Documente Academic
Documente Profesional
Documente Cultură
FACULTAD DE INGENIERIA
CURSO:
Auditoría de Sistemas
TEMA:
Auditoria de aplicaciones y base de datos
DOCENTE:
Ing. Lizbeth Briones Pereyra
INTEGRANTES:
Avila Capristan, Diana
Chamache Pereda, Vanesa.
Chapa Carranza, Kathiusca.
Cruz Cadillo, Mabel.
Jara Espinoza, Jhoselyn.
Lecca Reyna, Edison.
Pasión Rodriguez, Karolay.
CICLO:
X
Octubre, 2019.
Nuevo Chimbote, Perú.
ÍNDICE
2. METODOLOGIA ......................................................................................................... 18
5. BIBLIOGRAFIA .......................................................................................................... 44
6. ANEXOS ...................................................................................................................... 45
1.1.2. MISIÓN
Brindar formación profesional humanística, científica y tecnológica a los estudiantes,
con calidad y responsabilidad social y ambiental.
1.1.3. VISIÓN
Todos desarrollan su potencial desde la primera infancia, acceden al mundo
letrado, resuelven problemas, practican valores y saben seguir aprendiendo, se
asumen ciudadanos con derechos y responsabilidades y contribuyen al desarrollo
de sus comunidades y del país combinando su capital cultural y natural con
avances mundiales.
1.1.4. OBJETIVO
Establecer los lineamientos y procedimientos que regulen los servicios para el
desarrollo, evaluación y mantenimiento de sistemas de información, y que
garanticen a los usuarios la disponibilidad de los diferentes módulos del Sistema
de Información Integral de Gestión Académica y Administrativa de la
Universidad Nacional del Santa (SIIGAA-UNS), para mejorar la eficiencia de la
operación de las diversas áreas de la Institución.
VICERRECTORADO ACADEMICO
DIRECCION DE INFORMATICA Y
DOCUMENTACIÓN (DID)
OFICINA DE TECNOLOGÍAS DE
OFICINA DE NORMALIZACION Y OFICINA DE PROYECTOS DE INNOVACION
INFORMACIÓN Y COMUNICACIONES OFICINA DEL SITEMA DE BIBLIOTECAS
GOBIERNO CORPORATIVO TECNOLOGICA
(OTIC)
UNIDAD DE
UNIDAD DE PROCESOS UNIDAD DE PROCESOS
UNIDAD DE ESTANDARIZACION Y
TECNICOS TECNICOS
INFRAESTRUCTURA DE GESTIÓN DE PROCESOS
COMUNICACIONES,
EQUIPAMIENTO Y
SOPORTE INFORMÁTICO
UICESI
UNIDAD DE SEGURIDAD
DE LA INFORMACION
UNIDAD DE CENTRAL
TELEFONICA UCA
UNIDAD DE GESTION DE
SERVICIOS DE TI
UNIDAD DE SERVIUCIOS
ACADEMICOS USA UNIDAD DE CALIDAD DE
SW Y AUDITORIA DE TI
1.2. DATOS DE UDEMSI (UNIDAD DE DESARROLLO, EVALUACIÓN Y
MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN)
1.2.1. MISIÓN
Planear, desarrollar e implementar software para agilizar los procesos institucionales de
administración, académica e investigación de la universidad Nacional del Santa.
1.2.2. VISIÓN
Nuestra unidad proporcionando sus servicios y mejorando nuestros procesos, tiene una
visión clara de implementar una ERP.
1.2.3. OBJETIVO
Establecer los lineamientos y procedimientos que regulen los servicios para el desarrollo,
evaluación y mantenimiento de sistemas de información, y que garanticen a los usuarios
la disponibilidad de los diferentes módulos del Sistema de Información Integral de
Gestión Académica y Administrativa de la Universidad Nacional del Santa (SIIGAA-
UNS), para mejorar la eficiencia de la operación de las diversas áreas de la Institución.
