Presentado Por:

Omar Andrs lvarez Lady Tatiana Laguna Johana Corredor Rojas Nelson Padilla Solrzano

Auditoria PEP - Exposicin de "AUDITORIA DE BASE DATOS"

QU ES LA AUDITORA DE BASE DE DATOS?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las base de datos, incluyendo la capacidad de determinar:

- Quin accede a los datos Cundo se accedi a los datos

Desde qu tipo de dispositivo/aplicacin

Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos

Auditoria PEP - Exposicin de "AUDITORIA DE BASE DATOS"

IMPORTANCIA DE LA AUDITORIA DE BASE DE DATOS

Toda la informacin de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial es responsabilidad de las organizaciones. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo.

OBJETIVO PRINCIPAL
Disponer de mecanismos que permitan tener trazas de auditora completas y automticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:

Mitigar los riesgos asociados con el manejo inadecuado de los datos. Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores. Evitar acciones criminales. Determinar que el proceso para usuarios est sujeto a los controles adecuados.

Examinar los clculos crticos.

Comprobar la seguridad e integridad de las bases de datos.

SEGURIDAD EN BASE DE DATOS

Los sistemas de bases de datos soportan hoy en da los sistemas de informacin de la mayora de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la hora de dictaminar sobre la situacin de la informtica de una empresa. Las caractersticas de construccin de las bases de datos motivan la aparicin de nuevos riesgos por lo que el auditor debe conocer los principios y conceptos fundamentales de diseo de una base de datos (ms

concretamente del sistema de gestin de la base de datos). Esto, de forma

global y en particular obtendr una visin preliminar de la base de datos a examinar, en sus aspectos de implementacin y soporte fsicos, de administracin.

PRINCIPALES RIESGOS A LOS QUE EST SOMETIDA UNA BASE DE DATOS:

* Inadecuada asignacin de responsabilidades.

* Inexactitud de los datos. * Prdida de actualizaciones. * Accesos desautorizados a los datos. * Actualizaciones en el software base. * Documentacin no actualizada.

PRINCIPALES RIESGOS A LOS QUE EST SOMETIDA UNA BASE DE DATOS:

Mayores posibilidades de acceso en la figura del administrador de la base de datos. Ruptura de enlaces o cadena por fallos del software o de los programas de aplicacin. Mayor impacto de acceso no autorizado al diccionario de la base de datos que a un fichero tradicional.

Riesgo de que sean utilizados comercialmente para beneficio ajeno

Riesgo de uso delictivo para estafas bancarias, suplantacin de identidad, chantaje.

A LA HORA DE AUDITAR UNA BASE DE DATOS SE PUEDEN ESTABLECER UNA SERIE DE PUNTOS A CONTROLAR:
* Mantenimiento de programas que manejan datos de la base.
* Controles de la validacin en la entrada de datos. * Autorizaciones de acceso * Procedimiento de manejo de datos errneos. * Objeto del procesamiento. * Entrenamiento del personal. * Datos concurrentes o compartidos. * Prevencin y detecciones de los interbloqueos. * Asignacin de funciones y responsabilidades. * Controles de salida. * Situacin del diccionario de datos. * Documentacin del sistema y de sus configuraciones

METODOLOGIA PARA LA AUDITORIA DE BASE DE DATOS

Aunque existen distintas metodologas que se aplican en auditora informtica se pueden agrupar en dos clases:

Metodologa Tradicional: En esta metodologa el auditor revisa el entorno con ayuda de una lista de

control que consta de una serie de cuestiones a verificar.

Metodologa de Evaluacin del Riesgo Este tipo de metodologa, empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que est sometido el entorno.

METODOLOGIA DE UNA AUDITORIA DE SISTEMA

Fases bsicas de un proceso de revisin: Estudio preliminar Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios. Revisin y evaluacin de controles y seguridades Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades.

METODOLOGIA DE UNA AUDITORIA DE SISTEMA

Examen detallado de reas criticas
Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado. Comunicacin de resultados. Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditora.

METODOLOGIA DE UNA AUDITORIA DE SISTEMA

El informe debe contener lo siguiente: Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora

INVESTIGACIN PRELIMINAR
Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la informacin relevante para apoyar el examen que el equipo de Auditora realizara. a.) Conocimiento del negocio y del Sistema de Informacin sobre la empresa y su objeto social, sobre sus polticas y normas. Adems toda la informacin referente al Sistema de Bases de Datos. Informacin que se debe solicitar y analizar 1. Polticas y normas del negocio en relacin con las actividades apoyadas con el Sistema de Bases de Datos.

2. Informacin de objetos de la Bases de Datos (tablas, vistas, procedimientos almacenados, triggers, etc.).
3. Diagrama de sistema y de redes del servidor de bases de datos, servidores de replicacin y servidores de aplicaciones. Todas las conexiones clientes a la base de datos incluyendo interfaces de red, direcciones IP, conexiones LAN y WAN.

INVESTIGACIN PRELIMINAR
4. Listado de usuarios de la base de datos con sus roles y privilegios. 5. Documentacin de las aplicaciones sobre la base de datos

6. Cuadros organizacionales y descripcin de funciones y procedimientos del personal que soporta las bases de datos
7. Polticas de administracin y procedimientos sobre la base de datos incluyendo procedimientos de seguridad, programas de backup y procedimientos de restauracin. 8. Documentacin de pruebas de recovery o restauraciones.

9. Documentacin de espacio en disco, tablas de espacio y monitoreo.

10. Archivos de arranque de bases de datos.

INVESTIGACIN PRELIMINAR
12. Archivos de configuracin 13. Listados a travs de sistema operativo de los directorios de la base de datos mostrando propietarios y permisos hasta el nivel de archivos. 14. Listados a travs de sistema operativo de los directorios de programas de aplicacin que accedan las bases de datos, mostrando propietarios y permisos hasta el nivel de archivos. 15. Listado de archivos de usuarios y grupos de usuarios. 16. Listado de los servicios habilitados (especialmente en el caso de exposiciones a Internet) El resultado de esta recopilacin se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditora.

PRUEBA DE CUMPLIMIENTO

Listar los privilegios y perfiles existentes en el SGBD. Si estas pruebas detectan inconsistencias en los controles, o bien, si los

controles no existen, se pasa a detectar otro tipo de pruebas

denominadas pruebas sustantivas que permitan dimensionar el impacto de estas deficiencias.

PRUEBAS SUSTANTIVAS

Comprobar si la informacin ha sido corrompida comparndola

con otra fuente, o revisando, los documentos de entrada de

datos y las transacciones que se han ejecutado

una vez valorados los resultados de las pruebas se obtienen

unas conclusiones que sern comentadas y discutidas con los

responsables directos delas reas afectadas con el fin de corroborar los resultados

EJEMPLO DE APLICACION

Bancos : Manejar la informacin bancaria de cada cliente

y sus datos Personales

Toda empresa que conste con un Sistema de Base de

Datos de su Planilla y colaboradores (Recurso Humanos).

Colegios y Universidades.