Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 125 vistas

    Metodologías para La Auditoría de Bases de Datos PDF

    Cargado por

    mesias
    Existen dos principales metodologías para la auditoría de bases de datos: 1) la metodología tradicional que utiliza listas de verificación para revisar el entorno, y 2) la metodología de evaluación de riesgos que se enfoca en identificar y minimizar riesgos potenciales mediante la especificación de objetivos y técnicas de control, y la realización de pruebas de cumplimiento y sustantivas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Metodologías para La Auditoría de Bases de Datos PDF

    Cargado por

    mesias
    125 vistas3 páginas
    Existen dos principales metodologías para la auditoría de bases de datos: 1) la metodología tradicional que utiliza listas de verificación para revisar el entorno, y 2) la metodología de evaluación de riesgos que se enfoca en identificar y minimizar riesgos potenciales mediante la especificación de objetivos y técnicas de control, y la realización de pruebas de cumplimiento y sustantivas.

    Título original

    METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Existen dos principales metodologías para la auditoría de bases de datos: 1) la metodología tradicional que utiliza listas de verificación para revisar el entorno, y 2) la metodología de evaluación de riesgos que se enfoca en identificar y minimizar riesgos potenciales mediante la especificación de objetivos y técnicas de control, y la realización de pruebas de cumplimiento y sustantivas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    125 vistas3 páginas

    Metodologías para La Auditoría de Bases de Datos PDF

    Cargado por

    mesias
    Existen dos principales metodologías para la auditoría de bases de datos: 1) la metodología tradicional que utiliza listas de verificación para revisar el entorno, y 2) la metodología de evaluación de riesgos que se enfoca en identificar y minimizar riesgos potenciales mediante la especificación de objetivos y técnicas de control, y la realización de pruebas de cumplimiento y sustantivas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 3

    METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS.

    Como sabemos en la actualidad existen distintas metodologías que se aplican en auditoría


    informática (pero cada empresa desarrolla su propia forma de metodología ), y estas
    metodología se pueden agrupar en dos clases:

    a) Metodología tradicional. En este tipo de metodología el auditor revisa el entorno


    con la ayuda de una lista de control (checklist), y que es un checlist Una Checklist
    es, simplemente, una lista de comprobación. Es considerada como una
    herramienta de ayuda para el trabajo y diseñada para minimizar los errores
    provocados por la falta de tiempo o los límites de atención del ser humano.

    Este tipo de formularios consiste, normalmente, en una lista de tareas para marcar
    todas las tareas que hayan sido completadas con éxito. Pero también puede ser una
    lista de características donde indicar si un producto cumple alguna de las
    necesidades que buscamos.

    .y en esta lista de control que consta de una serie de cuestiones a verificar. Por
    ejemplo:
    ¿Existe una metodología de Diseño de Base de Datos? S N NA

    El auditor deberá, registrar el resultado de su investigación: S, si la respuesta es


    afirmativa, N, en caso contrario, o NA (no aplicable).

    Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de datos,
    especificándose en la lista de control todos los aspectos que se deben de tener en
    cuenta. Así, por ejemplo, si el auditor se enfrenta a un entorno Oracle 8, en la lista
    de control se recogerán los parámetros de instalación que más riesgos comportan,
    señalando cuál es su rango adecuado. Para que De esta manera, si el auditor no
    cuenta con la asistencia de un experto en el producto, puede comprobar por lo
    menos los aspectos más importantes de su instalación.

    b) Metodología de evaluación de riesgos: Este tipo de metodología, conocida


    también por risk oriented approach, (enfoque orientado al riesgo) y esta
    metodología es propuesta por la ISACA(Information Systems Audit and Control
    Association o en español Asociación de Auditoría y Control de Sistemas de
    Información), en esta metodologia se empieza fijando los objetivos de control
    que minimizan los riesgos potenciales a los que está sometido el entorno y la lista
    de los riesgos más importantes son los siguientes
    ➢ Incremento de la “dependencia” del servicio informático debido a la
    concentración de datos
    ➢ Mayores posibilidades de acceso en la figura del administrador de la base
    de datos
    ➢ Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD
    y el general de la instalación.
    ➢ Mayor impacto de los errores en datos o programas que en los sistemas
    tradicionales
    ➢ Ruptura de enlaces o cadenas por fallos del software o de los programas
    de aplicación
    ➢ Mayor impacto de accesos no autorizados al diccionario de la base de datos
    que a un fichero tradicional.
    ➢ Mayor dependencia del nivel de conocimientos técnicos del personal que
    realice tareas relacionadas con el software de base de datos (administrador,
    programadores, etc.)
    Como en la auditoría de desarrollo, se puede seguir la misma metodología,
    donde se establecen, primeramente:
    I. Objetivo de control (ejemplo: El SGBD deberá preservar la
    confidencialidad de la base de datos).

    II. Técnicas de control. Una vez establecidos los objetivos de control, se


    especifican las técnicas específicas correspondientes a dichos objetivos
    (ejemplo: Se deberán establecer los tipos de usuarios, perfiles y
    privilegios necesarios para controlar el acceso a las bases de datos).
    Un objetivo de control puede llevar asociadas varias técnicas que
    permiten cubrirlo en su totalidad. Estas técnicas pueden ser
    preventivas, detectivas (como monitorizar la BD) o correctivas (por
    ejemplo, una copia de respaldo o backup).
    En caso de que los controles existan, se diseñan unas pruebas
    (denominadas pruebas de cumplimiento) que permiten verificar la
    consistencia de los mismos

    III. Pruebas de cumplimiento. En caso de que los controles existan, se


    diseñan unas pruebas (denominada pruebas de cumplimiento) que
    permiten verificar la consistencia de los mismos. Por ejemplo: Listar
    los privilegios y perfiles existentes en el SGBD. Si estas pruebas
    detectan inconsistencias en los controles, o bien, si los controles no
    existen, se pasa a diseñar otro tipo de pruebas – denominadas pruebas
    sustantivas que permitan dimensionar el impacto de estas deficiencias.

    IV. Prueba sustantiva. Comprobar si la información ha sido corrompida


    comparándola con otra fuente o revisando los documentos de entrada
    de datos y las transacciones que se han ejecutado.
    Una vez valorados los resultados de las pruebas se obtienen
    conclusiones que serán comentadas y discutidas con los responsables
    directos de las áreas afectadas con el fin de corroborar los resultados.
    Por último, el auditor deberá emitir una serie de comentarios donde se
    describa la situación, el riesgo existente y la deficiencia a solucionar,
    y en su caso, sugerirá la posible solución.
    Esta será la técnica a utilizar para auditor el entorno general de un
    sistema de bases de datos, tanto en su desarrollo como durante la
    explotación.
    PRINCIPALES OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA
    BASE DE DATOS

    Concepción de la
    Estudio previo y
    BD y selección Diseño y carga
    plan de trabajo
    del equipo

    Explotación y Revisión
    mantenimiento postimplantación

    También podría gustarte