Date post: | 21-Jun-2015 |
Category: |
Documents |
Upload: | carmelo-branimir-espana-villegas |
View: | 320 times |
Download: | 2 times |
LOGO
Auditoría de Bases de Datos
Auditoria Informática
Tema 7
Docente: Carmelo España V. E-mail: [email protected]
LOGO
INTRODUCCION
DATOS como recursos
fundamentales de
la empresa
CONTROL INTERNO
y AUDITORÍA
cada día cobran mayor
interés
difusión de los
DBMS o SGBD
LOGO
Importancia de la Auditoría del entorno de Bases de Datos
• La Auditoría de Bases de Datos es el punto de partida para poder realizar la
Auditoría de las Aplicaciones que utilizan esta tecnología
La Auditoría Informática se aplica de dos formas distintas
• Auditoría de las principales áreas del Departamento de Informática:
explotación, dirección, metodología del desarrollo, sistema operativo,
telecomunicaciones, bases de datos, etc.
• Auditoría de las Aplicaciones: desarrolladas, subcontratadas o adquiridas.
LOGO
METODOLOGIAS PARA LA AUDITORIA
DE BASES DE DATOS
I. Metodología Tradicional
• Revisión del entorno con la ayuda de una lista de control (check list),
consistente en una serie de cuestiones (preguntas). Por ejemplo:
¿Existe una metodología de diseño de Base de Datos? S N NA
• Suele ser aplicada a la auditoría de productos de productos bases de
datos, especificándose en la lista de control todos los aspectos a tener en
cuenta
Aunque existen distintas metodologías que se aplican en auditoria informática
(prácticamente cada firma de auditores y cada empresa desarrolla la suya
propia), se pueden agrupar en dos clases:
(S es si, N no y NA no aplicable),
LOGO
II. Metodología de Evaluación de Riesgos
Conocida también por risk oriented approach, es la que propone ISACA. Empieza
fijando los objetivos de control que minimizan los riesgos potenciales a los que está
sometido el entorno. A continuación, una lista de los riesgos más importantes según 2
autores:
1. Incremento de la dependencia del servicio informático debido a la concentración de datos
2. Mayores posibilidades de acceso en la figura del administrador de la base de datos
3. Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general
de la instalación
4. Mayor impacto de errores en datos o programas que en los sistemas tradicionales
5. Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación
6. Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un
fichero tradicional
7. Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas
relacionadas con el software de base de datos (administrador, programadores, etc)
Riesgos debidos a la utilización de una base de datos: (Touriño y Fernández, 1991)
LOGO
Considerando estos riesgos, se podría definir primero:
1. Objetivo de Control
El SGBD deberá preservar la confidencialidad de la base de datos
2. Técnicas de Control
Un objetivo de control puede tener asociadas varias técnicas que permitan
cubrirlo en su totalidad.
• Técnicas preventivas: establecer tipos de usuarios, perfiles y privilegios
necesarios para controlar el acceso a la base de datos
• Técnicas detectivas: como monitorizar los accesos a la base de datos
• Técnicas correctivas: back-up
LOGO
3. Prueba de Cumplimiento Permiten verificar la consistencia de las técnicas de
control
Listar los privilegios y perfiles existentes en el SGBD
Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles
no existen, se pasa a diseñar otro tipo de pruebas (denominadas pruebas
sustantivas), que permiten dimensionar el impacto de estas deficiencias
4. Prueba Sustantiva
Comprobar si la información ha sido corrompida, comparándola con otra fuente, o
revisando, los documentos de entrada de datos y las transacciones que se han
ejecutado
Considerando estos riesgos, se podría definir primero:
LOGO
• Una vez valorados los resultados de las pruebas se obtienen unas
conclusiones que serán comentadas y discutidas con los responsables
directos de las áreas afectadas con el fin de corroborar los resultados. Por
último el auditor deberá emitir una serie de comentarios donde se describa
la situación, el riesgo existente y la deficiencia a solucionar, y, en su caso,
sugerirá la posible solución.
