Documente Academic
Documente Profesional
Documente Cultură
BASE DE DATOS
INTENGRANTES
Balladares Romero
Madriz Torrez
Martínez Gómez
Payan Duarte
AUDITORIA DE BASE DE
DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y
registrar los accesos a la información almacenada en las bases de
datos incluyendo la capacidad de determinar:
Controles en aplicaciones
Que existen procedimientos para la descripción y cambios de datos, así como para el
mantenimiento del diccionario de dalos.
En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control
(checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:
¿Existe una metodología de diseño de BD? S N NA
Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de datos,
especificándose en la lista de control todos los aspectos a tener en cuenta. Así, por ejemplo, si el
auditor se enfrenta a un entorno Oracle 8, en la lista de control se recogerán los parámetros de
instalación que más riesgos comportan, señalando cuál es su rango adecuado. De esta manera, si
el auditor no cuenta con la asistencia de un experto en el producto, puede comprobar por lo
menos los aspectos más importantes de su instalación.
METODOLOGÍA ROA (RISK ORIENTED APPROACH)
El análisis de riesgos es la consideración del daño probable que puede causar en el negocio
un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de
confidencialidad, integridad y disponibilidad de la información.
Fija los objetivos de control que minimizan los riesgos potenciales a los que esta sometido
el entrono.
Considerando los riesgos de:
Accesos a objetos
Por ejemplo, se pueden registrar todos los intentos de actualizar los datos de una tabla o sólo los
intentos fallidos, también se pueden registrar todos los inicios de sesión en Oracle o sólo los
intentos fallidos.
Objetivo de Control
El SGBD deberá preservar la confidencialidad de la base
de datos.
Una vez valorados los resultados de las pruebas se obtienen unas conclusiones que
serán comentadas y discutidas con los responsables directos de las áreas afectadas
con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie
de comentarios donde se describa la situación, el riesgo existente y la deficiencia a
solucionar, y, en su caso, sugerirá la posible solución.
Como resultado de la auditoría, se presentará un informe
final en el que o expongan las conclusiones más importantes
a las que se ha llegado, así como el alcance que ha tenido la
auditoría.
En este ejemplo perdemos la información del monto anterior. El programa espía sólo
graba la sentencia, pero no el valor, esto puede traer consecuencias no deseadas en el
departamento de cuentas por cobrar.
Control en la fuente
Los pasos 1 y 3 se lograrían si cuenta con los privilegios o derechos necesarios para conectarse o
desconectarse; para el paso 2 el usuario debe tener privilegios de acceso a la tabla de clientes, y la
posibilidad de hacer una modificación. Basándonos en esta secuencia de pasos establecemos el primer
tipo de auditoría, y la llamamos auditoría de actividades de los usuarios.
El segundo tipo de auditoría está inmersa en el paso 2. ¿Qué ocurrió realmente cuando cambió el dato,
qué valores quedaron?, ¿qué valores había?, en otras palabras, ¿qué cambios produjo la transacción? Los
controles que establezcamos para conocer lo que realmente ocurrió los llamaremos auditoría de
transacciones.
Auditoría de actividades
El primer tipo de auditoría lo llamamos auditoría de actividades, que
consiste en controlar las actividades que realizan los usuarios en los
objetos de la base de datos y entenderemos como objetos todas las tablas,
vistas, restricciones de integridad que los usuarios crean en la base de
datos.