Trabajo - Auditoria de Base de Datos
República Bolivariana de Venezuela Ministerio del Poder Popular para la Defensa Universidad Nacional Experimental Polité
Views 105 Downloads 5 File size 330KB
Recommend stories
- Author / Uploaded
- Jesus Omar
Citation preview
República Bolivariana de Venezuela Ministerio del Poder Popular para la Defensa Universidad Nacional Experimental Politécnica de las Fuerza Armada Nacional Bolivariana Núcleo: Caracas Carrera: Ingeniería de Sistemas
AUDITORIA DE BASE DE DATOS
Docente: Vladimir Peña
Estudiante: Jesús Contreras - C.I: 25.515.368
Caracas, octubre de 2020
INTRODUCCION La información se ha convertido en una necesidad dadas las actuales circunstancias de diversidad de productos y servicios, la complejidad de las relaciones comerciales, la diversificación de los métodos y sistemas para acceder, localizar y recuperar aquella información oportuna y necesaria que garantice el buen desempeño a nivel personal y organizacional. Pero en ocasiones, en las organizaciones se observa un desconocimiento por parte de sus integrantes, sobre las potencialidades internas para satisfacer sus necesidades informativas. Por otro lado, a veces los trabajadores no conocen los recursos de información que existen dentro de la organización y los que se encuentran en su entorno, con vistas a su captura, conservación y transferencia. No están identificadas aquellas áreas con carencias, duplicidades o excesos de información. No existe una visión de cómo ocurre la comunicación y el intercambio de información. Es difícil acceder a los repositorios de información, y no está concebida una política corporativa relacionada con el uso, el manejo y la transferencia de la información, acorde con los objetivos y metas organizacionales. Todos estos aspectos, alertan sobre la necesidad de acometer un proceso de auditoría de información. Las investigaciones científicas sobre el tema de las auditorías de información comenzaron en los años 70, observándose una amplia gama de ellas en la literatura mundial que van desde la propuesta de varios enfoques, modelos y metodologías y su aplicaujción en diversos estudios de casos, extendiéndose hasta la actualidad. Entre los autores más citados en los estudios sobre estos temas están los ingleses Steven Buchanan y Forbes Gibb, quienes han aportado definiciones y una metodología ampliamente utilizada a nivel mundial, en diferentes contextos organizacionales (González-Guitián y Ponjuán–Dante, 2011). Entre 1993-1998, las definiciones de este proceso se refieren a un examen de los recursos de información, los sistemas de información y sus flujos en función de la toma de decisiones y el cumplimiento de los objetivos organizacionales. Pero a partir del año 2001, se vincula a los procesos de control interno en las organizaciones y sus resultados propician el rediseño e implementación de la política de gestión de información. La auditoría de información ofrece una mayor comprensión de la organización y del proceso de información que en ella ocurre y contribuye a elaborar una estrategia de información o a documentar los procesos de negocio (Pantry y Griffiths, 2004). Diagnostica la eficiencia del
sistema de información de la organización al identificar los recursos de información poco utilizados, las áreas carentes de información en relación con los procesos productivos o de servicios y las dificultades en la política de información que maneja la organización. Permite conocer cómo transitan los flujos de información en la organización, facilitando a los empleados mejorar las tareas (conociendo quién conoce qué) y permitiendo a María Virginia González Guitián, Gloria Ponjuán Dante Metodologías y modelos para… Revista General de Información y Documentación 235 Vol. 24-2 (2014) 233-253 los directivos conocer los departamentos que se comunican regularmente con otros, lo cual ayuda a planificar esfuerzos y recursos (Kilzer, 2012). Está orientada hacia los activos explícitos existentes en una organización, como los registros y documentos en sus repositorios electrónicos o no, las bases de datos y las colecciones. Identifica si existe redundancia, duplicación, inconsistencia, incompatibilidad en el sistema de gestión de información y analiza las habilidades y experticia de los empleados. Es un proceso muy útil, si se quiere crear, evaluar o reestructurar un servicio de información, establecer una política de información corporativa, redefinir la estrategia en relación con la información, implementar una intranet y realizar proyectos de gestión del conocimiento (Ponjuán Dante 2004). Es decir, que la auditoría de información permite conocer la realidad de una organización en todos sus niveles en lo referido a sus sistemas establecidos para gestionar la información, ya sea del ámbito empresarial (proporcionando información valiosa sobre requerimientos, opiniones, cultura organizacional, flujo de información, vacíos y duplicación), o también en organizaciones de servicios como por ejemplo en instituciones de información (analizando si los indicadores de calidad están en correspondencia con el costo y el beneficio de los sistemas, servicios y productos de información que estas ofrecen).