Coordinador de
Sistemas
Art.52° Las Oficinas de la Universidad Nacional del Santa estarán encargadas de:
a. Ejecutar las políticas específicas que acuerden los órganos de alta dirección y
los órganos de gobierno, de conformidad con el presente Estatuto y Reglamento;
c. Agilizar el flujo de información, así como los procesos y operaciones entre las
dependencias de la Universidad; y
PROCEDIMIENTO
NOMBRE: Procesamiento de información de Base de Datos
OBJETIVO: Brindar, de la base de datos, la información que generan las áreas de la
UNS como resultado de los trabajos diarios, y que no estén contemplados
en algún reporte del SIIGAA-UNS, y lograr la emisión e información
actualizada que permita la oportuna toma de decisiones.
FRECUENCIA: Eventual
NORMAS
Las solicitudes para el procesamiento de información de la base de datos que las áreas
de la UNS requieran, deberán ser registradas en el formato de Control de Actividades,
además deben presentarse por escrito y tener la aprobación del jefe inmediato superior de
la UDEMSI.
ACTIVIDAD DESCRIPCIÓN
1 Recibe la solicitud de procesamiento de información de las áreas de la UNS con
la aprobación del jefe de OTIC.
2 Completa el formato de Control de Actividades en original, con los datos
necesarios para atender las solicitudes recibidas por las áreas de la UNS (el
formato del reporte por parte del área solicitante debe ir acompañado al Control
de Actividades)
¿Es comprensible el formato?
2A En caso de que el formato no es comprensible:
Se comunica o acude al área solicitante y realiza entrevistas al personal para
conocer los requerimientos del procesamiento de la información.
3 En caso de que el formato es compresible:
Analiza y determina los procesos a desarrollar que atiendan las necesidades de
las áreas de la UNS.
4 En caso de que el reporte sea menor a 10 hojas, se procede a imprimir el reporte
solicitado o de lo contrario se transforma en formato pdf, respetando el formato
que del área solicitante ha entregado.
5 Envía al área solicitante el reporte (impreso o en CD), también se le envía a su
buzón del correo institucional una copia en formato PDF.
6 El área solicitante debe evaluar el contenido de la información proporcionada
por parte de la UDEMSI
¿Es correcto el procesamiento de información?
6A En caso de no ser correcta el procesamiento de información:
Realiza las correcciones de la información con las especificaciones de las áreas
de la UNS.
Continua con la actividad numero 4
7 En caso de ser correcto el procesamiento de información:
Recaba firma de conformidad de las áreas de la UNS en el formato de Control
de Actividades en original y lo archiva de manera cronológica permanente.
PROCEDIMIENTO
FRECUENCIA: Eventual
NORMAS
1
Recibe de las áreas de la UNS, la solicitud para crear nuevos módulos del
SIIGAA-UNS de acuerdo a sus necesidades actuales en el manejo de datos.
2
Completa el formato de CONTROL DE ACTIVIDADES en original, para
indicar la actividad a realizar y establecer el periodo de atención.
3
Acude al área solicitante del nuevo módulo del SIIGAA-UNS y realiza
entrevistas con los usuarios, a fin de recopilar información que permita
determinar las necesidades.
4
Completa la solicitud de control estableciendo compromisos y recopila
información adicional necesaria para realizar el nuevo módulo SIIGAA-
UNS, elabora el documento de Especificación de Requisitos de Software.
- OTIC-UDEMSI-DOC-DFP
- OTIC-UDEMSI-DOC-DMP
- OTIC-UDEMSI-DOC-DIT
- OTIC-UDEMSI-DOC-DID
- OTIC-UDEMSI-DOC-DIR
- OTIC-UDEMSI-DOC-DFD
- OTIC-UDEMSI-DOC-ESS
- OTIC-UDEMSI-MAN-USU
2. METODOLOGIA
La metodología para auditar bases de datos, propuesta por Sandra Saucedo Mejía, Luis Alberto
Gutiérrez Díaz de León, Alejandro Ayala López y Jorge Lozoya Arandia, se fundamenta en 5
etapas las cuales se desarrollaron con base en el modelo de madurez de COBIT, cada etapa
contiene puntos de control que deben ser cubiertos y éstos están sustentados en los controles de
seguridad del estándar de seguridad ISO/IEC.
