UNIVERSIDAD TECNOLÓGICA NACIONAL

Facultad Regional Córdoba

Ingeniería en Sistemas de Información

Curso: 5k2
Profesor: Ing. Antonelli Matterson
JTP: Ing. Spesso

Cátedra: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

AUDITORÍA DE

BASES DE DATOS

Grupo Nº: Leg.

Loza, Patricia A. 41393
Cargnelutti, Pablo R. 45990
Sosa Agüero, Paula 33432

Córdoba, Mayo de 2008

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Índice:

Introducción ...............................................................................................3
La Auditoría de BD es importante porque ......................................................4
¿Qué es la Auditoría de BD? .........................................................................4
Objetivos Generales de la Auditoría de BD.....................................................4
Aspectos Claves ..........................................................................................5
Mediante la auditoría de bases de datos se evaluará ......................................5
Metodologías para la auditoría de Base de Datos ...........................................6
Planificación de la Auditoria de BD................................................................6
Metadatos .......................................................................................................... 7
Consideraciones Generales......................................................................... 12
Objetivos de Control en el ciclo de vida de una Base de Datos ...................... 12
Estudio previo y Plan de Trabajo ................................................................ 12
Concepción de la Base de Datos y Selección del Equipo................................ 14
Diseño y Carga ......................................................................................... 15
Explotación y Mantenimiento...................................................................... 15
Revisión post-implantación......................................................................... 16
Sistema de Gestión de Base de Datos SGBD ................................................ 17

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 2

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Introducción

Las bases de datos son el activo más importante para las organizaciones, ya que
poseen toda la información de la empresa, datos confidenciales que en manos ajenas
puede ser muy riesgoso. Por ello se deben controlar aspectos cruciales en la
seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y
también denegarlos. Con la auditoría de bases de datos se busca monitorear y
garantizar que la información está segura, además de brindar ayuda a la organización
para detectar posibles puntos débiles y así tomar precauciones para resguardar aún
más los datos.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 3

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

¿Qué es la Auditoría de BD?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la información almacenada en las bases de datos incluyendo la capacidad
de determinar:

– Quién accede a los datos

– Cuándo se accedió a los datos
– Desde qué tipo de dispositivo/aplicación
– Desde que ubicación en la Red
– Cuál fue la sentencia SQL ejecutada
– Cuál fue el efecto del acceso a la base de datos

Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT

por la organización frente a las regulaciones y su entorno de negocios o actividad.

Objetivos Generales de la Auditoría de BD

Disponer de mecanismos que permitan tener trazas de auditoría completas y

automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad
de generar alertas con el objetivo de:

– Mitigar los riesgos asociados con el manejo inadecuado de los datos

– Apoyar el cumplimiento regulatorio.
– Satisfacer los requerimientos de los auditores
– Evitar acciones criminales
– Evitar multas por incumplimiento

La importancia de la auditoría del entorno de bases de datos radica en que es el

punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta
tecnología.

La Auditoría de BD es importante porque:

– Toda la información financiera de la organización reside en bases de datos y deben

existir controles relacionados con el acceso a las mismas.
– Se debe poder demostrar la integridad de la información almacenada en las bases
de datos.
– Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la
fuga de información.
– La información confidencial de los clientes, son responsabilidad de las
organizaciones.
– Los datos convertidos en información a través de bases de datos y procesos de
negocios representan el negocio.
– Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos.
Deben monitorearse perfectamente a fin de conocer quién o qué les hizo
exactamente qué, cuándo y cómo.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 4

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Términos similares a Auditoría de Base de Datos

– Auditoría de Datos
– Monitoreo de Datos

La auditoría de la bases de datos se realiza en base a una metodología. Dicha

metodología deriva de un marco de buenas prácticas en seguridad de base de datos
aplicado sobre la documentación de la versión de la base de datos auditada.

Mediante la auditoría de bases de datos se evaluará:

– Definición de estructuras físicas y lógicas de las bases de datos

– Control de carga y mantenimiento de las bases de datos

– Integridad de los datos y protección de accesos

– Estándares para análisis y programación en el uso de bases de datos

– Procedimientos de respaldo y de recuperación de datos.

