INDICE

CONTENIDO No. Pág.
Introducción i
Auditoria de base de datos
Aspectos generales 1
¿Qué es la Auditoría de Base de Datos? 1
Importancia de la Auditoría en Base de Datos 2
Objetio de la Auditoría de Base de Datos !
Actiidades dudosas sobre la BD" #
$lani%icación de la Auditoría de Base de Datos &
'etodologías de la Auditoría de Base de Datos (
'etodología tradicional" (
'etodología de ealuación de riesgos (
)OBI* +
$rincipales objetios de control en el ciclo de ida de una
Base de datos 12
,studio preio - plan de trabajo 12
)oncepción de la base de datos - selección del e.uipo" 1&
Dise/o - carga 10
,1plotación - mantenimiento 1(
2eisión post3implementación 14
Otros procesos au1iliares 14
Auditoría - control interno en un entorno de base de datos 1+
*écnicas para el control de base de datos en un entorno complejo 21
)onclusiones 2#
2ecomendaciones 2&
Bibliogra%ía 20
INTRODUCCION
5iempre .ue 6ablamos de *ecnologías de la In%ormación7 tenemos .ue tener
presente .ue lo realmente importante para una organi8ación es su in%ormación"
$or la in%ormación es .ue la inersión en *ecnologías tiene sentido" $or eso7 la
Auditoría de las Bases de datos es importante7 por.ue son estos los depósitos en
los .ue la in%ormación de la organi8ación es almacenada"
9a eolución de las *ecnologías de la In%ormación en el :rea de Bases de Datos
6a eolucionado de depósitos con limitadas o ulnerables características de
seguridad e integridad a componentes .ue proeen altas características para
garanti8ar .ue los datos de una organi8ación son utili8ados para los %ines
autori8ados - :lidos7 .ue son accedidos solo por el personal debidamente
autori8ado - con las medidas de seguridad necesarias para eitar los ata.ues
e1ternos .ue cada e8 son m:s %recuentes"
)on este escenario pareciera .ue los datos est:n seguros si tenemos la
*ecnología de Bases de Datos de ;ltima generación - no tenemos nada de .ue
preocuparnos" ,so es totalmente %also por.ue pr:ctica nos demuestra .ue
siempre e1isten arios %actores .ue deben de eri%icarse cuando se trata de bases
de datos" 9a eri%icación independiente de un Auditor de BD a-uda a la Alta
<erencia a garanti8ar .ue la *ecnología de Bases de Datos est: siendo usada de
la mejor %orma posible - .ue no se 6an cometido acciones u omisiones .ue ponen
en riesgo la integridad - seguridad de nuestros datos"
i
AUDITORIA DE BASE DE DATOS
Aspectos generales
9os orígenes de las bases de datos se remontan a la Antig=edad donde -a
e1istían bibliotecas - toda clase de registros" Adem:s también se utili8aban para
recoger in%ormación sobre las cosec6as - censos"
,l término bases de datos %ue escuc6ado por primera e8 en un simposio
celebrado en )ali%ornia en 1+0!" ,l uso de las bases de datos se desarrolló a
partir de las necesidades de almacenar grandes cantidades de in%ormación o
datos" 5obre todo7 desde la aparición de las primeras computadoras7 el concepto
de bases de datos 6a estado siempre ligado a la in%orm:tica")on los aances de la
tecnología se llega a indicar .ue> una base de datos es de%inida como la
organi8ación sistem:tica de arc6ios de datos7 para %acilitar su acceso7
recuperación7 consulta - actuali8ación"
$or su parte7 un sistema de <estión de Bases de datos es un tipo de so%t?are mu-
especí%ico dedicado a serir de inter%a8 entre la base de datos7 el usuario - las
aplicaciones .ue la utili8an@ o lo .ue es lo mismo7 una agrupación de programas
.ue siren para de%inir7 construir - manipular una base de datos7 permitiendo así
almacenar - posteriormente acceder a los datos de %orma r:pida - estructurada"
¿Qué es la Au!tor"a e Base e Datos#
9a auditoría de base de datos es el proceso .ue permite medir7 asegurar7
demostrar7 monitorear - registrar los accesos a la in%ormación almacenada en las
bases de datos7 de actuali8ación7 de integridad - calidad de los datos inclu-endo
la capacidad de determinar>
Quien tiene acceso a los datos
)u:ndo - .uién accedió a los datos
Desde .ue tipo de dispositioAaplicación se accedió a los datos
1
Desde .ue ubicación en la red se accedió a los datos
)u:l %ue la sentencia 5Q9 ejecutada
)ual %ue el e%ecto del acceso a la base de datos
9a gran di%usión de los sistemas de gestión de bases de datos B5<BDC7 junto con
la relación de los datos como uno de los recursos %undamentales de las empresas7
6a 6ec6o .ue los temas relatios a su control interno - auditoría cobren cada día
ma-or interés"
,l lenguaje de consulta estructurado o 5Q9 Bpor sus siglas en inglés 5tructured
Quer- 9anguageC es un lenguaje declaratio de acceso a bases de datos
relacionales .ue permite especi%icar diersos tipos de operaciones en ellas" Dna
de sus características es el manejo del :lgebra - el c:lculo racional .ue permiten
e%ectuar consultas con el %in de recuperar de %orma sencilla in%ormación de interés
de bases de datos7 así como 6acer cambios en ella"
Aplicación de la Auditoría de Base de Datos
9a auditoría de base de datos se aplica de dos %ormas distintas@ por un lado7 se
auditan las principales :reas del departamento de in%orm:tica> e1plotación7
dirección7 metodología de desarrollo7 sistema operatio7 telecomunicaciones7
bases de datos7 etc"7 - por el otro7 se auditan las aplicaciones Bdesarrolladas
internamente7 subcontratadas o ad.uiridasC .ue %uncionan en la empresa" 9a
importancia de la auditoría del entorno de bases de datos radica en .ue es el
punto de partida para poder reali8ar la auditoría de las aplicaciones .ue utili8an
esta metodología"
I$portanc!a e la Au!tor"a en Base e Datos
