Tarea Semana 7 Auditoria

Principales áreas de la auditoria informática
Fernando Moraga
Auditoria Informática
Instituto IACC
14-12-2018
Desarrollo
1. En una bodega se lleva un control de inventario almacenando la información de los
productos en una base de datos Oracle. Periódicamente se generan reportes de cuadraturas de los
productos en stock y los que han entrado y salido de la bodega, sin embargo, en los últimos dos
meses se han encontrado diferencias entre el reporte que entrega la base de datos y el inventario
manual.
De acuerdo a lo anterior usted es contratado para conducir una auditoria sobre la base de datos
para revisar si el problema es inconsistencia en los informes automáticos corresponde a la base
de datos o no.
• ¿Qué tipo de auditoria es necesaria en este caso? ¿Es necesario incluir el sistema
operativo sobre el que opera la base de datos y la aplicación que maneja los datos?
R: primero que todo definiremos que es una auditoria de base de datos, la auditoria de base de
datos, es un proceso implementado por los auditores de sistemas con el fin de auditar los accesos
a los datos, por lo general siguiendo bien una metodología basada en un checklist que contempla
los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales
Respondiendo la primera pregunta planteado sobre ¿Qué tipo de auditoria es necesaria en este
caso? consideramos dos grandes tipos de auditorías de la base de datos, esta división está
relacionada directamente con las actividades estas son:
Auditoría de actividades: El primer tipo de auditoría lo llamamos auditoría de actividades, que
consiste en controlar las actividades que realizan los usuarios en los objetos de la base de datos y
entenderemos como objetos todas las tablas, vistas, restricciones de integridad que los usuarios
crean en la base de datos. Este proceso de monitoreo de las actividades de los usuarios permite
encontrar posibles accesos a objetos no autorizados, conexiones en horas o días fuera de horarios
normales. Toda esta actividad se va almacenando en una tabla o en un archivo que llamaremos el
registro de auditoría. El registro de auditoría (RA) tiene un crecimiento muy alto, por lo que es
necesario administrarlo adecuadamente, muchas veces este registro llega a ser igual o mayor en
tamaño que la base de datos. Imagínese el RA de una organización de más de 2000 empleados,
que además permite el acceso de clientes por Internet, o el registro de auditoría de un banco, que
puede recibir más de 20 transacciones por minuto.
Auditoría de transacciones: La auditoría de transacciones consiste en implementar una serie de
controles que permiten llevar una bitácora de todas las transacciones que los usuarios realizan,
pero a un nivel tal que podamos establecer una historia de cómo se produjeron los cambios. Al
igual que en el tipo anterior, es necesario crear un registro de auditoría al que llamaremos
registro de auditoría de transacciones (RAT). El crecimiento del RAT es superior al del RA, ya
que es posible que un usuario que se conecte una sola vez, pueda hacer 30 transacciones. En este
caso el RA almacena las actividades de conexión y desconexión, básicamente mientras que el
RAT almacena 30 registros correspondientes a la información antes y después de cada
transacción.
Según las definiciones de los dos tipos existente a mi parecer el tipo de auditoria que se necesita
en este caso es Auditoria de actividades
R: dando respuesta a la segunda pregunta ¿es necesario incluir el sistema operativo sobre el
que opera la base de datos y la aplicación que maneja los datos? Según lo estudiado en el
contenido de la semana 7 n el trascurso de este documento, la auditoria de base de datos y
aplicaciones tiene un componente base que es el servidor donde se encuentra está instalada o
configurada. Este servidor también tiene su vulnerabilidad y elementos a auditar los cuales
dependen específicamente del sistema operativo por este motivo es indispensable realizar la
auditoria también al sistema operativo y a la aplicación que maneja los datos

 Proporcione una lista de todo los aspectos auditables (a nivel de base de datos y/o
sistema operativo) que incluiría en su auditoria
R: Lista de aspectos que serán auditada a nivel de base de datos
 Claves de accesos y contraseñas
 Usuarios y roles
 Privilegios
 Cuentas por defecto
 Links

Tarea Semana 7 Auditoria

Cargado por

Copyright:

Formatos disponibles

Tarea Semana 7 Auditoria

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tarea Semana 7 Auditoria

Cargado por

Copyright:

Formatos disponibles

Principales áreas de la auditoria informática

1. En una bodega se lleva un control de inventario almacenando la información de los

para revisar si el problema es inconsistencia en los informes automáticos corresponde a la base

los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales

relacionada directamente con las actividades estas son:

Auditoría de actividades: El primer tipo de auditoría lo llamamos auditoría de actividades, que

puede recibir más de 20 transacciones por minuto.

Auditoría de transacciones: La auditoría de transacciones consiste en implementar una serie de

caso el RA almacena las actividades de conexión y desconexión, básicamente mientras que el

RAT almacena 30 registros correspondientes a la información antes y después de cada

en este caso es Auditoria de actividades

contenido de la semana 7 n el trascurso de este documento, la auditoria de base de datos y

auditoria también al sistema operativo y a la aplicación que maneja los datos

sistema operativo) que incluiría en su auditoria

R: Lista de aspectos que serán auditada a nivel de base de datos

 Claves de accesos y contraseñas

 Cuentas por defecto

También podría gustarte