LOGO

Auditoría de Bases de Datos

Auditoria Informática

Tema 7

Docente: Carmelo España V. E-mail: carmelobranimir@gmail.com

LOGO

INTRODUCCION

DATOS como recursos

fundamentales de

la empresa

CONTROL INTERNO

y AUDITORÍA

cada día cobran mayor

interés

difusión de los

DBMS o SGBD

LOGO

Importancia de la Auditoría del entorno de Bases de Datos

• La Auditoría de Bases de Datos es el punto de partida para poder realizar la

Auditoría de las Aplicaciones que utilizan esta tecnología

La Auditoría Informática se aplica de dos formas distintas

• Auditoría de las principales áreas del Departamento de Informática:

explotación, dirección, metodología del desarrollo, sistema operativo,

telecomunicaciones, bases de datos, etc.

• Auditoría de las Aplicaciones: desarrolladas, subcontratadas o adquiridas.

LOGO

METODOLOGIAS PARA LA AUDITORIA

DE BASES DE DATOS

I. Metodología Tradicional

• Revisión del entorno con la ayuda de una lista de control (check list),

consistente en una serie de cuestiones (preguntas). Por ejemplo:

¿Existe una metodología de diseño de Base de Datos? S N NA

• Suele ser aplicada a la auditoría de productos de productos bases de

datos, especificándose en la lista de control todos los aspectos a tener en

cuenta

Aunque existen distintas metodologías que se aplican en auditoria informática

(prácticamente cada firma de auditores y cada empresa desarrolla la suya

propia), se pueden agrupar en dos clases:

(S es si, N no y NA no aplicable),

LOGO

II. Metodología de Evaluación de Riesgos

Conocida también por risk oriented approach, es la que propone ISACA. Empieza

fijando los objetivos de control que minimizan los riesgos potenciales a los que está

sometido el entorno. A continuación, una lista de los riesgos más importantes según 2

autores:

1. Incremento de la dependencia del servicio informático debido a la concentración de datos

2. Mayores posibilidades de acceso en la figura del administrador de la base de datos

3. Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general

de la instalación

4. Mayor impacto de errores en datos o programas que en los sistemas tradicionales

5. Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación

6. Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un

fichero tradicional

7. Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas

relacionadas con el software de base de datos (administrador, programadores, etc)

Riesgos debidos a la utilización de una base de datos: (Touriño y Fernández, 1991)

LOGO

Considerando estos riesgos, se podría definir primero:

1. Objetivo de Control

El SGBD deberá preservar la confidencialidad de la base de datos

2. Técnicas de Control

Un objetivo de control puede tener asociadas varias técnicas que permitan

cubrirlo en su totalidad.

• Técnicas preventivas: establecer tipos de usuarios, perfiles y privilegios

necesarios para controlar el acceso a la base de datos

• Técnicas detectivas: como monitorizar los accesos a la base de datos

• Técnicas correctivas: back-up

LOGO

3. Prueba de Cumplimiento Permiten verificar la consistencia de las técnicas de

control

Listar los privilegios y perfiles existentes en el SGBD

Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles

no existen, se pasa a diseñar otro tipo de pruebas (denominadas pruebas

sustantivas), que permiten dimensionar el impacto de estas deficiencias

4. Prueba Sustantiva

Comprobar si la información ha sido corrompida, comparándola con otra fuente, o

revisando, los documentos de entrada de datos y las transacciones que se han

ejecutado

Considerando estos riesgos, se podría definir primero:

LOGO

• Una vez valorados los resultados de las pruebas se obtienen unas

conclusiones que serán comentadas y discutidas con los responsables

directos de las áreas afectadas con el fin de corroborar los resultados. Por

último el auditor deberá emitir una serie de comentarios donde se describa

la situación, el riesgo existente y la deficiencia a solucionar, y, en su caso,

sugerirá la posible solución.