Aspectos Claves

• No se debe comprometer el desempeño de las bases de datos

– Soportar diferentes esquemas de auditoría

– Se debe tomar en cuenta el tamaño de las bases de
– datos a auditar y los posibles SLA establecidos

• Segregación de funciones

– El sistema de auditoría de base de datos no puede ser administrado por los

DBA del área de IT

• Proveer valor a la operación del negocio

– Información para auditoría y seguridad

– Información para apoyar la toma de decisiones de la organización
– Información para mejorar el desempeño de la organización

• Auditoría completa y extensiva

– Cubrir gran cantidad de manejadores de bases de datos

– Estandarizar los reportes y reglas de auditoría

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 5

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Planificación de la Auditoria de BD

1. Identificar todas las bases de datos de la organización

2. Clasificar los niveles de riesgo de los datos en las bases de datos
3. Analizar los permisos de acceso
4. Analizar los controles existentes de acceso a las bases de datos
5. Establecer los modelos de auditoría de BD a utilizar
6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario

Metodologías para la auditoría de Base de Datos

- Metodología Tradicional

El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que
consta de una serie de cuestiones a verificar, registrando los resultados de su
investigación. En esta investigación se confecciona una lista de control de todos los
aspectos a tener en cuenta.

- Metodología de evaluación de riesgos

Este tipo de metodología, conocida también por Risk oriented approach es la que
propone la ISACA y empieza fijando los objetivos de control que minimizan los
riesgos potenciales a los que está sometido el entorno.

Considerando los riesgos de:

o Dependencia por la concentración de Datos

o Accesos no restringidos en la figura del DBA
o Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el
general de instalación
o Impactos de los errores en Datos y programas
o Rupturas de enlaces o cadenas por fallos del softw.
o Impactos por accesos no autorizados
o Dependencias de las personas con alto conocimiento técnico

Se pueden definir los siguientes Controles:

Objetivo de control: el SGBD deberá preservar la confidencialidad de la BD

Técnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el

control de acceso a la base datos

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 6

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Metadatos:

Modelos de datos:
Un modelo de datos define las reglas generales para la especificación de la estructura
de los datos y el conjunto de operaciones permitidas sobre ellos.

Estructuras:
conjunto de conceptos que permiten representar las características estáticas de los
datos. Las estructuras se pueden especificar de dos maneras:
Representación de los datos e interrelaciones entre ellos: descripción de empleado,
departamento e interrelación.
Restricciones sobre los datos: ningún empleado cobra más que su jefe.

Metadatos:
Metadatos (del griego µετα, meta, «encima de» y latín datum, «lo que se da»,
«dato»), literalmente «sobre datos», son datos que describen otros datos, metadatos
son «datos sobre datos».
Otro concepto que algunos autores siguen es, que los metadatos son datos
estructurados y codificadas que describen características de instancias (objetos)
conteniendo informaciones para ayudar a identificar, descubrir, valorar y administrar
las instancias descritas.
Los metadatos pueden describir colecciones de objetos y también los procesos en los
que están involucrados, describiendo cada uno de los eventos, sus componentes y
cada una de las restricciones que se les aplican.
Por ejemplo, una fotografía en la boda de un amigo con nuestra cámara digital. La
fotografía, una vez guardada en el disco duro de nuestro ordenador, es el dato. Si nos
fijamos en las propiedades, hay toda una colección de datos asociados a la fotografía:
el nombre, la fecha, el formato, el propietario,… (y algunos de ellos ya son añadidos
automáticamente por nuestra cámara). Ese tipo de información son metadatos. Es
decir, información sobre un objeto que le proporcionan un valor añadido.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 7

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Beneficios de los metadatos:

Los metadatos adhieren contenido, contexto y estructura a los objetos de
información, asistiendo de esta forma al proceso de recuperación de
conocimiento desde colecciones de objetos.

Los metadatos permiten generar distintos puntos de vista conceptuales

para sus usuarios o sistemas, y liberan a estos últimos de tener conocimientos
avanzados sobre la existencia o características del objeto que describen.

Los metadatos permiten el intercambio de la información sin la necesidad

de que implique el intercambio de los propios recursos.

En cada proceso productivo, o en cada etapa del ciclo de vida de un objeto de

información, se van generando metadatos para describirlos y metadatos para
describir dichos metadatos (manual o automáticamente), generando de esta
forma valor añadido a los recursos.

Los metadatos permiten preservar los objetos de información permitiendo

migrar (gracias a la información estructural) sucesivamente éstos, para su
posible uso por parte de las futuras generaciones.

