INDICE GENERAL

CAPITULO 1................................................................ ERROR! BOOKMARK NOT DEFINED.

1.1. INTRODUCCION BASE DE DATOS.. ...................................................................................... 1

1.2. INTRODUCCION AUDITORIA BASE DE DATOS ................................................................. 1
1.3. OBJETIVOS ................................................................................................................................ 1
1.4. OBJETIVO GENERAL ............................................................................................................ 1
1.5. OBJETIVO ESPECIFICO......................................................................................................... 1

CAPITULO 2 ..................................................................................................................................... 2
2.1. ¿QUIENES PARTICIPAN EN LA AUDITORIA? ................................................................... 2
2.2. ¿QUE SE BUSCA CON LA ADITORIA DE BASE DE DATOS?........................................... 2
2.3. IMPORTANCIA ....................................................................................................................... 2
2.4. RECOLECCION DE DATOS................................................................................................... 2
2.5. PROPIEDADES ........................................................................................................................ 2
2.6. PLANIFICACION .................................................................................................................... 2

CAPITULO 3 ..................................................................................................................................... 3
3.1. ELEMENTOS A AUDITAR .................................................................................................... 3
3.2. METODOLOGIAS ................................................................................................................... 3
3.3. INSTRUMENTOS DE EVALUACION ................................................................................... 3
3.4. SOFTWARE DE AUDITORIA ................................................................................................ 3
3.5. SEGURIDAD DE BASE DE DATOS ...................................................................................... 4
3.6. ASPECTOS CLAVES .............................................................................................................. 4

CAPITULO 4 ..................................................................................................................................... 5
4.1. CONCLUSIONES ........................................................... ERROR! BOOKMARK NOT DEFINED.
Título: Auditoria de Base de Datos
Autor: Cesar Quisbert, José Luis Mamani, Gustavo Flores

AUDITORIA DE BASE DE DATOS

CAPÍTULO 1.
1.1. INTRODUCCION BASE DE DATOS.

Las bases de datos, como es bien sabido, se componen de conjuntos de datos y están
caracterizadas por una serie de rasgos, como la independencia e integridad de los datos, las
consultas complejas, respaldo y recuperación, redundancia mínima o, entre otros, la seguridad de
acceso.

1.2. INTRODUCCION AUDITORIA BASE DE DATOS.

La auditoría de base de datos permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la información almacenada en las bases de datos.

1.3. OBJETIVOS.

1.4. OBJETIVO GENERAL.

Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas

relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el
objetivo de:

 Mitigar los riesgos asociados con el manejo inadecuado de los datos.

 Apoyar el cumplimiento regulatorio.
 Satisfacer los requerimientos de los auditores.
 Evitar acciones criminales.
 Evitar multas por incumplimiento.

1.5. OBJETIVO ESPECIFICOS.

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la
información almacenada en las bases de datos.

 Quién accede a los datos.

 Cuándo se accedió a los datos.
 Desde qué tipo de dispositivo/aplicación.
 Desde que ubicación en la Red
 Cuál fue la sentencia SQL ejecutada.
 Cuál fue el efecto del acceso a la base de datos.

Asignatura: Auditoria de Sistemas

Carrera: Ingeniería de Sistemas
1
Título: Auditoria de Base de Datos
Autor: Cesar Quisbert, José Luis Mamani, Gustavo Flores

CAPÍTULO 2.

2.1. ¿QUIENES PARTICIPAN EN LA AUDITORIA?

 Auditores de Sistemas
 Tecnología de información
 Cumplimiento corporativo
 Riesgo corporativo.
 Seguridad corporativa

2.2. ¿QUE SE BUSCA CON LA AUDITORIA DE BASE DE DATOS?

 Monitorear y registrar el uso de los datos por los usuarios

 Mantener trazas y el uso del acceso a la base de datos
 Permitir investigaciones
 Generar alertas en tiempo real

2.3. IMPORTANCIA.

La importancia radica en que es el punto de partida para poder realizar la auditoria de las
aplicaciones que utilice la institución.

 Demostrar integridad de dicha información

 Mitigar riesgos asociados a perdida de información
 Resguardar información confidencial

2.4. RECOLECCION DE LOS DATOS.

La recolección de los datos para llevar a cabo las auditorias se realiza mediante diferentes
escenarios:

 Sentencias SQL: Registros de los intentos de conexión con la base de datos.

 Privilegios: Recopila las operaciones que se han efectuado sobre la base de datos y los
usuarios.

2.5. PROPIEDADES.

 Revisión de permisos de cada usuario fichero del sistema con el objetivo de detectar
fallas de seguridad.
 Una auditoria completa no es un conjunto estricto de validaciones a realizar, sino que
evoluciona según los riesgos detectados.
 Consume mucho tiempo es una tarea ardua y no garantiza siempre que se tenga un
sistema 100% limpio.

Asignatura: Auditoria de Sistemas

Carrera: Ingeniería de Sistemas
2
Título: Auditoria de Base de Datos
Autor: Cesar Quisbert, José Luis Mamani, Gustavo Flores
2.6. PLANIFICACION.

Los pasos que se deben llevar a cabo para realizar una auditoria de base de datos son:

 Identificación de todas las BD de la organización.

 Clasificar os niveles de riesgos de los datos de las BD.
 Analizar los permisos de acceso de los usuarios.
 Analizar los controles de accesos existentes.
 Establecer los modelos de auditoria a utilizar.
 Establecer las pruebas a realizar para cada BD aplicación y/o usuario.