Una base de datos es un conjunto de datos almacenados y organizados que pueden ser utilizados con un fin específico, es un hecho que los datos son el activo más importante de una organización, por lo que la respuesta ante las amenazas de seguridad de los datos debe ser proporcionada de forma expedita y eficaz mediante una serie de procesos que permitan identificar y corregir las vulnerabilidades asegurando de esta manera la protección de la información, situación que en la actualidad es una de las más grandes preocupaciones de una organización [1]. El
éxito de una organización depende en gran parte de la correcta gestión de la seguridad de su información, el objetivo de dicha gestión es proteger la información y garantizar su correcto uso, por supuesto, la seguridad de los sistemas informáticos y los procedimientos juegan un papel muy importante en la consecución de dicho objetivo [2]. La auditoría es un arma valiosa en la lucha contra las violaciones potenciales de los datos [3]. Aplicar auditorías de forma periódica en una base de datos es una práctica apropiada para identificar actividades sospechosas y supervisar los movimientos que se realizan en ésta por lo que dicha práctica se considera un elemento fundamental del sistema de control interno de una organización y como tal es un medio al servicio de la alta dirección destinado a salvaguardar los recursos, verificar la exactitud y veracidad de la información de las operaciones, estimular la observancia de las políticas previstas y lograr el cumplimiento de las metas y objetivos programados [4]. En la sociedad de hoy en día toda organización competitiva que actúa en un entorno de tecnologías de información (TI) debe establecer en sus procedimientos el uso de estándares de TI y buenas prácticas con el fin de adaptarse a los requisitos individuales de sus clientes potenciales. La creciente adopción de mejores prácticas de TI ha sido impulsada para el establecimiento y cumplimiento de ciertos requisitos en la industria de TI con la finalidad de mejorar la gestión de la calidad y la fiabilidad de la información [5]. La metodología que aquí se propone ambiciona que sea el personal interno a la organización y específicamente el administrador de base de datos quien conozca y adecúe los procedimientos para abordar cada escenario de la auditoría con la finalidad de concretarla oportuna y exitosamente. Esta metodología utiliza estándares enfocados a la seguridad ISO/IEC, COBIT e ITIL y basándose en el círculo de Deming permite aplicar a un proceso cualquiera una acción cíclica con el fin de asegurar la mejora continua de dichas actividades [9]. El uso de estándares permite cumplir con los requisitos, especificaciones técnicas y otros criterios precisos que garantizan que los productos y servicios se ajusten a su propósito, haciendo que la vida sea más simple y permitiendo un mayor grado de fiabilidad y efectividad de los bienes y servicios [6],[7],[8].
Metodología para la Auditoría de Base de Datos Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos. Para definir de forma sencilla el concepto de "auditoría de base de datos" es importante partir de los dos términos que engloba. En este sentido, la palabra auditoría alude a la revisión y verificación de una determinada actividad, en este caso relacionada con la información almacenada en bancos de datos. Las bases de datos, como es bien sabido, se componen de conjuntos de datos y están caracterizadas por una serie de rasgos, como la independencia e integridad de los datos, las consultas complejas, respaldo y recuperación, redundancia mínima o, entre otros, la seguridad de acceso y auditoría. La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoria cobren, cada día, mayor interés. Normalmente la auditoria informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; aplicaciones
desarrolladas
funcionan en la empresa.
