AUDITORIA DE BASE DE DATOS.pdf

Universidad de San Carlos de Guatemala - Grupo1- Auditoria 5 Pg. 2

AUDITORIA DE BASE DE DATOS

La gran difusin de Sistemas de Gestin de Base de Datos (SGBD) Junto con la

consagracin de los Datos como uno de los recursos Fundamentales de las

empresas, ha hecho que los temas relativos a su control interno y auditoria cobren,

cada da mayor inters.

Para definir los aspectos mas importantes de la auditoria de Base de Datos es

importante establecer los dos conceptos siguientes

1. BASE DE DATOS O BANCO DE DATOS

Es un conjunto de datos pertenecientes a un mismo contexto y almacenados

sistemticamente para su posterior uso. En este sentido, una biblioteca puede

considerarse una base de datos compuesta en su mayora por documentos y textos

impresos en papel.

Actualmente, y debido al desarrollo tecnolgico de campos como la informtica y

la electrnica, la mayora de las bases de datos estn en formato digital (electrnico),

y por ende se ha desarrollado y se ofrece un amplio rango de soluciones al problema

del almacenamiento de datos.

2. SISTEMA DE GESTION DE BASES DE DATOS

Es un tipo de Programa que permiten almacenar y posteriormente acceder a los

datos de forma rpida y estructurada. Las propiedades de estos SGBD, as como su

utilizacin y administracin, se estudian dentro del mbito de la informtica.

Las aplicaciones ms usuales son para la gestin de empresas e instituciones

pblicas. Tambin son ampliamente utilizadas en entornos cientficos con el objeto

de almacenar la informacin experimental, existiendo los siguientes mtodos:

3. METODO TRADICIONAL

En este tipo de Control el Auditor revisa su entorno con la ayuda de un checklist o

lista de control, que consta de una serie de cuestionamientos a verificar.


Cuando el auditor realiza su proceso de investigacin debe de registrar el resultado

mediante la utilizacin de letras:

S si el resultado es afirmativo

N si el resultado es negativo

NA no aplicable

Evaluara aspectos generales como:

Parmetros de instalacin

Riesgos mas importantes

4. METODOLOGIA DE EVALUACION DE RIESGOS

Este tipo de metodologa es la que propone ISACA (Sistemas de Informacin

Asociacin de Auditora y Control), y empieza fijando los objetivos de control que

minimizan los riesgos potenciales a los que est sometido el entorno. Se sealan los

riesgos ms importantes que lleva consigo la utilizacin de una base de datos.

Considerando estos riesgos, se podra definir por ejemplo el siguiente:

Objetivo de Control:

El sistema de seguridad de base de datos deber preservar la confidencialidad de la

base de datos.

Una vez establecidos los objetivos de control, se especifican las tcnicas especficas

correspondientes a dichos objetivos:

Tcnica de Control:

Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios para:

- Incremento de la dependencia del servicio informtico debido a la

concentracin de datos.


- Mayores posibilidades de acceso en la figura del administrador de la base de

datos.

- Incompatibilidades entre sistemas de seguridad de acceso propios del sistema

de seguridad de la base de datos y el general de la instalacin.

- Mayor impacto de los errores en datos o programas que en los sistemas

tradicionales.

- Ruptura de enlaces o cadenas por fallos del software o de los programas de

aplicacin.

- Mayor impacto de accesos no autorizados al diccionario de la base de datos

que a un fichero tradicional.

- Mayor dependencia del nivel de conocimientos tcnicos del personal que

realice tareas relacionadas con el software de base de datos.

Un objetivo de control puede llevar asociadas varias tcnicas que permiten cubrirlo

en su totalidad. Estas tcnicas pueden ser preventivas, detectivas o correctivas.

En caso de que los controles existan, se disean pruebas que permiten verificar la

consistencia de los mismos denominadas pruebas de cumplimiento.

