Professional Documents
Culture Documents
Facultad de Ingeniera
Escuela de Ingeniera en Ciencias y Sistemas
FACULTAD DE INGENIERA
AL CONFERRSELE EL TTULO DE
INGENIERO EN CIENCIAS Y SISTEMAS
GUATEMALA,OCTUBRE DE 2006
VOCAL I
VOCAL II
VOCAL III
VOCAL IV
VOCAL V
Marlon
Orellana
Ing. Azurdia:
Atentamente,
ID Y ESENAD A TODOS
Ref. DTG-374-2006
IMPRMASE:
Dios:
Virgen santsima:
Mis padres:
Mi hermano:
Mis abuelos:
Mi familia:
Universidad de
San Carlos de
Guatemala
NDICE GENERAL
NDICE DE ILUSTRACIONES......V
GLOSARIO.VII
RESUMEN.....XIII
OBJETIVOS...XV
INTRODUCCIN.XVII
1.1 Antecedentes.1
1.2 Auditora.3
1.2.1 Clases de auditora..4
1.3 Sistemas de bases de datos relacionales8
1.3.1 Bases de datos...8
1.3.2 Bases de datos relacionales...10
1.3.2.1 Entidades11
1.3.2.2 Propiedades...11
1.3.2.3 Identificadores12
1.3.2.4 Relaciones..12
1.3.2.5 Diagramas entidad-relacin.14
1.3.2.6 Datos y modelo de datos.14
1.3.2.7 Administracin de datos y administracin de
base de datos relacional...15
1.3.2.8 Beneficio del enfoque de base de datos
relacional ...16
1.3.3 Arquitectura17
1.3.3.1 Nivel interno.18
I
II
III
CONCLUSIONES.. ..109
RECOMENDACIONES. ..111
BIBLIOGRAFA.113
IV
NDICE DE ILUSTRACIONES
FIGURAS
1.
2.
Criterios de COBIT............................................................................... 46
Recursos de TI..................................................................................... 49
10
11
12
VI
GLOSARIO
Aplicaciones
Autentificacin
Autodescriptivo
Arquitectura
Backend
Checklist
VII
Criptografa
Control
Committee of sponsoring
COSO
DBMS
VIII
DDL
Dictamen
DML
Estndar
Frontend
Inconsistencia
Inferir
Interfaz
ISACF
Jerarqua
KGI
KPI
IX
Lineamiento
Direccin o tendencia.
Modelo
Performance
Razonabilidad
Restriccin
Requerimiento
SCF
SGBD
TI
Tecnologa de la informacin.
XI
XII
RESUMEN
XIV
OBJETIVOS
General
Evaluar las ventajas que brinda aplicar COBIT en la realizacin de una
auditora de un DBMS relacional.
Especficos
XV
XVI
INTRODUCCIN
XVII
de
efectividad,
eficiencia,
XVIII
confidencialidad,
integridad,
1.
1.1
Antecedentes
1.2
Auditora
1.2.1
Clases de auditora
a.
Auditora externa
Es la revisin independiente que realiza un profesional de auditora,
con total libertad de criterio y sin ninguna influencia, con el propsito
de evaluar el desempeo de actividades, operaciones y funciones
que se realizan en la empresa que lo contrata, as como de la
razonabilidad en la emisin de sus resultados financieros. La
relacin del trabajo del auditor es ajena a la institucin donde se
aplicara la auditora y esto le permite emitir un dictamen libre e
independiente.
Auditora interna
Es la revisin que realiza un profesional de auditora, cuya relacin
de trabajo es directa subordinada a la institucin donde se aplicara
la misma, con el propsito de evaluar en forma interna el
desempeo y cumplimiento de las actividades, operaciones y
funciones que se desarrollan en la empresa y sus reas
administrativas, proveyendo finalmente con un dictamen interno
sobre las actividades de toda la empresa.
