Transcript PresentacionCAP2

Auditoría y control interno en
un entorno de bases de datos
Jaramillo Jorge
Suarez Arnold
AUDITORIA Y CONTROL INTERNO EN UN ENTORNO
DE BASES DE DATOS
Deberán
considerarse
los datos
compartidos
por múltiples
usuarios. Esto
debe abarcar
todos los
componentes
del entorno de
Bd.
Sistema de Gestion de Base de Datos. (SGBD)
-
-
-
Entre sus componentes podemos destacar, el Kernel, el catálogo
(componente fundamental para asegurar la seguridad de la base
de datos), las utilidad para el administrador ( crear usuarios,
conceder privilegios ) y resolver otras cuestiones relativas a la
confidencialidad.
En cuanto a las funciones de auditoría que ofrece el propio
sistema, prácticamente todos los productos del mercado permiten
registrar la mayoría de las operaciones.
“el requisito para la auditoria es que la causa y el efecto de todos
los cambios de la base de datos sean veriificables”
SOFTWARE DE AUDITORÍA
Son paquetes que pueden emplearse para facilitar la labor del
auditor en cuanto a la extracción de datos de la base , el
seguimiento de las transacciones , datos de prueba otros.
SISTEMA DE MONITORIZACIÓN Y AJUSTE (tuning)
Este tipo de sistemas complementan las facilidades ofrecidas por
elpropio SGBD, ofreciendo mayor información para optimizar el
sistema llegando a ser en ciertas ocasiones verdaderos sistemas
expertos que proporcionan la estructura óptima de la base de datos
y de ciertos parámetros del SGBD y SO.
SISTEMA OPERATIVO (S.O)
El sistema operativo es una pieza clave del entorno puesto que el
SGBD se apoyará en mayor o menor medida en los servicios que
le ofrezca; el S.O en cuanto a control de memoria , gestión de
áreas de de almacenamiento intermedio (buffers) manejo de
errores, control de confiadencialidad mecanismo de interbloqueo
otros.
MONITOR DE TRANSACCIONES
Actualmente está considerado como un elemento más del entorno
Con responsabilidades de confidencialidad y rendimiento.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
cinco objetivos de control a la hora de revisar la distribución de
datos
El sistema de proceso distribuido debe tener en funcíón de
administración de datos centralizada, que establezca estándares
generales para la distribución de datos a través de aplicaciones.
-
-Deben establecerse unas funciones de administración de datos y de
base de datos fuertes, para que puedan controlar la distribución de
los datos.
-Deben de existir pistas de auditoría para todas las actividades
realizadas por la aplicaciones contra sus propias bases de datos y
otras compartidas.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
-Deben existir controles software para prevenir interferencias
de actualización sobre las bases de datos en sistemas
distribuidos.
-Deben realizarse las consideraciones adecuadas de costes y
beneficios en el diseño de entornos distsribuidos.
PAQUETES DE SEGURIDAD
-Existen en el mercado varios productos que permiten la
implantación Efectiva de de una política de seguridad , puesto
que centralizan el Control de accesos , la definición de
privilegios , perfiles de usuarios otros.
Diccionario de Datos
Juegan un papel primordial en el ede ntorno de los SGBD en cuanto
a la integración de componentes y al cumplimiento de la seguridad
datos.
Los diccionarios de datos se pueden auditar de manera análoga a
las bases de datos, ya que, después de todo, son bases de datos de
metadatos
Un fallo en la BD puede atentar contra la integridad de los datos y
producir un mayor riesgo financiero, mientras que un fallo en un
diccionario (o repositorios), suele llevar consigo un perdida de
integridad de los procesos; siendo más peligrosos los fallos en los
diccionarios puesto que pueden introducir errores de forma repetitiva
a lo largo del tiempo y son mas difíciles de detectar.
Herramientas CASE
•
Constituyen una herramienta clave para que el auditor pueda
revisar el diseño de la DB, comprobar si se ha empleado
correctamente la metodología y asegurar un nivel mínimo de
calidad.
Lenguajes de Generación de Cuarta
generación (L4G) independientes
Son elementos a considerar en el entrono del SGBD
De los objetivos de control para los L4G, destacan los siguientes:
•
El L4G debe ser capaz de operar en el entorno de proceso de
datos con controles adecuados.
•
Las aplicaciones desarrolladas con L4G deben seguir los
mismos procedimientos de automatización y petición que los
proyectos de desarrollo convencionales.
•
Las aplicaciones desarrolladas con L4G deben sacar ventajas
de las características incluidas en el mismo.
