Professional Documents
Culture Documents
Docente: Ing. Mara Lourdes Montes Integrantes Nelson Castro Chavarra Manuel Gutirrez Rojas Jeanneth Mota Lpez Wuelber Castillo Gmez 2008-23111 2008-23295 2008-23337 2008-23189
1. Introduccin Las bases de datos son el activo ms importante para las organizaciones, ya que poseen toda la informacin general de la empresa, datos confidenciales que en manos ajenas puede ser alto riesgo. Por ello se deben controlar aspectos cruciales en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y tambin denegarlos. Con la auditora de bases de datos se busca que la informacin este segura, ayudando a la organizacin a detectar puntos dbiles y poder tomar precauciones para proteger los datos. AJA es una empresa desarrolladora de aplicaciones justo a la medida, en diferentes entornos y plataformas, ofrecemos servicios para implementar herramientas externas. Para el desarrollo y escalamiento tecnolgico de nuestros clientes. Para la elaboracin de esta auditoria de base de datos se utilizaron los dominios establecidos por COBIT para la gestin de datos y entrevistas realizadas al personal para conocer aspectos internos que estn relacionados con los datos: el personal que esta relacionados con ellos, la gestin de la seguridad que utilizan y el auto anlisis de las aplicaciones que estn relacionadas con las bases de datos.
5. Objetivos
General: Realizar una evaluacin de la BD del Sistema de envi masivo, a fin de identificar debilidades y emitir recomendaciones que permitan minimizar los riesgos en la gestin de los datos de la empresa a travs de este sistema.
Especficos: Recopilar informacin relacionada a la gestin de datos con la unidad informtica correspondiente Aplicar las entrevistas propuestas por cada dominio a los responsables de cada rea relacionada a la gestin de bases de datos Realizar un anlisis de los resultados basados en las entrevistas aplicadas Proponer recomendaciones para mitigar los efectos negativos de los hallazgos Verificar que en la empresa cumpla con los estndares propuestos a nivel interno en sus bases de datos
Anlisis en base a las entrevistas realizadas Las funciones del personal se asignan dependiendo de las capacidades y experiencia del colaborador. Cada funcin es asignada por el superior. Se establece un plan operativo a corto y largo plazo pero no hay plan de capacitacin continua al personal. Los datos de las bases de datos son accedidos por medio de interfaces tanto web como de escritorio en cada terminal de cada empleado. Los datos son cargados correctamente la mayora del tiempo. Estos datos no pueden ser accedidos por empleados en diferentes departamentos. Cada colaborador tiene permisos determinados que son regulados por un mdulo de navegacin del sistema que configura los perfiles y usuarios. Cada personal tiene contraseas asignadas por el rea de sistema y estas son cambiadas cada 3 meses. En caso de fallo con las aplicaciones, se notifica al coordinador de dicho proyecto para analizar la situacin y planificar la solucin. Los lugares donde se almacena fsicamente los datos solo pueden estar disponibles por el personal autorizado. El gestor de base de datos utilizado es SQL Server 2008 R2. La empresa tiene la licencia de dicho gestor desde hace 2 aos y esta licencia cubre los costos de actualizacin. La empresa migro de un gestor diferente debido a requerimientos especiales y peticiones de los clientes. El almacenamiento de las bases de datos es en un servidor dedicado a esa tarea donde los programadores son los encargados de disear la base de datos
Proyecto Final de Ingeniera de Software III
de
No se ha establecido un esquema de clasificacin (publica, confidencial, ultra secreta) para el acceso a la informacin gestionada en la base de datos.
3.3
Los datos estn guardados en un solo repositorio y el acceso se gestiona mediante roles y permisos de usuarios al momento de consultar esta informacin. La aplicacin de controles tales como acceso Solamente se aplica el control y encriptacin de archivos se aplica de de acceso a los datos. manera incompleta.
No se ha definido un proceso que evite la recuperacin no autorizada de informacin cuando esta ha sido dada de baja de manera lgica.
4.8
5.7
Solamente personal autorizado tiene acceso a esta informacin y para manipularla se necesita el permiso del DBA y su jefe inmediato, as como los motivos de la recuperacin de dichos datos. No existe seguimiento continuo en la El personal es llamado a documentacin que el personal maneja al mantener la confidencialidad momento en que estos (datos) deben ser de la informacin sensible. eliminados de forma lgica y fsica para evitar que sea legible para terceros. No se realizan pruebas de recuperacin de La red cuenta con un sistema los sistemas y archivos de datos desde los automtico que realiza una respaldos. copia de seguridad. En caso de recuperacin se accede a este sistema.
