramientas de minería de datos

4.7.13.

Aplicaciones

Nuevas herramientas para la explotación de minería de datos que ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos, se controla la política de refresco y carga de datos a partir de la BD operacionales, mecanismos de retroalimentación que modifican las BD operacionales a partir de los datos de almacén.

El auditor deberá controlar que las aplicaciones no atentan contra la integridad de los datos de la base.

4.8.Técnicas para el Control de BD en un entorno complejo. Debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados difíciles de gestionar (Clark - 1991) Tipos de control

4.8.1. Matrices de control

Sirve para identificar los conjuntos de datos del SI. Junto con los controles de seguridad o integridad Matriz que por un lado lleva el elemento a controlar y, por la otra, los tipos de controles de seguridad (preventivos, detectivos y correctivos) que se han diseñado para ellos. En su cruce llevará la enumeración de dichos controles y la opinión del auditor sobre su funcionamiento. Si no hay, casilla a blancos

CONTROLES DE SEGURIDAD

DATOS

pág. 12

PREVENTIV OS

DETECTIV OS

CORRECTIV OS

Responsabilid ades de entrada

verificació n

Informe de recepción

4.8.2. Análisis de los Caminos de Acceso Con esta técnica se documenta el flujo almacenamiento y procesamiento de los datos en todas las fases desde que son introducidos y abarca el software y hardware.

TECNICA DE LOS CAMINOS DE ACCESO ORDENADOR CENTRAL

SEGURIDA D ORDENADORCIFRADO PERSONAL

Informe de teleproce so

Paquete De Segurida d

Program as

S O

SGBD

DATO S

USUARIO CONTROL ACCESO CIFRADO CONTROL

FORMACION CONTROLES PROCEDIMIEN TOS

CONTROL ACCESO REGISTRO DE ACCESO INFORME DE

CONTROL ACCESO REGISTRO DE TRANSACCION

OPCION SEGURIDAD FICHERO DIARIO INTEGRIDAD DE DATOS

CONTROL ACCESO CONTROL SEGURIDAD DE DATOS

CONTROLE S DIVERSOS

Se documentan todas las fases (flujo) por las que pasa un dato desde su introducción por un ente (usuario / máquina) hasta que se almacena en la BD, identificando los componentes por los que pasa y los controles asociados (definidos por la entidad) Esto mismo se realiza con los datos que se obtienen del procesado de otros (por qué componentes pasan -programas, cadenas, almacenamientos transitorios- y a qué controles es sometido.

pág. 13

Esta técnica permite detectar debilidades del sistema que pongan a los datos en riesgo a nivel de: Integridad Confidencialidad Seguridad Hay que poner especial cuidado en el análisis de los interfaces entre componentes y los almacenamientos transitorios (debilidades de seguridad).

CONCLUSIONES El gran número de componentes que forman dicho entorno y sus interfaces hacen necesario que. Antes de empezar una revisión de control interno, el auditor deba examinar el entorno en el que opera el SGBD; que está compuesto, como hemos visto. Por el personal de la empresa (dirección, informáticos y usuarios finales), hardware, software, etc. El auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente para asegurar que k » sistemas de bases de datos continúan cumpliendo los objetivos de la empresa y que se encuentran controlado de manera efectiva.

pág. 14