Clasificación:

Contenido. Subdividir metadatos por su contenido es lo más común. Se puede

separar los metadatos que describen el recurso mismo de los que describen el
contenido del recurso. Es posible subdividir estos dos grupos más veces, por ejemplo
para separar los metadatos que describen el sentido del contenido de los que
describen la estructura del contenido o los que describen el recurso mismo de los que
describen el ciclo vital del recurso.

Variabilidad. Según la variabilidad se puede distinguir metadatos mutables (volátiles)

y inmutables (No volátiles). Los inmutables no cambian. Los mutables difieren de
parte a parte, por ejemplo el contenido de un vídeo.

Función. Los datos pueden ser parte de una de las tres capas de funciones:
subsimbólicos, simbólicos o lógicos. Estos no contienen información sobre su
significado. Los simbólicos describen datos subsimbólicos, es decir añaden sentido.
Los datos lógicos describen cómo los datos simbólicos pueden ser usados para
deducir conclusiones lógicas, es decir añaden comprensión.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 8

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Ciclo de vida:

El ciclo de vida de los metadatos comprende las fases creación, manipulación y

destrucción.

Creación
Se pueden crear metadatos manualmente, semi automáticamente o
automáticamente. El proceso manual puede ser muy laborioso, dependiente del
formato usado y del volumen deseado, hasta un grado en el que los seres humanos
no puedan superarlo. Por eso, el desarrollo de utillaje semiautomático o automático
es más que deseable.
En la producción automática el software adquiere las informaciones que necesita sin
ayuda externa. Aunque el desarrollo de algoritmos tan avanzados está siendo objeto
de investigación actualmente, no es probable que la computadora vaya a ser capaz
de extraer todos los metadatos automáticamente. En vez de ello, se considera la
producción semiautomática más realista; aquí un servidor humano sostiene
algoritmos autónomos con la aclaración de inseguridades o la proposición de
informaciones que el software no puede extraer sin ayuda.

Manipulación
Si los datos cambian, los metadatos tienen que cambiar también. Aquí se hace la
pregunta quien va a adaptar los metadatos. Hay modificaciones que pueden ser
manejadas sencilla y automáticamente, pero hay otras donde la intervención de un
servidor humano es indispensable.
La meta producción, el reciclaje de partes de recursos para crear otros recursos,
demanda atención particular. La fusión de los metadatos afiliados no es trivial,
especialmente si se trata de información con relevancia jurídica, como por ejemplo la
gestión de derechos digitales.

Destrucción
En algunos casos es conveniente eliminar los metadatos juntos con sus recursos, en
otros es razonable conservar los metadatos, por ejemplo para supervisar cambios en
un documento de texto.

Almacenamiento
Hay dos posibilidades para almacenar metadatos: depositarlos internamente, en el
mismo documento que los datos, o depositarlos externamente, en su mismo recurso.
Inicialmente, los metadatos se almacenaban internamente para facilitar la
administración.
Hoy, por lo general, se considera mejor opción la localización externa porque hace
posible la concentración de metadatos para optimizar operaciones de busca. Por
contra, existe el problema de cómo se liga un recurso con sus metadatos. La mayoría
de los estándares usa URIs, la técnica de localizar documentos en la World Wide
Web, pero este método propone otras preguntas, por ejemplo qué hacer con
documentos que no tienen URI.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 9

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Codificación
Los primeros y más simples formatos de los metadatos usaron texto no cifrado o la
codificación binaria para almacenar metadatos en ficheros.
Hoy, es común codificar metadatos usando XML. Así, son legibles tanto por seres
humanos como por computadoras. Además este lenguaje tiene muchas
características a su favor, por ejemplo es muy simple integrarlo en la World Wide
Web. Pero también hay inconvenientes: los datos necesitan más espacio de memoria
que en formato binario y no está claro cómo convertir la estructura de árbol en un
corriente de datos.
Por eso, muchos estándares incluyen utilidades para convertir XML en codificación
binaria y viceversa, de forma que se aúnen las ventajas de los dos.
Vocabularios controlados y ontologías
Para garantizar la uniformidad y la compatibilidad de los metadatos, muchos sugieren
el uso de un vocabulario controlado fijando los términos de un campo.