• Como resultado de la auditoría se presentara un informe final en el que se

expongan las conclusiones más importantes a las que se ha llegado, así

como el alcance que ha tenido la auditoría

• Esta será la técnica a utilizar para auditar el entorno general de un sistema

de base de datos, tanto en su desarrollo como en su fase de explotación.

LOGO

OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE

UNA BASE DE DATOS

Ciclo de vida de una base de datos

I. ESTUDIO PREVIO Y

PLAN DE TRABAJO

II. CONCEPCION DE LA BD

Y SELECCIÓN DEL

EQUIPO

III. DISEÑO Y CARGA

IV. EXPLOTACION Y

MANTENIMIENTO

V. REVISION

POST-IMPLEMENTACION

F

O

R

M

A

C

I

O

N

D

O

C

U

M

E

N

T

A

C

I

O

N

C

A

L

I

D

A

D

LOGO

I. Estudio Previo y Plan de Trabajo

En esta primera fase, es muy importante elaborar un estudio tecnológico

de viabilidad en el cual se contemplen distintas alternativas para alcanzar

los objetivos del proyecto acompañados de un análisis de costo-

beneficio para cada una de las opciones.

Se debe considerar entre estas alternativas la posibilidad de no llevar a

cabo el proyecto (no siempre está justificada la implementación de un

sistema de base de datos) así como la disyuntiva entre desarrollar y

comprar (en la práctica, a veces encontramos con que se ha desarrollado

una aplicación que ya existía en mercados, cuya compra hubiese

supuesto un riesgo menor, asegurándonos incluso una

mayor cantidad a un precio inferior).

LOGO

Sin embargo, en bastantes empresas este estudio de viabilidad no se lleva

a cabo con el rigor necesario, con lo que a medida que se van

desarrollando, los sistemas demuestran ser poco rentables. El auditor debe

comprobar también que la alta dirección revisa los informes de los estudios

de viabilidad y que es la que decide seguir adelante o no con el proyecto.

Esto es fundamental porque los técnicos que han de tener en cuenta que si

no existe una decidida voluntad de la organización en su conjunto, impulsada

por los directivos, aumenta considerablemente el riesgo de fracasar en la

implementación de sistema.

I. Estudio Previo y Plan de Trabajo

LOGO

En caso de que se decida llevar a cabo el proyecto es fundamental que

se establezca un plan director, debiendo el auditor verificar que

efectivamente dicho plan se emplea para el seguimiento y gestión del

proyecto y que cumple con los procedimientos generales de gestión de

proyectos que tengan aprobados la organización. Otro aspecto importante

en esta fase es la aprobación de la estructura orgánica del proyecto en

particular, sino también de la unidad que tendrá la responsabilidad de la

gestión y control de la base de datos; recordemos que, para que un

entorno de base de datos funcione debidamente, esta unidad es

imprescindible.

I. Estudio Previo y Plan de Trabajo

LOGO

• Estudio Tecnológico de Viabilidad.

El Auditor debe comprobar que la alta dirección revise la

información de viabilidad

• Establecer un plan director

• El Cobit enfatiza en la importancia de una gestión de riesgo

El auditor debe verificar que este plan se cumpla para el

seguimiento y gestión, y que cumpla con el procedimiento

general de gestión de proyecto de la empresa

• Aprobación de Estructura Orgánica (del Proyecto, Unidad

encargada de Gestión y Control BD).

• Se establecen dos objetivos de control.(MENKUS)

En resumen, el Estudio previo y Plan de Trabajo debe tomar en cuenta:

I. Estudio Previo y Plan de Trabajo

LOGO

• Personal de desarrollo de sistemas y de explotación.

• Hay que tener en cuenta la separación de Funciones. Se

recomienda esta entre:

• Explotación y control de datos.

• Administración de BD y Desarrollo.

Es difícil de verificar para el auditor la separación de funciones cuando no

existe una descripción detallada de los puestos de trabajo.

• En caso no se logre. Se deberán establecer controles

compensatorios o alternativos.

