Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos

incluye la capacidad de determinar:

Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos

 Mitigar los riesgos asociados con el manejo inadecuado de los datos Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores Evitar acciones criminales Evitar multas por incumplimiento

 Auditores de Sistemas Tecnologa de Informacin Cumplimiento Corporativo Riesgo Corporativo Seguridad Corporativa

Toda la informacin financiera de la organizacin reside en bases de datos y deben existir controles relacionados con el acceso a las mismas. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin.

Definicin de estructuras fsicas y lgicas de las bases de datos Control de carga y mantenimiento de las bases de datos Integridad de los datos y proteccin de accesos Estndares para anlisis y programacin en el uso de bases de datos Procedimientos de respaldo y de recuperacin de datos.

1. Identificar todas las bases de datos de la organizacin

2. Clasificar los niveles de riesgo de los datos en las bases de datos

3. Analizar los permisos de acceso

4. Analizar los controles existentes de acceso a las bases de datos 5. Establecer los modelos de auditora de BD a utilizar 6. Establecer las pruebas a realizar para cada BD, aplicacin

y/o usuario

TRADICIONAL

EVALUACION DE RIESGOS

Objetivo de control: el SGBD deber preservar la confidencialidad de la BD

Tcnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el control de acceso a la base datos

 Se deben tomar en cuenta todas las capas de acceso a la informacin Se debe tener importante atencin en los accesos de los usuarios con privilegios de acceso

Se debe tratar de tener informacin contextual para determinar como se creo la violacin al control Se deben tener reglas de auditora uniformes a travs de todas las bases de datos y sistema Se deben segregar las funciones entre los auditores y los usuarios con privilegios de acceso

Software que ayudan a la extraccin de datos, seguimientos de transacciones, datos de prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes desarrollados propios de la organizacin o comprados por ejemplo: RSA The Security Division of EMC

Es un elemento ms del entorno del SGBD con responsabilidades de confidencialidad y rendimiento. Existen controles de (adems de los antes mencionados): Control de accesos al sistema operativo Procedimientos de log-on seguro Identificacin y autenticacin de los usuarios Sistema de gestin de contraseas

Utilizacin de utilidades del sistema Timeout de sesiones Limitacin del tiempo de conexin Control de acceso a la informacin y aplicaciones - Restriccin de acceso a la informacin - Aislamiento de sistemas sensibles

 Estas herramientas ofrecen soporte a la toma de

decisiones sobre datos de calidad integrados en el
almacn de datos Se deber controlar la poltica de refresco y carga de los datos en el almacn a partir de las bases de datos operacionales existentes, as como la existencia de

mecanismos de retroalimentacin que modifican las

bases de datos operacionales a partir de los datos del almacn.