Auditoria Informática

AUDITORÍA DE
BASES DE DATOS
Docente: Carmelo España V.
E-mail: carmelobranimir@gmail.com
INTRODUCCION

CONTROL INTERNO
y AUDITORÍA
cada día cobran mayor
interés
La Auditoría Informática se aplica
de dos formas distintas
• Auditoría de las principales áreas del
Departamento de Informática:
explotación, dirección, metodología del
desarrollo, sistema operativo,
telecomunicaciones, bases de datos, etc.
• Auditoría de las Aplicaciones:
desarrolladas, subcontratadas o
adquiridas.
 Importancia de la Auditoría del
entorno de Bases de Datos

• La Auditoría de Bases de Datos es el

punto de partida para poder realizar la
Auditoría de las Aplicaciones que
utilizan esta tecnología
METODOLOGIAS PARA LA
AUDITORIA DE BASES DE DATOS
Aunque existen distintas
metodologías que se aplican
en auditoria informática
(prácticamente cada firma de
auditores y cada empresa
desarrolla la suya propia), se
pueden agrupar en dos
clases:
I. Metodología Tradicional
• Revisión del entorno con la ayuda de una
lista de control (check list), consistente
en una serie de cuestiones (preguntas).
Por ejemplo: (S es si, N no y NA no aplicable)

¿Existe una metodología de diseño de Base de Datos? S N NA

• Suele ser aplicada a la auditoría de

productos de productos bases de datos,
especificándose en la lista de control
todos los aspectos a tener en cuenta
II. Metodología de Evaluación de
Riesgos
Conocida también por risk oriented
approach (enfoque orientado al riesgo),
es la que propone ISACA.

Empieza fijando los objetivos de control

que minimizan los riesgos potenciales a
los que está sometido el entorno.

A continuación, una lista de los riesgos

más importantes según 2 autores:
(Touriño y Fernández, 1991)
II. Metodología de Evaluación de
Riesgos
Riesgos debidos a la utilización de una
base de datos:
1. Incremento de la dependencia del
servicio informático debido a la
concentración de datos.
2. Mayores posibilidades de acceso en la
figura del administrador de la base de
datos.
3. Incompatibilidades entre sistemas de
seguridad de acceso propios del
SGBD y el general de la instalación.
II. Metodología de Evaluación de
Riesgos

4. Mayor impacto de errores en

datos o programas que en los
sistemas tradicionales
5. Ruptura de enlaces o cadenas
por fallos del software o de los
programas de aplicación
II. Metodología de Evaluación de
Riesgos

6. Mayor impacto de accesos no

autorizados al diccionario de la
base de datos que a un fichero
tradicional.
7. Mayor dependencia del nivel de
conocimientos técnicos del personal
que realice tareas relacionadas con
el software de base de datos
(administrador, programadores, etc).
Considerando
estos riesgos,
se podría :
1. Objetivo de Control
El SGBD deberá preservar
la confidencialidad de la
base de datos.
2.Técnicas de Control
Un objetivo de control puede tener
asociadas varias técnicas que
permitan cubrirlo en su totalidad.
• Técnicas preventivas: establecer
tipos de usuarios, perfiles y
privilegios necesarios para controlar
el acceso a la base de datos
• Técnicas detectivas: como
monitorizar los accesos a la base de
datos
• Técnicas correctivas: back-up
3. Prueba de Cumplimiento Permiten
verificar la consistencia de las técnicas
de control

Listar los privilegios y perfiles

existentes en el SGBD

Si estas pruebas detectan inconsistencias

en los controles, o bien, si los controles
no existen, se pasa a diseñar otro tipo de
pruebas (denominadas pruebas
sustantivas), que permiten dimensionar el
impacto de estas deficiencias.
4. Prueba Sustantiva

Comprobar si la
información ha sido
corrompida, comparándola
con otra fuente, o revisando,
los documentos de entrada
de datos y las transacciones
que se han ejecutado.
• Una vez valorados los resultados de las
pruebas se obtienen unas conclusiones
que serán comentadas y discutidas con
los responsables directos de las áreas
afectadas con el fin de corroborar los
resultados.