Prueba de cumplimiento:

Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no

existen, se pasa a disear otro tipo de pruebas denominadas pruebas sustantivas

que permiten dimensionar el impacto de estas deficiencias.

Prueba sustantiva:

Comprueba si la informacin ha sido corrompida comparndola con otra fuente, o

revisando, los documentos de entrada de datos y las transacciones que se han

ejecutado. Una vez valorados los resultados de las pruebas se obtienen conclusiones

que sern comentadas y discutidas por los responsables de las reas afectadas con

el fin de corroborar resultados. Por ltimo, el auditor deber emitir una serie de

comentarios donde describa la situacin, el riesgo existente y la deficiencia a

solucionar y sugerir una posible solucin, el resultado de la auditora es presentar


un informe final donde se expongan las conclusiones ms importantes as como el

alcance que ha tenido la auditora.

Esta ser la tcnica a utilizar para auditar el entorno general de un sistema de

base de datos, tanto en su desarrollo como durante la utilizacin del mismo.

5. OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE

DATOS

A continuacin expondremos algunos objetivos y tcnicas de control a tener en

cuenta a lo largo del ciclo de vida de una base de datos que abarca desde el estudio

previo has su explotacin

5.1 Estudio previo y plan de trabajo

En esta fase es importante elaborar un estudio tecnolgico de viabilidad en el cual se

contemplen distintas alternativas para alcanzar los objetivos del proyecto y un

anlisis coste-beneficio, se debe de considerar la posibilidad de no llevar a cabo el

proyecto (no siempre se implementa un sistema de bases de datos)

En la actualidad en bastantes empresas este tipo de anlisis no se lleva a cabo con

el rigor necesario, con lo que a medida que se van desarrollando, los sistemas

demuestran, a veces, ser poco rentables.

El auditor debe comprobar tambin que la alta direccin revisa los informes de los

estudios del funcionamiento del sistema y que es la que decide seguir adelante o no

con el proyecto. Esto es fundamental porque los tcnicos han de tener en cuanta que

si no existe decisin de la organizacin, aumenta el riesgo de fracasar en la

implantacin del sistema.

En el caso que se decida llevar a cabo el proyecto es fundamental que se establezca

un plan, debiendo el auditor verificar que efectivamente dicho plan se emplea para el

seguimiento y gestin del proyecto y que cumple con los procedimientos generales

de gestin de proyectos que tenga aprobados la organizacin.


Otro aspecto importante en esta fase es la aprobacin de la estructura orgnica no

solo del proyecto en particular, sino tambin de la unidad que tendr la

responsabilidad de la gestin y control de la base de datos, para que un entorno de

base de datos funcione debidamente, esta unidad es imprescindible.

Se pueden establecer acerca de este tema dos objetivos de control:

Asignarse responsabilidades para la planificacin, organizacin,

administracin de plantillas y control de los activos de datos de la

organizacin.

Asignarse responsabilidad de la administracin del entorno de la base de

datos.

Al momento de detallar las responsabilidades de estas funciones hay que tener en

cuenta uno de los principios fundamentales del control interno: la separacin de

funciones. Se recomienda una separacin de funciones entre:

El personal de desarrollo de sistemas y el de explotacin

Explotacin y control de datos

Administracin de bases de datos y desarrollo

Tambin debe de existir una separacin de funciones entre el administrador de la

seguridad y el administrador de la base de datos. No quiere decir que deben de ser

desempeadas por personas distintas, pero si que es un aspecto importante de

control a considerar, en caso que no se pueda separar debe debern establecerse

controles alternativos, como por ejemplo una mayor atencin de la direccin y la

comprobacin por parte de algn usuario del contenido y de las salidas mas

importantes producidas a partir de la base de datos.

La situacin que el auditor encuentra normalmente en las empresas es que al no

existir una descripcin detallada de los puestos de trabajo, la separacin de

funciones es muy difcil de verificar.


