Professional Documents
Culture Documents
Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos
Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento
Auditores de Sistemas Tecnologa de Informacin Cumplimiento Corporativo Riesgo Corporativo Seguridad Corporativa
Toda la informacin financiera de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin.
Definicin de estructuras fsicas y lgicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y proteccin de accesos Estndares para anlisis y programacin en el uso de bases de datos Procedimientos de respaldo y de recuperacin de datos.
y/o usuario
TRADICIONAL
EVALUACION DE RIESGOS
Tcnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el control de acceso a la base datos
Se deben tomar en cuenta todas las capas de acceso a la informacin Se debe tener importante atencin en los accesos de los usuarios con privilegios de acceso
Se debe tratar de tener informacin contextual para determinar como se creo la violacin al control Se deben tener reglas de auditora uniformes a travs de todas las bases de datos y sistema Se deben segregar las funciones entre los auditores y los usuarios con privilegios de acceso
Software que ayudan a la extraccin de datos, seguimientos de transacciones, datos de prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes desarrollados propios de la organizacin o comprados por ejemplo: RSA The Security Division of EMC
Es un elemento ms del entorno del SGBD con responsabilidades de confidencialidad y rendimiento. Existen controles de (adems de los antes mencionados): Control de accesos al sistema operativo Procedimientos de log-on seguro Identificacin y autenticacin de los usuarios Sistema de gestin de contraseas
Utilizacin de utilidades del sistema Timeout de sesiones Limitacin del tiempo de conexin Control de acceso a la informacin y aplicaciones - Restriccin de acceso a la informacin - Aislamiento de sistemas sensibles