I. Estudio Previo y Plan de Trabajo

LOGO

Tareas del administrador de datos:

Realizar el diseño conceptual y lógico de la base de datos

Apoyar al personal de sistemas durante el desarrollo de aplicaciones

Formar al personal

Establecer estándares de diseño de la BD de desarrollo y contenido

del diccionario de datos

Desarrollar políticas de gestión de datos

Desarrollar planes estratégicos y tácticos para la manipulación de los

datos

Desarrollar los requisitos de los elementos del diccionario de datos

Desarrollar normas para la denominación

I. Estudio Previo y Plan de Trabajo

LOGO

Tareas del administrador de datos:

Controlar la integridad y seguridad de los datos

Planificar la evolución de la bd de la empresa

Identificar oportunidades de compartición de datos

Trabajar con los auditores en la auditoria de la base de d.

Proporcionar controles de seguridad

Realizar el diseño físico de la b.d.

Asesorar en la adquisición de hw y sw

Soportar el SGBD

Resolver problemas del SGBD y del software asociado

Monitorizar el rendimiento del SGBD

I. Estudio Previo y Plan de Trabajo

LOGO

Tareas del administrador de datos:

Ayudar en el desarrollo de planes que aseguren la capacidad hw.

Asegurar la integridad de los datos, comprobando que se implantan los

controles adecuados

Asegurar la seguridad y confidencialidad

Proporcionar facilidades de prueba

Integrar paquetes, procedimientos, utilidades, etc.

Desarrollar estándares, procedimientos y documentarlos

I. Estudio Previo y Plan de Trabajo

LOGO

II. Concepción de la Base de Datos y selección del

equipo.

• En esta fase se empieza a diseñar la Base de Datos, por que se

debe utilizar la metodologías y técnicas.

• La Metodologías deberías utilizarse para: Documento fuente, los

mecanismos de control, características de seguridad, y las pistas

de auditorias

• El Cobit dedica un apartado a la definición de la arquitectura de la

información, que contempla 4 objetivos.

• El auditor debe de verificar la metodología utilizada y la correcta

aplicación (Diseño Conceptual, lógico, físico).

• Modelo de arquitectura de Información.

• Datos y diccionarios de Datos.

• Esquema de clasificación de datos.

• Niveles de seguridad para cada anterior clasificación

de datos.

LOGO

• Para la selección de equipos en el caso que no tuviera, se debe

realizar bajo un procedimiento riguroso, en las que se

consideren: las necesidades de la empresa, los SGBD, y el

impacto que el nuevo software tiene en el sistema y en su

seguridad.

II. Concepción de la Base de Datos y selección del

equipo.

LOGO

- Se lleva a cabo los diseños lógico y físico de la base de datos

el auditor tendrá que examinar si estos diseños se han realizado

correctamente.

- El auditor tendrá que tomar una muestra de ciertos elementos

(tablas, vistas, índices ) y comprobar que su definición es completa.

- Planificar claramente las migraciones de un tipo de SGBD a otra,

para evitar pérdida de información.

- Establecer un conjunto de controles sobre la entrada manual de

datos, que aseguren su integridad.

- Es aconsejable que los procedimientos y el diseño de los

documentos fuentes minimicen los errores y las omisiones.

III. Diseño y Carga

LOGO

- En esta fase se debe comprobar que se establecen los

procedimientos de explotación y mantenimiento que

aseguren que los datos se tratan de forma congruente y

exacta y que el contenido de los sistemas solo se modifica

mediante la autorización adecuada.

IV. Explotación y mantenimiento

LOGO

- Clasificación de los objetivos de control para la gestión de

datos, ISACA. (1996).

IV. Explotación y mantenimiento

- Procedimiento de preparación de datos.

- Procedimientos de autorización de documentos fuentes

- Recogida de datos de documentos fuente.

- Manejo de errores de documentos fuente

- Retención de documentos fuente

- Procedimientos de autorización de datos

- Integridad del procesamiento de datos

- Edición y validación del procesamiento de datos

- Manejo de errores de procesamiento de datos

- Retención y manejo de salidas ....

