Proceso De Auditoria De Base De Datos

INTRODUCCIÓN

Como premisa consideramos que las Bases de Datos es uno de los recursos más importantes dentro de una organización ya que poseen toda la información de la empresa, datos confidenciales que en manos ajenas puede ser muy riesgoso. Por ello se deben controlar aspectos críticos en la seguridad de la misma, conceder privilegios respecto a los usuarios de los datos y también denegarlos. Con la auditoría de bases de datos se busca monitorear y garantizar que la información está segura, además de brindar ayuda a la organización para detectar posibles puntos débiles y así tomar precauciones para resguardar aún más los datos.

PROCESO DE AUDITORÍA DE BASE DE DATOS

Auditoria de base de datos

¿Qué es la Auditoría de BD?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:

Quién accede a los datos

Cuándo se accedió a los datos

Desde qué tipo de dispositivo/aplicación

Desde que ubicación en la Red

Cuál fue la sentencia SQL ejecutada

Cuál fue el efecto del acceso a la base de datos

Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a tecnología de información por la organización frente a las regulaciones y su entorno de negocios o actividad.

Objetivos Generales de la Auditoría de BD

Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:

Mitigar los riesgos asociados con el manejo inadecuado de los datos

Apoyar el cumplimiento regulatorio.

Satisfacer los requerimientos de los auditores

Evitar acciones criminales

Evitar multas por incumplimiento

La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.

La Auditoría de BD es importante porque:

Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.

Se debe poder demostrar la integridad de la información almacenada en las bases de datos.

Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información.

La información confidencial de los clientes, son responsabilidad de las organizaciones.

Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio.

Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos. Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.

Mediante la auditoría de bases de datos se evaluará:

Definición de estructuras físicas y lógicas de las bases de datos

Control de carga y mantenimiento de las bases de datos

Integridad de los datos y protección de accesos

Estándares para análisis y programación en el uso de bases de datos

Procedimientos de respaldo y de recuperación de datos.

Planificación de la Auditoria de BD

1. Identificar todas las bases de datos de la organización

2. Clasificar los niveles de riesgo de los datos en las bases de datos

3. Analizar los permisos de acceso

4. Analizar los controles existentes de acceso a las bases de datos

5. Establecer los modelos de auditoría de BD a utilizar

6. Establecer las pruebas a realizar para cada BD, aplicación y/o usuario

Metodologías para la auditoría de Base de Datos

• Metodología Tradicional

El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación.

En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.

• Metodología de evaluación de riesgos

Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. Considerando los riesgos de:

Dependencia por la concentración de Datos

Accesos no restringidos en la figura del DBA

Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación

Impactos de los errores en Datos y programas

Rupturas de enlaces o cadenas por fallos del software.

Impactos por accesos no autorizados

Dependencias de las personas con alto conocimiento técnico

OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS

A continuación expondremos algunos objetivos y técnicas de control más específicos a tener en cuenta a lo largo del ciclo de vida de una base de datos:

- Estudio previo y plan de trabajo

- Concepción de la base de datos y selección de equipo

- Diseño y carga

- Explotación y mantenimiento

Estudio previo y plan de trabajo.

En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre está justificada la implantación de un sistema de bases de datos) así como la disyuntiva entre desarrollar y comprar (en la práctica, a veces nos encontramos que se ha desarrollado una aplicación que ya existía en el mercado, cuya compra hubiese supuesto un riesgo menor, asegurándonos incluso una mayor calidad a un precio inferior). Desafortunadamente, en bastantes organizaciones, este estudio de viabilidad no se lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando, los sistemas demuestran, a veces, ser poco rentables.

El auditor debe comprobar también que la alta dirección revisa los informes de los estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental

...