3. DESARROLLO DE LA METODOLOGIA
El modelo sobre el cual se fundamenta la metodología, en cada etapa se definen las tareas
específicas de la auditoría de base de datos acorde a los objetivos de control de ISO/IEC 27001-
27002 y COBIT, y al conjunto de directrices de "mejores prácticas" de ITIL, como se puede
observar en la siguiente figura.
3.1. ETAPA DE DIAGNOSTICAR
3.1.1. Descripción:
El objetivo general de esta etapa es obtener un panorama del estado actual de la
organización y para ello se utiliza el modelo de madurez de COBIT. El modelo considera
5 niveles de madurez que tienen asignado un valor en un rango que oscila entre 0 y 1, esto
significa que el nivel más bajo está asociado al valor 0 mientras que el nivel más alto se
asocia al valor 1.
Seguridad
Responsabilidades
Controles de la información
Documentación de procedimientos
Legislación en materia de uso de la información
Cada categoría contiene una serie de preguntas que van en función del número de
objetivos de control referenciados en ISO/IEC 27001-27002, que se adaptan a las
actividades específicas de la base de datos. En cada conjunto de preguntas se busca
medir que tan de acuerdo o desacuerdo están los entrevistados con los
planteamientos indicados y con base en ello se determinará el nivel de cumplimiento
de cada categoría.
Para el cálculo del nivel de conformidad asociado a las respuestas de cada una de
las preguntas de la entrevista se ha propuesto la ponderación que se muestra en la
siguiente figura.
Después de obtener el grado de madurez por cada una de las 5 categorías y el valor
asignado a éstas, se calcula el promedio general sumando dichos valores y
dividiendo el total entre el número de categorías, el resultado obtenido es el grado
de madurez general de la organización y se llena en la siguiente ficha.
3.2. ETAPA DE PLANEAR
3.2.1 Descripción
La planeación va en función del nivel de madurez adquirido, una vez que se obtiene
el resultado de la ponderación se realiza la proyección considerando los puntos no
alcanzados para obtener el grado de madurez. Para fines de la metodología se
desarrollan las 5 categorías y en cada una de ellas se menciona de forma general lo
más importante que se debe de cumplir de acuerdo al estándar ISO/IEC 27001-
27002.
A partir de los resultados obtenidos en la primera etapa del modelo ya se conoce el
grado de madurez que tiene la organización en cada una de las 5 categorías
establecidas, de manera que la etapa de planeación deberá abarcar solamente las
tareas de aquellas categorías que aún no alcanzan el grado de madurez óptimo que
corresponden a objetivos de control no satisfechos. Las tareas de planeación se
definen de forma agrupada para cada una de las 5 categorías y son las siguientes:
A) Seguridad
B) Responsabilidades
D) Documentación de Procedimientos
categoría
categoría
Peso
Peso
ANALISIS DE RIESGOS
3.4.2 Conceptos
Criticidad del riesgo
Se debe decidir qué tipo de rango necesita para cada control con el fin de
asegurar la seguridad de la información, teniendo en cuenta que los controles
de carácter preventivo son más eficaces que los correctivos.
3.4.3 Herramientas
3.4.3.1 Listas de Control (check-list)
𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑜𝑐𝑢𝑟𝑟𝑒𝑛𝑐𝑖𝑎𝑠
𝑃𝑜𝑟𝑐𝑒𝑛𝑡𝑢𝑎𝑙 𝑢𝑛𝑖𝑡𝑎𝑟𝑖𝑜 % =
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑜𝑐𝑢𝑟𝑟𝑒𝑛𝑐𝑖𝑎𝑠
EXISTENTE CUMPLE
CONTROLES OBSERVACION
SI NO SI NO
GESTION DE ACTIVOS
01 Inventario de activos Es necesario establecer el
tecnológicos y de procedimiento para la
X X
información. actualización del inventario
actual
02 Responsables de los activos La actualización es necesaria
tecnológicos debido a que es impredecible
X X
saber que pasara con los
responsables
03 Uso aceptable de los Se incluye en el Manual de
X X
activos tecnológicos Políticas del área.