1" *oda la in%ormación %inanciera de la organi8ación reside en bases de
datos - deben e1istir controles relacionados con el acceso a las mismas"
2
2" 5e debe poder demostrar la integridad de la in%ormación almacenada en
las bases de datos"
9as organi8aciones deben mitigar los riesgos asociados a la pérdida de datos - a
la %uga de in%ormación"9a in%ormación con%idencial de los clientes7 son
responsabilidad de las organi8aciones"
9os datos conertidos en in%ormación a traés de bases de datos - procesos de
negocios representan el negocio"9as organi8aciones deben tomar medidas muc6o
m:s all: de asegurar sus datos"
O%&et!'o e la Au!tor"a e Base e Datos
9os objetios de la reali8ación de una auditoria de Base de Datos arían
dependiendo de las necesidades de la empresa tanto como la cantidad - el tipo de
in%ormación .ue se maneja"
Objetios $rincipales>
,l objetio principal sobre el .ue gira una auditoria de Base de Datos es la
ealuación del sistema gestor de base de datos B5<BDC7 su administración7
seguridad7 con%idencialidad7 uso de los datos7 los controles de acceso7 de
actuali8ación7 de integridad - calidad de los datos"
,n cumplimiento del objetio principal se debe tener en cuenta los siguientes
aspectos7 como son>
<aranti8ar la integridad de la in%ormación almacenada en la Base de Datos BBDC
mediante la detección7 recopilación7 an:lisis de todos los registros pertinentes a la
base de Datos para determinar>
!
Act!'!aes uosas so%re la BD.
• 2ecopilación de in%ormación acerca de actiidades especí%icas de la BD"
• 2ecopilación de estadísticas sobre .ué tablas actuali8adas7 cantidad de
usuarios conectados concurrentemente"
• 2ecopilación de inerosimilitudes en los datos BDe esta manera se pueden
detectar errores en la base de datosC
• 2ecopilar los errores por pérdida de in%ormación B,stos %allos son m:s
%:ciles de detectar - preenirC"
Disponer de mecanismos .ue permitan tener pistas de auditoría completas -
autom:ticas relacionadas con el acceso a las bases de datos inclu-endo la
capacidad de generar alertas con el objetio de>
'itigar los riesgos asociados con el manejo inadecuado de los datos
Apo-ar el cumplimiento regulatorio
5atis%acer los re.uerimientos de los auditores
,itar acciones criminales
,itar multas por incumplimiento
2eisión de aspectos del ambiente donde se desenuele - se utili8a la base de
datos7 como el personal7 derec6os - accesos"
Determinar la capacidad del personal .ue administra el 5<BD
,aluar la delimitación de roles del personal in%orm:tico
,aluar la seguridad lógica - %ísica de los datos
,aluar el dise/o - estructura de los datos
,aluar los nieles de acceso
,aluar los procedimientos de respaldo de in%ormación
,aluar los planes de contingencia
,aluar la integridad de los datos
,aluar la con%iabilidad de los datos
#
,aluar la con%idencialidad de los datos
Anali8ar la carga de datos
Determinar la eracidad de la in%ormación contenida en el 5<BD
Plan!(!cac!)n e la Au!tor"a e Base e Datos
$lani%icación preia>
Identi%icación de los recursos - destre8as .ue se necesitan para reali8ar el trabajo
así como las %uentes de in%ormación para pruebas o reisión - lugares %ísicos o
instalaciones donde se a a auditar"
Identi%icación de todas las bases de Datos de la organi8ación7 clasi%icando los
nieles de riesgo7 anali8ar los permisos de acceso de los usuarios7 controles de
acceso e1istentes7 se establecen los modelos de auditoría a utili8ar - su aplicación
a cada usuario"
$asos>
2ecopilación de datos"
Identi%icación de lista de personas a entreistar"
Identi%icación - selección del en%o.ue del trabajo
Identi%icación - obtención de políticas7 normas - directias"
Desarrollo de 6erramientas - metodología para probar - eri%icar los
controles e1istentes"
*ipos de procedimientos>
$rocedimientos para ealuar los resultados de las pruebas - reisiones"
$rocedimientos de comunicación con la gerencia"
$rocedimientos de seguimiento"
,l programa de auditoría se conierte en una guía para documentar los diersos
pasos de auditoria - para se/alar la ubicación del material de eidencia"
&
5eg;n el programa de Auditoria"
,l Dise/o de $ruebas de Auditoria constitu-e la base para determinar la
naturale8a - e1tensión de las pruebas de auditoria .ue deban e%ectuarse" 9as
pruebas de Auditoria como se sabe son de dos tipos De cumplimiento -
5ustantias7 buscan obtener eidencia de .ue los controles establecidos e1isten
en realidad7 - se utili8an - ejecutan correctamente"
$or ejemplo@ ,l modo en .ue se eri%ico cada respuesta de los cuestionarios7 debe
ser incluido en los )6ecElist
Aplicación> Falidación positia 5Q9 $arametri8ado"
Dato> )i%rado de columnas )ód Itegridad
,s.uema Gísico> Gic6ero de Datos BDataGileC particiones7
)ontroles del 5istema Operatio"
1
,s.uema 9ógico> Objetos de Base de datos7 Auditoria de
Base de Datos@ ,liminación de objetos
innecesarios"
)uentas7 2oles7 $ermisos> Auditoria de Base de Datos7 $rincipio de
mínimo priilegio" 2eocatoria de
cuentas - priilegios"
'otor de Base de Datos> ,liminar sericios innecesarios7 parc6es7
actuali8aciones7 eri%icación de
Integridad7 ci%rado de comunicaciones7
protección de utilidades"
5"O 2ed HI> Giltrado de $uertos7 autenticación de I$7
I$ 5ec"7 usuario no priilegiado"
1
Los fcheros de datos o fcheros informáticos o comúnmente denominados archivos
representan el soporte en el cual se almacena la información. Un sistema operativo
(SO) es un conjunto de proramas !ue estionan los recursos de hard"are# creando un
interfa$ entre el usuario % el ordenador.