5.2 Concepcin de la base de Datos y seleccin del equipo

En esta parte se inicia con el diseo de la base de datos, con lo que se aplica las

tcnicas y modelos propios de la metodologa del desarrollo de sistemas para la

empresa.

El diseo debe incluir los documentos fuentes, mecanismos de control,

caractersticas de seguridad as como las pistas de auditoria necesarias en el

sistema con el objeto de evitar costos mayores, al incluirse luego de la

implementacin del sistema.

El auditor debe analizar la metodologa de diseo con el fin de estimar si es objetiva

o no, para luego comprobar su correcto uso. Para esto una metodologa debe

contemplar tres fases de diseo: lgico, fsico, de diseo conceptual.

5.3 Diseo y carga

En esta fase se llevaran a cabo los diseos lgico y fsico de la base de datos, por lo

que se determina si estas se llevaron a cabo correctamente, determinando si la

definicin de los datos contempla adems su estructura las asociaciones y

restricciones oportunas as como las especificaciones del almacenamiento de datos y

seguridad.

Una vez diseada la base de datos, se procede a la carga ya sea de un dispositivo

magntico o ingresndolos manualmente. Este procedimiento debe estar muy bien

planificado, para evitar perdida de datos o transmitir datos errneos a la nueva base.

Por lo que respecta a la entrada manual de datos, hay que establecer un conjunto de

controles que aseguren la integridad de los mismos. Se debe asegurar que los datos

se autorizan, recopilan, preparan, transmiten y comprueban de una forma apropiada.


Los documentos fuentes deben disearse de tal forma que minimicen los errores y

omisiones, y que el tratamiento de estas situaciones no disminuya los controles, y

que se traten de concentrar lo mas apegado al origen de los datos.

5.4 Explotacin y mantenimiento

Una vez realizado las pruebas de aceptacin, con la participacin de los usuarios, el

sistema se pondr (mediante las siguientes autorizaciones y siguiendo los

procedimientos establecidos para ello) en explotacin.

En esta fase, debe comprobar que se establecen lo procedimientos de explotacin y

mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y

que el contenido de los sistemas solo se modifica mediante autorizacin adecuada.

En los nuevos COBIT se dedica un apartado completo a detallar los objetivos de

control para la gestin de datos, clasificarlos en un conjunto de apartados.

Procedimientos de preparacin de datos.

Procedimientos de autorizacin de documentos fuente recogida de datos y

de documentos fuente.

Manejo de errores y de documentos fuente.

Retencin de documentos fuente.

Procedimientos de autorizacin de datos.

Verificacin de exactitud.

Manejo de errores de entrada de datos.

Integridad de procesamientos de datos.

Edicin y validacin de procesamiento de datos.

Manejo de errores de procesamiento de datos.

Retencin y manejo de salidas.

Distribucin de salidas.

Reconciliacin y balanceo de salidas.

Manejo de errores y revisin de salidas.

Medidas de seguridad para informes de salida.


Proteccin de informacin sensible.

Proteccin de informacin sensible y dispuesta.

Gestin de almacenamiento.

Periodos de retencin y trminos de almacenamiento.

Sistema de gestin de bibliotecas de medios.

Copias de respaldo y recuperacin.

Trabajos de copias de respaldo.

Almacenamiento de respaldos.

6. REVISION POST-IMPLANTACION

Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo se

deber, establecer el desarrollo de un plan para efectuar una revisin post-

implantacin de todo sistema nuevo, o modificado con el fin de evaluar si: Se han

encontrado los resultados esperados.

Se satisfacen las necesidades de los usuarios

6.1 Otros Procesos Auxiliares

A lo largo de todo el ciclo de vida de la base de datos se deber controlar la

formacin que precisan tanto usuarios informativos, como no informticos ya que la

formacin es una de las claves para minimizar el riesgo en la implementacin de una

base de datos.

