Embed Size (px)
DESCRIPTION
Auditoría y control interno en un entorno de bases de datos . Jaramillo Jorge Suarez Arnold . AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS. Deberán considerarse los datos compartidos por múltiples usuarios. Esto debe abarcar todos los componentes del entorno de Bd. - PowerPoint PPT Presentation
Citation preview
Auditoría y control interno en un entorno de
bases de datos
Jaramillo JorgeSuarez Arnold
AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASES DE DATOS
Deberán considerarse los datos compartidos por múltiples usuarios. Esto debe abarcar todos los componentes del entorno de Bd.
Sistema de Gestion de Base de Datos. (SGBD)
- Entre sus componentes podemos destacar, el Kernel, el catálogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidad para el administrador ( crear usuarios, conceder privilegios ) y resolver otras cuestiones relativas a la confidencialidad.
- En cuanto a las funciones de auditoría que ofrece el propio sistema, prácticamente todos los productos del mercado permiten registrar la mayoría de las operaciones.
- “el requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean veriificables”
SOFTWARE DE AUDITORÍA
Son paquetes que pueden emplearse para facilitar la labor del auditor en cuanto a la extracción de datos de la base , el seguimiento de las transacciones , datos de prueba otros.
SISTEMA DE MONITORIZACIÓN Y AJUSTE (tuning)
Este tipo de sistemas complementan las facilidades ofrecidas por elpropio SGBD, ofreciendo mayor información para optimizar el sistema llegando a ser en ciertas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y SO.
SISTEMA OPERATIVO (S.O)
El sistema operativo es una pieza clave del entorno puesto que el SGBD se apoyará en mayor o menor medida en los servicios que le ofrezca; el S.O en cuanto a control de memoria , gestión de áreas de de almacenamiento intermedio (buffers) manejo de errores, control de confiadencialidad mecanismo de interbloqueo otros.
MONITOR DE TRANSACCIONES
Actualmente está considerado como un elemento más del entorno Con responsabilidades de confidencialidad y rendimiento.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
cinco objetivos de control a la hora de revisar la distribución de datos -El sistema de proceso distribuido debe tener en funcíón de administración de datos centralizada, que establezca estándares generales para la distribución de datos a través de aplicaciones.-Deben establecerse unas funciones de administración de datos y de base de datos fuertes, para que puedan controlar la distribución de los datos.-Deben de existir pistas de auditoría para todas las actividades realizadas por la aplicaciones contra sus propias bases de datos y otras compartidas.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
-Deben existir controles software para prevenir interferencias de actualización sobre las bases de datos en sistemas distribuidos. -Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distsribuidos.
PAQUETES DE SEGURIDAD
-Existen en el mercado varios productos que permiten la implantación Efectiva de de una política de seguridad , puesto que centralizan el Control de accesos , la definición de privilegios , perfiles de usuarios otros.
Diccionario de Datos
Juegan un papel primordial en el ede ntorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad datos.Los diccionarios de datos se pueden auditar de manera análoga a las bases de datos, ya que, después de todo, son bases de datos de metadatosUn fallo en la BD puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario (o repositorios), suele llevar consigo un perdida de integridad de los procesos; siendo más peligrosos los fallos en los diccionarios puesto que pueden introducir errores de forma repetitiva a lo largo del tiempo y son mas difíciles de detectar.
Herramientas CASE
• Constituyen una herramienta clave para que el auditor pueda revisar el diseño de la DB, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.
Lenguajes de Generación de Cuarta generación (L4G) independientes
Son elementos a considerar en el entrono del SGBDDe los objetivos de control para los L4G, destacan los siguientes:
• El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados.
• Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatización y petición que los proyectos de desarrollo convencionales.
• Las aplicaciones desarrolladas con L4G deben sacar ventajas de las características incluidas en el mismo.
Lenguajes de Generación de Cuarta generación (L4G) independientes
Uno de los peligros más graves de los L4G es que no se aplican controles con el mismo rigor que a los programas desarrollados con lenguajes de tercera generación.
Otros problemas pueden ser la ineficacia y elevado consumo de recursos
El Auditor deberá estudiar los controles disponibles el los L4G, en caso negativo, recomendar su construcción con lenguajes de tercera generación.
Facilidades de Usuario
El auditor deberá investigar las medidas de seguridad que ofrecen estas herramientas (Interfaz gráfica de usuario) y bajo que condiciones han sido instaladas; las herramientas de este tipo deberían proteger a los usuarios de sus propios errores.Objetivos de control:
• La documentación de las aplicaciones desarrollada por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro pueda operar y mantenerlas.
• Los cambios de estas aplicaciones requieren la aprobación de la dirección y deben documentarse de forma completa.
Herramientas de Minería de Datos
Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos
Se deberá controlar la política de refresco y carga de los datos en el almacén a partir de las bases de datos operacionales existentes, así como la existencia de mecanismos de retroalimentación que modifican las bases de datos operacionales a partir de los datos del almacén.
Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan contra la integridad de los datos de la base.
TÉCNICAS PARA EL CONTROL DE BASE DE DATOS EN UN ENTORNO COMPLEJO
Existen muchos elementos del entorno del SGDB que influyen el la seguridad e integridad de los datos, en los que cada uno de apoya en la operación correcta y predecidle de otra.El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descordinados y solapados, dificiles de gestionar ”.Cuando el auditor se enfrenta a un entrono de este tipo, puedeemplear, entre otras, dos técnicas de control.
Matrices de Control
Sirven para identificar los conjuntos de datos del SI juntos con los controles de seguridad o integridad implementados sobre los mismos.
DATOSCONTROLES DE SEGURIDAD
PREVENTIVOS
DETECTIVOS
CORRECTIVOS
TRANSACCIONES DE
ENTRADA
Verificación Informe de Reconciliac
iónREGISTRO
DE BASE DE DATOS
Cifrado Informe de excepción
Copia de seguridad
Los controles se clasifican como se puede observar en detectivos, preventivos y correctivos
Análisis de los Caminos de Acceso
Con esta técnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto Hw como Sw) y los controles asociados
DATOS
MONITORDE
MULTIPROCESO
PAQUETE
DESEGURI
DAD
PROGRAMA
SGBD
S O
ORDENADOR CENTRAL
USUARIO
ORDENADORPERSONAL
Control de Acceso* Cifrado* Control de Integridad
Control de Acceso* Registro de
Transacciones
Copias de SeguridadFichero diario de Integridad de Datos
Controles Diversos
SeguridadCifrado
Formación* Controles* Procedimientos
Control de Acceso* Registro de
Acceso* Informe de Excepciones
Control de Acceso * Control de Integridad
De datos
Análisis de los caminos de acceso
CONCLUSIONES
Debido a la complejidad de la tecnología de bases de datos y al extraordinario crecimiento del entorno del SGBD “la tecnología de bases de datos ha afectado a afectado al papel del auditor interno más que a cualquier otro individuo. Se ha convertido en extremo difícil auditar alrededor del computador”, por lo que se requiere personal especializado (auditores externos).Antes de empezar una revisión de control interno, el auditor debe examinar el entorno en el que opera el SGBD.Las consideraciones de auditoría deberían incluirse en las distintas fases del ciclo de vida de una base de datosAparición de nuevos riesgos de interés para el auditor (como por ejemplo, en el área de seguridad) con la aparición de nuevos tipos de bases de datos (como las activas, las orientadas a objetos, temporales, multimedia, multidimensionales, etc.), y la creciente distribución de los datos (bases de datos federadas, multibases de datos, web, base de datos móviles, otros.