Crítica sobre los metadatos:

Algunos expertos critican fuertemente el uso de metadatos. Sus argumentos más
sustanciosos son:
Los metadatos son costosos y necesitan demasiado tiempo. Las empresas no van a
producir metadatos porque no hay demanda y los usuarios privados no van a invertir
tanto tiempo.
Los metadatos son demasiado complicados. La gente no acepta los estándares
porque no los comprende y no quiere aprenderlos.
Los metadatos dependen del punto de vista y del contexto. No hay dos personas que
añadan los mismos metadatos. Además, los mismos datos pueden ser interpretados
de manera totalmente diferente, dependiendo del contexto. Los metadatos son
ilimitados. Es posible adherir más y más metadatos útiles y no hay fin.
Los metadatos son superfluos. Ya hay buscadores potentes para textos, y en el futuro
la técnica query by example («busqueda basada en un ejemplo») va a mejorarse,
tanto para localizar imágenes como para música y vídeo.
Algunos estándares de metadatos están disponibles pero no se aplican: los críticos lo
consideran una prueba de las carencias del concepto de metadatos. Hay que anotar
que este efecto también puede ser causado por insuficiente compatibilidad de los
formatos o por la enorme diversidad que amedrenta a las empresas. Fuera de eso
hay formatos de metadatos muy populares.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 10

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Monitorización

o Registros de auditoría
o Revisión de uso de sistemas
o Protección de logs
o Logs de administradores y operadores
o Logs de fallo del sistema
o Sincronización de relojes

Control de Acceso

o Requerimientos del negocio para el control de accesos

o Política de control de accesos
o Gestión de accesos de usuario
o Registro de usuarios
o Gestión de privilegios
o Gestión de contraseñas de usuario
o Revisión de los derechos de acceso de los usuarios
o Responsabilidades de los usuarios
o Uso de contraseñas
o Equipamiento informático de usuario desatendido
o Política de pantallas y mesas limpias
o Política de uso de los servicios de red
o Identificación de equipos en la red
o Protección a puertos de diagnóstico remoto y configuración
o Control de conexión a las redes
o Control de enrutamiento en red

Si existen los controles sobre la BD se pueden diseñar pruebas de cumplimiento que

permitan verificar la consistencia de los mismos.

Prueba de Cumplimiento: listar privilegios y perfiles existentes en el SGBD

Si estas pruebas detectan inconsistencias en los controles, se diseñan otros tipos de
pruebas denominadas pruebas sustantivas.

Prueba sustantiva: Comprobar si la información ha sido corrompida comparándola

con otra fuente, o revisando, los documentos de entrada de datos y las
transacciones que se han ejecutado. Se valoran los resultados obteniéndose
conclusiones que serán comentadas y discutidas con los responsables directos
del área con el fin de comprobar resultados. En estos comentarios se describe la
situación, el riesgo existente y la deficiencia a soluciones aportando en su caso la
posible solución.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 11

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Consideraciones Generales

• Se deben tomar en cuenta todas las capas de acceso a la información

• Se debe tener importante atención en los accesos de los usuarios con privilegios de
acceso
• Se debe tratar de tener información contextual para determinar como se creo la
violación al control
• Se deben tener reglas de auditoría uniformes a través de todas las bases de datos y
sistema
• Se deben segregar las funciones entre los auditores y los usuarios con privilegios de
acceso

Objetivos de Control en el ciclo de vida de una Base de Datos

F ESTUDIO PREVIO Y D C
O PLAN DE TRABAJO O A
R C L
M U I
A CONCEPCION DE LA BD Y M D
SELECCIÓN DEL EQUIPO
C E A
I N D
O T
N DISEÑO Y CARGA A
C
I
O
EXPLOTACION Y
MANTENIMIENTO N

REVISION
POST-IMPLEMENTACION

Estudio previo y Plan de Trabajo

En esta primera fase, se elaborara un estudio tecnológico de la viabilidad, donde se

contemplaran distintas alternativas para alcanzar los objetivos del proyecto
acompañados de un análisis coste-beneficio para cada una de las opciones. Se debe
considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no
siempre está justificada la implantación de un sistema de bases de datos).

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 12

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Se debe comprobar que la alta dirección revisa los informes de los estudios de
viabilidad ya que es la que decide seguir adelante o no con el proyecto. Esto es
fundamental porque los técnicos han de tener en cuenta que si no existe una decidida
voluntad de la organización en un conjunto, impulsada por los directivos, aumenta
considerablemente el riesgo de fracasar en la implantación del sistema.