Auditora financiera
Es la revisin sistemtica, explorativa y critica que realiza un
profesional de la contabilidad a los libros y documentos contables, a
los controles y registros de las operaciones financieras y la emisin
de los estados financieros de la empresa con el fin de evaluar y
opinar sobre la razonabilidad, veracidad, confiabilidad y oportunidad
en la emisin de los resultados financieros obtenidos durante un
periodo especifico o un ejercicio fiscal.
Auditora administrativa
Es la revisin sistemtica y exhaustiva que se realiza a la actividad
administrativa de una empresa en cuanto a su organizacin, las
relaciones entre sus integrantes y el cumplimiento de las funciones
y actividades que regulan sus operaciones.
Auditora operacional
Es la revisin exhaustiva, sistemtica y especfica que se realiza a
las actividades de una empresa, con el fin de evaluar su existencia,
suficiencia, eficacia, eficiencia y el correcto desarrollo sus
operaciones, cualquiera que estas sean, tanto en el establecimiento
y cumplimento de los mtodos tcnicas y procedimientos de
trabajos necesarios para el desarrollo de sus operaciones, en
coordinacin con los recursos disponibles.
Auditora integral
Es la revisin exhaustiva, sistemtica y global que realiza un equipo
multidisciplinario de profesionales a todas la actividades y
operaciones de una empresa, con el propsito de evaluar, de
manera integral, el correcto desarrollo de las funciones en todas sus
reas administrativas, cualesquiera que estas sean as como de
evaluar sus resultados conjuntos y sus relaciones de trabajo,
comunicaciones y procedimientos interrelacionados que regulan la
realizacin de las actividades compartidas para alcanzar el objetivo
institucional.
Auditora gubernamental
Es la revisin exhaustiva, sistemtica y concreta que se realiza a
todas las actividades y operaciones de una entidad gubernamental,
cualquiera que sea la naturaleza de las dependencias y entidades
de la administracin publica federal.
Auditora informtica
Es la revisin tcnica, especializada y exhaustiva que se realiza a
los sistemas computacionales, software e informacin utilizados en
una empresa, sean individuales, compartidos y/o redes as como
sus
instalaciones,
telecomunicaciones,
mobiliario,
equipos
1. 3
1.3.1
Bases de datos
App x
App y
Bases de Datos
App z
Programas de
Aplicacin
Usuarios Finales
A. Datos
Un sistema de base de datos registra la informacin (coleccin de
datos) en un repositorio de informacin organizado denominado
base
de
datos,
almacenada
en
un
sistema
centralizado
B. Hardware
Los componentes de hardware del sistema constan de:
C. Software
Entre la base de datos fsica, es decir los datos como estn
almacenados fsicamente y los usuarios del sistema existe una
capa de software conocida como el administrador de la base de
datos o servidor de la base de datos comnmente conocida como
sistema de administracin de la base de datos (DBMS).
D. Usuarios
En un sistema de base de datos, se contemplan tres grandes
clases de usuarios:
1.3.2
10
entidades,
propiedades,
identificadores,
relaciones,
diagramas
1.3.2.1 Entidades
11
1.3.2.2
Propiedades
1.3.2.3
Identificadores
1.3.2.4
Relaciones
Las entidades pueden asociarse una con otra en relaciones. El modelo ER contiene clases de relaciones y ocurrencias de las relaciones. Las clases de
relaciones son asociaciones entre las clases de entidades y ocurrencias de
relaciones son asociaciones entre las ocurrencias de entidades. Las relaciones
pueden tener mltiples atributos.
12
13
1.3.2.5
Diagramas entidad-relacin
1.3.2.6
Cuando los usuarios afirman que necesitan formas y reportes con datos y
estructuras especficas, su peticin implica un modelo del mundo que perciben.
La gente de desarrollo debe inferir a partir de los requerimientos de los
usuarios, la estructura y las relaciones de las cosas almacenadas en la base de
datos. Despus los analistas registran estas inferencias en un modelo de datos
que se transforma en un diseo de base de datos y ese diseo se implementa
utilizando un sistema de administracin de base de datos DBMS relacional.
14
15
1.3.2.8
2. Reduccin
de
redundancia:
conduccin
de
una
redundancia
en
donde
ambas
estn
totalmente
actualizadas
consistentes.