Proyecto Final de Ingeniera de Software III
Los medios que almacenan el respaldo de los Polticas de seguridad lgica datos de produccin se encuentran en la y control de acceso. misma ubicacin.
8. Recomendaciones
Nombre de la gua: Dominio DS (Entrega y dar soporte)/ DS11: Administracin de los Datos. Recomendacin (es) Realizar documentacin tcnica para la restauracin de los datos para futuras implementaciones
23. Cuentan los No operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? 25. Se borran los No archivos de los dispositivos de almacenamiento, cuando se desechan estos?
Borrar de manera segura los archivos de los dispositivos de almacenamiento cuando se desechan
PO2.3.1 Est establecido un esquema de clasificacin que se aplica en toda la empresa, basado en la criticidad y sensibilidad de los datos empresariales?
Nombre de la gua: Dominio DS (Entrega y dar soporte)/ DS11: Administracin de los Datos. Recomendacin (es) No Aplicable Una posible solucin seria crear una poltica de duracin de los archivos, tanto pblicos, como los de cada uno de los usuarios del repositorio de archivos, separndolos adems por prioridad, para saber cuales pueden ser eliminados y cuales no.
2.3 Se establecen planes de almacenamiento y vigencia administrativa para satisfacer los requerimientos legales, regulatorios y de negocio para todos los documentos, datos, archivos, programas, informes y mensajes as como para los datos usados para la encriptacin y autenticacin de los mismos?
No Aplicable
Todos los equipos de la empresa estn inventariados, pero no se verifica constantemente si falta algo, por ende se debera tomar una medida de revisin de los activos al menos una vez al mes
Malo
Dividir la informacin por rea, aunque estn en el mismo repositorio y poner perfiles de acceso para los diferentes tipos de archivo.
No Aplicable (No Crear un espacio fsico para existe una biblioteca almacenar los respaldos antiguos de cintas) Se pueden recuperar por las mismas polticas de la empresa. No se recomienda aplicar ningn cambio.
4.2) Tales Malo procedimientos garantizan que los datos marcados como eliminados no puedan ser recuperados?
10
4.6) Al dar de baja los listados u otros medios cuya informacin se clasifica como confidencial o sensible, son debidamente destruidos? 4.8) Existe control sobre el cumplimiento de la obligacin que tienen los empleados de no tirar a la basura informacin confidencial que puedan resultar legible para terceros? 4.9) En caso que la informacin manejada (o parte de ella) crtica, se utilizan mtodos de borrado seguro a la hora de eliminar los archivos que la contienen? 6.3) Es considerada la seguridad de los medios mientras son transportados?
Malo
No, no se destruyen fsicamente, podra adoptarse una poltica para destruir los medios luego de cierta cantidad de formateos.
Malo
Malo
Malo
6.6) Existen polticas, Malo procedimientos o controles para proteger el intercambio de informacin por medio del uso de la voz, del
Se deberan implementar filtros por los correos electrnicos para evitar enviar cdigos fuente fuera del dominio de la empresa.
11
6.21) Se verifica peridicamente que las rutinas de adquisicin de datos para incorporarlos al data Warehouse funcionan correctamente? 6.24) En caso de cambios en los formatos de los datos fuentes, se mantiene informacin dentro de los metadatas que permita compatibilizar en los resmenes e informaciones, sobre el mismo dato pero que histricamente pasa a tener distinto formato? 6.25) Existen controles tradicionales y software de correccin de errores para evitar errores de comunicaciones por fallas en la transmisin? 6.28) Se define un nivel de tolerancia en la cantidad total de errores en los atributos de datos considerados crticos, por perodo o por proceso?
Malo
No se contempla dado que la informacin que ingresa al data Warehouse lo hace solamente desde las aplicaciones, y queda bajo responsabilidad de terceros.
Malo
Esta medida se implementa con los cdigos de las aplicaciones pero no con los archivos, por lo que se recomienda implementarlo en el repositorio de archivos.
No Aplicable
Implementar procedimientos para corregir los errores en el envo de archivos, dejar respaldo de lo que se enve hasta que se compruebe que fue recibido correctamente.
No Aplicable
12
Utilizar otro local fsico para guardar los respaldos, o subir a la nube los respaldos, obviamente un servidor seguro y lo menos ajeno a la empresa posible.
13
14