y, por
otro, se
internamente, (subcontratadas
o
auditan
las
adquiridas) que
La importancia de la auditoria del entorno de bases
de datos radica en que es el punto de partida para poder realizar la auditoria de las aplicaciones que utilizan esta tecnología. Aunque existen distintas metodologías que se aplican en auditoría informática, prácticamente cada firma de auditores y cada empresa desarrolla la suya propia, se pueden agrupar en dos clases: Metodología tradicional: En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:
¿Existe una metodología de Diseño de Base de Datos? S - N - NA (S es si, N no y NA no aplicable), debiendo registrar el auditor el resultado de su investigación. Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Metodología de evaluación de riesgos: Este tipo de metodología, conocida también por risk oriented approach, es la que propone la ISACA, y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. A continuación, una lista de los riesgos más importantes según 2 autores: ● Incremento
de
la “dependencia” del
servicio
informático
debido
a
la
concentración de datos ● Mayores posibilidades de acceso en la figura del administrador de la base de datos ● Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación. ● Mayor
impacto
de
los
errores
en
datos
o
programas
que
en
los
sistemas tradicionales ● Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación ● Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional. ● Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas
relacionadas
con
el
software
de
base
de
datos (administrador,
programadores, etc.) Como en la auditoría de desarrollo, se puede seguir la misma metodología, donde se establecen, primeramente: -
Objetivo de control, ejemplo: de la base de datos.
El SGBD deberá preservar la confidencialidad
-
Técnicas de control: Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos, ejemplo: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las bases de datos. Un objetivo de control puede llevar asociadas varias técnicas que permiten
cubrirlo en su totalidad.
Estas técnicas pueden ser preventivas, detectivas
(como monitorizar la BD) o correctivas (por ejemplo, una copia de respaldo o backup). -
Pruebas de cumplimiento, en caso de que los controles existan, se diseñan unas pruebas (denominada pruebas de cumplimiento) que permiten verificar la consistencia de los mismos. Por ejemplo: Listar los privilegios y perfiles existentes en el SGBD. Si estas pruebas detectan inconsistencias en los controles, o bien, si los
controles no existen, se pasa a diseñar otro tipo de pruebas – denominadas pruebas sustantivas que permitan dimensionar el impacto de estas deficiencias. -
Prueba sustantiva, comprobar si la información ha sido corrompida comparándola con otra fuente o revisando los documentos de entrada de datos y las transacciones que se han ejecutado. Una vez valorados los resultados de las pruebas se obtienen conclusiones
que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados.
Por último, el auditor
deberá emitir una serie de comentarios donde se describa la situación, el
riesgo
existente
y
la deficiencia
a solucionar, y en su caso, sugerirá la
posible solución. Esta será la técnica a utilizar para auditor el entorno general de un sistema de bases de datos, tanto en su desarrollo como durante la explotación. Objetivos de Control en el Ciclo de Vida de una Base de Datos Estudio previo y plan de
Revisión post implantación
Concepción de la BD y selección
Diseño y carga
Explotación y mantenimiento
Estudio previo y Plan de Trabajo En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis de costo beneficio para cada una de las opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto no siempre está justificada la implantación de un sistema de base de datos, así como la disyuntiva entre desarrollar y comprar, en la práctica, a veces encontramos con que se ha desarrollado una aplicación que ya existía en mercados, cuya compra hubiese supuesto un riesgo menor, asegurándonos incluso una mayor cantidad a un precio inferior. Lamentablemente, en bastantes empresas este estudio de viabilidad no se lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando, los sistemas demuestran ser poco rentables. El auditor debe comprobar también que la alta dirección revisa los informes de los estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los técnicos que han de tener en cuenta que, si no existe una decidida voluntad de la organización en su conjunto, impulsada por los directivos, aumenta considerablemente el riesgo de fracasar en la implantación de sistema. En caso de que se decida llevar a cabo el proyecto es fundamental que se establezca un plan director, debiendo el auditor verificar que efectivamente dicho plan se emplea para el seguimiento y gestión del proyecto y que cumple con los procedimientos generales de gestión de proyectos que tengan aprobados la organización. Otro aspecto importante en esta fase es la aprobación de la estructura orgánica del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión y control de la base de datos; recordemos que, para que un entorno de base de datos funcione debidamente, esta unidad es imprescindible. Concepción de la base de datos y selección del equipo
