AUDITORIA A SISTEMAS DE BASES DE DATOS

CONTENIDO

EVALUACIN DE LA INTEGRIDAD

EVALUACIN DE LA CONFIABILIDAD

EVALUACIN DE LA CONFIDENCIALIDAD

EVALUACIN DE LA OPORTUNIDAD

TCNICAS PARA EVALUACIN DEL DISEO DE LA BD Y FUNCIONALIDADES

TECNICAS Y HERRAMIENTAS PAR A EVALUAR BASES DE DATOS

Evaluacin de la Integridad

Registros sin ndice: Un ndice es un objeto de base de datos que ayuda al

servidor a encontrar un dato ms rpidamente.
Comparacin de registros. Para identificar esos registros, primero debemos
exportar la tabla a verificar de la base de datos en formato .cvs, luego
exportamos esa misma tabla pero usando la propiedad de agrupar con el
ndice de sta, de igual manera se exporta en .cvs. Se importan en Excel, y
se realiza una comparacin de filas de Excel basados en el campo de
ndice. All podremos observar si hay registros de la tabla que no se
encuentren en la del ndice.

Registros incompletos: Es el conjunto de informacin referida a una misma

persona u objeto que est ingresado de manera incompleta, por lo cual en
el registro se encuentran campos que son obligatorios y sin informacin.
Muestreo de campos. Para identificar esos registros se exporta la tabla en
el rango requerido y en formato plano o formateada en .csv, se importa a
Excel o Idea. Se realiza seleccin de los campos que deben estar siempre
diligenciados y se organiza una bsqueda de campos en NULL dentro de la
seleccin.

Registros duplicados: Es el conjunto de informacin referida que se

encuentra ms de una vez y que la condicin de duplicidad de registros de
la tabla no lo debe permitir.

Muestreo de campos. Se realiza importacin dentro de Idea, con la tabla

importada, seleccionamos la opcin de Anlisis->Clave duplicada>Deteccin, as obtendremos una nueva pestaa que traer, de encontrar,
esos registros duplicados

Tablas o Campos redundantes: Se busca identificar en los registros los

campos que son idnticos o en las tablas, esos campos que se repiten
tanto en una tabla como en otra.
Anlisis de datos. Se puede establecer con ayuda de Excel, importado la
tabal que se export en formato .cvs, y del men Inicio, haremos uso de
Formato condicional - Resaltar reglas de celda-Duplicar valores, all
seleccionamos a la opcin Duplicar y seleccionamos el formato que se ha
de aplicar a las celdas en que existan datos duplicados. Con ello Excel
resaltar las celdas que contengan datos duplicados

Tablas o Campos no usados: Se busca identificar en los registros, esos

campos que nunca son diligenciados.
Anlisis de datos. Podemos usar el software IDEA y la funcin de Datos->
Extracciones->Extraccin Directa, donde colocaremos como criterio los
campos de la tabla que se encuentran en NULL

Evaluacin de la Confiabilidad
-

Datos en los rangos definidos: Para los datos a revisar, se debe tener
informacin vlida de acuerdo al atributo en los campos que sern objeto
de anlisis.
Extraccin de campos. Se debe realizar validacin de la informacin
contenida para cada campo que muestre aquellos que no tienen el valor
establecido de acuerdo a su atributo en la tabla.

Operaciones correctas: Validacin de operaciones de campos que guardan

informacin de valores, por ejemplo facturas.
Anlisis de datos. Se debe obtener la informacin de las tablas que son
utilizadas para generar clculos basadas en los valores que se registran en
ellas. Con los campos identificados, introducimos un nuevo campo en
nuestro programa de evaluacin y la ecuacin de operacin, por ejemplo,
en facturas, sera el IVA, o RETICA, as pues con el clculo de esos
valores, realizamos comparacin con los que se registran en el sistema.

Totalizaciones: Pueden ser los campos en las tablas que guardan la

informacin total de un registro, como una factura, o los reportes que emite
el sistema basado en la totalizacin de unos campos especficos.
Anlisis de datos. Se debe obtener la informacin de las tablas que son
utilizadas para generar clculos basadas en los valores que se registran en
ellas. Con los campos identificados, introducimos un nuevo campo en
nuestro programa de evaluacin y la ecuacin de totalizacin, por ejemplo,
en un presupuesto, as pues con el clculo de esos valores, realizamos
comparacin con los que se registran en el sistema o los que emite el
reporte.

Evaluacin de la Confidencialidad
-

Log de acceso y/o funcionalidad. Saber todo lo relacionado con el acceso a

una la plataforma por medio de un usuario.
Registros de auditoria. Se busca establecer sentencias o auditora de las
transacciones de los usuarios que ingresan/modifican informacin en la
base de datos, mediante pistas de auditoria se puede obtener el antes o
despus de los eventos insert, delete o update que guardan la imagen
del registro antes y despus del evento. Aqu se realizara una seleccin
basada en cruce de campos, del usuario con tablas que no debe modificar.

Perfiles de usuario.
Logs de Bases de datos. Mediante copia de los registros de auditora de los
usuario en un archivo de resumen, se podr identificar los privilegios que
han sido asignados / modificados al usuario, as como tambin el registro
de entrada/salida. Basados en los roles de los funcionarios y los usuarios
asignados, se puede establecer su correcta asignacin. Por ejemplo en
Oracle la instruccin # auditreduce -e [user] -O [user], se fusionan los
registros en la pista de auditora que contienen el nombre de un usuario
determinado

Validacin de contraseas. Evaluar el nivel de seguridad y eficiencia de una

contrasea donde la falta de cultura y prevencin de los usuarios frente a
crear contraseas seguras no se tiene como una buena prctica.
Password Guessing. Con los nombres de usuarios vlidos, en la fase de
recoleccin de informacin, se debe construir un diccionario de posibles
passwords de una forma personalizada que parten de la forma que se
puede realizar en herramientas tales como THC-Hydra, que ordenar un
diccionario con posibles password, respecto a una poltica de seguridad.

