ndice

1.

Introduccin ................................................................................................................................ 2

2.

Definiciones ................................................................................................................................ 3
2.1.

Auditoria.............................................................................................................................. 3

2.2.

Definicin Auditora ............................................................................................................ 3

2.3.

Auditoria Informtica .......................................................................................................... 3

3.

Identificacin del Cliente ............................................................................................................ 4

4.

Identificacin de la entidad auditada ........................................................................................ 4

5.

Objetivos de la Auditora Informtica ....................................................................................... 4

6.

Normativa aplicada y excepciones............................................................................................. 4

6.1.

Normas legales .................................................................................................................... 4

6.2.

Normas Profesionales ......................................................................................................... 5

7.

Alcance de la auditora ............................................................................................................... 6

8.

Conclusiones ............................................................................................................................... 7
8.1.

Opinin favorable................................................................................................................ 7

8.2.

Opinin con salvedad .......................................................................................................... 7

9.

Resultados................................................................................................................................... 8

10.

Fecha del informe............................................................................................................... 9

11.

Identificacin ....................................................................................................................... 9

1|Pgina

1. Introduccin
La importancia de los Sistemas Gestores de Base de Datos (SGBD), en conjunto con los
datos e informacin son recursos fundamentales dentro de una organizacin, por lo cual
cada vez va cobrando mayor inters el realizar controles internos como auditora.
Generalmente la auditora informtica se aplica en dos distintas formas, principalmente
en el rea de desarrollo de aplicaciones, y el otro mbito es el de sistemas. La importancia
de la auditora de base de datos est en que es el punto inicial para poder realizar la
auditora de las aplicaciones que utiliza esta tecnologa.

2|Pgina

2. Definiciones
2.1. Auditoria
Retomamos los prrafos iniciales vertidos en la introduccin de la presente para
describirlos, ampliarlos y dejar al lector algunas premisas sobre el tema.
2.2. Definicin Auditora
Segn Piattini es la actividad consistente en la emisin de una opinin profesional
sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que
pretende reflejar y/o cumple con las condiciones que le han sido prescritas.
2.3. Auditoria Informtica
Las siguientes son varias definiciones expresadas en los apuntes de Oscar Coltell:
Norma ANSI N45.2.10.1973:
Actividad para determinar por medio de la investigacin, la adecuacin de y la
adhesin a, los procedimientos establecidos, instrucciones, especificaciones, cdigos y
estndares, u otros requisitos aplicables contractuales o de licencia, as como la
eficacia de su implantacin.
P. van der Ghinst - CEGOS.
Conjunto de tcnicas y actividades destinadas .a analizar, evaluar, verificar y
recomendar sobre el control, la planificacin, la adecuacin, eficacia y seguridad de la
funcin informtica de la Empresa.
Examen discontinuo de un sistema informtico, o del servicio informtico, a peticin
de su direccin. Para mejorar la calidad, la seguridad y la eficacia.
Acha Iturmendi J.J. Auditoria Informtica en la Empresa:
Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente
un Sistema Informtico, con el fin de proteger sus activos y recursos, verificar si sus
actividades se desarrollan eficientemente y de acuerdo con la normativa informtica y
Auditoras en Base de Datos. Herramienta para rastros de actividad Activity Log
general existentes en cada empresa, y para conseguir la eficiencia exigida en el marco
de la organizacin correspondiente.

3|Pgina

3. Identificacin del Cliente

Departamento de informtica, Bases de datos de la organizacin, la auditora fue
tramitada con el jefe del departamento de informtica de la organizacin.
4. Identificacin de la entidad auditada
Gas Natural Fenosa (nombre social: Gas Natural SDG, S.A.), sistema gestor de base de
datos (SGBD), y base de datos.
5. Objetivos de la Auditora Informtica

Mitigar los riesgos asociados con el manejo inadecuado de los datos.

Apoyar el cumplimiento regulatorio.
Satisfacer los requerimientos de los auditores.
Evitar acciones criminales.
Evitar multas por incumplimiento.

6. Normativa aplicada y excepciones

6.1. Normas legales
Teniendo presente que el H. Congreso Nacional ha dado su aprobacin al siguiente
Proyecto de Ley 19.223:
"Artculo 1.- El que maliciosamente destruya o inutilice un sistema de tratamiento
de informacin o sus partes o componentes, o impida, obstaculice o modifique su
funcionamiento, sufrir la pena de presidio menor en su grado medio a mximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el
sistema, se aplicar la pena sealada en el inciso anterior, en su grado mximo.
Artculo 2.- El que con el nimo de apoderarse, usar o conocer indebidamente de
la informacin contenida en un sistema de tratamiento de la misma, lo intercepte,
interfiera o acceda a l, ser castigado con presidio menor en su grado mnimo a
medio.
Artculo 3.- El que maliciosamente altere, dae o destruya los datos contenidos en
un sistema de tratamiento de informacin, ser castigado con presidio menor en
su grado medio.
Artculo 4.- El que maliciosamente revele o difunda los datos contenidos en un
sistema de informacin, sufrir la pena de presidio menor en su grado medio. Si
quien incurre en estas conductas es el responsable del sistema de informacin, la
pena se aumentar en un grado.".
4|Pgina

Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promlguese y

llvese a efecto como Ley de la Repblica.
Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de la
Repblica.- Francisco Cumplido Cereceda, Ministro de Justicia.
6.2. Normas Profesionales
i. Cada acceso a la base de datos es mediante una cuenta VPN (Red Privada
Virtual).
ii. La cuenta de usuario de VPN requiere el cambio de su contrasea en un periodo
cada 1 mes y no se permite una contrasea semejante a la anterior.
iii. La sesin del usuario VPN tiene un tiempo de duracin de 9 horas y una vez
desconectado de la VPN caduca automticamente la conexin con la base de
datos.
iv. Las modificaciones y eliminaciones de registros de la base de datos son hechas
en un entorno de pruebas el cual es la rplica del entorno de produccin.
v. El entorno de pruebas es una copia diaria del entorno de produccin.
vi. Las ejecuciones de cualquier modificacin debe ser validada anteriormente en
el entorno de pruebas para su posterior ejecucin en produccin, as como
tambin dicha modificacin tiene que estar asociada a un remitente o autor y
fecha.
vii. La ejecucin de las modificaciones del entorno de produccin son enviadas en
conjunto al final del da para que los cambio estn reflejados el da siguiente.
viii. Registro de cada modificacin hecha en el da informado en un seguimiento
diario.
ix. Registros de validacin para llevar un control estricto del flujo de usuarios.
x. Realizar respaldo de toda la informacin de las base de datos diariamente bajo
los procedimientos de trabajo.

5|Pgina

7. Alcance de la auditora
La auditora a realizar, comprende el periodo del segundo semestre del presente ao, y se
realiza especialmente al SGBD y de las Bases de Datos.
Los componentes auditables son:
Esquemas.
Bases.
Tablas.
Restricciones.
Operatividad.
Diseo y estructura de datos.
Seguridad lgica.
Documentacin y manual de usuario.
Procedimientos de respaldo.
Entradas salida y modificacin de datos.
Integridad y consistencia de los datos.

6|Pgina

8. Conclusiones
Como resultado a la auditora se puede manifestar que se ha cumplido con evaluar cada
uno de los objetivos contenidos en el programa de auditora propuesto.
8.1. Opinin favorable
Durante esta etapa de evaluacin se ha comprobado que se siguen las normas y
polticas para el correcto funcionamiento y operatividad en la administracin del
SGBD y las bases de datos, adems se destaca la disposicin del personal por
resolver diferencias en el menor plazo posible.
La arquitectura de las bases de datos se encuentra normalizada, y con sus
diccionarios de datos respectivos, la documentacin de estas se encuentra
actualizada y los manuales de usuario se encuentran con todos los procedimientos
detallados y en orden.
Los procedimientos de respaldo se hacen de acuerdo a las normas dictadas, se
realiza diariamente de forma automtica con un seguimiento de control de
efectividad de la operacin, todo esto para verificar el xito de la operacin.
El personal se encuentra debidamente capacitado y las capacitaciones se realizan
peridicamente a estos dando a conocer las nuevas tecnologas a utilizar. Tambin
se les entrega el manual de usuario segn su responsabilidad en la organizacin.
Es importante tambin mencionar que cada persona en la organizacin tiene su rol
definido por lo tanto cada cual tiene sus responsabilidades claras, por lo que esto
impide el trabajo engorroso y desorganizado dentro de la empresa.
8.2. Opinin con salvedad
La seguridad presentada en la organizacin es de un alto nivel en el sentido lgico,
pero en el nivel fsico, los controles de acceso, polticas de seguridad y normas de
seguridad deben ser reevaluadas para asegurar la integridad y confiabilidad de los
datos en su totalidad.

7|Pgina

9. Resultados
Dar a conocer la importancia de los Sistemas Gestores de Base de Datos (SGBD) a los
usuarios, ya que los datos almacenados en la bases de datos pueden incluso ser el
recurso ms importante dentro de la organizacin.
Elaborar un calendario de mantenimiento de rutina peridico, y as evitar posibles
fallas en hardware, manteniendo la continuidad de la operatividad de los sistemas en
la organizacin mostrando una mayor eficacia en el rendimiento del sistema.
Evaluar e implementar un software que permita mantener el resguardo de acceso de
los archivos de programas y an de los programadores, aumentado el nivel de
seguridad con el control de acceso.
Aumentar la seguridad en los equipos de almacn de datos, estos deben ser
guardados en una sala con difcil acceso del personal no capacitado para manipular
estos equipos, debe tener una buena ventilacin a temperatura ambiente,
resguardados por cmaras de vigilancia.

8|Pgina

10. Fecha del informe

El presente informe es entregado a la fecha:
24 de Noviembre del presenta ao 2014.
11. Identificacin
Los auditores encargados de realizar el informe son:
Erikson Damian Velasquez Vallejos Auditor Superior.
--------------------------------------------------------------------------Nombre, Apellidos - Cargo
Francisco Eduardo Llafqun Cheuqueanco Auditor de Apollo.
--------------------------------------------------------------------------------------Nombre, Apellidos - Cargo

9|Pgina