• Como resultado de la auditoría se presentara un informe final en el que se
expongan las conclusiones más importantes a las que se ha llegado, así
como el alcance que ha tenido la auditoría
• Esta será la técnica a utilizar para auditar el entorno general de un sistema
de base de datos, tanto en su desarrollo como en su fase de explotación.
LOGO
OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE
UNA BASE DE DATOS
Ciclo de vida de una base de datos
I. ESTUDIO PREVIO Y
PLAN DE TRABAJO
II. CONCEPCION DE LA BD
Y SELECCIÓN DEL
EQUIPO
III. DISEÑO Y CARGA
IV. EXPLOTACION Y
MANTENIMIENTO
V. REVISION
POST-IMPLEMENTACION
F
O
R
M
A
C
I
O
N
D
O
C
U
M
E
N
T
A
C
I
O
N
C
A
L
I
D
A
D
LOGO
I. Estudio Previo y Plan de Trabajo
En esta primera fase, es muy importante elaborar un estudio tecnológico
de viabilidad en el cual se contemplen distintas alternativas para alcanzar
los objetivos del proyecto acompañados de un análisis de costo-
beneficio para cada una de las opciones.
Se debe considerar entre estas alternativas la posibilidad de no llevar a
cabo el proyecto (no siempre está justificada la implementación de un
sistema de base de datos) así como la disyuntiva entre desarrollar y
comprar (en la práctica, a veces encontramos con que se ha desarrollado
una aplicación que ya existía en mercados, cuya compra hubiese
supuesto un riesgo menor, asegurándonos incluso una
mayor cantidad a un precio inferior).
LOGO
Sin embargo, en bastantes empresas este estudio de viabilidad no se lleva
a cabo con el rigor necesario, con lo que a medida que se van
desarrollando, los sistemas demuestran ser poco rentables. El auditor debe
comprobar también que la alta dirección revisa los informes de los estudios
de viabilidad y que es la que decide seguir adelante o no con el proyecto.
Esto es fundamental porque los técnicos que han de tener en cuenta que si
no existe una decidida voluntad de la organización en su conjunto, impulsada
por los directivos, aumenta considerablemente el riesgo de fracasar en la
implementación de sistema.
I. Estudio Previo y Plan de Trabajo
LOGO
En caso de que se decida llevar a cabo el proyecto es fundamental que
se establezca un plan director, debiendo el auditor verificar que
efectivamente dicho plan se emplea para el seguimiento y gestión del
proyecto y que cumple con los procedimientos generales de gestión de
proyectos que tengan aprobados la organización. Otro aspecto importante
en esta fase es la aprobación de la estructura orgánica del proyecto en
particular, sino también de la unidad que tendrá la responsabilidad de la
gestión y control de la base de datos; recordemos que, para que un
entorno de base de datos funcione debidamente, esta unidad es
imprescindible.
I. Estudio Previo y Plan de Trabajo
LOGO
• Estudio Tecnológico de Viabilidad.
El Auditor debe comprobar que la alta dirección revise la
información de viabilidad
• Establecer un plan director
• El Cobit enfatiza en la importancia de una gestión de riesgo
El auditor debe verificar que este plan se cumpla para el
seguimiento y gestión, y que cumpla con el procedimiento
general de gestión de proyecto de la empresa
• Aprobación de Estructura Orgánica (del Proyecto, Unidad
encargada de Gestión y Control BD).
• Se establecen dos objetivos de control.(MENKUS)
En resumen, el Estudio previo y Plan de Trabajo debe tomar en cuenta:
I. Estudio Previo y Plan de Trabajo
LOGO
• Personal de desarrollo de sistemas y de explotación.
• Hay que tener en cuenta la separación de Funciones. Se
recomienda esta entre:
• Explotación y control de datos.
• Administración de BD y Desarrollo.
Es difícil de verificar para el auditor la separación de funciones cuando no
existe una descripción detallada de los puestos de trabajo.