LOGO

- Se debería establecer el desarrollo de un plan para efectuar

una revisión post-implantación de todo sistema nuevo o

modificado con el fin de evaluar si:

- Se han conseguido los resultados esperados

- Se satisfacen las necesidades de los usuarios.

- Los costes y beneficios coinciden con los previstos.

V. Revisión post-implantación

LOGO

- Se deberá controlar la informacion que precisan tanto

usuarios informativos(administrador, analista,

programadores) como no informáticos, ya que la formación

es una de las claves para minimizar el riesgo en la

implantación de una base de datos.

- Hay que tener en cuenta que usuarios poco formados

constituyen uno de los peligros mas importantes de un

sistema.

- Además el auditor tendrá que revisar la documentación que

se produce a lo largo de todo el proceso.

Otros procesos auxiliares

LOGO

Entorno de una base de datos

AUDITORIA Y CONTROL INTERNO EN UN

ENTORNO DE BASES DE DATOS

-Deberán considerarse los datos compartidos por múltiples usuarios.

Esto debe abarcar todos los componentes del entorno de Bd.

LOGO

COMPONENTES DEL SGBD

1. Nucleo Kernel: es el catalogo (componente fundamental para

asegurar la seguridad de las base de datos.

2. Utilidad:

3. Crear usuario

4. Conceder privilegio

5. resolver otras cuestiones relativas a la confidencialidad.

6. Las que se encargan de la recuperación de la BD:

7. Rearranque

8. Copia de respaldo

9. Fichero diario (log).

LOGO

- Entre sus componentes podemos destacar, el Kernel, el

catálogo (componente fundamental para asegurar la

seguridad de la base de datos), las utilidad para el

administrador ( crear usuarios, conceder privilegios ) y

resolver otras cuestiones relativas a la confidencialidad.

- En cuanto a las funciones de auditoría que ofrece el propio

sistema, prácticamente todos los productos del mercado

permiten registrar la mayoría de las operaciones.

- El requisito para la auditoria es que la causa y el efecto de

todos los cambios de la base de datos sean veriificables

Sistemas de Gestion de Base de Datos.

(SGBD)

LOGO

1. SOFTWARE DE AUDITORÍA

Son paquetes que pueden emplearse para facilitar la labor del

auditor en cuanto a la extracción de datos de la base , el

seguimiento de las transacciones , datos de prueba etc.

Hay productos muy interesantes que permiten cuadrar datos de

diferentes entornos permitiendo realizar una verdadera auditoria de

datos.

LOGO

2. SISTEMA DE MONITORIZACIÓN Y AJUSTE (tuning)

Este tipo de sistemas complementan las facilidades ofrecidas por el

propio SGBD, ofreciendo mayor información para optimizar el

sistema llegando a ser en ciertas ocasiones verdaderos

sistemas expertos que proporcionan la estructura óptima de la

base de datos y de ciertos parámetros del SGBD y SO.

La optimización de la base de dato es fundamental, puesto que si

actúa en un entorno concurrente puede degradarse fácilmente el

nivel del servicio que haya podido establecer con los usuarios.

LOGO

El sistema operativo es una pieza clave del entorno puesto que el

SGBD se apoyará en mayor o menor medida en los servicios que le

ofrezca; el S.O en cuanto a control de memoria , gestión de áreas de

almacenamiento intermedio (buffers) manejo de errores, control de

confidencialidad, mecanismo de interbloqueo Etc.

Desafortunadamente, el auditor informático tiene serias

dificultades para controlar de manera rigurosa la interfaz entre el

SGBD y el SO , debido a que, en parte, constituye información

reservada del fabricante de los productos, además de requerir nos

conocimientos excepcionales que entran en el campo de la

técnica de sistemas.

3. SISTEMA OPERATIVO (S.O)

LOGO

4. MONITOR DE TRANSACCIONES

Algunos autores lo incluyen dentro del propio

SGBD, pero actualmente puede considerarse un

elemento mas del entorno con responsabilidad de

confidencialidad y rendimiento.