En esta fase se empieza a diseñar la base de datos, la metodología de diseño debería también emplearse para especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoria a incluir en el sistema, estos últimos aspectos generalmente se descuidan, lo que produce mayores costos y problemas cuando se quieren incorporar una vez concluida la implementación de la base de datos y la programación de las aplicaciones. El auditor debe, por tanto, en primer lugar, analizar la metodología de diseño con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilización. Como mínimo, una metodología de diseño de BD debería contemplar dos fases de diseño: lógico y físico, aunque la mayoría de las empleadas en la actualizad contempla 3 fases: además de las dos anteriores, una fase previa de diseño conceptual que sería abordada en este momento del ciclo de vida de la base de datos. Un punto importante a considerar, objetivos de control relativos a: o Modelo de arquitectura de información y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información o Datos y diccionario de datos corporativo o Esquema de clasificación de datos en cuanto a seguridad o Niveles de seguridad para cada anterior clasificación de datos En cuanto a la selección del equipo, en caso de que la empresa no disponga ya de uno, deberá realizarse utilizando procedimiento riguroso; en el que se considere, por un lado, las necesidades de la empresa (debidamente ponderadas) y, por otro, las prestaciones que ofrecen los distintos SGBD candidatos (puntuados de manera oportuna). Diseño y Carga En esta fase se llevarán a cabo los diseños lógico y físico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizado correctamente: determinando si la definición de datos contempla además de su
estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad. El auditor tendrá que tomar una muestra de ciertos elementos (tablas, vistas, índices) y comprobar que su definición es completa, que ha sido aprobada por el usuario y que el administrador de la base de datos participó en su establecimiento. Es importante que la dirección del departamento de informática, los usuarios e incluso, en algunas ocasiones, la alta dirección, aprueben el diseño de los datos, al igual que el de las aplicaciones. Una vez diseñada una BD se procederá a su carga, ya sea migrando datos de un soporte magnético o introduciéndolos manualmente. Las migraciones o conversiones de sistemas, con el paso de un sistema de ficheros a uno de base de datos, o de un tipo de SGBD (de jerárquico a racional), entrañan un riesgo muy importante, por lo que deberán estar claramente planificadas para evitar pérdida de información y la transmisión al nuevo sistema de datos erróneos. También se deberán realizar pruebas en paralelo, verificando que la decisión real de dar por terminada la prueba en paralelo, se atenía a los criterios establecidos por la dirección y que se haya aplicado un control estricto de la corrección de errores detectados en esta fase. Por lo que respecta a la entrada manual de datos, hay que establecer un conjunto de controles que aseguren la integridad de los mismos. A este respecto, cabe destacar que las declaraciones escritas de procedimientos de la organización referentes a la entrega de datos a ser procesados deben asegurar que los datos se autorizan, recopilan, preparan, transmiten y se comprueba su integridad de forma apropiada. También es aconsejable que los procedimientos y el diseño de los documentos fuentes minimicen los errores y las omisiones, así como el establecimiento de procedimientos de autorización de datos. Un aspecto muy importante es el tratamiento de datos de entrada erróneos, para los que deben cuidarse con atención los procedimientos de reintroducción de forma que no disminuyan los controles; a este respecto lo ideal es que los datos se validen y corrijan tan cerca del punto de origen como sea posible. Explotación y Mantenimiento.