• En caso no se logre. Se deberán establecer controles
compensatorios o alternativos.
I. Estudio Previo y Plan de Trabajo
LOGO
Tareas del administrador de datos:
Realizar el diseño conceptual y lógico de la base de datos
Apoyar al personal de sistemas durante el desarrollo de aplicaciones
Formar al personal
Establecer estándares de diseño de la BD de desarrollo y contenido
del diccionario de datos
Desarrollar políticas de gestión de datos
Desarrollar planes estratégicos y tácticos para la manipulación de los
datos
Desarrollar los requisitos de los elementos del diccionario de datos
Desarrollar normas para la denominación
I. Estudio Previo y Plan de Trabajo
LOGO
Tareas del administrador de datos:
Controlar la integridad y seguridad de los datos
Planificar la evolución de la bd de la empresa
Identificar oportunidades de compartición de datos
Trabajar con los auditores en la auditoria de la base de d.
Proporcionar controles de seguridad
Realizar el diseño físico de la b.d.
Asesorar en la adquisición de hw y sw
Soportar el SGBD
Resolver problemas del SGBD y del software asociado
Monitorizar el rendimiento del SGBD
I. Estudio Previo y Plan de Trabajo
LOGO
Tareas del administrador de datos:
Ayudar en el desarrollo de planes que aseguren la capacidad hw.
Asegurar la integridad de los datos, comprobando que se implantan los
controles adecuados
Asegurar la seguridad y confidencialidad
Proporcionar facilidades de prueba
Integrar paquetes, procedimientos, utilidades, etc.
Desarrollar estándares, procedimientos y documentarlos
I. Estudio Previo y Plan de Trabajo
LOGO
II. Concepción de la Base de Datos y selección del
equipo.
• En esta fase se empieza a diseñar la Base de Datos, por que se
debe utilizar la metodologías y técnicas.
• La Metodologías deberías utilizarse para: Documento fuente, los
mecanismos de control, características de seguridad, y las pistas
de auditorias
• El Cobit dedica un apartado a la definición de la arquitectura de la
información, que contempla 4 objetivos.
• El auditor debe de verificar la metodología utilizada y la correcta
aplicación (Diseño Conceptual, lógico, físico).
• Modelo de arquitectura de Información.
• Datos y diccionarios de Datos.
• Esquema de clasificación de datos.
• Niveles de seguridad para cada anterior clasificación
de datos.
LOGO
• Para la selección de equipos en el caso que no tuviera, se debe
realizar bajo un procedimiento riguroso, en las que se
consideren: las necesidades de la empresa, los SGBD, y el
impacto que el nuevo software tiene en el sistema y en su
seguridad.
II. Concepción de la Base de Datos y selección del
equipo.
LOGO
- Se lleva a cabo los diseños lógico y físico de la base de datos
el auditor tendrá que examinar si estos diseños se han realizado
correctamente.
- El auditor tendrá que tomar una muestra de ciertos elementos
(tablas, vistas, índices ) y comprobar que su definición es completa.
- Planificar claramente las migraciones de un tipo de SGBD a otra,
para evitar pérdida de información.
- Establecer un conjunto de controles sobre la entrada manual de
datos, que aseguren su integridad.
- Es aconsejable que los procedimientos y el diseño de los
documentos fuentes minimicen los errores y las omisiones.
III. Diseño y Carga
LOGO
- En esta fase se debe comprobar que se establecen los
procedimientos de explotación y mantenimiento que
aseguren que los datos se tratan de forma congruente y
exacta y que el contenido de los sistemas solo se modifica
mediante la autorización adecuada.
IV. Explotación y mantenimiento
LOGO
- Clasificación de los objetivos de control para la gestión de
datos, ISACA. (1996).
IV. Explotación y mantenimiento
- Procedimiento de preparación de datos.
- Procedimientos de autorización de documentos fuentes
- Recogida de datos de documentos fuente.