0
*etoolog"as e la Au!tor"a e Base e Datos
Aun.uee1isten distintas metodologías .ue se aplican en auditoria
in%orm:ticaBpr:cticamente cada %irma de auditores - cada empresa desarrolla la
su-apropiaC7 se pueden agrupar en las siguientes clases>
*etoolog"a tra!c!onal. ,n este tipo de metodología el auditor reisa elentorno
con la a-uda de una lista de control Bc6ecElistC7 .ue consta de una serie de
cuestiones a eri%icar" $or ejemplo>
¿,1iste una metodología de Dise/o de Base de Datos? 5 J JA
B5 es si7 J no - JA no aplicableC7 debiendo registrar el auditor el resultado de su
inestigación"
9a ealuación consiste en identi%icar la e1istencia de unos controles establecidos"
9as listas de control suelen utili8arse por los auditores7 generalmente por auditores
con poca e1periencia7 como una guía de re%erencia7 para asegurar .ue se 6an
reisado todos los controles"
*etoolog"a e e'aluac!)n e r!esgos.
5e debe comen8ar por %ijar los objetios de control .ue minimi8an los riesgos
potenciales7 los riesgos m:s importantes son>
• Impacto de errores e1ternos en datos - programas"
• Incremento de la KdependenciaL del sericio in%orm:tico debido a la
concentración de datos
• 'a-ores posibilidades de acceso en la %igura del administrador dela base
de datos
• Incompatibilidad entre sistemas de seguridad de acceso propios del 5<BD
- el general de la instalación"
(
• Impacto por acceso no autori8ado a los datos"
• Dependencia de personas con alto conocimiento técnico
• Accesos no restringidos en la %igura del DBA"
2
• Incompatibilidades entre el sistema de seguridad de accesos del 5'BD - el
general de instalación"
!
• Impactos de los errores en Datos - programas"
• 2upturas de enlaces o cadenas por %allos del 5o%t?are"
)onsiderando estos riesgos7 se podría de%inir un o%&et!'o e control.ue puede
llear asociadas arias técn!cas .ue permiten cubrirlo en su totalidad" ,stas
técnicas pueden ser preentias7 detectias Bcomo monitori8ar la BDC o correctias
Bpor ejemplo7 una copia de respaldo o bacEupC"
$ruebas de cumplimiento>
,n caso de .ue los controles e1istan7 se dise/an unas pruebas Bdenominada
pruebas de cumplimientoC .ue permiten eri%icar la consistencia de los mismos"
$or ejemplo> 9istar los priilegios - per%iles e1istentes en el 5<BD" 5i estas
pruebas detectan inconsistencias en los controles7 o bien7 si los controles no
e1isten7 se pasa a dise/ar otro tipo de pruebas M denominadas pruebas
sustantias 3 .ue permitan dimensionar el impacto de estas de%iciencias"
$rueba sustantia> )omprobar si la in%ormación 6a sido corrompida compar:ndola
con otra %uente o reisando los documentos de entrada de datos - las
transacciones .ue se 6an ejecutado" Dna e8 alorados los resultados de las
pruebas se obtienen conclusiones .ue ser:n comentadas - discutidas con los
responsables directos de las :reas a%ectadas con el %in de corroborar los
resultados"
&
'() (de*átase )ccess) se refere al acceso a *ase de datos informáticos o al
administrador de la *ase de datos.