Lenguajes de Generación de Cuarta
generación (L4G) independientes
Uno de los peligros más graves de los L4G es que no se aplican
controles con el mismo rigor que a los programas desarrollados con
lenguajes de tercera generación.
Otros problemas pueden ser la ineficacia y elevado consumo de
recursos
El Auditor deberá estudiar los controles disponibles el los L4G, en
caso negativo, recomendar su construcción con lenguajes de tercera
generación.
Facilidades de Usuario
El auditor deberá investigar las medidas de seguridad que ofrecen
estas herramientas (Interfaz gráfica de usuario) y bajo que
condiciones han sido instaladas; las herramientas de este tipo
deberían proteger a los usuarios de sus propios errores.
Objetivos de control:
•
•
La documentación de las aplicaciones desarrollada por
usuarios finales debe ser suficiente para que tanto sus usuarios
principales como cualquier otro pueda operar y mantenerlas.
Los cambios de estas aplicaciones requieren la aprobación de
la dirección y deben documentarse de forma completa.
Herramientas de Minería de Datos
Estas herramientas ofrecen soporte a la toma de decisiones
sobre datos de calidad integrados en el almacén de datos
Se deberá controlar la política de refresco y carga de los datos
en el almacén a partir de las bases de datos operacionales
existentes, así como la existencia de mecanismos de
retroalimentación que modifican las bases de datos
operacionales a partir de los datos del almacén.
Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan
contra la integridad de los datos de la base.
TÉCNICAS PARA EL CONTROL DE BASE DE DATOS
EN UN ENTORNO COMPLEJO
Existen muchos elementos del entorno del SGDB que influyen
el la seguridad e integridad de los datos, en los que cada uno
de apoya en la operación correcta y predecidle de otra.
El efecto de esto es: “debilitar la seguridad global del sistema,
reduciendo la fiabilidad e introduciendo un conjunto de
controles descordinados y solapados, dificiles de gestionar ”.
Cuando el auditor se enfrenta a un entrono de este tipo,
puedeemplear, entre otras, dos técnicas de control.
Matrices de Control
Sirven para
identificar los
conjuntos de
datos del SI
juntos con los
controles de
seguridad o
integridad
implementad
os sobre los
mismos.
CONTROLES DE SEGURIDAD
DATOS
PREVENTI
VOS
DETECTIV
OS
TRANSACCIO
NES DE
ENTRADA
Verificación
Informe de
Reconciliac
ión
REGISTRO
DE BASE DE
DATOS
Cifrado
Informe de
excepción
CORRECTI
VOS
Copia de
seguridad
Los controles se clasifican como se puede observar en detectivos,
preventivos y correctivos
Análisis de los Caminos de Acceso
Con esta técnica
se documentan el
flujo,
almacenamiento
y procesamiento
de los datos en
todas las fases
por las que
pasan desde el
mismo momento
en que se
introducen,
identificando los
componentes del
sistema que
atraviesan (tanto
Hw como Sw) y
los controles
asociados
ORDENADOR
PERSONAL
ORDENADOR CENTRAL
MONITOR
DE
MULTIPROCES
O
USUARIO
Seguridad
Cifrado
Formación
* Controles
*
Procedimiento
s
Control de Acceso
*
Registro de
Transacciones
Control de Acceso
* Cifrado
* Control de Integridad
PAQUETE
DE
SEGURIDA
D
PROGRAM
A
Control de Acceso
* Control de Integridad
De datos
Control de Acceso
*
Registro de
Acceso
* Informe de
Excepciones
SGB
D
S
O
Controles Diversos
Copias de Seguridad
Fichero diario de Integridad de Datos
Análisis de los caminos de acceso
DATOS
CONCLUSIONES
Debido a la complejidad de la tecnología de bases de datos y al extraordinario
crecimiento del entorno del SGBD “la tecnología de bases de datos ha afectado a afectado al
papel del auditor interno más que a cualquier otro individuo. Se ha convertido en extremo difícil
auditar alrededor del computador”, por lo que se requiere personal especializado (auditores
externos).
Antes de empezar una revisión de control interno, el auditor debe examinar el entorno en
el que opera el SGBD.
Las consideraciones de auditoría deberían incluirse en las distintas fases del ciclo de vida
de una base de datos
Aparición de nuevos riesgos de interés para el auditor (como por ejemplo, en el área de
seguridad) con la aparición de nuevos tipos de bases de datos (como las activas, las
orientadas a objetos, temporales, multimedia, multidimensionales, etc.), y la creciente
distribución de los datos (bases de datos federadas, multibases de datos, web, base de
datos móviles, otros.