capitulo 14,15,17. auditoria informatica un enfoque practico
TRANSCRIPT
Capítulo 14
Auditoria en las base de datos
Metodologías para las base de datos
Metodología de la evaluación de riesgos
Objetivos de control en el ciclo de vida de una base de datos.
Concepción de la base de datos y selección
del equipo.
Diseño y carga Explotación y mantenimiento.
Revisión post implantación
Auditoria y control interno en un entorno
de base de datos.
Sistema de gestión de base de datos(SGBD) Software de auditoria
Sistema de monitorización y ajuste(tuning)
Sistema operativo(SO)
Montos de transacciones.
Protocolos y sistemas distribuidos Paquete de seguridad. Diccionario de datos
Herramientas case(computer aided
system/software engineering).
IPSE(integrated Project Support Environments)
Lenguaje de cuarta generación (L4G) independientes
Facilidades del usuario
Herramientas de minería de datos
DEFINICION
La Auditoria de Bases de Datos es el punto de part ida para
realizar la Auditoria de las aplicaciones que uti l izan esta
tecnología.
Una metodología es un conjunto de procedimientos, técnicas y ayudasa la documentación para el desarrollo de un producto software" .
a) actividades a seguir en el desarrollo de principio a fin de la BD
b) qué es lo que hay que realizar en cada actividad indicando
c) qué se necesita como entrada,
d) qué se produce como salida e
e) quién está involucrado.
METODOLOGIAS PARA LA AUDITORIA DE BASES DE DATOS
Existen 2 tipos de Metodologías:
Metodología TradicionalEl auditor revisa el entorno con la ayuda de una lista de control, que consta de una serie de cuestiones S cuando la respuesta es afirmativa, N en caso contrario y NA no aplicable.
S_ N_ NA_
METODOLOGIA DE EVALUACION DE RIESGOS
En este tipo de metodología se deben seguir una secuencia de pasos los cuales son:
Objetivo de ControlFijar los objetivos de Control minimizan los riesgos potenciales a los que se somete el entorno.
Técnica de ControlSe establece los tipos de Usuario, perfiles y Privilegios necesarios para controlar el acceso a la base de datos.
Prueba de CumplimientoListar los privilegios y perfiles existentes.Si se detectan inconsistencias en los controles, o si los controles no existen, se diseña otro tipo de prueba que permiten dimensionar el impacto de estas deficiencias.
Prueba SustantivaComprobar si la información presenta alteraciones, comparándola con otra fuente, revisando los documentos de entrada de datos y las transacciones que se han ejecutado.
OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE
DATOS
Concepción de la BD y selección del equipo
Estudio Previo y Plan de trabajo
Diseño y CargaExplotación Y MantenimientoRevisión Post- Implantación
•Se elabora un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones.
Estudio Previo y Plan de Trabajo
•En esta etapa se empieza a diseñar la base de datos. La metodología de diseño determina si es o no aceptable, y luego comprueba su correcta utilización.
Concepción de la BD
Y Selección del Equipo
DISEÑO Y CARGA
•Se llevan acabo los diseños lógico y Físico de la BD, el auditor tendrá que examinar si estos diseños se han realizado correctamente; determinando si la definición de los datos contempla además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
EXPLOTACION Y
MANTENIMIENTO
•Se comprueba que se establezcan los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido solo tendrá modificaciones mediante la autorización adecuada.
REVISION POST-
IMPLANTACION
•En bastantes organizaciones omiten esta fase pos falta de tiempo o recursos, pero es necesario contar con una revisión post-implantación de el sistema nuevo o modificado con el fin de evaluar: •Se han conseguido los resultados esperados.•Se satisfacen las necesidades de los usuarios.•Los costes y beneficios coinciden con los previstos.
AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE
BASES DE DATOSSistema de Gestión de BD (SGBD)
Existen diferentes componentes del SGBD como el catalogo( componente fundamental que asegura la seguridad de la BD), las utilidades para el administrador (se suelen encontrar algunas para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad), las que se encargan de la recuperación de la BD: rearranque, copias de respaldo, archivos diarios, etc. Entre otras.