Esta formacin no se puede basar simplemente en cursos sobre el producto que se

est instalando, sino que suele ser precisa una formacin de base que resulte

imprescindible cuando; se pasa de trabajar en un entorno de archivos orientado al

proceso a un entorno de base de datos, por lo que supone cambio filosfico lo

mismo puede decirse si se camba de tipo de SGBD.

Hay que tener en cuenta que usuarios poco formados constituyen uno de los

peligros ms importantes de un sistema. Esta formacin no debera limitarse al rea


de las bases de datos, sino que tendra que ser complementada con formacin

relativa a los conceptos de control y seguridad.

El auditor tendr que revisar la documentacin que se produce a lo largo de todo

proceso, para verificar si es suficiente y si se ajusta a los estndares establecidos por

la metodologa adoptada en la empresa.

A este respecto resulta muy importante que se haya llevado acabo un aseguramiento

de calidad, lo ideal sera que en la propia empresa existiera un grupo de calidad que

se encargara entre otras cosas de asegurar la calidad para una base de datos.

6.2 Auditora y Control Interno en un entorno de base de datos

Cuando el Auditor se encuentra el sistema en explotacin, deber estudiar el SGBD

y su entorno. El gran problema de la base de datos es que su entorno cada vez es

ms complejo y no puede limitarse solo al propio SGBD

6.2.1 Sistema de Base de Datos (SGBD)

Un Sistema de Gestin de Bases de Datos (SGBD1) consiste en una coleccin de

datos interrelacionados y un conjunto de programas para acceder a los mismos.

Esta definicin es prcticamente idntica a la de los Sistema de Informacin, de

hecho normalmente en el ncleo de un SI se sita un SGBD.

En principio se utilizaron para almacenar los atributos temticos asociados a un

conjunto de entidades espaciales almacenadas en formato vectorial, hoy en da se

estn empezando a utilizar adems para el almacenamiento de la informacin

geomtrica (conjunto de coordenadas) de las entidades espaciales. Aunque se han

hecho algunos intentos para almacenar informacin en formato rastr en un

SGBD, esta opcin no resulta eficiente.

Con respecto a las funciones de la auditoria que ofrece el propio sistema,

principalmente todos los productos del mercado permiten registrar ciertas

operaciones que se realizaron sobre la base de datos de algunos archivos, el SGBD


seala un requisito para la auditoria es que la causa y el efecto de todos los cambios

de la base de datos se puedan verificar.

6.2.2 Software de Auditoria

El Software de Auditora, es el procedimiento a seguir, para el examen a de los

archivos de la forma ms fcil y confiable, mismo que es planeado y elaborado con

anticipacin y debe ser de contenido flexible, sencillo y conciso, de tal manera que

los procedimientos empleados en cada Auditora estn de acuerdo con las

circunstancias del examen.

El software de Auditora, significa la tarea preliminar trazada por el Auditor y que se

caracteriza por la previsin de los trabajos que deben ser efectuados en cada

servicio profesional que presta, a fin de que este cumpla integralmente sus

finalidades dentro de la Normas cientficas de la Contabilidad y las Normas y

Tcnicas de la Auditora.

6.2.3 Sistema de Monitorizacin y Ajuste (tuning)

Este tipo de sistema complementan las facilidades ofrecidas por el propio SGBD,

que ofrece mayor informacin para optimizar el sistema, que llega a ser en

determinadas ocasiones verdaderos sistemas expertos que proporcionan la

estructura ptima de la base de datos y de ciertos parmetros del SGBD y del SO.

La optimizacin de la base de datos, es fundamental, puesto que se acta en un

entorno concurrente puede degradarse fcilmente el nivel de servicio que haya

podido establecerse con los usuarios.

6.2.4 Sistema Operativo

El SO es una pieza clave del entorno, puesto que el SGBD se apoyar en mayor o

menor medida (segn se trate de un SGBD dependiente o independiente) en los

servicios que le ofrezca. El auditor informtico tiene serias dificultades para controlar

de manera rigurosa la interfaz entre el SGBD y el SO, debido a que, en parte,


constituye informacin reservada de los fabricantes de los productos, adems de

requerir unos conocimientos excepcionales que entran en el campo de la tcnica de

sistemas,

6.2.5 Monitor de Transacciones

Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede

considerarse un elemento ms del entorno con responsabilidades de

confidencialidad y rendimiento de informacin.

