120 likes | 329 Views
Auditoría de bases de datos. Auditoría de sistemas. Son el punto de partida de la realización de la auditoria de aplicaciones, que usan esta tencología (BD). Auditoría en entornos de BD. Tradicional ChekList S (si) - N (no) - NA (no aplicable)
E N D
Auditoría de bases de datos Auditoría de sistemas
Son el punto de partida de la realización de la auditoria de aplicaciones, que usan esta tencología (BD) Auditoría en entornos de BD
Tradicional • ChekList • S (si) - N (no) - NA (no aplicable) • Ejemplo: Existe una metodología de diseño de BD? • Evaluación de riesgos (ROA) • Confidencialidad de la BD • Tipos de usuarios, perfiles, privilegios • Técnicas que utiliza: preventivas, detectivas o correctivas. • Prueba de cumplimiento: privilegios y perfiles del SGBD • Prueba sustantiva: comprobar los datos. La IR, VC, MBIF, entre otros en la BD. Metodología Risk Oriented Approach
Estudio previo y plan de trabajo Concepción de la BD y le selección del equipo Diseño y carga Explotación y mantenimiento Revisión post-implantación Otros procesos El MCV en una BD
Identificación de opciones • Análisis de costo/beneficio • Desarrollar o comprar? • Analizar los informes de viabilidad por la dirección de la empresa para evitar fracasos de implementación • Llevar a cabo la Gestión de Riesgos (COBIT) • Identificar/Valorar/Medir/Accionar/Aceptar • Plan director de BD concordante con el plan general de sistemas de la organización MCV – Estudio previo
Se diseña la BD acorde a los modelos y técnicas establecidas por el plan director. • Debe especificarse: • Documentación • Control • Seguridad • Pista de auditoria (triggers) • Definir la arquitectura de la información: • Modelo consistente y concordante al PS de la organización • Datos y DD corporativo • Clasificación de los datos en cuanto a su seguridad • Niveles de seguridad para cada clasificación • Selección del hardware para la BD MCV – Concepción de la BD y selección del equipo
Diseño lógico y físico de la BD • Carga de datos • Inicial • Migración • Contemplar datos con errores • Lote de prueba MCV – Diseño y carga
La explotación del sistema es posterior a la prueba de aceptación del usuario • Los datos se tratan en forma congruente y exacta • Los datos se modifican acorde a una matriz de autorizaciones • Tareas de mantenimiento de BD • Índices, compactación, tuning, entre otros. MCV – Explotación y mantenimiento
Revisión posterior que garantiza la conservación de la BD • Se evalúa: • Resultados esperados • Necesidades de los usuarios • Costos y beneficios reales vs los previstos MCV – Revisión post-implantación
Capacitación/formación a usuarios • Informáticos • No informáticos • Plan de formación integral • Cuidado con los usuarios sin formación • Aseguramiento de la calidad • Ej. Teoría de la normalización MCV – Otros procesos
SGBD: kernel, catálogos, etc Software de auditoria: GAS (extracción de datos, Lotes de prueba) Sistema de monitorización y ajuste: SE de optimización SO: Relación independiente o dependiente con el SGBD) Monitor de transacciones Protocolos y sistemas distribuidos: rol de las redes de comunicación Paquete de seguridad: Privilegios, controles de usuarios externos Diccionario de datos: Integración de componentes y seguridad de datos Herramientas CASE: Se usan en conjunto con los DD. Gráficos, tablas. L4G/4GL o SQL Facilidades de usuario: QBE – Conexión con paquetes ofimáticos Herramientas de MD: DWH y DM Aplicaciones: las aplicaciones no deben afectar la integridad de los datos de la base. Auditoria y CI de un entrono de BD
Matrices de control • Transacciones de datos • Preventiva: verificación • Detectiva: informe de reconciliación • Correctiva: no tiene • Registros de BD • Preventiva: cifrado • Detectiva: informe de excepción • Correctiva: backup • Análisis de caminos de acceso. • Documenta el flujo, almacenamiento y procesamiento de los datos desde su entrada hasta la escritura en el disco.- Técnicas para el control de BD en entornos complejos