16
1.3.3
Arquitectura
17
1.3.3.1
Nivel interno
1.3.3.2
Nivel externo
Conocido como el nivel lgico del usuario, y se denota como el nivel con
cercana al usuario. Se desarrolla con la forma en que los usuarios visualizan
los datos.
1.3.3.3
Nivel conceptual
18
19
19
1.3.4
20
1.3.4.1
Definicin de datos
1.3.4.2
Manipulacin de datos
Una peticin planeada es aquella cuya necesidad fue prevista antes del
momento de ejecutar una peticin.
Una peticin no planeada es una consulta adhoc; es decir una peticin
para la que no se previo por adelantado a su necesidad, si no en vez de
ello, surgi sin pensarlo.
21
1.3.4.3
Diccionario de datos
1.3.4.4
Rendimiento
1.3.4.5
Administrador de comunicaciones de
datos
22
1.3.4.6
Arquitectura cliente-servidor
Un servidor (backend)
user-written applications
vendor-provided applications
escritores de reportes
paquetes estadsticos
generadores de aplicaciones
productos CASE.
23
1.3.4.7
Utileras
Rutinas de cargado
Rutinas de descarga/recargado
Rutinas de reorganizacin
Rutinas estadsticas
Rutinas de anlisis.
1.3.4.8
Procesamiento distribuido
24
1.4
1.4.1
I.
25
26
relacional
se
detallan
conforme
la
orientacin
de
27
Permiso en SGBD
Permisos SO
Privacidad y confidencialidad.
Informes.
DBA
Polticas de seguridad
Acceso lgico
Permiso en SGBD
Datos en programas
Modificaciones a aplicaciones
Estndares de desarrollo
Documentacin cambios
Acceso a fuentes.
c. Auditora y seguimiento
Logs.
Desconocimiento de la informacin.
e. Metadatos
f. Seguridad en la red
g. Acceso a travs de Internet
h. Seguridad Instalaciones y acceso fsico
i.
Normalizacin
29
IV. Agrupacin
30
b. Otras evaluaciones
31
32
De cumplimiento
Sustantivas
33
34
1.4.2
Alcance de la auditora
35
1.4.3
datos e
1.4.3.1
37
1.4.3.1.2
Administracin de objetos
triggers, procedimientos
1.4.4
El
sistema
de
administracin
de
base
de
datos
(DBMS)
esta
38
39
40
41
2.2
1.- Recursos de TI
2.- Requerimientos de negocio para la informacin y
3.- Procesos de TI.
42
43
2.2.1
comprenden
administran
44
los
riesgos
asociados
con
la
45
2.2.2
I.
Modelos de control
46
cumplimiento
con
leyes
regulaciones.
Sin
embargo,
47
48
III. Recursos de TI
para
la
informacin
son
satisfechos,
deben
de
definirse,
49
IV. Procesos de TI
50
V. Dominios
Con lo anterior como marco de referencia, los dominios son identificados
empleando las palabras que la gerencia utilizara en las actividades cotidianas
de la organizacin.
51
de
los
datos
por
sistemas
de
aplicacin,
Monitoreo:
todos
los
procesos
necesitan
ser
evaluados
2.2.3
1) Recursos de TI
2) Requerimientos de negocio para la informacin y
3) Procesos de TI.
52
2.2.4
Ayuda de navegacin
53
Identificacin de dominios
Figura 10 Dominios de COBIT
Identificacin de criterios
54
Identificacin de recursos TI
55
2.3.
56
3.
Definido:
Los
procedimientos
han
sido
estandarizados
4.
57
58
59
3.
60
3.1.1
Control de acceso
61
3.1.2
3.1.3
Software de aplicacin
3.1.4
Desarrollo de software
Control de calidad.
Control de cambios.
62
3.1.5
3.1.6
Datos
3.1.7
63
64
3.1.8
alta,
borrado,
creacin/eliminacin
de
tablas,
65
3.1.9
66
67
68
Manejo
a.