Si se decide llevar a cabo el proyecto es fundamental que se establezca un plan

director, debiendo el auditor verificar que éste plan se emplea para el seguimiento y
gestión del proyecto y que cumple con los procedimientos generales de gestión del
proyecto y que tenga aprobados la organización. Se debe establecer en esta fase de
aprobación la estructura orgánica del proyecto y de la unidad que gestionará el
control de la BD.

Se pueden establecer acerca de este tema dos objetivos de control

Asignación de responsabilidades para la planificación, organización, dotación de

plantillas y control de los activos de datos de la organización (DA)

Algunas tareas son:

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 13

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Asignación de la responsabilidad de administración de la Base de Datos (DBA)

En resumen, el DBA se encarga de autorizar el acceso a la base de datos, de

coordinar y vigilar su empleo, y de adquirir los recursos necesarios de software y
hardware. El DBA es la persona responsable cuando surgen problemas como
violaciones a la seguridad o una respuesta lenta del sistema.

Cuando se establecen las responsabilidades de estas funciones hay que tener en

cuenta uno de los principios fundamentales del control interno: la separación de
funciones. Se recomienda una separación de funciones entre:

- El personal de desarrollo de sistemas y el de explotación.

- Explotación y control de datos.
- Administración de bases de datos y desarrollo.

Concepción de la Base de Datos y Selección del Equipo

La metodología de desarrollo de diseño de Base de Datos debería también emplearse

para
especificar los documentos fuentes, los mecanismos de control, las características de
seguridad y las pistas de auditoría a incluir en el sistema, estos últimos aspectos
generalmente se descuidan, lo que produce mayores costes y problemas cuando se
quieren incorporar una vez concluida la implementación de la base de datos y la
programación de las aplicaciones.

El auditor debe analizar la metodología de diseño para determinar si es no aceptable,

y luego comprobar su correcta utilización. Como mínimo una metodología de diseño
de BD debería contemplar dos fases de diseño: lógico y físico. COBIT dedica
importancia a la definición, de la arquitectura de la información, que contempla cuatro
objetivos de control relativos a:

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 14

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

- Modelo de arquitectura de información, y su actualización, que es necesaria para

mantener el modelo consistente con las necesidades de los usuarios y con el plan
estratégico de tecnología de la información.
- Datos y diccionario de datos corporativo.
- Esquema de clasificación de datos en cuanto a su seguridad.
- Niveles de seguridad

Respecto de la selección de equipos se deberá realizar un procedimiento en que se

consideren:

- necesidades de la empresa (ponderadas)

- prestaciones que ofrecen los distintos SGBD candidatos
- impacto del software en cuanto a medidas de seguridad

Diseño y Carga

Se examinan si los diseños se han realizados correctamente, verificando la estructura

y las relaciones entre los datos, se controlan también las especificaciones de
almacenamiento de datos, la seguridad de los mismos. El auditor tendrá que tomar
una muestra de ciertos elementos (tablas, vistas, índices) y comprobar que su
definición es completa, que ha sido aprobada por el usuario y que el administrador
de la base de datos participó en su establecimiento.

Aprobado el diseño de datos se procede a la carga ya sea manualmente, por

migración o con soporte técnico, esto merece especial atención ya que existen
riesgos de pérdida de información por lo que deberá estar correctamente planificada
la carga de la Base de datos. Se realizan pruebas paralelas, que atienden a los
criterios establecidos por la alta gerencia, y se establecen controles que aseguren la
integridad de los mismos. Se busca minimizar los errores en la carga y de es especial
tratamiento a estas entradas erróneas.

Explotación y Mantenimiento

Pasadas las pruebas de Aceptación se establecen los procedimientos de explotación y

mantenimiento de la BD asegurando la congruencia y exactitud en la aplicación de
estos procedimientos, modificándose solo cuando sea necesario y previa autorización.

COBIT establece que el auditor debe llevar a cabo una auditoria sobre el rendimiento
del sistema de BD verificando además de los ajustes y optimización en el rediseño
lógico y físico, el correcto funcionamiento del SO.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 15

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Clasificación de los Objetivos de Control para la gestión de Datos ISACA

Revisión post-implantación

Se debería establecer el desarrollo de un plan para efectuar una revisión post-

implantación de todo sistema nuevo o modificado con el fin de evaluar si:
- Se han conseguido los resultados esperados.
- Se satisfacen las necesidades de los usuarios.
- Los costes y beneficios coinciden con lo previsto

Otros procesos Auxiliares

Capacitar y formar a todo el personal no solo en el producto que se instala como BD

sino también sobre todo el contexto que hace al SGBD.

