PREGUNTAS PARA AUDITAR DE BASE DE DATOS

1. Quin accede a los datos? 2. 3. Cundo se accedi a los datos? Desde qu tipo de dispositivo/aplicacin?

4. Desde qu ubicacin en la Red? 5. Cul fue la sentencia SQL ejecutada?

6. Cul fue el efecto del acceso a la base de datos? 7. Existir Certificacin del programa? 8. Tipo de lenguaje y base de datos (versin de los dos)? 9. Tipo de licenciamiento del lenguaje y BD? 10. 4.- Ao de creacin y modificaciones hasta la fecha? 11. 5.- servidores que interactan con el sistema?

12. 6.- se realiza algn tipo de Backus de estos datos almacenados? 13. 7.- Existe eficiencia de los controles sobre seguridades fsicas y lgicas de los datos? 14. 8.- existencia de controles dirigidos a que todos los datos enviados a proceso estn autorizados?

CONCEPTO Qu es la Auditora de BD? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las base de datos incluyendo la capacidad de determinar:

Es uno de los procesos fundamentales para apoyar la responsabilidad Delegada a IT por la organizacin frente a las regulaciones y su entorno de Negocios o actividad. Quines participan en la Auditora de Base de Datos? Auditores de Sistemas Tecnologa de Informacin Cumplimiento Corporativo Riesgo Corporativo Seguridad Corporativa Trminos similares a Auditora de Base de Datos Auditora de Datos Monitoreo de Datos

OBJETIVOS PRINCIPALES

Los esfuerzos en seguridad de base de datos

Normalmente estn orientados a:

 Impedir el acceso externo Impedir el acceso interno a usuarios no autorizados Autorizar el acceso slo a los usuarios autorizados Con la auditora de BD se busca: Monitorear y registrar el uso de los datos por los usuarios

Autorizados o no Mantener trazas de uso y del acceso a bases de datos Permitir investigaciones General alertas en tiempo real

La mayora de las nuevas regulaciones federales estn relacionadas Con los datos de las organizaciones, estn o no relacionadas Directamente con la confidencialidad

SOX (Controles internos y responsabilizacin por estados Financieros) Gramm Leach Bliley O GLBA (Confidencialidad informacin) FDA-21CFR11 (Actividad en las bases de datos) - PCI (Informacin confidencial tarjetas de crdito)

INSTRUMENTOS DE EVALUACION
1. Investigacin Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la informacin relevante para apoyar el examen que el equipo de Auditora realizara. El resultado de esta recopilacin se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditora. a. Conocimiento del negocio y del Sistema. Informacin sobre la empresa y su objeto social, sobre sus polticas y normas. Adems toda la informacin referente al Sistema de Bases de Datos.

2. Definir grupos de riesgos a. Escenarios de Riesgo Sistema de Bases de Datos. b. Agrupacin. 3. Evaluacin del estado de control existente (checklist). a. Problemas por seguridad en instalaciones y acceso fsico. b. Riesgos relacionados con el acceso lgico y la privacidad a las bases de datos. c. Causado por la relacin Sistema Operativo - DBMS. d. Riesgos asociados a las aplicaciones y utilitarios. EJEMPLO DE APLICACION - Bancos : Manejar la informacion bancaria de cada cliente y sus datos Personales - Toda empresa que conste con un Sistema de Base de Datos de su Planilla y colaboradores (Recurso Humanos). - Colegios y Universidades.