Documente Academic
Documente Profesional
Documente Cultură
Objetivo de Control:
El SGBD deberá preservar la confidencialidad de la base de datos.
Una vez establecidos los objetivos de control, se especifica las técnicas
específicas correspondientes a dichos objetivos.
Técnica de Control:
Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para
controlar el acceso a la base de datos.
Prueba de cumplimiento:
Listar los privilegios y perfiles existentes en el SGBD
Si estas pruebas detectan inconsistencias en los controles, o bien, si los
controles no existen, se pasa a diseñar otro tipo de pruebas-denominadas
pruebas sustantivas que permitan dimensionar el impacto de estas deficiencias:
Prueba sustantiva:
Comprobar si la información ha sido corrompida comparándola con otra fuente,
o revisando los documentos de entrada de datos y las transacciones que se han
ejecutado.
Una vez valorados los resultados de las pruebas se obtienen unas conclusiones
que serán comentadas y discutidas con los responsables directos de las áreas
afectadas con el fin de corroborar los resultados. Por último, el auditor deberá
emitir una serie de comentarios donde se describa la situación, el riesgo
existente y la deficiencia a solucionar, y, en su caso, sugerirá la posible solución.
Como resultado de la auditoría, se presentará un informe final en el que o
expongan las conclusiones más importantes a las que se ha llegado, así como
el alcance que ha tenido la auditoría.
Ésta será la técnica a utilizar para auditar el entorno general de un sistema de
bases de datos, tanto en su desarrollo como durante la explotación.
Hay que tener en cuenta que usuarios poco formados constituyen uno de los
peligros más importantes de un sistema. Esta formación no debería limitarse al
área de las bases de datos, sino que tendría que ser complementada con
formación relativa a los conceptos de control y seguridad.
El auditor deberá revisar, por tanto, la utilización de todas las herramientas que
o el propio SGBD y las políticas y procedimientos que sobre su utilización haya
definido el administrador, para valorar si son suficientes o si deben ser
mejorados.
El SO es una pieza clave del entorno, puesto que el SGBD se apoyará, en mayor
medida (según se trate de un SGBD independiente o dependiente) en los
servicios que le ofrezca; el SO en cuanto a control de memoria, gestión de áreas
de almacenamiento intermedio (buffers), manejo de errores, control de
confidencialidad, mecanismos de interbloqueo, etc. Desafortunadamente, el
auditor informático tiene serias dificultades para controlar de manera rigurosa la
interfaz entre el SGBD y el S0, debido a que, en parte, constituye información
reservada de los fabricantes de los productos, además de requerir unos
conocimientos excepcionales que entran en el campo de la técnica de sistemas.
Cap 15.
Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede
considerarse un elemento más del entorno con responsabilidades de
confidencialidad y rendimiento.
14.4.13. Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan contra la integridad
de los datos de la base.ver cap 19
Con este marco, el auditor puede identificar las debilidades que expongan los
datos a riesgos de integridad, confidencialidad y seguridad, las distintas
interfaces o componentes y la compleción de los controles.
En la práctica se suelen utilizar conjuntamente ambas técnicas, si bien la del
análisis de caminos de acceso requiere unos mayores conocimientos técnicos y
se emplea en sistemas más complejos.
AUDITORÍA DE LA SEGURIDAD
En definitiva, como decía un cliente: "No pasan más cosas porque Dios es
bueno", y podemos añadir, que no conocemos la mayor parte de las que pasan,
ya se ocupan las entidades afectadas de que no se difundan.
Volviendo al control, los grandes grupos de controles son los siguientes, ade de
poderlos dividir en manuales y automáticos, o en generales y de aplicación:
- Controles directivos, que son los que establecen las bases, como las políti o la
creación de comités relacionados o de funciones de administración de seguridad
o auditoría de sistemas de información interna.
Controles preventivos, antes del hecho, como la identificación de visitas
(seguridad física) o las contraseñas (seguridad lógica).
- Controles de detección, como determinadas revisiones de accesos producidos
o la detección de incendios.
Controles correctivos, para rectificar errores, negligencias o acciones
intencionadas, como la recuperación de un archivo dañado a partir de una
copia.
* Controles de recuperación, que facilitan la vuelta a la normalidad después de
accidentes o contingencias, como puede ser un plan de continuidad adecuado.
Podemos hablar de Objetivos de Control respecto a la seguridad, que vienen a
ser declaraciones sobre el resultado final deseado o propósito a ser alcanzado
medidas las protecciones y los procedimientos de control, objetivos como los
recogidos en la publicación COBIT (Control Objectives for Information and
Related Technologies) de ISACA (Information Systems Audit and Control
Association/Foundation).
Cada entidad ha de definir sus propios objetivos de control, en cuanto a seguri y
otras áreas, y crear y mantener un Sistema de Control Interno (funciones, p.
actividades, dispositivos.) que puedan garantizar que se cumplen los objetivos
de control.
Los auditores somos, en cierto modo, los “ojos y oídos" de la Dirección, que
menudo no puede, o no debe, o no sabe, cómo realizar las verificaciones o
evaluaciones.
CONCLUSIONES
Como señala BRATHWAITE (1985), "la tecnología de bases de datos ha
afectado al papel del audio interno más que a cualquier otro individuo. Se ha
convertido en extremadamente difícil auditar alrededor del computador". Esto se
debe, como hemos visto, no sólo la complejidad de la propia tecnología de bases
de datos, sino también a que el entorno del SGBD ha ido creciendo de manera
extraordinaria en los últimos años, por lo que requiere personal especializado
(auditores informáticos).
El gran número de componentes que forman dicho entorno y sus interfaces
hacen necesario que, antes de empezar una revisión de control interno, el auditor
deba examinar el entorno en el que opera el SGBD, que está compuesto, como
hemos visto, por el personal de la empresa (dirección, informáticos y usuarios
finales), hardware, software, etc.
El auditor debe verificar que todos estos componentes trabajan conjuntos y
coordinadamente para asegurar que los sistemas de bases de datos continúan
cumpliendo los objetivos de la empresa y que se encuentran controlados de
manera efectiva.
Por otro lado, hemos visto cómo las consideraciones de auditoría deberían
incluirse en las distintas fases del ciclo de vida de una base de datos, siendo muy
importante que los auditores participen cada vez más en el proceso de
desarrollo. disminuyendo así ciertos costes y haciendo "más productiva" su labor
(la dirección de las empresas no siempre "ve" la labor de auditoría y control como
realmente productiva, asumiéndola, la mayoría de las veces, como un gasto
necesario).
En el futuro es previsible que los SGBD aumenten el número de mecanismos de
control y seguridad, operando de forma más integrada con el resto de
componentes. Para ello, es fundamental el desarrollo y la implantación de
estándares y marcos de referencia como los propuestos por ISO y por el OMG
(CORBA), que faciliten unas interfaces claramente definidas entre componentes
del sistema de información. Para conseguir este objetivo es importante que las
instituciones y personas encargadas de definir estos estándares tomen
conciencia de la importancia del control y la auditoria e implementen los
mecanismos adecuados,
Desafortunadamente, como nos enseña la experiencia, los sistemas aumentan
su complejidad y alcance con mayor rapidez que los procedimientos y técnicas
para controlarlos.