SOFTWARE DE AUDITORIA Paquetes que facilitan la labor del auditor, en cuanto a la extracción de datos de la BD, el seguimiento de la transacciones, datos de prueba, etc.
SISTEMA DE MONITORIZACION Y AJUSTEComplementa las facilidades ofrecidas por el SGBD, ofreciendo mayor información para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos.
SISTEMA OPERATIVO (SO)Es una pieza clave del entorno, en cuanto a control de memoria, gestión de área de almacenamiento intermedio, manejo de errores, control de confidencialidad, mecanismos de ínter bloqueo, etc.
MONITOR DE TRANSACCIONESSe considera un elemento mas del entorno con responsabilidades de confidencialidad y rendimiento.
PAQUETE DE SEGURIDADExiste una gran variedad de productos que permiten la implantación de una política de seguridad, puesto que centralizan el control de accesos, la definición de privilegios, perfiles de usuario, etc.
DICCIONARIO DE DATOSConjunto de metadatos que contiene las características lógicas y puntuales de los datos que se van a utilizar en el sistema incluyendo nombre, descripción, alias, contenido y organización.
HERRAMIENTAS CASEPermite al auditor revisar el diseño de la base de datos, comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad.
LENGUAJES DE 4 GENERACIONSe utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios la exposición de necesidades.
FACILIDADES DEL USUARIO
Con la aparición de interfaces graficas fáciles de usar ( con menús, ratón, ventanas, etc.) se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD. El auditor debe investigar las medidas de seguridad que ofrecen estas herramientas y bajo que condiciones han sido instaladas; las herramientas de este tipo deberán “ proteger al usuario de sus propios errores”
HERRAMIENTAS DE MINERIA DE DATOSOfrecen el soporte a la toma de decisiones sobre los datos de calidad integrados en le almacén de datos.
Capítulo 15
Auditoria en técnica de sistemas
Ámbito técnica de sistemas
Definición de la
función
El nivel de servicio
Los procedimien
tos
Instalación y pues en servicio
Mantenimiento y
soporte
Requisito par otros
componentes
Resolución de
incidencias
Seguridad y control
Información sobre la actividad
Los controles
Auditoria de la función
Consideraciones sobre la
tecnología y su evolución.
ÁMBITO DE TÉCNICA DE SISTEMAS
La evolución de la informática ha obligado a un
grado tal de especialización que comunicaciones,
sistemas operativos , seguridad y base de datos
han necesitado expertos en aéreas muy concretas
dejando la figura de TS relacionadaexclusivamente con el sistema operativo.
DEFINICIÓN DE LA FUNCIÓN
La primera tare es auditar como una actividad informática que se requiere un determinado desempeño profesional para cumplir unos
objetivos precisos.
Disponer de todos los elementos necesarios Por parte de los usuarios autorizados En el momento requerido Con el rendimiento adecuado
EL NIVEL DE SERVICIO
No debemos perder de vista el cumplimiento de tales características constituye el objetivo de los SI (sistemas de información) y que su consecución se expresa en términos de nivel de servicio.
Los procedimientos de actuación como los correspondientes controles, deberían tener como fin ultimo dicha meta.
LOS PROCEDIMIENTOS
Toda tarea organizada debe estar descompuesta en una serie de
Actividades o acciones a realizar con unos procedimientos
específicos que garanticen su calidad (o correcto Funcionamiento).
1. Instalación y puesta en servicio 2. Mantenimiento y Soporte 3. Requisitos para otros componentes 4. Resolución de Incidencia 5. Seguridad y control6. Información sobre la actividad.