Evaluacin de la Oportunidad
-

Tiempos de Proceso en adicin, modificacin, borrado y consulta. Medir el

performance o tunning para cada transaccin de operacin en la BD.
Anlisis de Performance. Cada motor de BD tiene su herramienta para
captura de carga de trabajo, de contadores de performance, luego
establecer correlacin entre contadores y carga, esto ayudar a establecer
grficas de comparacin ya que generamos un informe comparativo de
aquellos valores de rendimiento medidos durante el proceso de prueba. Se
identifican los picos ms altos, quienes sern evaluados en las
configuraciones del SGBD para establecer que parmetros estn mal
asignados y afectan el performance.

Tiempos de Generacin de informes y consultas. Medir el performance o

tunning para cada operacin de consulta en la BD.
De manera similar al anterior se establecern los mismos parmetros pero
restringiendo las operaciones a informes/consultas de manera especfica.
Aquellos informes/consultas que arrojen picos altos de consumo en
memoria/procesador deben ser revisados en su estructura.

Potencialidad propia de la BD, auto recuperacin y deteccin de errores.

Cuando ocurre un error de base de datos, el motor de base de datos
subyacente que detecta el error enva normalmente un mensaje de error.
Anlisis de Log y Configuraciones. Debido a los diferentes errores que se
pueden presentar, se debe determinar basados en el log de errores, que
funcionalidad se tienen activas para el motor de base de datos, y evaluar si
estn actuando. Por ejemplo en Oracle, para minimizar la interrupcin
causada por temas relacionados con conectividad se usa AF (Transparent
Application Failover) que cuando la BD pierde la conexin, puede actuar o
Restauracin de sesiones de base de datos o Continuacin de operaciones
SELECT.

Funcin de Continuidad de Negocio: La continuidad de negocio puede

verse afectada por las tres categoras principales de problemas siguientes:
Error de la conectividad de red, Modificacin no deseada o eliminacin de
los datos y Prdida general de las instalaciones del centro de datos.
Polticas de Continuidad de Negocio. Verificar esquemas implementados
como redundancia de infraestructuras, UPS y planta elctrica contra cortes
no planificados. En Polticas de Backup y Restauracin, verificas planillas
de control y log de ejecucin, as como tambin verificar si se hacen
pruebas de restauracin y ejecutar un proceso en servidor de pruebas.

Concurrencia de usuarios. En sistema multiusuario es imprescindible, un

mecanismo de control de concurrencia para preservar la oportunidad de los
datos.
Evaluar los mecanismos de control de concurrencia y recuperacin que
proveen las rdenes de acceso a la base de datos incluidas en una
transaccin. Se puede verificar en el log en busca de cuantas solicitudes
finalizaron en anulacin (rollback) dentro de cada transaccin y en que
periodos de tiempo.

Distribucin de procesamiento. Una base de datos que consta de dos o

ms datos de los archivos ubicados en diferentes sitios en un ordenador de
la red. Debido a que la base de datos se distribuye, diferentes usuarios
pueden acceder a ella sin interferir uno con el otro. Aqu se debe evaluar
que el DBMS sincronice peridicamente las bases de datos dispersas para
asegurarse de que todos ellos tienen datos coherentes.

Tcnicas para Evaluacin del Diseo de la BD y Funcionalidades

-

Modelo de datos: El modelamiento de los datos debe corresponder a la

funcin u objetivos de la organizacin.
Evaluacin de los diseos. Primero evaluar el conjunto de informaciones
que debe estar a disposicin del usuario, alcance y cobertura de los
registros que la forman y tcnicas de navegacin.
Segundo, los aspectos tcnicos que se ponen en prctica durante una
consulta concreta, como salida de datos y facilidad y claridad de las ayudas
al usuario para la navegacin.

Formatos de transcripcin. Aquellos formatos donde se ha recogido la

informacin de forma manual o escrita para ser ingresados en la base de
datos.
Inspeccin y Comparacin. Se debe evaluar si la forma de diseo de los
formularios donde se recoge la informacin para ser ingresada al motor de
BD, lleva una secuencia similar con la que se muestra en las pantallas de
captura.

Formatos consultas y reportes. La disposicin de la informacin tanto en

pantalla como en los impresos.
Inspeccin y Verificacin. Evaluar si la disposicin de la informacin cuando
se realizan consultas o se generan reportes, estos tienen un diseo claro y
de fcil lectura para los usuarios del sistema. Que tengan una secuencia
lgica y que representen claramente la informacin solicitada por el usuario.

Tablas. Verificar su construccin y como se relacionan para poder operar

correctamente sin ambigedad ni repeticin de datos. En la inspeccin se
deben distinguir 3 abstracciones:
Entidades, cosas distinguibles en la empresa; Relaciones, interacciones
entre objetos; y Atributos, propiedades de las entidades y relaciones.

Registros. Es el conjunto de informacin referida a una misma persona u

objeto. Un registro vendra a ser algo as como una ficha.
Inspeccin. Se debe verificar que los campos que conforman el registro
tengan una relacin directa y coherente donde se aprecie que significan o
tienen un valor para los objetivos de la organizacin.