Diagrama
69
Diccionario de datos
El uso de un diccionario de datos ayuda a determinar cuales son los
Representaciones lgicas
Una representacin lgica es principalmente utilizada para explicar los
procesos que utiliza el instituto, estos procesos pueden ser representados por
medio de lenguaje estructurado, por rboles de decisin o por diagramas de
flujo: la tcnica del lenguaje estructurado es la mas recomendable para que el
usuario entienda si los procesos son correctos, se recomienda utilizar el
espaol para explicar los procesos, ayudndose de estructuras de control como
si entonces, hacer mientras etc.
70
d.
Diseo estructurado
Es uno de los ms utilizados y recomendados por los expertos en el
71
3.2.1
Claves primarias
uso de
72
Autorizacin de acceso.
Autentificacin de acceso
Acceso
Perfiles de usuario
Lenguaje de datos
Software de seguridad
Reporteadores
SQL
WebServer Software
73
3.2.2
Dominios de atributos
Documentacin
Diccionario de datos
Propiedad de informacin
74
3.2.3
Reglas de integridad
Documentacin
Diccionario de datos
Propiedad de informacin
75
3.2.4
76
Seguridad y ergonoma
Privacidad
Propiedad intelectual
Flujo de datos
Materiales de entrenamiento.
77
3.2.5
Consultas y vistas
Documentacin
Diccionario de datos
Propiedad de informacin
78
Monitoreo y reporte
Herramientas de modelado
Administracin de capacidad
Disponibilidad de recursos
79
Clasificacin de la severidad
Plan Documentado
Procedimientos alternativos
Respaldo y recuperacin
precisos
vlidos
durante
su
entrada,
actualizacin
Diseo de formatos
Controles de entrada
80
Controles de procesamiento
Controles de salida
medios.
Autentificacin e integridad.
Autorizacin de acceso.
Autentificacin de acceso
Acceso
Perfiles de usuario
81
Reclutamiento y promocin
Procedimientos de acreditacin
82
Documentacin
Propiedad de informacin
83
Autorizacin de acceso.
Autentificacin de acceso
Acceso
Perfiles de usuario
precisos
vlidos
durante
su
entrada,
actualizacin
Diseo de formatos
Controles de entrada
Controles de procesamiento
Controles de salida
Autentificacin e integridad.
84
un sistema de
Evaluacin de impacto
Autorizacin de cambios
Manejo de liberacin
Distribucin de software
85
Documentacin de procedimientos
Registro de eventos
M1 Monitoreo de proceso
86
3.2.9 Backups
y los
Inventario
de
soluciones
tecnolgicas
actual.
87
infraestructura
Requerimientos de usuario
Interfase usuario-mquina
Personalizacin de paquetes
Pruebas funcionales
Documentacin
88
Procedimientos de escalamiento
Reportes de Incidentes
precisos
vlidos
durante
su
entrada,
actualizacin
Controles de entrada
Controles de procesamiento
Controles de salida
Autentificacin e integridad.
89
90
3.3
91
92
3.3.4
3.3.5
93
3.3.6
94
de
negocio
implementados
al
DBMS,
usualmente
95
96
1.
2.
3.
97
App
Auditoria en Capa de Cliente
Usuario
Acceso a Datos
Bases de Datos
Hardware
Servidor Base de Datos
98
Alcance
Calidad
Performance
99
3.4.1
100
Control de cambios.
Bitcoras de auditora.
3.4.3
I. Control de acceso
Diseo y administracin.
102
La jerarqua de seguridad
103
104
105
106
107
108
CONCLUSIONES
1.
2.
3.
4.
5.
Los
procesos
de
almacenamiento,
respaldo,
registro
de
109
110
RECOMENDACIONES
1.
2.
111
112
BIBLIOGRAFA
1.
2.
3.
4.
5.
6.
7.
8.
113
9.
10.
11.
12.
13.
Auditaje de datawarehousing.
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/lec
ciones/Capitulo5.html
Agosto de 2005.
14.
15.
16.
17.
114
18.
115