LOGO

PROTOCOLOS Y SISTEMAS DISTRIBUIDOS

Cinco objetivos de control a la hora de revisar la distribución de datos :

1. El sistema de proceso distribuido debe tener en función de administración

de datos centralizada, que establezca estándares generales para la

distribución de datos a través de aplicaciones.

2. -Deben establecerse unas funciones de administración de datos y de base

de datos fuertes, para que puedan controlar la distribución de los datos.

3. -Deben de existir pistas de auditoría para todas las actividades realizadas

por la aplicaciones contra sus propias bases de datos y otras compartidas.

4. -Deben existir controles software para prevenir interferencias de

actualización sobre las bases de datos en sistemas distribuidos.

5. -Deben realizarse las consideraciones adecuadas de costes

y beneficios en el diseño de entornos distribuidos.

LOGO

PAQUETES DE SEGURIDAD

Existe en el mercado varios productos que permiten la

implantación efectiva de una política de seguridad, puesto que

centraliza el control de acceso, la definición de privilegios, perfiles

de usuario, etc.

Un grave inconveniente de este tipo de software es que a veces

no se encuentra bien integrado con el SGBD pudiendo resultar

poco útil su implantación si los usuarios pueden saltarse los

controles a través del propio SGBD.

LOGO

Juegan un papel primordial en el entorno de los SGBD en cuanto a la

integración de componentes y al cumplimiento de la seguridad de datos.

Los diccionarios de datos se pueden auditar de manera análoga a las

bases de datos, ya que, después de todo, son bases de datos de

metadatos

Un fallo en la BD puede atentar contra la integridad de los datos y producir

un mayor riesgo financiero, mientras que un fallo en un diccionario (o

repositorios), suele llevar consigo un perdida de integridad de los procesos;

siendo más peligrosos los fallos en los diccionarios puesto que pueden

introducir errores de forma repetitiva a lo largo del tiempo y son mas

difíciles de detectar.

Diccionario de Datos

LOGO

Son elementos a considerar en el entrono del SGBD. De los objetivos de control para los L4G, destacan los siguientes:

• El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados.

• Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de automatización y petición que los proyectos de desarrollo convencionales.

• Las aplicaciones desarrolladas con L4G deben sacar

ventajas de las características incluidas en el mismo.

• Constituyen una herramienta clave para que el auditor pueda revisar el diseño

de la DB, comprobar si se ha empleado correctamente la metodología y

asegurar un nivel mínimo de calidad.

Herramientas CASE (Compuer Aided System/Software

Engineering). IPSE (Integrated Project Support

Environments)

Lenguajes de Generación de Cuarta generación (L4G) independientes

LOGO

Uno de los peligros más graves de los L4G es que no se aplican controles

con el mismo rigor que a los programas desarrollados con lenguajes de

tercera generación.

Otros problemas pueden ser la ineficacia y elevado consumo de recursos

El Auditor deberá estudiar los controles disponibles el los L4G, en caso

negativo, recomendar su construcción con lenguajes de tercera generación.

LOGO

El auditor deberá investigar las medidas de seguridad que ofrecen estas

herramientas (Interfaz gráfica de usuario) y bajo que condiciones han sido

instaladas; las herramientas de este tipo deberían proteger a los usuarios

de sus propios errores.

Objetivos de control:

• La documentación de las aplicaciones desarrollada por usuarios finales

debe ser suficiente para que tanto sus usuarios principales como

cualquier otro pueda operar y mantenerlas.

• Los cambios de estas aplicaciones requieren la aprobación

de la dirección y deben documentarse de forma

completa.

Facilidades de Usuario

LOGO

Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de

calidad integrados en el almacén de datos

Se deberá controlar la política de refresco y carga de los datos en el

almacén a partir de las bases de datos operacionales existentes, así como

la existencia de mecanismos de retroalimentación que modifican las bases

de datos operacionales a partir de los datos del almacén.

