Professional Documents
Culture Documents
Omar Andrs lvarez Lady Tatiana Laguna Johana Corredor Rojas Nelson Padilla Solrzano
OBJETIVO PRINCIPAL
Disponer de mecanismos que permitan tener trazas de auditora completas y automticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
Mitigar los riesgos asociados con el manejo inadecuado de los datos. Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores. Evitar acciones criminales. Determinar que el proceso para usuarios est sujeto a los controles adecuados.
A LA HORA DE AUDITAR UNA BASE DE DATOS SE PUEDEN ESTABLECER UNA SERIE DE PUNTOS A CONTROLAR:
* Mantenimiento de programas que manejan datos de la base.
* Controles de la validacin en la entrada de datos. * Autorizaciones de acceso * Procedimiento de manejo de datos errneos. * Objeto del procesamiento. * Entrenamiento del personal. * Datos concurrentes o compartidos. * Prevencin y detecciones de los interbloqueos. * Asignacin de funciones y responsabilidades. * Controles de salida. * Situacin del diccionario de datos. * Documentacin del sistema y de sus configuraciones
Metodologa Tradicional: En esta metodologa el auditor revisa el entorno con ayuda de una lista de
Metodologa de Evaluacin del Riesgo Este tipo de metodologa, empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno.
El informe debe contener lo siguiente: Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora
INVESTIGACIN PRELIMINAR
Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la informacin relevante para apoyar el examen que el equipo de Auditora realizara. a.) Conocimiento del negocio y del Sistema de Informacin sobre la empresa y su objeto social, sobre sus polticas y normas. Adems toda la informacin referente al Sistema de Bases de Datos. Informacin que se debe solicitar y analizar 1. Polticas y normas del negocio en relacin con las actividades apoyadas con el Sistema de Bases de Datos.
2. Informacin de objetos de la Bases de Datos (tablas, vistas, procedimientos almacenados, triggers, etc.).
3. Diagrama de sistema y de redes del servidor de bases de datos, servidores de replicacin y servidores de aplicaciones. Todas las conexiones clientes a la base de datos incluyendo interfaces de red, direcciones IP, conexiones LAN y WAN.
INVESTIGACIN PRELIMINAR
4. Listado de usuarios de la base de datos con sus roles y privilegios. 5. Documentacin de las aplicaciones sobre la base de datos
6. Cuadros organizacionales y descripcin de funciones y procedimientos del personal que soporta las bases de datos
7. Polticas de administracin y procedimientos sobre la base de datos incluyendo procedimientos de seguridad, programas de backup y procedimientos de restauracin. 8. Documentacin de pruebas de recovery o restauraciones.
INVESTIGACIN PRELIMINAR
12. Archivos de configuracin 13. Listados a travs de sistema operativo de los directorios de la base de datos mostrando propietarios y permisos hasta el nivel de archivos. 14. Listados a travs de sistema operativo de los directorios de programas de aplicacin que accedan las bases de datos, mostrando propietarios y permisos hasta el nivel de archivos. 15. Listado de archivos de usuarios y grupos de usuarios. 16. Listado de los servicios habilitados (especialmente en el caso de exposiciones a Internet) El resultado de esta recopilacin se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditora.
PRUEBA DE CUMPLIMIENTO
Listar los privilegios y perfiles existentes en el SGBD. Si estas pruebas detectan inconsistencias en los controles, o bien, si los
PRUEBAS SUSTANTIVAS
EJEMPLO DE APLICACION