Una vez realizadas las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá, mediante las correspondientes autorizaciones y siguiendo los procedimientos establecidos para ello en explotación. En esta fase, se debe comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas sólo se modifica mediante la autorización adecuada. Sería conveniente también que el auditor pudiera llevar a cabo una auditoría sobre el rendimiento del Sistema de BD, comprobando si se lleva a cabo un proceso de ajuste y optimización adecuados que no sólo consiste en el rediseño físico o lógico de la BD, sino que también abarca ciertos parámetros del SO e incluso la forma en que acceden las transacciones a la BD. Recordemos que la “función de administración de la base de datos debe ser la responsable de monitorizar el rendimiento y la integridad de los sistemas de BD”. Revisión Post-Implantación Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo y recursos, se debería establecer el desarrollo de un plan para efectuar una revisión post implantación de todo sistema nuevo o modificado con el fin de evaluar si: -
Se han conseguido los resultados esperados
-
Se satisfacen las necesidades de los usuarios
-
Los costos y beneficios coinciden con lo previsto
Auditoría y control interno en un entorno de base de datos.
Deberán considerarse los datos compartidos por múltiples usuarios. Esto debe abarcar todos los componentes del entorno de Base de datos. Sistema de gestión de base de datos (SGBD). Entre sus componentes podemos destacar, el Kernel, el catálogo, componente fundamental para asegurar la seguridad de la base de datos, las utilidades para el administrador (crear usuarios, conceder privilegios) y resolver otras cuestiones relativas a la confidencialidad. En cuanto a las funciones de auditoría que ofrece el propio sistema, prácticamente todos los productos del mercado permiten registrar la mayoría de las operaciones. “El requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean verificables” Software de auditoría Son paquetes que pueden emplearse para facilitar la labor del auditor en cuanto a la extracción de datos de la base, el seguimiento de las transacciones, datos de prueba, entre otros. Sistema de monitorización y ajuste (Tuning) Este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor información para optimizar el sistema llegando a ser en
ciertas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y SO. Sistema Operativo El sistema operativo es una pieza clave del entorno puesto que el SGBD se apoyará en mayor o menor medida en los servicios que le ofrezca; el S.O en cuanto a control de memoria, gestión de áreas de almacenamiento intermedio (buffers) manejo de errores, control de confidencialidad mecanismo de interbloqueo, entre otros. Monitor de transacciones Actualmente está considerado como un elemento más del entorno, con responsabilidades de confidencialidad y rendimiento. Protocolos y sistemas distribuidos El sistema de proceso distribuido debe tener en función de administración de datos centralizada, que establezca estándares generales para la distribución de datos a través de aplicaciones. -
Deben establecerse unas funciones de administración de datos y de base de datos fuertes, para que puedan controlar la distribución de los datos
-
Deben de existir pistas de auditoría para todas las actividades realizadas por la aplicación contra sus propias bases de datos y otras compartidas.
-
Deben existir controles software para prevenir interferencias de actualización sobre las bases de datos en sistemas distribuidos.
-
Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuidos
Paquete de seguridad Existen en el mercado varios productos que permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de accesos, la definición de privilegios, perfiles de usuarios, entre otros.
Diccionario de datos Juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad datos. Los diccionarios de datos se pueden auditar de manera análoga a las bases de datos, ya que, después de todo, son bases de datos de metadatos Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo una pérdida de integridad de los procesos; siendo más peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son más difíciles de detectar. Herramientas CASE Constituyen una herramienta clave para que el auditor pueda revisar el diseño de la DB, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.