Por último el auditor deberá emitir una

serie de comentarios donde se describa
la situación, el riesgo existente y la
deficiencia a solucionar, y, en su caso,
sugerirá la posible solución.
• Como resultado de la auditoría
se presentará un informe final en
el que se expongan las
conclusiones más importantes a
las que se ha llegado, así como
el alcance que ha tenido la
auditoría.
• Esta será la técnica a
utilizar para auditar el
entorno general de un
sistema de base de datos,
tanto en su desarrollo
como en su fase de
explotación.
OBJETIVOS DE CONTROL EN EL CICLO
DE VIDA DE UNA BASE DE DATOS
Ciclo de vida de una base de datos
I. ESTUDIO PREVIO Y
D
F PLAN DE TRABAJO O
O C C
II. CONCEPCIÓN DE LA U
R BD Y SELECCIÓN DEL
M
A
EQUIPO
M E L
A III. DISEÑO Y CARGA N I
T
C A
D
I IV. EXPLOTACIÓN Y
MANTENIMIENTO
C A
Ó I D
Ó
N V. REVISIÓN
N
POST-IMPLEMENTACIÓN
AUDITORIA Y CONTROL
INTERNO EN UN ENTORNO
DE BASES DE DATOS

Deberán considerarse los datos

compartidos por múltiples
usuarios. Esto debe abarcar
todos los componentes del
entorno de BD.
 FACILIDADES
DE USUARIO

Entorno de una base de datos

www.themegallery.com
 COMPONENTES DEL SGBD
✓ Catálogo: (componente fundamental para
asegurar la seguridad de las base de datos).
✓ Utilidad:
Crear usuario
Conceder privilegio
Resolver otras cuestiones relativas a la
confidencialidad.
✓ Las que se encargan de la recuperación de la
BD:
Rearranque
Copia de respaldo
Fichero diario (log).
Sistemas de Gestion de Base de
Datos. (SGBD)
- En cuanto a las funciones de
auditoría que ofrece el propio
sistema, prácticamente todos los
productos del mercado permiten
registrar la mayoría de las
operaciones.
- El requisito para la auditoria es que
la causa y el efecto de todos los
cambios de la base de datos sean
verificables.
1. SOFTWARE DE AUDITORÍA

Son paquetes que pueden emplearse

para facilitar la labor del auditor en
cuanto a la extracción de datos de la
base, el seguimiento de las
transacciones , datos de prueba etc.

Hay productos muy interesantes que

permiten cuadrar datos de diferentes
entornos permitiendo realizar una
verdadera auditoria de datos.
2.SISTEMA DE MONITORIZACIÓN
Y AJUSTE

Este tipo de sistemas complementan las

facilidades ofrecidas por el propio
SGBD, ofreciendo mayor información
para optimizar el sistema llegando a
ser en ciertas ocasiones verdaderos
sistemas expertos que proporcionan la
estructura óptima de la base de datos y
de ciertos parámetros del SGBD y SO.
2.SISTEMA DE
MONITORIZACIÓN
Y AJUSTE

La optimización de la base de
datos es fundamental, puesto que
si actúa en un entorno concurrente
puede degradarse fácilmente el
nivel del servicio que haya podido
establecer con los usuarios.
3. SISTEMA OPERATIVO (S.O)
El sistema operativo es una pieza
clave del entorno puesto que el
SGBD se apoyará en mayor o menor
medida en los servicios que le
ofrezca el S.O; control de memoria,
gestión de áreas de
almacenamiento intermedio
(buffers) manejo de errores, control
de confidencialidad, mecanismo
de interbloqueo Etc.
3. SISTEMA OPERATIVO (S.O)
Desafortunadamente, el auditor
informático tiene serias
dificultades para controlar de
manera rigurosa la interfaz entre
el SGBD y el SO, constituye
información reservada del
fabricante de los productos,
requerir conocimientos
excepcionales que entran en el
campo de la técnica de sistemas.
4. MONITOR DE TRANSACCIONES

Algunos autores lo incluyen

dentro del propio SGBD, pero
actualmente puede
considerarse un elemento mas
del entorno con responsabilidad
de confidencialidad y
rendimiento.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
Cinco objetivos de control a la hora de
revisar la distribución de datos :
1.El sistema de proceso distribuido
debe tener en función de
administración de datos centralizada,
que establezca estándares generales
para la distribución de datos a través
de aplicaciones.
2.-Deben establecerse unas funciones
de administración de datos y de base
de datos fuertes, para que puedan
controlar la distribución de los datos.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
3. -Deben de existir pistas de auditoría
para todas las actividades realizadas
por la aplicaciones contra sus propias
bases de datos y otras compartidas.
4.-Deben existir controles software para
prevenir interferencias de
actualización sobre las bases de datos
en sistemas distribuidos.
5.-Deben realizarse las consideraciones
adecuadas de costes
y beneficios en el diseño de
entornos distribuidos.
PAQUETES DE SEGURIDAD