- Manejo de errores de documentos fuente
- Retención de documentos fuente
- Procedimientos de autorización de datos
- Integridad del procesamiento de datos
- Edición y validación del procesamiento de datos
- Manejo de errores de procesamiento de datos
- Retención y manejo de salidas ....
LOGO
- Se debería establecer el desarrollo de un plan para efectuar
una revisión post-implantación de todo sistema nuevo o
modificado con el fin de evaluar si:
- Se han conseguido los resultados esperados
- Se satisfacen las necesidades de los usuarios.
- Los costes y beneficios coinciden con los previstos.
V. Revisión post-implantación
LOGO
- Se deberá controlar la informacion que precisan tanto
usuarios informativos(administrador, analista,
programadores) como no informáticos, ya que la formación
es una de las claves para minimizar el riesgo en la
implantación de una base de datos.
- Hay que tener en cuenta que usuarios poco formados
constituyen uno de los peligros mas importantes de un
sistema.
- Además el auditor tendrá que revisar la documentación que
se produce a lo largo de todo el proceso.
Otros procesos auxiliares
LOGO
Entorno de una base de datos
AUDITORIA Y CONTROL INTERNO EN UN
ENTORNO DE BASES DE DATOS
-Deberán considerarse los datos compartidos por múltiples usuarios.
Esto debe abarcar todos los componentes del entorno de Bd.
LOGO
COMPONENTES DEL SGBD
1. Nucleo Kernel: es el catalogo (componente fundamental para
asegurar la seguridad de las base de datos.
2. Utilidad:
3. Crear usuario
4. Conceder privilegio
5. resolver otras cuestiones relativas a la confidencialidad.
6. Las que se encargan de la recuperación de la BD:
7. Rearranque
8. Copia de respaldo
9. Fichero diario (log).
LOGO
- Entre sus componentes podemos destacar, el Kernel, el
catálogo (componente fundamental para asegurar la
seguridad de la base de datos), las utilidad para el
administrador ( crear usuarios, conceder privilegios ) y
resolver otras cuestiones relativas a la confidencialidad.
- En cuanto a las funciones de auditoría que ofrece el propio
sistema, prácticamente todos los productos del mercado
permiten registrar la mayoría de las operaciones.
- El requisito para la auditoria es que la causa y el efecto de
todos los cambios de la base de datos sean veriificables
Sistemas de Gestion de Base de Datos.
(SGBD)
LOGO
1. SOFTWARE DE AUDITORÍA
Son paquetes que pueden emplearse para facilitar la labor del
auditor en cuanto a la extracción de datos de la base , el
seguimiento de las transacciones , datos de prueba etc.
Hay productos muy interesantes que permiten cuadrar datos de
diferentes entornos permitiendo realizar una verdadera auditoria de
datos.
LOGO
2. SISTEMA DE MONITORIZACIÓN Y AJUSTE (tuning)
Este tipo de sistemas complementan las facilidades ofrecidas por el
propio SGBD, ofreciendo mayor información para optimizar el
sistema llegando a ser en ciertas ocasiones verdaderos
sistemas expertos que proporcionan la estructura óptima de la
base de datos y de ciertos parámetros del SGBD y SO.
La optimización de la base de dato es fundamental, puesto que si
actúa en un entorno concurrente puede degradarse fácilmente el
nivel del servicio que haya podido establecer con los usuarios.
LOGO
El sistema operativo es una pieza clave del entorno puesto que el
SGBD se apoyará en mayor o menor medida en los servicios que le
ofrezca; el S.O en cuanto a control de memoria , gestión de áreas de
almacenamiento intermedio (buffers) manejo de errores, control de
confidencialidad, mecanismo de interbloqueo Etc.
Desafortunadamente, el auditor informático tiene serias
dificultades para controlar de manera rigurosa la interfaz entre el
SGBD y el SO , debido a que, en parte, constituye información
reservada del fabricante de los productos, además de requerir nos
conocimientos excepcionales que entran en el campo de la
técnica de sistemas.