Herramientas de Minería de Datos

El auditor deberá controlar que las aplicaciones no atentan contra la

integridad de los datos de la base.

Aplicaciones

LOGO

Existen muchos elementos del entorno del SGDB que influyen el la

seguridad e integridad de los datos, en los que cada uno de apoya en la

operación correcta y predecidle de otra.

El efecto de esto es: “debilitar la seguridad global del sistema, reduciendo

la fiabilidad e introduciendo un conjunto de controles descoordinados y

solapados, difíciles de gestionar ”.

Cuando el auditor se enfrenta a un entrono de este tipo, puede emplear,

entre otras, dos técnicas de control:

1. Matrices de Control

2. Análisis de los Caminos de Acceso

TÉCNICAS PARA EL CONTROL DE BASE DE DATOS

EN UN ENTORNO COMPLEJO

LOGO

Sirven para identificar los conjuntos de datos del SI juntos con los

controles de seguridad o integridad implementados sobre los mismos.

DATOS

CONTROLES DE SEGURIDAD

PREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONES

DE ENTRADA

Verificación Informe de

Reconciliación

REGISTRO DE

BASE DE DATOS

Cifrado Informe de

excepción

Copia de

seguridad

Los controles se clasifican como se puede observar en detectivos,

preventivos y correctivos

1. Matrices de Control

LOGO

Con esta técnica se documentan el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan y los controles asociados

2. Análisis de los Caminos de Acceso

DATOS

MONITOR

DE

MULTIPROCESO

PAQUETE

DE

SEGURIDAD

PROGRAMA SGBD S O

ORDENADOR CENTRAL

USUARIO

ORDENADOR

PERSONAL

Control de Acceso

* Cifrado

* Control de Integridad

Control de Acceso

* Registro de

Transacciones

Copias de Seguridad

Fichero diario de Integridad

de Datos

Controles Diversos

Seguridad

Cifrado

Formación

* Controles

* Procedimientos

Control de Acceso

* Registro de Acceso

* Informe de

Excepciones

Control de Acceso

* Control de Integridad

De datos

Análisis de los caminos de acceso

LOGO

Debido a la complejidad de la tecnología de bases de datos y al

extraordinario crecimiento del entorno del SGBD “la tecnología de bases

de datos ha afectado a afectado al papel del auditor interno más que a

cualquier otro individuo. Se ha convertido en extremo difícil auditar

alrededor del computador”, por lo que se requiere personal especializado

(auditores externos).

Antes de empezar una revisión de control interno, el auditor debe

examinar el entorno en el que opera el SGBD.

Las consideraciones de auditoría deberían incluirse en las distintas fases

del ciclo de vida de una base de datos

Aparición de nuevos riesgos de interés para el auditor (como por ejemplo,

en el área de seguridad) con la aparición de nuevos tipos de bases de

datos (como las activas, las orientadas a objetos, temporales,

multimedia, multidimensionales, etc.), y la creciente distribución

de los datos (bases de datos federadas, multibases de

datos, web, base de datos móviles, etc.).

CONCLUSIONES

LOGO

Es previsible que los SGBD aumenten el número de mecanismos de

control y seguridad, operando de forma más integrada con el resto de

componentes. Para ello es fundamental el desarrollo e implementación de

estándares y marcos de referencia como los propuestos por el ISO y el

OMG (CORBA), que faciliten unas interfases claramente definidas entre

componentes del SI.

Los sistemas aumentan su complejidad y alcance con mayor rapidez que

los procedimientos y técnicas para controlarlos

Es importante destacar la importancia cada día mayor de una disciplina

más amplia que la de bases de datos: la de Gestión de Recursos de

Información (IRM), que nace con la vocación integradora necesaria para

convertir los datos en el activo más importante de las empresas; lo

que lleva consigo que las medida de control y auditoría pasen a un primer

plano dentro de las actividades de las empresas.

CONCLUSIONES