6.2.6 Protocolos y sistemas Distribuidos

Siguiendo la tendencia actual la base de datos a travs de las redes se torna ms

accesible por lo que el riesgo de perder la confidencialidad es ms frecuente, as

como las bases de datos distribuidas pueden presentar graves riesgos de seguridad.

Se establece cinco objetivos de control a la hora de revisar la distribucin de datos:

1. El Sistema de proceso distribuido debe tener una funcin de administracin de

datos centralizada que establezca estndares generales para la distribucin de datos

a travs de las aplicaciones.

2. Deben establecerse unas funciones de administracin de datos y de base de datos

fuertes, para que puedan controlar la distribucin de los datos.

3. Deben de existir pistas de auditora para todas las actividades realizadas por las

aplicaciones contra sus propias bases de datos y otras compartidas.

4. Deben existir controles software para prevenir interferencias de actualizacin

sobre las bases de datos en sistemas distribuidos.

5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el

diseo de entornos distribuidos.

Respecto a este ltimo punto, es importante destacar como, por ejemplo, muy pocas

empresas han considerado rentables implementar base de datos realmente


distribuidas; siendo bastante ms econmico y usual actualizar bases de datos

distribuidas mediante transferencia de archivos y procesos por lotes que hacerlo en

lnea.

6.2.7 Paquete de Seguridad

La informacin almacenada en una base de datos puede llegar a tener un gran valor.

Los SGBD deben garantizar que esta informacin se encuentra segura de permisos

a usuarios y grupos de usuarios, que permiten otorgar diversas categoras de

permisos.

Existen en el mercado varios productos que permiten la implantacin efectiva de una

poltica de seguridad, puesto que centralizan el control de accesos la definicin de

privilegios, perfiles de usuario, etc. Un grave inconveniente de este tipo de software

es que a veces no se encuentra bien integrado con el SGBD pudiendo resultar poco

til su implantacin si los usuarios pueden saltarse los controles a travs del propio

SGBD.

6.2.8 Diccionario de Datos

Este tipo de sistemas, empezaron a implantarse en los aos 70, tambin juegan un

papel primordial en el entorno de los SGBD en cuanto a la investigacin de los

componentes y al cumplimiento de la seguridad de los datos.

Los propios diccionarios se pueden auditar de forma anloga a las bases de datos,

las diferencias de unos a otros, residen principalmente en que un fallo en una base

de datos puede atentar contra la integridad de los datos y producir un mayor riesgo

financiero, mientras que un fallo en un diccionario.

6.2.9 Herramientas Case (Computer Aided Sistem/Sofware Engineering).

IPESE (Integrated Project Support Envinments)

Desde la dcada pasada venimos asistiendo a una gran difusin de este tipo de

herramientas como soporte al diseo y concepcin de los sistemas de informacin.

Suelen llevar incorporado un diccionario de datos enciclopedia o repositorios ms


amplios que los mencionados anteriormente en los que se almacenan adems sobre

la informacin de los datos, programas, usuarios, etc. Los diagramas matrices y

grafos ayudan al diseo. Construyen una herramienta clave para que el auditor

pueda revisar el diseo de la base de datos y comprobar si se ha empleado

correctamente la metodologa y asegurar un nivel mnimo de calidad.

6.2.10 Lenguaje de Cuarta Generacin (L4G) Independientes

Adems de las herramientas que ofrezca el propio SGBD, el auditor se puede

encontrar con una amplia gama de generadores de aplicaciones, de formas de

informes, etc. Que actan sobre la base de datos y que por tanto, tambin son un

elemento importante a considerar en el entorno de SGBD.