SEGURIDAD FÍSICA Y DEL ENTORNO
01 Controles físicos de No se lleva un control adecuado
X X
entrada. al área de desarrollo.
02 Aseguramiento de oficinas Aplica un acceso a través de
X X
cuartos e instalaciones. personal.
03 Seguridad en el cableado. X X Infraestructura desfasada.
GESTIÓN DE COMUNICACIONES Y OPERACIONES
01 Separación de los No se cuenta con divisiones en
ambientes de desarrollo, X X ambientes de pruebas y
prueba y producción producción.
02 Controles contra código Se cuenta con antivirus y
X X
medidas de control de detección.
03 Controles de la red Está definido el esquema
perimetral con la administración
X X
del firewall a cargo de personal
específico..
04 Gestión de medios Se ha masificado el uso de
removibles unidades externas de
X X
almacenamiento sin controles de
uso.
05 Gestión de destrucción de Solo existe la reutilización de
medios X X máquinas y no hay
procedimientos asociados.
INTERCAMBIO DE LA INFORMACIÓN
01 Medios físicos en transito La información enviada por
correspondencia se encriptan
X X
como buena práctica de
seguridad,
02 Mensajería electrónica La seguridad se configura con
X X las aplicaciones del antivirus y
firewall.
MONITOREO
01 Registros de auditoria Aplicación de auditoria interna y
X X
externa
02 Monitoreo del uso del
X X
sistema Se rigen a políticas
03 Protección de los registros X X implementadas dentro del área,
04 Registros de monitoreo de que validan el alcance a la base
administración y X X de datos.
operadores
05 Registro de fallas X X Intento de erradicarlos
06 Sincronización de relojes Distribución de tareas en todo el
personal, pero un escaso
X X
seguimiento y corrección de
variaciones.
07 Política de control de Políticas establecidas y
X X
acceso administradas
CONTROL DE ACCESO
01 Registros de usuarios Generación de manera
X X
automática
02 Gestión de privilegios Existe la política de control de
X X
acceso.
03 Gestión de contraseñas Tanto la política como el
Acuerdo Individual mencionan
X X
las pautas para la adecuada
gestión de contraseñas.
04 Revisión de los permisos Verificación de privilegios
X X
asignados a los usuarios
05 Diagnostico remoto y Se están documentando guías de
protección de la aseguramiento para
X X
configuración a la red de configuraciones estándar.
trabajo
06 Control de conexión a la El alcance de las políticas
red X X incluye en el caso la
configuración de permisos.
07 Control de enrutamiento Se debería hacer un análisis de
X X
riesgos
3.5.2. Concepto
Se realiza una documentación acerca de los de los accesos almacenados en la
base de datos con el fin de monitorear y tener en constancia de que la
información almacenada esté segura.
3.5.3. Herramientas
Inventario físico: Proceso de identificación y categorización de los recursos de
información. Esto permite elaborar un diagnóstico de los recursos de
información que ofrece una determinada tecnología o sistema.
Mapeo de información: Constituye una forma gráfica de representar los
recursos de información que hay en la organización y la interrelación entre
éstos. Esto permite comprender los flujos, los tipos de interacciones, los
mecanismos de almacenamiento y el modo en que estos se actualizan.
Análisis de las necesidades de información: Tiene como finalidad principal
determinar qué información requieren los usuarios y la entidad–institución–
empresa para alcanzar sus objetivos.
ISO 9001: 2015: trae cambios muy importantes, aunque el más destacado es la
incorporación de la gestión del riesgo o el enfoque basado en riesgos en los
Sistemas de Gestión de la Calidad. Asimismo, un enfoque en una cultura
proactiva de prevención, mejora y protección; y un enfoque en calidad de
productos y servicios. (Escuela Europea de Excelencia, 2019).