+
Sistema manejador de *ase de datos o sistema de *ase de datos (S,(')- es una
aplicación o aplicaciones !ue permiten el adecuado funcionamiento % manipulación de
datos en la *ase. La ma%or.a están proramados *ajo el lenuaje S/L
4
$or ;ltimo7 el auditor deber: emitir una serie de comentarios donde se describa la
situación7 el riesgo e1istente - la de%iciencia a solucionar7 - en su caso7 sugerir: la
posible solución" ,sta ser: la técnica a utili8ar para auditor el entorno general de
un sistema de bases de datos7 tanto en su desarrollo como durante la e1plotación"
Otras $ruebas .ue se pueden utili8ar>
$ruebas de detalles de transacciones - saldos7 por ejemplo7 el uso de so%t?are de
auditoria para recalcular los intereses o la e1tracción de %acturas por encima de un
cierto alor de los registros de computadora@
$rocedimientos analíticos7 por ejemplo7 identi%icar inconsistencias o %luctuaciones
importantes"
$ruebas de controles generales7 por ejemplo7 pruebas de la instalación o
con%iguración del sistema operatio o procedimientos de acceso a las bibliotecas
de programas o el uso de so%t?are de comparación de códigos para eri%icar .ue
la ersión del programa en uso es la ersión aprobada por la administración@
'uestreo de programas para e1traer datos para pruebas de auditoria@
$ruebas de controles de aplicación7 por ejemplo7 pruebas del %uncionamiento de
un control programado@ -
2e6acer c:lculos reali8ados por los sistemas de contabilidad de la entidad"
COBIT+
,s una guía de mejores pr:cticas dirigida a la gestión de tecnología de la
in%ormación B*IC" 'antenido por I5A)A BIn%ormation 5-stems Audit and )ontrol
AssociationC - el I* <oernance Institute BI*<IC7 tiene una serie de recursos .ue
pueden serir de modelo de re%erencia para la gestión de *I7 inclu-endo un
+
resumen ejecutio7 objetios de control7 mapas de auditoría7 6erramientas para su
implementación - principalmente7 una guía de técnicas de gestión7 permitiendo
.ue los negocios se alineen con la tecnología de la in%ormación para así alcan8ar
los mejores resultados"
)obi* es un marco de re%erencia - un juego de 6erramientas de soporte .ue
permiten a la gerencia cerrar la brec6a con respecto a los re.uerimientos de
control7 temas técnicos - riesgos de negocio7 - comunicar ese niel de control a
los participantes" )obi* permite el desarrollo de políticas claras - de buenas
pr:cticas para el control de *I por parte de las empresas" )obi* constantemente
se actuali8a - armoni8a con otros est:ndares7 por lo tanto7 )obi* se 6a conertido
en el integrador de las mejores pr:cticas de *I - el marco de re%erencia general
para el gobierno de *I .ue a-uda a comprender - administrar los riesgos -
bene%icios asociados con *I"
9a estructura de procesos de )obi* - su en%o.ue de alto niel orientado al negocio
brindan una isión completa de *I - de las decisiones a tomar"
9os Objetios de )ontrol para la In%ormación - la *ecnología relacionada B)obi*C
brindan buenas pr:cticas a traés de un marco de trabajo de dominios - procesos7
- presenta las actiidades en una estructura manejable - lógica" 9as buenas
pr:cticas de )obi* est:n en%ocadas %uertemente en el control - menos en la
ejecución" ,stas pr:cticas a-udar:n a optimi8ar las inersiones %acilitadas por la
*I7 asegurar:n la entrega del sericio - brindar:n un patrón de medición con el
cual se podr: cali%icar cuando las cosas no a-an bien" $ara .ue la *I tenga é1ito
en satis%acer los re.uerimientos del negocio7 la dirección empresarial debe
implantar un sistema de control interno o un marco de trabajo"
,l marco de trabajo de control )obi* contribu-e a estas necesidades de la
siguiente manera>
,stableciendo un ínculo con los re.uerimientos del negocio
1N
Organi8ando las actiidades de *I en un modelo de procesos
Identi%icando los principales recursos de *I
De%iniendo los objetios de control gerenciales"
9a orientación al negocio .ue reali8a )obi* consiste en incular las metas del
negocio con las metas de *I7 brindando métricas - modelos de madure8 para
medir los logros7 e identi%icando las responsabilidades asociadas de los
propietarios de los procesos de negocio - de *I" ,l en%o.ue 6acia procesos de
)OBI* se ilustra con un modelo de procesos7 el cual subdiide *I en !# procesos
de acuerdo a las responsabilidades de planear7 construir7 ejecutar - monitorear@ de
esta manera7 se o%rece una isión de punta a punta de la *I" ,l concepto de
ar.uitectura empresarial a-uda a identi%icar a.uellos recursos esenciales para el
é1ito de los procesos7 es decir7 aplicaciones7 in%ormación7 in%raestructura -
personas" ,n resumen7 para proporcionar la in%ormación .ue la empresa necesita
de acuerdo a sus objetios7 los recursos de *I deben ser administrados por un
conjunto de procesos agrupados de %orma natural"
11
'etas - métricas de los procesos de *I para de%inir - medir sus resultados - su
desempe/o" Basados en los principios de balanced business 5corecard de 2obert
Oaplan - Daid Jorton
Pr!nc!pales o%&et!'os e control en el c!clo e '!a e una
Base e atos
Estu!o pre'!o , plan e tra%a&o.