Existe en el mercado varios

productos que permiten la
implantación efectiva de
una política de seguridad,
puesto que centraliza el
control de acceso, la
definición de privilegios,
perfiles de usuario, etc.
PAQUETES DE SEGURIDAD
Un grave inconveniente de
este tipo de software es que
a veces no se encuentra
bien integrado con el SGBD
pudiendo resultar poco útil
su implantación si los
usuarios pueden saltarse los
controles a través del propio
SGBD.
Diccionario de Datos
▪Juegan un papel primordial en el
entorno de los SGBD en cuanto a
la integración de componentes y
al cumplimiento de la seguridad
de datos.
▪Los diccionarios de datos se
pueden auditar de manera
análoga a las bases de datos, ya
que, después de todo, son bases
de datos de metadatos
Diccionario de Datos
▪Un fallo en la BD puede atentar
contra la integridad de los datos y
producir un mayor riesgo financiero,
mientras que un fallo en un
diccionario (o repositorios), suele
llevar consigo un perdida de
integridad de los procesos; siendo
más peligrosos los fallos en los
diccionarios puesto que pueden
introducir errores de forma repetitiva
a lo largo del tiempo y son mas
difíciles de detectar.
 Herramientas CASE (Computer Aided
System/Software Engineering). IPSE
(Integrated Project Support Environments)
Constituyen una herramienta
clave para que el auditor pueda
revisar el diseño de la DB,
comprobar si se ha empleado
correctamente la metodología y
asegurar un nivel mínimo de
calidad.
Lenguajes de Generación de Cuarta
generación (L4G) independientes

Son elementos a
considerar en el entorno
del SGBD.
www.themegallery.com
www.themegallery.com
De los objetivos de control para los
L4G, destacan los siguientes:

• El L4G debe ser capaz de operar en

el entorno de proceso de datos con
controles adecuados.

• Las aplicaciones desarrolladas con

L4G deben seguir los mismos
procedimientos de
automatización y petición que los
proyectos de desarrollo
convencionales.
Lenguajes de Generación de Cuarta
generación (L4G) independientes

• Las aplicaciones
desarrolladas con L4G
deben sacar ventajas de
las características
incluidas en el mismo.
▪ Uno de los peligros más graves de los
L4G es que no se aplican controles
con el mismo rigor que a los
programas desarrollados con
lenguajes de tercera generación.
▪ Otros problemas pueden ser la
ineficacia y elevado consumo de
recursos
▪ El Auditor deberá estudiar los
controles disponibles el los L4G, en
caso negativo, recomendar su
construcción con lenguajes de tercera
generación.
Facilidades de Usuario
▪El auditor deberá investigar las
medidas de seguridad que
ofrecen estas herramientas
(Interfaz gráfica de usuario) y
bajo que condiciones han sido
instaladas, las herramientas de
este tipo deberían proteger a los
usuarios de sus propios errores.
Facilidades de Usuario
Objetivos de control:
• La documentación de las aplicaciones
desarrollada por usuarios finales debe
ser suficiente para que tanto sus
usuarios principales como cualquier
otro pueda operar y mantenerlas.
• Los cambios de estas aplicaciones
requieren la aprobación de la dirección
y deben documentarse de forma
completa.
Herramientas de Minería de Datos

▪Estas herramientas
ofrecen soporte a la
toma de decisiones
sobre datos de
calidad integrados en
el almacén de datos.
Herramientas de Minería de Datos
▪Se deberá controlar la política
de refresco y carga de los datos
en el almacén a partir de las
bases de datos operacionales
existentes, así como la existencia
de mecanismos de
retroalimentación que modifican
las bases de datos operacionales
a partir de los datos del almacén.
Aplicaciones

El auditor deberá controlar

que las aplicaciones no
atentan contra la
integridad de los datos de
la base.
TÉCNICAS PARA EL CONTROL DE BASE DE
DATOS EN UN ENTORNO COMPLEJO

▪ Existen muchos elementos del entorno del

SGDB que influyen en la seguridad e
integridad de los datos, en los que cada uno
se apoya en la operación correcta y
predecible de otra.
▪ El efecto de esto es: “debilitar la seguridad
global del sistema, reduciendo la fiabilidad
e introduciendo un conjunto de controles
descoordinados y solapados, difíciles de
gestionar ”.
TÉCNICAS PARA EL CONTROL DE BASE DE
DATOS EN UN ENTORNO COMPLEJO

Cuando el auditor se enfrenta a

un entorno de este tipo, puede
emplear, entre otras, dos
técnicas de control:
1. Matrices de Control
2. Análisis de los
Caminos de Acceso
1. Matrices de Control
Sirven para identificar los conjuntos de datos del
SI juntos con los controles de seguridad o
integridad implementados sobre los mismos.