El auditor tendrá que revisar la documentación que se produce a lo largo de todo el

proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por
la metodología adoptada en la empresa.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 16

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

ADITORÍA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS

Cuando el auditor, se encuentra en el sistema en explotación, deberá estudiar el

SGBD y su entorno. Como se señala en Menkus (1991Deberían considerarse el
control, la integridad y la seguridad de los datos compartidos por múltiples usuarios.

Entorno de BD

SISTEMA DE GESTION DE BASE DE DATOS SGBD

Entre los componentes del SGBD podemos destacar el núcleo _.El Kernel_, el catálogo
(componente fundamental para asegurar la seguridad de la base de datos), las
utilidades para el administrador de la base de datos (entre la que se pueden encontrar
algunas para crear usuario, conceder privilegios y resolver otras cuestiones relativas a
la confidencialidad); las que se encargan de la recuperación de la BD: rearranque,
copias de respaldo, ficheros diarios _Log_, etc. Y algunas funciones de auditoría, así
como los lenguajes de la cuarta generación (L4G) que incorpora el propio SGBD.
Se deberán auditar las ayudas y procedimientos propios del SGBD evaluando su
completitud.

Tipos de Software

Software de Auditoría
Software que ayudan a la extracción de datos, seguimientos de transacciones, datos
de prueba etc. Algunos pueden ser propios del SGBD, y/o paquetes desarrollados
propios de la organización o comprados por ejemplo: RSA The Security Division of
EMC

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 17

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Sistema de monitorización y Ajustes

Ofrecen mayor información para optimizar el sistema, pudiendo ser en determinadas
ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la
base de datos y de ciertos parámetros del SGBD y del SO.

Sistema Operativo

El SO es de suma importancia ya que el SGBD se apoyará en él, en mayor o menor

medida (según se trate de un SGBD dependiente o independiente) en los servicios
que le ofrezca; eso en cuanto a control de memoria, gestión de áreas de
almacenamiento intermedio (Buffers), manejo de errores, control de confidencialidad,
mecanismo de interbloqueo, etc.

Control de Transacciones

Es un elemento más del entorno del SGBD con responsabilidades de confidencialidad

y rendimiento. Existen controles de (además de los antes mencionados):
Control de accesos al sistema operativo
Procedimientos de log-on seguro
Identificación y autenticación de los usuarios
Sistema de gestión de contraseñas
Utilización de utilidades del sistema
Timeout de sesiones
Limitación del tiempo de conexión
Control de acceso a la información y aplicaciones
Restricción de acceso a la información
Aislamiento de sistemas sensibles

Protocolos y Sistemas Distribuidos

Algunos objetivos de control a la hora de revisar la distribución de datos

– El sistema de proceso distribuido debe tener en función de administración de datos

centralizada, que establezca estándares generales para la distribución de datos a
través de aplicaciones.
– -Deben establecerse unas funciones de administración de datos y de base de datos
fuertes, para que puedan controlar la distribución de los datos.
– -Deben de existir pistas de auditoría para todas las actividades realizadas por las
aplicaciones contra sus propias bases de datos y otras compartidas.
– -Deben existir controles software para prevenir interferencias de actualización
sobre las bases de datos en sistemas distribuidos.
– -Deben realizarse las consideraciones adecuadas de costes y beneficios en el
diseño de entornos distribuidos.

Paquetes de Seguridad

Existen en el mercado varios productos que permiten la implantación

Efectiva de de una política de seguridad, puesto que centralizan el
Control de accesos, la definición de privilegios, perfiles de usuarios etc.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 18

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Diccionario de Datos
• Juegan un papel primordial en el entorno de los SGBD en cuanto a la
integración de componentes y al cumplimiento de la seguridad de datos.

• Los diccionarios de datos se pueden auditar de manera análoga a las bases de

datos, ya que, después de todo, son bases de datos de metadatos.

• Un fallo en la BD puede atentar contra la integridad de los datos y producir

un mayor riesgo financiero, mientras que un fallo en un diccionario (o
repositorios), suele llevar consigo un perdida de integridad de los procesos;
siendo más peligrosos los fallos en los diccionarios puesto que pueden
introducir errores de forma repetitiva a lo largo del tiempo y son mas difíciles
de detectar.

Herramientas CASE (Compuer Aided System/Software Engineering).