,n esta primera %ase7 es mu- importante elaborar un estudio tecnológico de
iabilidad en el cual se contemplen distintas alternatias para alcan8ar los
objetios del pro-ecto acompa/ados de un an:lisis de costo3bene%icio para cada
una de las opciones" 5e debe considerar entre estas alternatias la posibilidad de
no llear a cabo el pro-ecto Bno siempre est: justi%icada la implementación de un
sistema de base de datosC así como la dis-untia entre desarrollar - comprar Ben
la pr:ctica7 a eces encontramos con .ue se 6a desarrollado una aplicación .ue
-a e1istía en mercados7 cu-a compra 6ubiese supuesto un riesgo menor7
asegur:ndonos incluso una ma-or cantidad a un precio in%eriorC"
Desdic6adamente7 en bastantes empresas este estudio de iabilidad no se llea a
cabo con el rigor necesario7 con lo .ue a medida .ue se an desarrollando7 los
sistemas demuestran ser poco rentables" ,l auditor debe comprobar también .ue
12
la alta dirección reisa los in%ormes de los estudios de iabilidad - .ue es la .ue
decide seguir adelante o no con el pro-ecto" ,sto es %undamental por.ue los
técnicos .ue 6an de tener en cuenta .ue si no e1iste una decidida oluntad de la
organi8ación en su conjunto7 impulsada por losdirectios7 aumenta
considerablemente el riesgo de %racasar en la implementación de sistema" ,n caso
de .ue se decida llear a cabo el pro-ectoes %undamental .ue se estable8ca un
plan director7 debiendo el auditor eri%icar .ue e%ectiamente dic6o plan se emplea
para el seguimiento - gestión del pro-ecto - .ue cumple con los procedimientos
generales de gestión de pro-ectos .ue tengan aprobados la organi8ación"
Otro aspecto importante en esta %ase es la aprobación de la estructura org:nica
del pro-ecto en particular7 sino también de la unidad .ue tendr: la responsabilidad
de la gestión - control de la base de datos@ recordemos .ue7 para .ue un entorno
de base de datos %uncione debidamente7 esta unidad es imprescindible"
*areas del administrador de datos>
• 2eali8ar el dise/o conceptual - lógico de la base de datos
• Apo-ar al personal de sistemas durante el desarrollo deaplicaciones
• Gormar al personal
• ,stablecer est:ndares de dise/o de la BD de desarrollo - contenidodel
diccionario de datos
• Desarrollar políticas de gestión de datos
• Desarrollar planes estratégicos - t:cticos para la manipulación delos datos
• Desarrollar los re.uisitos de los elementos del diccionario de datos
• Desarrollar normas para la denominación
• )ontrolar la integridad - seguridad de los datos
• $lani%icar la eolución de la BD de la empresa
• Identi%icar oportunidades de compartición de datos
• *rabajar con los auditores en la auditoria de la base de datos"
1!
• $roporcionar controles de seguridad
• 2eali8ar el dise/o %ísico de la BD"
• Asesorar en la ad.uisición de HI - 5I
• 5oportar el 5<BD
• 2esoler problemas del 5<BD - del so%t?are asociado
• 'onitori8ar el rendimiento del 5<BD
• A-udar en el desarrollo de planes .ue aseguren la capacidad HI
• Asegurar la integridad de los datos7 comprobando .ue seimplantan los
controles adecuados
• Asegurar la seguridad - con%idencialidad
• $roporcionar %acilidades de prueba
• Integrar pa.uetes7 procedimientos7 utilidades7 etc" De soporte parael 5<JD
• Desarrollar est:ndares7 procedimientos - documentarlos
A la 6ora de detallar las responsabilidades de estas %unciones 6a- .ue tener
encuenta uno de los principios %undamentales del control interno> la separaciónde
%unciones" 5e recomienda una separación de %unciones entre>
3 ,l personal de desarrollo de sistemas - el de e1plotación
3 ,1plotación - control de datos
3 Administración de base de datos - desarrollo
Debería e1istir también una separación de %unciones entre el administrador
deseguridad - el administrador de la base de datos" ,sto no .uiere decir .ueestas
tareas tengan %or8osamente .ue desempe/arlas personas distintas Blo.ue no sería
iable en muc6as - pe.ue/as - medianas empresasC pero sí .uees un aspecto
importante de control a considerar7 por lo .ue en caso de .ue nopueda lograrse la
separación de %unciones7 deber:n establecerse controlescompensatorios o
alternatios> como7 por ejemplo7 una ma-or atención de ladirección - la
comprobación por parte de alg;n usuario del contenido - de lassalidas m:s
importantes producidas a partir de la BD"
1#
9a situación .ue el auditor encuentra normalmente en las empresas es .ue alno
e1istir una descripción detallada de los puestos de trabajo B.ue
inclu-anresponsabilidades7 conocimientos7 etc"C7 la separación de %unciones es
mu-di%ícil de eri%icar"
Concepc!)n e la %ase e atos , selecc!)n el e-u!po.