CONTROLES DE SEGURIDAD
DATOS
PREVENTIVOS DETECTIVOS CORRECTIVOS

TRANSACCIONES Verificación Informe de

DE ENTRADA Reconciliación
REGISTRO DE Cifrado Informe de Copia de
BASE DE DATOS excepción seguridad

Los controles se clasifican como se puede observar en detectivos,

preventivos y correctivos
 2. Análisis de los Caminos de Acceso
Con esta técnica se documentan el flujo, almacenamiento y
procesamiento de los datos en todas las fases por las que pasan
desde el mismo momento en que se introducen, identificando los
componentes del sistema que atraviesan y los controles asociados

ORDENADOR
PERSONAL ORDENADOR CENTRAL

MONITOR
PAQUETE
DE
DE PROGRAMA SGBD SO DATOS
MULTIPROCES
SEGURIDAD
O

USUARIO Control de Acceso Control de Acceso Controles Diversos

* Registro de * Control de Integridad
Transacciones De datos
Seguridad
Cifrado
Control de Acceso Copias de Seguridad
Formación Control de Acceso * Registro de Acceso Fichero diario de Integridad
* Controles * Cifrado * Informe de de Datos
* Procedimientos * Control de Integridad Excepciones

Análisis de los caminos de acceso

CONCLUSIONES

▪Debido a la complejidad de la
tecnología de bases de datos y al
extraordinario crecimiento del
entorno del SGBD “la tecnología
de bases de datos ha afectado a
afectado al papel del auditor
interno más que a cualquier otro
individuo.
CONCLUSIONES
▪Se ha convertido en extremo difícil
auditar alrededor del computador”,
por lo que se requiere personal
especializado (auditores externos).

▪Antes de empezar una revisión de

control interno, el auditor debe
examinar el entorno en el que
opera el SGBD.
CONCLUSIONES
▪ Las consideraciones de auditoría deberían
incluirse en las distintas fases del ciclo de
vida de una base de datos

▪ Aparición de nuevos riesgos de interés para

el auditor (como por ejemplo, en el área de
seguridad) con la aparición de nuevos tipos
de bases de datos (como las activas, las
orientadas a objetos, temporales,
multimedia, multidimensionales, etc.), y la
creciente distribución de los datos (bases
de datos federadas, multibases de datos,
web, base de datos móviles, etc.).
CONCLUSIONES
▪ Es previsible que los SGBD aumenten
el número de mecanismos de control y
seguridad, operando de forma más
integrada con el resto de componentes.
▪ Para ello es fundamental el desarrollo e
implementación de estándares y marcos
de referencia como los propuestos por
el ISO y el OMG (CORBA), que faciliten
unas interfases claramente definidas
entre componentes del SI.
CONCLUSIONES
▪ Los sistemas aumentan su complejidad y
alcance con mayor rapidez que los
procedimientos y técnicas para controlarlos

▪ Es importante destacar la importancia cada

día mayor de una disciplina más amplia que
la de bases de datos: la de Gestión de
Recursos de Información (IRM), que nace
con la vocación integradora necesaria
para convertir los datos en el activo más
importante de las empresas; lo que lleva
consigo que las medida de control y
auditoría pasen a un primer plano dentro de
las actividades de las empresas.
CORBA
▪CORBA (Common Object
Request Broker Architecture) es
un estándar definido por el
grupo de gestión de objetos
(OMG) que permite el
funcionamiento conjunto de
componentes de software
escritos en distintos lenguajes
informáticos y que se ejecutan
en distintos sistemas.
MAGERIT
▪ MAGERIT versión 3 es la metodología de análisis
y gestión de riesgos.
▪ MAGERIT es una metodología de carácter
público que puede ser utilizada libremente y no
requiere autorización previa.
▪ Siguiendo la terminología de la normativa ISO
31000, MAGERIT responde a lo que se denomina
“Proceso de Gestión de los Riesgos”, sección 4.4
(“Implementación de la Gestión de los Riesgos”)
dentro del “Marco de Gestión de Riesgos”.
▪ En otras palabras, MAGERIT implementa el
Proceso de Gestión de Riesgos dentro de un
marco de trabajo para que los órganos de
gobierno tomen decisiones teniendo en cuenta
los riesgos derivados del uso de tecnologías de
la información.
BCP
▪ Un BCP es un documento vivo que describe los procesos y
procedimientos que una organización debe seguir en caso de una
emergencia. Esto asegura que los negocios puedan continuar con
sus operaciones críticas, minimizando así el impacto financiero,
operacional y reputacional.