Tienen auditorías externas (cada dos años) e internas (cada año) que se
realizan en UDEMSI.
El DBA es el único en acceder a la base de datos en modo administrador, los
demás programadores en modo no privilegiado, pero solo a algunas tablas de
la base de datos.
Dos veces al día se realiza la copia de seguridad de la BD de manera
automática. Dicha copia de seguridad es encriptada.
Las copias de seguridad son almacenadas en disco duro externo, pero está
resguardado en una ubicación que no corresponde al área de UDEMSI.
Cuentan con procedimientos para realizar un backups de base de datos que se
ajusta a la ISO 19001 pero no se contempla todos los parámetros de la ISO.
Migración a un nuevo gestor de base de datos SQL Server porque aparte de
ser un sistema de gestión de bases de datos relacionales (RDBMS) de
Microsoft que está diseñado para el entorno empresarial, tiene ventajas como
escalabilidad, rendimiento, menos vulnerabilidades y herramientas de
BI(business Intelligence) en modo autoservicio.
4. PROBLEMA Y ESTRATEGIAS
Causa Se trabaja con el SGBD ASA v.9.5 que tiene políticas de auditoria
antiguas.
Recomendación:
Se recomienda realizar una migración de SGBD a una herramienta
empresarial más actual y estándar, puesto que las aplicaciones
estándar maduras presentan generalmente una gran cantidad de
controles integrados.
Recomendación: Las pruebas deben realizarse utilizando una base de datos de prueba
y no se trabaja en un entorno de producción, esta buena práctica
debe estar documentada.
Se debe garantizar que el sistema operativo tiene instalados los últimos parches.
CUESTIONARIO
2. Existe algún usuario que no sea el DBA (administrador de base de datos) pero que tenga asignado el rol DBA del
servidor?
SI NO N/A
Observaciones:
3. ¿Se encuentra un administrador de sistemas en el área que lleve un control de los usuarios?
SI NO N/A
Observaciones:
Observaciones:
Observaciones:
________________________________________________________________________________________________
_
7. ¿Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a estructuras, tablas físicas y
lógicas del repositorio?
SI NO N/A
Observaciones:
No, pero si quien ha entrado a que programa cuando, como, si se logueó o no, y que procedimientos utilizó.
8. ¿Posee la base de datos un diseño físico y lógico (estructura de las tablas de la base de datos)?
SI NO N/A
Observaciones:
11. ¿Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren bien hechas?
SI NO N/A
Observaciones:
12. ¿Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio del área?
SI NO N/A
Observaciones:
Está en disco duro externo, pero está resguardado en una ubicación que no corresponde a esta
unidad.
13. ¿En caso de que el equipo principal que contiene la base de datos sufra una avería, existen equipos auxiliares?
SI NO N/A
Observaciones:
SI NO N/A
Observaciones:
Las modificaciones son hechas íntegramente por el
DBA
16. ¿Existe algún plan de contingencia ante alguna situación no deseada en la Base de Datos?
SI NO N/A
Observaciones:
La OTIC elaboro toda esa planificación, para todo lo que es perdida de información, anomalías que ocurren
dentro de un área de tecnología que incluido incendio, desastres naturales. Este documento lo tiene la jefatura.
17. ¿Existen log’s que permitan tener pistas de auditoría sobre las acciones realizadas sobre los objetos de la base de datos?
SI NO N/A
Observaciones:
Sentencias SQL
18. ¿Existe un contrato de confidencialidad en caso que la base de datos sea administrada o puesta en
mantenimiento por terceras partes?
SI NO N/A
Observaciones:
Para evitar fuga de información el DBA es el único con acceso a la DB y existe un compromiso verbal.
20. ¿Estos terceros notifican las acciones realizadas de mantenimiento de hardware y por ende su no disponibilidad de la base de
datos?