AUDITORIA DE LA FUNCIÓN
Una adecuada metodología en el desarrollo de la auditoria es fundamental y requiere de aspectos generales, tanto del campo de la auditoria como de la organización de los sistemas de información
Capítulo 17
Auditoria de la seguridad
Áreas que puede cubrir la
auditoria de la seguridad
Evaluación de los
riesgos
Fases de la auditoria de
las seguridad
Auditoria de la seguridad
física
Auditoria de la seguridad
lógica
Auditoria en la seguridad y el desarrollo de aplicaciones
Auditoria de la seguridad en el
área de producción
Auditoria en la seguridad de las base de datos
Auditoria en la seguridad en
comunicaciones y redes
Auditoria de la continuidad de las operaciones
Fuentes de la auditoria
El perfil del auditor
Técnica, métodos y
herramientas.
Consideraciones respecto
al informe
Contratación de auditoria
externa
Relación de la auditoria con
administración de seguridad
AUDITORIA DE SEGURIDAD Definiciones.-
EVIDENCIA DE LA AUDITORIARegistro, declaraciones de hecho u otra información relevantes para los criterios de auditoria y que son verificables
HALLAZGOS DE LA AUDITORIAResultado de la evaluación de las evidencias de la auditoria, frente a los criterios de auditoria.
AUDITORIA DE SEGURIDAD Definiciones.-
CONCLUSIONES DE LA AUDITORIA
• Consecuencia de una auditoria, proporcionada por el equipo auditor después de
la consideración de los objetivos y de los hallazgos
de la auditoria.
EQUIPO AUDITOR• Uno o más auditores
que realizan una auditoria, ayudado por expertos técnicos, si es
necesario.
EXPERTO TECNICO• Persona que aporta
conocimientos específicos o
experiencia al equipo auditor.
AUDITORIA DE SEGURIDAD Definiciones.-
PROGRAMA DE AUDITORIAConjunto de una o más auditorias planificadas para periodo de tiempo y dirigidas hacia un propósito específico.
PLAN DE AUDITORIADescripción de las actividades “in situ” y los preparativos de la auditoria.
ALCANCE DE AUDITORIAExtensión y límites de una auditoria
NO CONFORMIDADIncumplimiento a un requisito especificado
TIPOS DE AUDITORIAS
SEGURIDAD CALIDADAuditorias Internas
Las realizadas por miembros de la propias empresa
De primera parte
Auditorias Externas de clientes
Las realizadas por de sucursales o clientes de la
empresa
De Segunda parte
Auditorias de certificaciónLas realizadas organizaciones
independientes
De Tercera parte
PARAMETROS PARA REALIZAR
LAS AUDITORIAS DE SEGURIDAD
OBJETIVOPRINCIPIOSALCANCE FRECUENCIACRITERIOS DE AUDITORIACONTENIDOPLANMEJORAMIENTO CONTINUO
PARAMETROS PARA REALIZAR
AUDITORIAS DE SEGURIDAD OBJETIVO
OBJETIVO GENERAL
Verificar que la organización cuenta con un sistema o programa de Prevención de Riesgos capaz de evitar las perdidas a la organización debido a los accidentes (personales, daños a la propiedad, al proceso al medio ambiente) y que permita a a la vez garantizar la salud de sus trabajadores.
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
OBJETIVOS ESPECIFICOS
Ayudar en la mejora de la seguridad e higiene ocupacionales
Determinar el cumplimiento de normas, reglamentos y procedimientos
Mejorar el sistema de gestión de riesgos de la seguridad en todos sus procesos.
Mejorar el nivel de concientización sobre la seguridad e higiene ocupacional.
Conseguir el cumplimiento de las exigencias de auditorias externas.
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
PRINCIPIOS
Una auditoria de seguridad no busca criticar o menoscabar el trabajo realizado. Mas bien desea mejorar lo que se ha hecho hasta el presente.
Objetividad Confidencialidad Confianza Profesionalismo Imparcialidad Evidencia
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
ALCANCE Se puede analizar la gestión general de la
prevención de riesgos. Se puede analizar una determinada parte de la
organización Se pude tocar aspectos específicos a
determinadas áreas: Gestión de riesgos en el proceso Riesgos eléctricos Protección frente a los incendios Riesgos de tareas críticas Estándares específicos en una determinada área.