Facilidades del Usuario El auditor deberá investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz gráfica de usuario) y bajo qué condiciones han sido instaladas; las herramientas de este tipo deberían proteger a los usuarios de sus propios errores. Objetivos de control: La documentación de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobación de la dirección y deben documentarse de forma completa. Herramientas de Minería de datos Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos. Se deberá controlar la política de
refresco y carga de los datos en el almacén a partir de las bases de datos operacionales
existentes,
así
como
la
existencia
de
mecanismos
de
retroalimentación que modifican las bases de datos operacionales a partir de los datos del almacén. Técnicas para el control de base de datos en un entorno complejo Existen muchos elementos del entorno del SGDB que influyen en la seguridad e integridad de los datos, en los que cada uno se apoya en la operación correcta y predecidle de otra. El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados, difíciles de gestionar”. Integridad Referencial en las bases de datos La integridad referencial es un sistema de reglas que utilizan la mayoría de las bases de datos relacionales para asegurarse que los registros de tablas relacionadas son válidos y que no se borren o cambien datos relacionados de forma accidental produciendo errores de integridad. La integridad referencial es propiedad de la base de datos. La misma significa que la clave externa de una tabla de referencia siempre debe aludir a una fila válida de la tabla a la que se haga referencia
Matrices de Control Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos. CONTROLES DE SEGURIDAD DATOS
PREVENTIVOS
DETECTIVOS
TRANSACCIONES DE
Verificación
Informe de
ENTRADA REGISTRO DE BASE DE DATOS
CORRECTIVOS
Reconciliación Cifrado
Informe de excepción
Copia de seguridad
Los controles se clasifican como se puede observar en defectivos, preventivos y correctivos Análisis de los caminos de acceso Con esta técnica se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan y los controles asociados
Normalización La normalización, también denominada estandarización es el proceso de elaborar, aplicar y mejorar las normas que se emplean en distintas actividades científicas, industriales o económicas, con el fin de ordenarlas y mejorarlas. Definición de los perfiles de usuarios en los sistemas de gestión de base de datos. Un usuario es todo aquel que tenga contacto con el sistema de bases de datos. Se tienen 3 clases generales de usuarios: -
Programador de aplicaciones: son aquellos profesionales en informática que interactúan con el sistema a través del DML (Lenguaje de Manipulación de
Datos), los cuales se encuentran en un lenguaje de programación (Pascal, Cobol, etc.) Es el encargado de escribir programas de aplicación que usen Bases de Datos. -
Usuario Final: accede a la base de datos desde un equipo en el cual puede utilizar lenguaje de consulta generado como parte del sistema o acude a un programa de aplicación suministrado por un programador.
-
Administrador de Bases de Datos: es el encargado del control general del sistema.
Todo usuario que ingrese o consulte una base de datos puede clasificarse: -
Usuario sofisticado: interactúa con el sistema sin escribir programas. Generan consultas en un lenguaje de bases de datos.
-
Usuario Especializado: algunos usuarios sofisticados desarrollan aplicaciones de bases de datos especializadas. Entre estas aplicaciones se encuentran los sistemas de diseño asistido por computador.
-
Usuarios ingenuos: es el usuario final que utiliza bases de datos sin saberlo, para él es totalmente transparente como se generan las consultas de la información. Quienes diseñan y participan en el mantenimiento de un BD se les clasifica
como Actores en el escenario y Trabajadores tras bambalinas. Actores en el escenario: personas que su trabajo depende del uso constante una base de datos. DataBase Administrators (DBA): administran 2 recursos, 1. la base de datos y 2. es el SGBD y el software con el relacionado. El Administrador de Base de Datos (DBA) es quien autoriza el acceso a la base de datos, vigilar el uso y adquirir hardware y software necesarios para su uso. También es el responsable de velar por la seguridad y lentitud en el sistema. Diseñador de Base de Datos: es el encargado de estructurar la arquitectura para representar y almacenar los datos. Él debe atender a los usuarios de Bases de Datos para comprender sus necesidades presentando un diseño que dé respuesta a sus necesidades.
Usuarios Finales: son quienes requieren acceso a la base de datos para generar consultas e informes. Hay varios usuarios finales como son:
Usuarios finales esporádicos: acceden de vez en cuando, pero esto no significa que siempre requieran la misma información.
Usuarios finales simples o paramétricos: su función gira en torno a consultas y actualizaciones de la base de datos. Todos estamos acostumbrados a tratar con estos usuarios, como los cajeros bancarios al revisar los saldos, al generar retiros y depósitos.