,n esta %ase se empie8a a dise/ar la base de datos" 9a metodología de
dise/odebería también emplearse para especi%icar los documentos %uentes7
losmecanismos de control7 las características de seguridad - las pistas deauditoria
a incluir en el sistema7 estos ;ltimos aspectos generalmente sedescuidan7 lo .ue
produce ma-ores costos - problemas cuando se .uierenincorporar una e8
concluida la implementación de la base de datos - laprogramación de las
aplicaciones"
,l auditor debe por tanto7 en primer lugar7anali8ar la metodología de dise/o con el
%in de determinar si es o no aceptable7- luego comprobar su correcta utili8ación"
)omo mínimo7 una metodología dedise/o de BD debería contemplar dos %ases de
dise/o> lógico - %ísico7 aun.uela ma-oría de las empleadas en la actualidad
contempla ! %ases> adem:s de lasdos anteriores7 una %ase preia de dise/o
conceptual .ue sería abordada eneste momento del ciclo de ida de la base de
datos"
Dn punto importante a considerar son los objetios de control relatios a>
• 'odelo de ar.uitectura de in%ormación - su actuali8ación7 .ue esnecesaria
para mantener el modelo consistente con las necesidades delos usuarios -
con el plan estratégico de tecnologías de la in%ormación
• Datos - diccionario de datos corporatio
• ,s.uema de clasi%icación de datos en cuanto a seguridad
• Jieles de seguridad para cada anterior clasi%icación de datos
1&
,n cuanto a la selección del e.uipo7 en caso de .ue la empresa no disponga -ade
uno7 deber: reali8arse utili8ando procedimiento riguroso@ en el .ue seconsidere
por un lado7 las necesidades de la empresa BdebidamenteponderadasC -7 por otro7
las prestaciones .ue o%recen los distintos 5<BDcandidatos Bpuntuados de manera
oportunaC"
D!se.o , carga
,n esta %ase se llear:n a cabo los dise/os lógico - %ísico de la base de datos7 por
lo .ue el auditor tendr: .ue e1aminar si estos dise/os se 6an reali8ado
correctamente> determinando si la de%inición de datos contemplan adem:s de su
estructura7 las asociaciones - las restricciones oportunas7 así como las
especi%icaciones de almacenamiento de datos - las cuestiones relatias a la
seguridad"
,l auditor tendr: .ue tomar una muestra de ciertos elementos Btablas7 istas7
índicesC - comprobar .ue su de%inición es completa7 .ue 6a sido aprobada por el
usuario - .ue el administrador de la base de datos participó en su establecimiento"
,s importante .ue la dirección del departamento de in%orm:tica7 los usuarios e
incluso7 en algunas ocasiones7 la alta dirección7 aprueben el dise/o de los datos7
al igual .ue el de las aplicaciones"
Dna e8 dise/ada una BD se proceder: a su carga7 -a sea migrando datos de un
soporte magnético o introduciéndolos manualmente" 9as migraciones o
conersiones de sistemas7 con el paso de un sistema de %ic6eros a uno de base
de datos7 o de un tipo de 5<BD Bde jer:r.uico a racionalC7 entra/an un riesgo mu-
importante7 por lo .ue deber:n estar claramente plani%icadas para eitar pérdida
de in%ormación - la transmisión al nueo sistema de datos erróneos"
*ambién se deber:n reali8ar pruebas en paralelo7 eri%icando .ue la decisión real
de dar por terminada la prueba en paralelo7 atienda a los criterios establecidos por
10
la dirección - .ue se 6a-a aplicado un control estricto de la corrección de errores
detectados en esta %ase"
$or lo .ue respecta a la entrada manual de datos7 6a- .ue establecer un conjunto
de controles .ue aseguren la integridad de los mismos" A este respecto7 cabe
destacar .ue las declaraciones escritas de procedimientos de la organi8ación
re%erentes a la entrega de datos a ser procesados deben asegurar .ue los datosse
autori8an7 recopilan7 preparan7 transmiten - se comprueba su integridad de %orma
apropiada" *ambién es aconsejable .ue los procedimientos - el dise/o de los
documentos %uentes minimicen los errores - las omisiones7 así como el
establecimiento de procedimientos de autori8ación de datos" Dn aspecto mu-
importante es el tratamiento de datos de entrada erróneos7 para los .ue deben
cuidarse con atención los procedimientos de reintroducción de %orma .ue
nodisminu-an los controles@ a este respecto lo ideal es .ue los datos se aliden -
corrijan tan cerca del punto de origen como sea posible"
E/plotac!)n , $anten!$!ento.
Dna e8 reali8adas las pruebas de aceptación7 con la participación de losusuarios7
el sistema se pondr: Bmediante las correspondientes autori8aciones -siguiendo los
procedimientos establecidos para elloC en e1plotación" ,n esta%ase7 se debe
comprobar .ue se establecen los procedimientos de e1plotación- mantenimiento
.ue aseguren .ue los datos se tratan de %orma congruente -e1acta - .ue el
contenido de los sistemas sólo se modi%ica mediante laautori8ación adecuada"
5ería coneniente también .ue el auditor pudiera lleara cabo una auditoria sobre
el rendimiento del 5istema de BD7 comprobando sise llea a cabo un proceso de
ajuste - optimi8ación adecuados .ue no sóloconsiste en el redise/o %ísico o lógico
de la BD7 sino .ue también abarca ciertospar:metros del 5O e incluso la %orma en
.ue acceden las transacciones a la BD"2ecordemos .ue la K%unción de
administración de la base de datos debeser la responsable de monitori8ar el
rendimiento - la integridad de lossistemas de BDL"
1(
Re'!s!)n post0!$ple$entac!)n.