3. SISTEMA OPERATIVO (S.O)
LOGO
4. MONITOR DE TRANSACCIONES
Algunos autores lo incluyen dentro del propio
SGBD, pero actualmente puede considerarse un
elemento mas del entorno con responsabilidad de
confidencialidad y rendimiento.
LOGO
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
Cinco objetivos de control a la hora de revisar la distribución de datos :
1. El sistema de proceso distribuido debe tener en función de administración
de datos centralizada, que establezca estándares generales para la
distribución de datos a través de aplicaciones.
2. -Deben establecerse unas funciones de administración de datos y de base
de datos fuertes, para que puedan controlar la distribución de los datos.
3. -Deben de existir pistas de auditoría para todas las actividades realizadas
por la aplicaciones contra sus propias bases de datos y otras compartidas.
4. -Deben existir controles software para prevenir interferencias de
actualización sobre las bases de datos en sistemas distribuidos.
5. -Deben realizarse las consideraciones adecuadas de costes
y beneficios en el diseño de entornos distribuidos.
LOGO
PAQUETES DE SEGURIDAD
Existe en el mercado varios productos que permiten la
implantación efectiva de una política de seguridad, puesto que
centraliza el control de acceso, la definición de privilegios, perfiles
de usuario, etc.
Un grave inconveniente de este tipo de software es que a veces
no se encuentra bien integrado con el SGBD pudiendo resultar
poco útil su implantación si los usuarios pueden saltarse los
controles a través del propio SGBD.
LOGO
Juegan un papel primordial en el entorno de los SGBD en cuanto a la
integración de componentes y al cumplimiento de la seguridad de datos.
Los diccionarios de datos se pueden auditar de manera análoga a las
bases de datos, ya que, después de todo, son bases de datos de
metadatos
Un fallo en la BD puede atentar contra la integridad de los datos y producir
un mayor riesgo financiero, mientras que un fallo en un diccionario (o
repositorios), suele llevar consigo un perdida de integridad de los procesos;
siendo más peligrosos los fallos en los diccionarios puesto que pueden
introducir errores de forma repetitiva a lo largo del tiempo y son mas
difíciles de detectar.
Diccionario de Datos
LOGO
Son elementos a considerar en el entrono del SGBD. De los objetivos de control para los L4G, destacan los siguientes:
• El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados.
• Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatización y petición que los proyectos de desarrollo convencionales.
• Las aplicaciones desarrolladas con L4G deben sacar
ventajas de las características incluidas en el mismo.
• Constituyen una herramienta clave para que el auditor pueda revisar el diseño
de la DB, comprobar si se ha empleado correctamente la metodología y
asegurar un nivel mínimo de calidad.
Herramientas CASE (Compuer Aided System/Software
Engineering). IPSE (Integrated Project Support
Environments)
Lenguajes de Generación de Cuarta generación (L4G) independientes
LOGO
Uno de los peligros más graves de los L4G es que no se aplican controles
con el mismo rigor que a los programas desarrollados con lenguajes de
tercera generación.
Otros problemas pueden ser la ineficacia y elevado consumo de recursos
El Auditor deberá estudiar los controles disponibles el los L4G, en caso
negativo, recomendar su construcción con lenguajes de tercera generación.
LOGO
El auditor deberá investigar las medidas de seguridad que ofrecen estas
herramientas (Interfaz gráfica de usuario) y bajo que condiciones han sido
instaladas; las herramientas de este tipo deberían proteger a los usuarios
de sus propios errores.
Objetivos de control:
• La documentación de las aplicaciones desarrollada por usuarios finales
debe ser suficiente para que tanto sus usuarios principales como
cualquier otro pueda operar y mantenerlas.
• Los cambios de estas aplicaciones requieren la aprobación
de la dirección y deben documentarse de forma
completa.
Facilidades de Usuario
LOGO
Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de
calidad integrados en el almacén de datos
Se deberá controlar la política de refresco y carga de los datos en el
almacén a partir de las bases de datos operacionales existentes, así como
la existencia de mecanismos de retroalimentación que modifican las bases
de datos operacionales a partir de los datos del almacén.
