230 likes | 563 Views
Auditoría y control interno en un entorno de bases de datos . Jaramillo Jorge Suarez Arnold . AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS. Deberán considerarse los datos compartidos por múltiples usuarios. Esto debe abarcar todos los componentes del entorno de Bd.
E N D
Auditoría y control interno en un entorno de bases de datos Jaramillo Jorge Suarez Arnold
AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS Deberán considerarse los datos compartidos por múltiples usuarios. Esto debe abarcar todos los componentes del entorno de Bd.
Sistema de Gestion de Base de Datos. (SGBD) Entre sus componentes podemos destacar, el Kernel, el catálogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidad para el administrador ( crear usuarios, conceder privilegios ) y resolver otras cuestiones relativas a la confidencialidad. En cuanto a las funciones de auditoría que ofrece el propio sistema, prácticamente todos los productos del mercado permiten registrar la mayoría de las operaciones. “el requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean veriificables”
SOFTWARE DE AUDITORÍA Son paquetes que pueden emplearse para facilitar la labor del auditor en cuanto a la extracción de datos de la base , el seguimiento de las transacciones , datos de prueba otros.
SISTEMA DE MONITORIZACIÓN Y AJUSTE (tuning) Este tipo de sistemas complementan las facilidades ofrecidas por elpropioSGBD, ofreciendo mayor información para optimizar el sistema llegando a ser en ciertas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y SO.
SISTEMA OPERATIVO (S.O) El sistema operativo es una pieza clave del entorno puesto que el SGBD se apoyará en mayor o menor medida en los servicios que le ofrezca; el S.O en cuanto a control de memoria , gestión de áreas de dealmacenamiento intermedio (buffers) manejo de errores, control de confiadencialidadmecanismo de interbloqueo otros.
MONITOR DE TRANSACCIONES Actualmente está considerado como un elemento más del entorno Con responsabilidades de confidencialidad y rendimiento.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS cinco objetivos de control a la hora de revisar la distribución de datos El sistema de proceso distribuido debe tener en funcíón de administración de datos centralizada, que establezca estándares generales para la distribución de datos a través de aplicaciones. -Deben establecerse unas funciones de administración de datos y de base de datos fuertes, para que puedan controlar la distribución de los datos. -Deben de existir pistas de auditoría para todas las actividades realizadas por la aplicaciones contra sus propias bases de datos y otras compartidas.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS -Deben existir controles software para prevenir interferencias de actualización sobre las bases de datos en sistemas distribuidos. -Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distsribuidos.
PAQUETES DE SEGURIDAD -Existen en el mercado varios productos que permiten la implantación Efectiva de de una política de seguridad , puesto que centralizan el Control de accesos , la definición de privilegios , perfiles de usuarios otros.
Diccionario de Datos Juegan un papel primordial en el edentornode los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad datos. Los diccionarios de datos se pueden auditar de manera análoga a las bases de datos, ya que, después de todo, son bases de datos de metadatos Un fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo más peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difíciles de detectar.
Herramientas CASE Constituyen una herramienta clave para que el auditor pueda revisar el diseño de la DB, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.
Lenguajes de Generación de Cuarta generación (L4G) independientes Son elementos a considerar en el entrono del SGBD De los objetivos de control para los L4G, destacan los siguientes: El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados. Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatización y petición que los proyectos de desarrollo convencionales. Las aplicaciones desarrolladas con L4G deben sacar ventajas de las características incluidas en el mismo.
Lenguajes de Generación de Cuarta generación (L4G) independientes Uno de los peligros más graves de los L4G es que no se aplican controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generación. Otros problemas pueden ser la ineficacia y elevado consumo de recursos El Auditor deberá estudiar los controles disponibles el los L4G, en caso negativo, recomendar su construcción con lenguajes de tercera generación.
Facilidades de Usuario El auditor deberá investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz gráfica de usuario) y bajo que condiciones han sido instaladas; las herramientas de este tipo deberían proteger a los usuarios de sus propios errores. Objetivos de control: La documentación de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobación de la dirección y deben documentarse de forma completa.
Herramientas de Minería de Datos Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos Se deberá controlar la política de refresco y carga de los datos en el almacén a partir de las bases de datos operacionales existentes, así como la existencia de mecanismos de retroalimentación que modifican las bases de datos operacionales a partir de los datos del almacén.
Aplicaciones El auditor deberá controlar que las aplicaciones no atentan contra la integridad de los datos de la base.
TÉCNICAS PARA EL CONTROL DE BASE DE DATOS EN UN ENTORNO COMPLEJO Existen muchos elementos del entorno del SGDB que influyen el la seguridad e integridad de los datos, en los que cada uno de apoya en la operación correcta y predecidle de otra. El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descordinados y solapados, dificiles de gestionar ”. Cuando el auditor se enfrenta a un entrono de este tipo, puedeemplear, entre otras, dos técnicas de control.
Matrices de Control Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos. Los controles se clasifican como se puede observar en detectivos, preventivos y correctivos
ORDENADOR PERSONAL ORDENADOR CENTRAL MONITOR DE MULTIPROCESO PAQUETE DE SEGURIDAD PROGRAMA SGBD S O DATOS Control de Acceso * Registro de Transacciones Control de Acceso * Control de Integridad De datos Controles Diversos USUARIO Seguridad Cifrado Control de Acceso * Registro de Acceso * Informe de Excepciones Formación * Controles * Procedimientos Control de Acceso * Cifrado * Control de Integridad Copias de Seguridad Fichero diario de Integridad de Datos Análisis de los Caminos de Acceso Con esta técnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hw como Sw) y los controles asociados Análisis de los caminos de acceso
CONCLUSIONES Debido a la complejidad de la tecnología de bases de datos y al extraordinario crecimiento del entorno del SGBD “la tecnología de bases de datos ha afectado a afectado al papel del auditor interno más que a cualquier otro individuo. Se ha convertido en extremo difícil auditar alrededor del computador”, por lo que se requiere personal especializado (auditores externos). Antes de empezar una revisión de control interno, el auditor debe examinar el entorno en el que opera el SGBD. Las consideraciones de auditoría deberían incluirse en las distintas fases del ciclo de vida de una base de datos Aparición de nuevos riesgos de interés para el auditor (como por ejemplo, en el área de seguridad) con la aparición de nuevos tipos de bases de datos (como las activas, las orientadas a objetos, temporales, multimedia, multidimensionales, etc.), y la creciente distribución de los datos (bases de datos federadas, multibases de datos, web, base de datos móviles, otros.