Asignatura: Auditoria de Sistemas

Carrera: Ingeniería de Sistemas
3
Título: Auditoria de Base de Datos
Autor: Cesar Quisbert, José Luis Mamani, Gustavo Flores

Asignatura: Auditoria de Sistemas

Carrera: Ingeniería de Sistemas
4
Título: Auditoria de Base de Datos
Autor: Cesar Quisbert, José Luis Mamani, Gustavo Flores

CAPÍTULO 3.

3.1. ELEMENTOS A AUDITAR.

Generalmente durante la auditoria se monitorea el comportamiento de:

 Los accesos a data sensible.
 Las modificaciones a esquemas.
 Cambios en los datos.
 Excepciones de seguridad y modificaciones de cuentas.

3.2. METODOLOGIAS.

Existen distintas metodologías que se aplican a la auditoria de informática se agrupar en dos:

 Check-list. Una metodología tradicional basa en riesgo vs control vs costo. El auditor

revisa o audita los controles con la ayuda de una lista de control que consta de una serie
de preguntas o cuestiones a verificar esta consiste en identificar la existencia de unos
controles establecidos

 Evaluación de riesgos. Se debe comenzar por fijar los objetivos de control que
minimizan los riesgos potenciales como ser:

- La dependencia por la concentración de datos.

- Impacto de errores externos en datos y programas.
- Impacto por acceso no autorizado a los datos

3.3. INSTRUMENTOS DE EVALUACION.

 Investigación preliminar: Obtener el inventario de recursos y la información relevante

para apoyar el examen que el equipo de auditoria realizara:
a) Conocimiento del negocio y del sistema.
b) Información sobre la empresa y su objeto social sobre sus políticas y normas.
 Definir grupos de riesgos:
a) Escenarios de riesgo sistema de base de datos.
b) Agrupación.
 Evaluación del estado de control existente (Checklist):
a) Problemas por seguridad en instalaciones y acceso físico.
b) Riesgos relacionados con el acceso lógico y la privacidad a la base de datos.
c) Riesgos asociados a las aplicaciones y utilitarios.

3.4. SOFTWARE DE AUDITORIA.

 Software de auditoria. Son paquetes que pueden emplearse para facilitar la labor del
auditor en cuanto a la extracción de datos de la BD, el seguimiento de las transacciones,
Asignatura: Auditoria de Sistemas
Carrera: Ingeniería de Sistemas
5
Título: Auditoria de Base de Datos
Autor: Cesar Quisbert, José Luis Mamani, Gustavo Flores
datos de prueba, etc. Hay también productos que permiten cuadrar datos de diferentes
entornos permitiendo realizar una verdadera “auditoria de datos”.
 Sistema de Monitorización y Ajuste (tunnig). Este sistema complementa las facilidades
ofrecidas por el propio SMBD ofreciendo mayor información para optimizar el sistema.
 Protocolos y Sistemas Distribuidos. Cada ves se esta accediendo a la base de datos a
través de redes con lo que el riesgo de la violación de la confidencialidad e integridad se
acentúan. También las bases de datos distribuidas pueden presentar graves riesgos de
seguridad, se debe controlar la distribución de los datos a través de una función de
administración de datos que establezca estándares generales para esta distribución
 Paquetes de Seguridad. Existen varios productos que permiten la implantación efectiva
de una política de seguridad puesto que centralizan el control de accesos. Un
inconveniente de este tipo de software es que a veces no se encuentra bien integrada con
el SMBD pudiendo resultar poco útil su implantación si los usuarios pueden “saltarse”
los controles a través del propio SMBD.

3.5. REGULACIONES PARA GARANTIZAR LA SEGURIDAD DE BD.

Para garantizar la seguridad de las bases de datos se requiere ciertas medidas:

 Autentificación de quienes acceden a la información en la BD
 Garantizar el uso de cuentas individuales
 Confidencialidad de la información
 Restricciones del uso de cuentas privilegiadas
 Cifrado de la información

3.6. ASPECTOS CLAVES.

 No se debe comprometer el desempeño de las bases de datos:

- Soportar diferentes esquemas de auditoría.
- Se debe tomar en cuenta el tamaño de las bases de datos a auditar y los posibles
SLA establecidos.

 Segregación de funciones:
- El sistema de auditoría de base de datos no puede ser administrado por los DBA
del área de IT.

 Proveer valor a la operación del negocio:

- Información para auditoría y seguridad.
- Información para apoyar la toma de decisiones de la organización.
- Información para mejorar el desempeño de la organización.

 Auditoría completa y extensiva:

- Cubrir gran cantidad de manejadores de bases de datos.
- Estandarizar los reportes y reglas de auditoría.

Asignatura: Auditoria de Sistemas

Carrera: Ingeniería de Sistemas
6
Título: Auditoria de Base de Datos
Autor: Cesar Quisbert, José Luis Mamani, Gustavo Flores

CAPÍTULO 4.

CONCLUSIONES.

Si bien el trabajo abordo acerca de la auditoria de base de datos esta nos ayuda a
determinar de donde proviene la información permitiéndonos la disminución de los robos
y fraudes todo esto se debe a que gracias a esta auditoria realizada tenemos mayor
seguridad de la información

Asignatura: Auditoria de Sistemas

Carrera: Ingeniería de Sistemas
7