SI NO N/A
Observaciones:
21. ¿La comunicación para la restauración de la base de datos se establece de forma escrita?
SI NO N/A
Observaciones:
21) Si ven es cierto dice que nunca se ha tenido una caída grave dentro de la base de datos,
pero en el caso de que exista hay algún plan de contingencia preparado
Exacto si existe
22) ¿Y eso ya lo tienen documentado en informe personales dentro del área?
Eso no corresponde a nosotros, la OTIC tuvo en su momento un personal que correspondía a
seguridad, eran otra área que eran los encargados de elaborar toda esa planificación, para todo
lo que es perdida de información, anomalías que ocurren dentro de un área de tecnología que
incluido incendio, desastres naturales. Este documento lo tiene la jefatura, pero no lo tenemos
nosotros, pero se ha pedido porque es una herramienta que nos sirve para hacer simulacros y
prever en el caso de que suceda.
23) En cuanto a los cambios que se hace en la base de datos, se documentan cuando se hacen
alguna modificación
Si, hasta el año pasado se hacía con un documento físico era un control de actividades así se
llamaba el documento, pero ahora lo hacemos con un sistema llamado helpdesk que
utilizamos internamente ahí se registran , cada vez que algunas de mis compañeras quiere
hacer un update o un insert into en una tabla o hacer una consulta en las tablas , como ellas
no pueden hacerlo simplemente lo solicitan a través del helpdesk al DB y este recibe un aviso
en el sistema helpdesk para ejecutar algo pero lo valida primero y después lo ejecuta , esa es
la rutina.
24) ¿Actualmente han tenido en la base de datos?
Más allá del corte eléctrico que es un problema que no se puede prever, no hemos tenido
problema, pero hay problemas de consistencias en algunas bases de datos cuando alguien
ingresa data, pero en los programas se trata de poner sistemas que no alteren o que involucren
esa alteración en la base de datos, no hemos tenido ninguna caída o mal ingreso de una data
que no corresponde, por ejemplo si es un entero y tú le quiere meter una letra el sistema
primero no debe permitir así de simple y la base de datos se protege así mismo , estamos
hablado de ASA 9.5 pero si tiene protección contra eso , solo te manda un mensaje de error
pero no se cae , no como otras base de datos antiguas que tú le metías una letra y colapsaba ,
corrompía la base de datos , no hemos tenido hasta el momento en nuestra base de datos.
25) ¿A existido alguna fuga de información?
No podemos negar algo que es cierto, si habido fuga de información no por personal antiguo
que ha trabajo aquí, solo que antes no había políticas de seguridad, cuando el siga se crea y
hablo del siga, porque UDEMSI se crea en el 2014, solo era un proyecto desarrollo de
software que estaba siendo desarrollado por 11 programadores en el cual todos tenían acceso
a la base de datos y todos podían acceder de cualquier modo, cuando me pusieron de
coordinador en el 2016 empiezo a separar las cosas y a poner las políticas de seguridad , me
costó porque es hacer un cambio de mentalidad con los que estábamos ,pero fue más fácil
para los nuevos porque solo se le dan las políticas , pero con los chicos antiguos fue más
complicado a que se cambien a las políticas o a la forma de trabajo que teníamos antes , pero
es un cambio a bien porque si todos hubiéramos seguido así , la fuga de información hubiera
continuado , el simple hecho de llevar en mi USB parte de la base de datos es fuga de
información aun así lo utilice para bien o mal, simplemente el hecho de tener los algoritmos
o software que desarrollamos aquí fuera de la universidad es fuga de información ,se está
evitando eso ahora con la no disponibilidad total a la base de datos , el guardado rutinario de
los algoritmos en nuestro sistema , pero es imposible al 100% resguardar toda la información
pero al menos garantizamos que la información correcta se quede con nosotros y ahora si
evitamos la data que es la base de datos , ya no hay fuga de información , talvez por ahí tengan
nuestra estructura de la base de datos pero jamás la data actual que corresponde.