Usuarios finales avanzados: estos son ingenieros, analistas de negocios, científicos, son quienes conocen los recursos del SGBD para satisfacer requerimientos complejos.
Usuarios Autónomos: utilizan bases de datos personalizadas basadas en programas comerciales que cuentas con interfaces de fácil uso.
Analista
de
sistemas
y
programadores
de
aplicaciones:
determinan
los
requerimientos de los usuarios finales. Trabajadores tras bambalinas: están para mantener el sistema de base datos. Diseñadores e implementadores del SGBD: se encarga de diseñar e implementar los módulos e interfaces de SGBD. Otros elementos de interés para realizar la auditoría de base de datos Las técnicas de auditoría se pueden clasificar de la siguiente forma: 1. Estudio general: es la apreciación y juicio de las características generales de la empresa, las cuentas o las operaciones, a través de sus elementos más significativos para elaborar las conclusiones se ha de profundizar en su estudio y en la forma que ha de hacerse. 2. Análisis: es el estudio de los componentes de un todo. Esta técnica se aplica concretamente al estudio de las cuentas o rubros genéricos de los estados financieros.
3. Inspección: es la verificación física de las cosas materiales en las que se tradujeron las operaciones, se aplica a las cuentas cuyos saldos tienen una representación material, efectivos, mercancías, bienes, etc. 4. Confirmación: es la ratificación por parte del auditor como persona ajena a la empresa, de la autenticidad de un saldo, hecho u operación, en la que participo y por la cual está en condiciones de informar válidamente sobre ella. 5. Investigación: es la recopilación de información mediante entrevistas o conversaciones con los funcionarios y empleados de la empresa. 6. Declaraciones y certificaciones: es la formalización de la técnica anterior, cuando, por su importancia, resulta conveniente que las afirmaciones recibidas deban quedar escritas (declaraciones) y en algunas ocasiones certificadas por alguna autoridad (certificaciones). 7. Observación: es una manera de inspección, menos formal, y se aplica generalmente a operaciones para verificar como se realiza en la práctica. 8. Cálculo: es la verificación de las correcciones aritméticas de aquellas cuentas u operaciones que se determinan fundamentalmente por cálculos sobre bases precisas. Clasificación de los procedimientos de auditoría Como ya se ha mencionado, los procedimientos de auditoría son la agrupación de técnicas aplicables al estudio particular de una operación o acción realizada por la empresa o entidad a examinar, por lo que resulta prácticamente inconveniente clasificar los procedimientos ya que la experiencia y el criterio del auditor deciden las técnicas que integran el procedimiento en cada uno de los casos en particular. El auditor supervisor y los integrantes del equipo de auditoría con mayor experiencia definirán la estrategia que consideren la más adecuada para desarrollar la auditoría. Estos criterios se basarán en el conocimiento de la entidad o empresa auditada, así como la experiencia general de la especialidad, que les permita a los profesionales determinar de antemano los principales procedimientos de auditoría a
aplicar en cada uno de los casos que se presentan a lo largo del proceso de auditoría. Extensión o alcance de los procedimientos Se llama extensión o alcance a la amplitud que se da a los procedimientos, es decir, la intensidad y profundidad con que se aplican prácticamente estos en cada uno de los casos para lo cual se deberá tomar en cuenta la actividad u operación que realizó la empresa o entidad. Pruebas selectivas en la auditoría El trabajo de revisión de las operaciones que realiza la empresa a lo largo de un año, no es ni puede ser exhaustivo, ya que no es posible realizarlo en un período corto de tiempo (30, 45 o 60 días) con un grupo de tres o cuatro personas lo que a la empresa le lleva un año en registrar las operaciones, por lo que no es razonable que el auditor disponga de un tiempo tan limitado para obtener sus conclusiones. Por lo tanto, se hace necesario que el auditor establezca sus evidencias con pruebas selectivas. El auditor debe considerar en primer término los objetivos específicos de la auditoría que debe alcanzar, lo que le permitirá determinar el procedimiento de auditoría o combinación de procedimientos más indicados para lograr dichos objetivos. Además, cuando el muestreo de auditoría es apropiado, la naturaleza de evidencia de la auditoría buscada, y las condiciones de error posible u otras características relativas a tal evidencia ayudarán al auditor a definir lo que constituye un error y el universo que deberá utilizarse para el muestreo.
