Exámenes de base de datos

AUDITORIA DE BASE DE DATOS

Introducción:


La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD),   

Consagra los  datos como uno de los recursos fundamentales de las empresas,  ha hecho que los temas relativos a su control interno y auditoria cobren, cada día, mayor interés.

METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS:


Aunque   existen   distintas   metodologías   que   se   aplican   en   auditoría   informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia),   se pueden agrupar en dos clases:

Metodología tradicional


En este tipo de metodología el auditor revisa el entorno con la  ayuda  de  una  lista  de  control  (checklist),   que  consta  de  una  serie  de  cuestiones  a verificar.  Por ejemplo:

 ¿Existe una metodología de Diseño de Base de Datos?     S              N      NA

(S es si,   N   no   y NA   no aplicable),   debiendo registrar el auditor el resultado de su 

investigación. Este  tipo  de  técnica  suele  ser  aplicada  a  la  auditoría  de  productos  de  bases  de  datos, 

METODOLOGÍA DE EVALUACIÓN DE RIESGOS


Este tipo de metodología,   conocida también por  risk  oriented  approach,     es  la    que  propone  la  ISACA,  (Asociación de Auditoría y Control de Sistemas de Información)   y  empieza  fijando  los 

objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.  A continuación,  una lista de los riesgos más importantes según 2 autores:

●Incremento   de   la   “dependencia”   del   servicio   informático   debido   a   la concentración de datos

●Mayores  posibilidades  de  acceso  en  la  figura  del   administrador  de  la  base  de datos

●Incompatibilidad entre sistemas de seguridad de acceso  propios del SGBD y el general de la instalación.

●Mayor   impacto   de   los   errores   en   datos   o   programas   que   en   los   sistemas tradicionales

●Ruptura  de  enlaces   o  cadenas  por  fallos  del   software   o  de  los  programas  de aplicación

OBJETIVO  DE  CONTROL  (ejemplo:    El   SGBD  deberá  preservar   la  confidencialidad  de  la base de datos).

TÉCNICAS DE CONTROL


Una vez establecidos los objetivos de control,  se especifican las técnicas especificas correspondientes a dichos objetivos (ejemplo: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las bases de datos).

PRUEBAS  DE  CUMPLIMIENTO


En caso  de  que  los  controles   existan,     se  diseñan  unas pruebas (denominada pruebas de cumplimiento)   que permiten verificar la consistencia de los mismos.  Por ejemplo: Listar los privilegios y perfiles existentes en el SGBD.Que permitan dimensionar el impacto de estas deficiencias.

PRUEBA  SUSTANTIVA


   Comprobar  si   la  información  ha  sido  corrompida  comparándola con otra fuente o revisando los documentos de entrada de datos y las transacciones que se han ejecutado.

PRINCIPALES OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS:


Estudio previo y plan de trabajo

-concepto de la BD y selección.

-diseño y carga

-explotación y mantenimiento

-revisión post inplantacion

ESTUDIO PREVIO Y PLAN DE TRABAJO


En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis de costo­beneficio para cada una de las opciones.

Tareas  del administrador de datos:


  • Realizar el diseño conceptual y lógico de la base de datos
  •   Apoyar al personal de sistemas durante el desarrollo de aplicaciones
  • Formar al personal
  • Establecer estándares de diseño de b.D. Desarrollo y contenido del diccionario de datos
  • Desarrollar políticas de gestión de datos
  • Proporcionar controles de seguridad
  • Realizar el diseño físico de la b.D.
  • Resolver problemas del SGBD y del software asociado
  • Monitorizar el rendimiento del SGBD

A la hora de detallar las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno:

  la separación de funciones.

Se recomienda una separación de funciones entre:


  • El personal de desarrollo de sistemas y el de explotación
  • Explotación y control de datos
  • Administración de base de datos y desarrollo

CONCEPCIÓN DE LA BASE DE DATOS Y SELECCIÓN DEL EQUIPO:


En esta fase se empieza a diseñar la base de datos.

El auditor en primer lugar debe analizar la metodología de diseño.

Como mínimo una metodología de diseño de BD debe contemplar dos fases de diseño:

  • 1.-Lógico
  • 2.-Físico