Aun.ue en bastantes organi8aciones no se llea a cabo por un problemaespecial
de K)O5*O GIJAJ)I,2OL7 también por %alta de tiempo - recursos6umanos7 se
debería establecer el desarrollo de un plan para e%ectuar unareisión post3
implementación de todo sistema nueo o modi%icado con el %in de ealuar si>
• 5e 6an conseguido los resultados esperados
• 5e satis%acen las necesidades de los usuarios
• 9os costos - bene%icios coinciden con lo preisto
Otros procesos au/!l!ares
A lo largo de todo el ciclo de ida de la base de datos se deber: controlar la
in%ormación .ue precisan tanto los usuarios in%ormatios Badministradores7
analistas7programadores7 etc"C como no in%orm:ticos7 -a .ue la in%ormación es una
de lasclaes para minimi8ar el riesgo en la implantación de una base de datos"
,sta %ormación no se puede basar simplemente en cursos sobre el producto.ue se
est: instalando7 sino .ue suele ser precisa una in%ormación de base .ueresulta
imprescindible cuando@ se pasa de trabajar en un entorno de %ic6erosorientado al
proceso a un entorno de base de datos7 por lo .ue supone de Kcambio%ilosó%icoL@ lo
mismo puede decirse si se cambia de tipo de 5<BD Bpor ejemplo7 derelacional a
orientado a objetosC"
Ha- .ue tener en cuenta .ue usuarios poco %ormados constitu-en unos de
lospeligros m:s importantes de un sistema" ,sta %ormación no debería limitarse al
:reade bases de datos7 sino .ue tendría .ue ser complementada con %ormación
relatiaa los conceptos de control - seguridad"Adem:s el auditor tendr: .ue
reisar la documentación .ue se produce a lolargo de todo el proceso7 para
eri%icar si es su%iciente - si se ajusta a los est:ndaresestablecidos por la
metodología adoptada en la empresa"
14
A este respecto resulta mu- importante .ue se 6a-a lleado a cabo un
aseguramiento de calidad aun.ue lo ideal sería .ue en la propia empresae1istiera
un grupo de calidad .ue se encargar:7 entre otras cosas7 de asegurar lacalidad de
los dise/os de bases de datos" ,s cierto .ue e1isten pocas KmedidasL decalidad
para una base de datos@ de todas maneras7 6a- ciertas técnicas
bastantedi%undidas .ue se pueden aplicar a una base de datos como es la teoría
de lanormali8ación
Au!tor"a , control !nterno en un entorno e %ase e atos
)uando el auditor7 se encuentra en el sistema en e1plotación7 deber: estudiar el
5<BD - su entorno"
1+
S!ste$a e 1est!)n e %ase e atos
,ntre los componentes del 5<BD podemos destacar el n;cleo BOernelC7 el
catalogo Bcomponente %undamental para asegurar la seguridad de la base de
datosC7las utilidades para el administrador de la base de datos Bentre la .ue se
pueden encontrar algunas para crear usuario7 conceder priilegios - resoler
otrascuestiones relatias a la con%idencialidadC@ las .ue se encargan de la
recuperación de la BD> re arran.ue7 copias de respaldo7 %ic6eros diarios7 etc" P
algunas %unciones de auditoría7 así como los lenguajes de la cuarta generación
B9#<C .ue incorpora el propio 5<BD
So(t2are De Au!tor"a+
5on pa.uetes .ue pueden emplearse para %acilitar la labor del auditor7 en cuanto a
la e1tracción de datos de la base de datos7 el seguimiento de las transacciones7
datos de prueba7 etc" Ha- también productos .ue permiten cuadrar datos de
di%erentes entornos permitiendo reali8ar una erdadera Kauditoría del datoL"
S!ste$a De *on!tor!3ac!)n , A&uste 4Tunn!ng5+
,ste tipo de sistema complementan las %acilidades o%recidas por el propio 5'BD7
o%reciendo ma-or in%ormación para optimi8ar el sistema7 llegando a ser en
determinadas ocasiones erdaderos sistemas e1pertos .ue proporcionan la
estructura óptima de la base de datos - de ciertos par:metros del 5'BD - del 5O"
S!ste$as Operat!'os+
,l 5istema Operatio es una pie8a clae del entorno7 puesto .ue el 5'BD se
apo-ar:7 en ma-or o menor medida Bseg;n se trate de un 5'BD dependiente o
independienteC en los sericios .ue le o%re8ca@ eso en cuanto a control de
memoria7 gestión de :reas de almacenamiento intermedio Bbu%%ersC7 manejo de
errores7 control de con%idencialidad7 mecanismo de interblo.ueo7 etc"
2N
*on!tor De Transacc!ones+
Algunos autores lo inclu-en dentro del propio 5'BD7 pero actualmente7 puede
considerarse un elemento m:s del entorno con responsabilidades de
con%idencialidad - rendimiento"
Protocolos , S!ste$as D!str!%u!os+
)ada e8 m:s se est: accediendo a las bases de datos a traés de redes7 con lo
.ue el riesgo de iolación de la con%idencialidad e integridad se acent;a" *ambién
las bases de datos distribuidas pueden presentar graes riesgos de seguridad"
,n este sentido7 se debe controlar la distribución de los datos a traés de una
%unción de administración de datos .ue estable8ca est:ndares generales para esta
distribución" *ambién7 deben e1istir pistas de auditoría7 para todas las actiidades
reali8adas por las aplicaciones en las bases de datos"
Pa-uetes e Segur!a+
,1isten en el mercado arios productos .ue permiten la implantación e%ectia de
una política de seguridad7 puesto .ue centrali8an el control de accesos7 la
de%inición de priilegios7 per%iles de usuarios7 etc"
Dn grae inconeniente de este tipo de so%t?are es .ue a eces no se encuentra
bien integrado con el 5'BD Bsistema de base de datosC7 pudiendo resultar poco
;til su implantación si los usuarios pueden KsaltarseL los controles a traés del
propio 5'BD"
Técn!cas para el control e %ase e atos en un entorno co$ple&o
9a dirección de la empresa tiene la responsabilidad %undamental de coordinar los
distintos elementos - la aplicaciónconsistente de los controles de seguridad" $ara
esta labor se debe %ijar claramente las responsabilidades sobre los di%erentes
componentes7 utili8ando in%ormes de e1cepción e%ectios .ue permitan monitori8ar
21
los controles7 establecerprocedimientos adecuados7 implantar una gestión rigurosa
de la con%iguración delsistema7 etc" )uando el auditor se en%renta a un entorno de
este tipo7 puede emplear7 entreotras7 dos técnicas de control>
*atr!ces e control
9os controles se clasi%ican7 como puede obserarse7 en detectios7 preentios
-correctios.