Elabore una Escala Tipo Likert de por lo menos 25 preguntas que le permita realizar la Auditoría de la Base de Datos
CONCLUSIÓN En las metodologías y modelos de auditoría de información se observan objetivos comunes como determinar si los recursos de información contribuyen a lograr los objetivos organizacionales; precisar si la información es utilizada para alcanzar la adecuada gestión de la organización; y evaluar el comportamiento de sus flujos. En la gran mayoría de los enfoques metodológicos revisados, se observa el uso de etapas comunes como planificar la auditoría, valorar las necesidades
informativas, inventariar los recursos de información, analizar los costos, procesar la información recopilada y elaborar el informe final con las recomendaciones. Sin embargo, no incluyen el análisis de las redes de información, lo cual es de gran María Virginia González Guitián, Gloria Ponjuán Dante Metodologías y modelos para… Revista General de Información y Documentación 251 Vol. 24-2 (2014) 233253 utilidad para lograr una visión de cómo se accede, localiza, adquiere y transfiere la información y el conocimiento dentro y fuera de una organización. Las propuestas más abarcadoras teniendo en cuenta los once aspectos analizados fueron: el modelo de Villardefrancos-Álvarez; el modelo de Orna; y las metodologías de Soy i Aumatell, Buchanan & Gibb, González-Guitián y Henczel. Se aprecia una marcada tendencia a realizar auditorías de información con enfoque híbrido, pues diez de las trece propuestas estudiadas son de este tipo, es decir se enfocan hacia las estrategias y/o hacia los recursos y/o hacia los procesos.
Tal como esta investigación lo ha demostrado, La auditoría de base de datos permite identificar y corregir vulnerabilidades y problemas en una base de datos. Para llevar a cabo una correcta auditoría es necesario contar con políticas de seguridad efectivas, afinadas y adaptadas a las necesidades propias del ambiente de base de datos de la organización, el presente trabajo propone una metodología para auditoría de base de datos, misma que se fundamenta en estándares internacionales de seguridad y cuyo objetivo principal es aportar una forma de trabajar que permita entender las funciones del administrador de base de datos y concientizar a todos los involucrados en los procesos de trabajo de la organización en el uso responsable de la información, además de ser un referente para aquellas organizaciones que aún no tienen definidos sus procesos de auditoría de base de datos. La metodología consta de 5 etapas las cuales se desarrollaron con base en el modelo de madurez de COBIT, cada etapa contiene puntos de control que deben ser cubiertos y éstos están sustentados en los controles de seguridad del estándar de seguridad ISO/IEC.
BIBLIOGRAFÍA
Frank Brockners. “Metro Ethernet Services and standarization”. Cisco Networkers. Noviembre 2005
Telcel. Abril 2012. Publicación disponible en: http://www.geocities.ws/redes_computadoras2_unlm/0377/frame.pdf
Echenagucia Karina, Mejías Steven y Aguirre Roimy. Febrero del 2013. Publicación disponible en: http://framerelay2013.blogspot.com/2013/02/caracteristicas-de-framerelay.html
Alex Walton. Enero del 2020. Publicación disponible en: https://ccnadesdecero.es/frame-relay/
Cisco. Julio del 2006. Publicación disponible en: http://www.ie.tec.ac.cr/einteriano/cisco/ccna4/Presentaciones/CCNA_Ex ploration_Accessing_the_WAN_-_Cap3.pdf
CANTV. Julio del 2014. Publicación disponible en: https://www.cantv.com.ve/empresas/empresas-privadas/servicios-dedatos/metro-ethernet
Espinoza Zuleika y Roca Hylene. Febrero del 2013. Publicación disponible en: http://redesgrupodiez.blogspot.com/