Herramientas de Minería de Datos
El auditor deberá controlar que las aplicaciones no atentan contra la
integridad de los datos de la base.
Aplicaciones
LOGO
Existen muchos elementos del entorno del SGDB que influyen el la
seguridad e integridad de los datos, en los que cada uno de apoya en la
operación correcta y predecidle de otra.
El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo
la fiabilidad e introduciendo un conjunto de controles descoordinados y
solapados, difíciles de gestionar ”.
Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear,
entre otras, dos técnicas de control:
1. Matrices de Control
2. Análisis de los Caminos de Acceso
TÉCNICAS PARA EL CONTROL DE BASE DE DATOS
EN UN ENTORNO COMPLEJO
LOGO
Sirven para identificar los conjuntos de datos del SI juntos con los
controles de seguridad o integridad implementados sobre los mismos.
DATOS
CONTROLES DE SEGURIDAD
PREVENTIVOS DETECTIVOS CORRECTIVOS
TRANSACCIONES
DE ENTRADA
Verificación Informe de
Reconciliación
REGISTRO DE
BASE DE DATOS
Cifrado Informe de
excepción
Copia de
seguridad
Los controles se clasifican como se puede observar en detectivos,
preventivos y correctivos
1. Matrices de Control
LOGO
Con esta técnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan y los controles asociados
2. Análisis de los Caminos de Acceso
DATOS
MONITOR
DE
MULTIPROCESO
PAQUETE
DE
SEGURIDAD
PROGRAMA SGBD S O
ORDENADOR CENTRAL
USUARIO
ORDENADOR
PERSONAL
Control de Acceso
* Cifrado
* Control de Integridad
Control de Acceso
* Registro de
Transacciones
Copias de Seguridad
Fichero diario de Integridad
de Datos
Controles Diversos
Seguridad
Cifrado
Formación
* Controles
* Procedimientos
Control de Acceso
* Registro de Acceso
* Informe de
Excepciones
Control de Acceso
* Control de Integridad
De datos
Análisis de los caminos de acceso
LOGO
Debido a la complejidad de la tecnología de bases de datos y al
extraordinario crecimiento del entorno del SGBD “la tecnología de bases
de datos ha afectado a afectado al papel del auditor interno más que a
cualquier otro individuo. Se ha convertido en extremo difícil auditar
alrededor del computador”, por lo que se requiere personal especializado
(auditores externos).
Antes de empezar una revisión de control interno, el auditor debe
examinar el entorno en el que opera el SGBD.
Las consideraciones de auditoría deberían incluirse en las distintas fases
del ciclo de vida de una base de datos
Aparición de nuevos riesgos de interés para el auditor (como por ejemplo,
en el área de seguridad) con la aparición de nuevos tipos de bases de
datos (como las activas, las orientadas a objetos, temporales,
multimedia, multidimensionales, etc.), y la creciente distribución
de los datos (bases de datos federadas, multibases de
datos, web, base de datos móviles, etc.).
CONCLUSIONES
LOGO
Es previsible que los SGBD aumenten el número de mecanismos de
control y seguridad, operando de forma más integrada con el resto de
componentes. Para ello es fundamental el desarrollo e implementación de
estándares y marcos de referencia como los propuestos por el ISO y el
OMG (CORBA), que faciliten unas interfases claramente definidas entre
componentes del SI.
Los sistemas aumentan su complejidad y alcance con mayor rapidez que
los procedimientos y técnicas para controlarlos
Es importante destacar la importancia cada día mayor de una disciplina
más amplia que la de bases de datos: la de Gestión de Recursos de
Información (IRM), que nace con la vocación integradora necesaria para
convertir los datos en el activo más importante de las empresas; lo
que lleva consigo que las medida de control y auditoría pasen a un primer
plano dentro de las actividades de las empresas.
CONCLUSIONES