Anál!s!s e los ca$!nos e acceso
)on esta técnica se documentan el %lujo7 almacenamiento - procesamiento de los
datos en todas las %ases por las .ue pasan desde el mismo momento en .ue
seintroducen7 identi%icando los componentes del sistema .ue atraiesan
Btanto6ard?are como so%t?areC - los controles asociados
22
)on este marco7 el auditor puede identi%icar las debilidades .ue e1ponganlosdatos
a riesgos de integridad7 con%idencialidad - seguridad7 las distintas inter%aces entre
componentes - la compleción de los controles"
,n la pr:ctica se suelen utili8ar conjuntamente ambas técnicas7 si bien la del
an:lisis de caminos de acceso re.uiere unos ma-ores conocimientos técnicos - se
emplea en sistema m:s complejos
2!
CONC6USION
9as bases de datos son el punto de almacenamiento de la in%ormación de las
transacciones - operaciones .ue reali8a de una empresa u organi8ación7 6o- en
día es de ital importancia para las empresas modernas con isión de %uturo7
por.ue si no se preé los mecanismos de control7 seguridad - respaldo de la
in%ormación se er: sumida a riesgos lógicos7 %ísicos - 6umanos7 .ue conlleen a
%raudes o perdida de in%ormación aliosa7 lo cual representa situaciones
des%aorables para la entidad7 por lo mismo .ue se re.uiere .ue la Base de Datos
sea adecuadamente manejada - .ue contengan controles de gestión .ue
garanticen la seguridad7 integridad - calidad de la in%ormación"
9a auditoría de base de datos en su conte1to tiene como objetio principal la
ealuación del 5istema <estor de Base de Datos7 tanto como su administración7
con%idencialidad7 controles de acceso7 etc" .ue le permitir: al auditor detectar
de%iciencias en el manejo - controles implementados en la administración de la
in%ormación7 para lo cual se emite in%orme sobre la integridad7 seguridad - calidad
de los datos7 así como los riesgos a los .ue est: e1puesto - los controles a
implementar para minimi8arlos"
9a auditoría de base de datos es de suma importancia para la innoación -
detección de las posibles de%iciencias .ue puede tener una empresa -a .ue al
tener toda la in%ormación debidamente almacenada - ordenada es m:s %:cil poder
detectar cual.uier tipo de de%iciencia en controles de seguridad7 procedimientos7
así mismo es importante tener bien de%inido .ue personas tienen acceso a cierto
2#
tipo de in%ormación - con esto se puede asignar m:s %:cil responsabilidades sobre
dic6a in%ormación"
RECO*ENDACIONES
1" Dentro de las medidas de seguridad .ue toda empresa debe tener es
indispensable el limitar accesos a la in%ormación por cual.uier usuario - las
consultas o modi%icaciones a los datos deben ser autori8adas
2" 5e recomienda resguardar la in%ormación con copias de seguridad o
BacEup7 en un periodo de tiempo ra8onable - almacenarlo en un dispositio
e1terno o independiente del centro de cómputo gestor de la base de datos7
esto con el %in de salaguardar la in%ormación ante cual.uier riesgo de
pérdida de datos o minimi8ar el impacto .ue pueda causar cual.uier
eento .ue amenace la in%ormación"
!" ,s necesario para la empresa mitigar los riesgos asociados a la perdida de
datos7 %uga de in%ormación7 resguardo de la in%ormación de los clientes7 a
traés de una buena Auditoria de Base de Datos" Pa .ue su objetio
principal es la ealuación del sistema gestor de base de datos7 su
administración7 seguridad7 con%idencialidad7 uso de los datos7 los controles
de acceso7 de actuali8ación7 de integridad - calidad de los datos"
2&
BIB6IO1RA7IA
• $iattini Feit6uis7 '" <" - del $eso Jaarro7 ," 2NN1" Auditoría In%orm:tica>
un en%o.ue pr:ctico" 2Q edición" 'adrid7 2A3'A7 0#1 p
• 6ttp>AAes"?iEipedia"orgA
• 6ttp>AA???"bitcompan-"bi8A.ue3es3cobitAR"D?a.l2S&JIG KDn marco de
re%erencia para la in%ormación - la tecnologíaL
20