26) ¿Respecto a eso cada cuanto es el tiempo de actualización de las claves para acceder,
existe un control en eso?
Existe un módulo del SIGGA que es el modulo Escalafón, en el cual la unidad escalafonario
de la UNS hace la eliminación o anulación de un usuario cuando ya deja de trabajar en la
universidad, lo que hace el sistema automáticamente es quitarle todos los los privilegios a ese
usuario que fue retirado.
En caso de que un usuario es despedido o ya no trabaje pero maneje una clave aparte como
trabajador, por ejemplo acceso para su computador, debe entregar la clave antes de retirarse
y el jefe de área se encargará de darle el uso correspondiente.
27) Para la seguridad de la base de datos, ¿existe prueba de inyecciones SQL?
Las inyecciones se dan a través de las aplicaciones; no trabajamos SQL en aplicaciones web
pero tratamos de utilizar sentencias JPQL(Java Persistence Query Language) que son netas
de la persistencia. Hasta el momento no hemos observado que algún usuario se haya quejado
de una falla en su sistema como una nota mal colocada, un docente que haya dicho que puso
una nota y luego otra. No garantizamos en un 100% que haya existido inyección porque hay
un montón de formas y no todas se pueden detectar para poder corregirlas.
28) ¿La conexión a la BD está permitida por un firework?
29) ¿Si hay un cambio o limitan algo, es acción se va a una tabla en la base de datos?
No, desde ese punto pero si quien ha entrado a que programa cuando, como, si se logueó o
no, y que procedimientos utilizó, eso sí está en tabla a través del sistema de pasaporte, pero
no directamente un insert into, un delete eso no, sino que procedimiento de que botón eso sí.
Acciones del usuario pero no sentencias, eso ya está en el log de la base de datos.
30) ¿Lo anterior es un tipo de auditoría?
Claro, si para auditoría nos sirve el sistema de pasaporte, cuando nos han pedido registro de
acceso eso está en el pasaporte, cuando nos han pedido procedimientos a la base de datos,
siempre hemos dicho que está en el log de la bd. Y no en una tabla porque sufre vulnerabilidad
pero un log jamás porque no lo pueden así nomas controlar.
31) ¿A pesar que ustedes tienen ya un modelo lógico, se pueden estructurar las tablas?
Dependiendo del programador, en caso lo sugiera la modificación de una tabla se hace, es
decir si existe. Pero debemos recordar que tenemos un sistema integrado, es decir, que la
modificación de una tabla no solo puede afectar a un solo modulo sino a varios módulos; el
sistema de notas por ejemplo puede afectar al alumno al momento de ver sus promedios o al
docente al momento de ingresar su nota.
32) ¿Ese tipo de modificaciones lo evalúa el DBA?
Si los evalúa él.
33) ¿Ha existido problemas en la base de datos que no han podido migrar hasta el momento?
En la base de datos nunca habido tal problema, por eso te digo que la información la tenemos
al 100%.
34) ¿Cuáles han sido los problemas más frecuentes que se le han presentado?
En la base de datos, hemos tenido tablas bloqueadas cuando no se han dado cuenta de que un
sistema estaba siendo concurrente en una tabla y bloqueaba hacia todos los demás usuarios,
error en el tipo de dato como por ejemplo la aplicación no aceptaba decimal o al contrario si
debía aceptar y el usuario no le permitía guardar notas con decimales por ejemplo, pero no
era error del sistema sino que así estaban en los reglamentos pero no fue falla del sistema sino
del usuario que no supo manejar el sistema.
35) ¿En cuanto al plan a de migración lo tienen para el otro año?
Sí, pero sabemos que eso conlleva a cambiar casi todas las estructuras del sistema, tenemos
que eliminar todos los sistemas desktop y pasarnos a todo lo que es java pero el java desktop
en power builder debemos desaparecerlo, es decir queremos dejar power builder porque
estamos en la versión muy antigua la 10.5.
Anexo N° 4: FOTOS