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
FRECUENCIAEl criterio más correcto que hay que tomar en cuenta para efectuar las auditorias es el que se deba realizar cada año.Menores tiempos perjudican a la producción.Mayores se pierde el control de los riesgos. Después de un año hay muchas cosas que pueden haber cambiado en la organización.Es cierto que hay riesgos muy graves que deben ser controlados con menor frecuencia. Pero para ello está la observaciones e inspecciones de seguridad.
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
CRITERIOS DE AUDITORIA
Los criterios para la auditoria dependerán: De la entidad que va auditar De los objetivos que tiene la organización para
realización de la auditoria.Sin embargo los criterios más utilizados son: Los de los organismos estatales. Los de organismos internacionales. La más
conocida la OSHA ( de Estados Unidos) La de Control de Perdidas ( Es la más utilizada)
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
CONTENIDO DE LAS AUDITORIAS Gestión de la Prevención de Riesgos ( Seguridad
Industrial)
El programa de Control de Pérdidas es uno de mas completos en lo que se refiere al Sistema de Gestión de riesgos laborales.
El programa contiene 20 elementos:
1. Liderazgo y Administración2. Entrenamiento de la Administración3. Inspecciones informales y planeadas 4. Análisis de riesgos de las tareas y procedimientos5. Observaciones de Seguridad
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
CONTENIDO DE LAS AUDITORIAS …(Continuación)
6. Investigación de accidentes7. Investigación Preparación para las emergencias8. Normas, reglas e instructivos de la organización9. Capacitación en Seguridad a los trabajadores10. Entrenamiento y mantenimiento preventivo11. Equipos de protección personal12. Control y servicios de salud (Salud ocupacional)13. Controles de ingeniería14. Comunicaciones personales15. Comunicaciones con grupos
CONTENIDO DE LAS AUDITORIAS …(Continuación)
16. Promoción de la seguridad, premiación Contratación y colocación
17. Control de compras y adquisiciones. 18. Contratación y colocación19. Seguridad fuera del trabajo20. Sistema de evaluación del programa: Auditorias.
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
PLAN DE LA AUDITORIA
El plan de auditoria debe dejar bien claro El por qué?
Se va a realizar la auditoriaQue
Se se va a tocar en la auditoriaCuando
( de que fecha a que fecha)Como
(Cuales van a ser los criterios, formatos y la forma en que se va a realizar la auditoria. La metodología)
Donde. ( Que lugares se pretende visitar)
Quienes ( Van realizar la auditoria)
PARAMETROS PARA REALIZAR LAS AUDITORIAS DE SEGURIDAD
PLAN DE LA AUDITORIA
Un plan de auditoria debe contener los siguientes pasos:
Objetivo de la auditoriaEl alcance de la auditoriaCriterios de la auditoriaEl campo de aplicación incluyendo la identificación de la
organización y la unidades funcionales de los procesos que van a ser auditados
La fechas y lugares donde se van a realizar las actividades de auditoria
La duración de las actividadesLas funciones y responsabilidades de los auditores ( y del equipo
auditor)
ACTIVIDADES DE LA AUDITORIA
El procedimiento que normalmente se sigue en una auditoria consta de los siguientes pasos:
Inicio de la auditoria Revisión de la auditoria Revisión de la documentación Preparación de las actividades de auditorias in
situ Actividades de auditoria in situ Preparación, aprobación y distribución del
informe de auditoria. Realización del seguimiento de la auditoria
PREPARACION DEL INFORME DE AUDITORIA
El auditor debe preparar el informe de la auditoria. Este informe debe se completo, conciso y claro. Debe incluir y hacer referencia a:
1. Objetivo de la auditoria2. El alcance de la auditoria3. Identificación del auditor y/o el equipo auditor4. Las fechas y lugares donde se realizaron las actividades de
la auditoria5. La metodología y los criterios que se utilizaron en la
auditoria6. Los hallazgos de la auditoria ( Conformidades y la No
Conformidades)7. Las conclusiones de la auditoria.