IPSE (Integrated Project Support Environments)

• Constituyen una herramienta clave para que el auditor pueda revisar el diseño
de la DB, comprobar si se ha empleado correctamente la metodología y
asegurar un nivel mínimo de calidad.

Lenguajes de Generación de Cuarta generación (L4G) independientes

Son elementos a considerar en el entrono del SGBD

De los objetivos de control para los L4G, destacan los siguientes:

– El L4G debe ser capaz de operar en el entorno de proceso de datos con controles
adecuados.

– Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de
automatización y petición que los proyectos de desarrollo convencionales.

– Las aplicaciones desarrolladas con L4G deben sacar ventajas de las características
incluidas en el mismo.
– Uno de los peligros más graves de los L4G es que no se aplican controles con el
mismo rigor que a los programas desarrollados con lenguajes de tercera
generación.

– Otros problemas pueden ser la ineficacia y elevado consumo de recursos

– El Auditor deberá estudiar los controles disponibles el los L4G, en caso negativo,
recomendar su construcción con lenguajes de tercera generación.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 19

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Facilidades de Usuario

• El auditor deberá investigar las medidas de seguridad que ofrecen estas

herramientas (Interfaz gráfica de usuario) y bajo que condiciones han sido
instaladas; las herramientas de este tipo deberían proteger a los usuarios de
sus propios errores.

Herramientas de Minería de Datos

• Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de

calidad integrados en el almacén de datos

• Se deberá controlar la política de refresco y carga de los datos en el almacén a

partir de las bases de datos operacionales existentes, así como la existencia de
mecanismos de retroalimentación que modifican las bases de datos
operacionales a partir de los datos del almacén.

Aplicaciones

El auditor deberá controlar que las aplicaciones no atentan contra la integridad de los
datos de la base.

Técnicas para el Control de Base de Datos en un entorno complejo

• Existen muchos elementos del entorno del SGDB que influyen el la seguridad e
integridad de los datos, en los que cada uno de apoya en la operación correcta
y predecidle de otra.

• El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo la

fiabilidad e introduciendo un conjunto de controles descoordinados y
solapados, difíciles de gestionar”.

Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear, entre otras,
dos técnicas de control:

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 20

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Matrices de Control

Sirven para identificar los conjuntos de datos del SI juntos con los controles de
seguridad o integridad implementados sobre los mismos.

CONTROLES DE SEGURIDAD

DATOS
PREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONES Informe de
Verificación
DE ENTRADA Reconciliación
REGISTRO DE Informe de Copia de
Cifrado
BASE DE DATOS excepción seguridad

Los controles se clasifican como se puede observar en detectivos, preventivos y

correctivos

Análisis de los Caminos de Acceso

Con esta técnica se documentan el flujo, almacenamiento y procesamiento de los

datos en todas las fases por las que pasan desde el mismo momento en que se
introducen, identificando los componentes del sistema que atraviesan (tanto Hw como
Sw) y los controles asociados

ORDENADOR
PERSONAL ORDENADOR

MONITOR PAQUET PROGRA SGB SO

DE E MA D DA
MULTIPROC DE TO

USUARIO Control de Acceso Control de Acceso Controles

* Registro de * Control de Integridad
Seguridad Transacciones De datos
Cifrado
Control de Acceso
Formación Control de Acceso * Registro de Acceso Copias de Seguridad
* Controles * Cifrado * Informe de Excepciones Fichero diario de Integridad de
* Procedimientos * Control de Integridad Datos

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 21

 UNIVERSIDAD TECNOLÓGICA NACIONAL – AUDITORÍA SI/TI MAYO 2008

Glosario de Términos

Base de datos: Es un conjunto de datos relacionados entre sí. Por datos

entendemos hechos conocidos que pueden registrarse y que tienen un significado
implícito.

Sistema de gestión de bases de datos (SGBD): Es un conjunto de programas que

permite a los usuarios crear y mantener una base de datos.

Diccionario de Datos o Repositorio de una aplicación, proyecto, etc. Consiste

en una Base de Datos o Catálogo de los propios datos de la aplicación a la que
pertenece. Por tanto guarda información imprescindible para el funcionamiento de
dicha aplicación y para su uso, o en el caso de un proyecto para el desarrollo del
mismo, de ésta forma damos la importancia que se merece al Repositorio y así en los
objetivos destacaremos los aspectos fundamentales de la seguridad.

Cargnelutti, Pablo R. – Loza, Patricia A.– Sosa Agüero, Paula 22