El L4G debe ser capaz de operar en el entorno de proceso de datos con controles

adecuados. El auditor deber estudiar los controles disponibles en los L4G utilizados

en la empresa, analizando con atencin si permiten construir procedimientos de

control y auditoria dentro de las aplicaciones y en caso negativo, recomendar su

construccin utilizando lenguajes de tercera generacin.

6.2.11 Facilidades de usuario

Con la aparicin de interfaces grficas fciles de usar (con mens, ratn, ventanas,

etc.) se ha desarrollado toda una serie de herramientas que permiten al usuario final

acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD.

La documentacin de las aplicaciones desarrolladas por usuarios finales debe ser

suficiente para que tanto sus usuarios principales como cualquier otro puedan operar

y mantenerlas. Los cambios de estas aplicaciones requieren la aprobacin de la

direccin y deben documentarse de forma completa.

El auditor debe prestar atencin a los procedimientos de carga y descarga de datos

de la base los paquetes ofimticos, comprobando, por ejemplo, si se puede


actualizar la base de datos desde cualquiera de stos o si la descarga se realiza con

datos correctamente actualizados.

6.2.12. Herramientas de minera de datos

En los ltimos aos ha explosionado el fenmeno de los almacenes de datos

datawarehouses y las herramientas para la explotacin o minera de datos

(datamining). Estas herramientas ofrecen soporte a la toma de decisiones sobre

datos de calidad integrados en el almacn de datos. La auditoria de los EIS/DSS,

cuyos principios se pueden aplicar a las herramientas de minera debindose

controlar la poltica de refresco y carga de los datos en el almacn a partir de las

bases de datos operacionales existentes, as como la existencia de mecanismos de

retroalimentacin (feedback) que modifican las bases de datos operacionales a partir

de los datos del almacn:

6.2.13. Aplicaciones

El auditor deber controlar que las aplicaciones no atentan contra la integridad de los

datos de la base.

7. TECNICAS PARA EL CONTROL DE BASE DE DATOS EN UN ENTORNO

COMPLEJO

Razn de Ser de las Tcnicas

Existen varios elementos del entorno del SGBD que afectan en la base de datos, por

lo que hacen que el sistema no sea fiable, por lo que el Auditor debe tomar medidas

de prevencin, deteccin y correctivos para que toda la informacin sea muy fiable y

segura, pero debe tomar en cuenta que por ningn motivo estas tcnicas afecten la

base de datos.


Entre otras tcnicas, podemos mencionar la siguiente:

7.1 Matrices De Control

Sirve para identificar los conjuntos de datos del SI junto con los controles de

seguridad o integridad implementados sobre los mismos. Como referamos

anteriormente esta tcnica, antes de implementarse debe ser estudiada y analizada

por el auditor para que no afecte la base de datos del sistema. Los pasos a seguir

son:

1. Preventivos:

Como su misma palabra lo dice, debe prevenir el mal uso del sistema o la

carga de archivos daados a la base de datos.

2. Detectivos:

Crear informes de manera tal que se verifique algn dao ya hecho en la base

de datos para poder corregirlo.

3. Correctivos:

La copia de seguridad, una de las cosas ms importantes de esta tcnica,

debido a que cualquier problema que exista con la base de datos se pueda

arreglar al momento en el que se encontraba bien.


CONCLUSIONES

Los avances tecnolgicos han dado paso a la creacin y desarrollo de sistemas de

gestin de base de datos SGBD, los cuales en la actualidad son elementales en la

evaluacin de riesgos de las empresas.

Es importante elaborar un estudio tecnolgico de viabilidad en el cual se contemplen

distintas alternativas para alcanzar los objetivos del proyecto acompaados de una

evaluacin de costo beneficio que contemplen las reas a examinar.

Las empresas deben establecer procedimientos de revisin post-implantacin de los

diferentes sistemas de control que se establezcan luego de la Auditora de Base de

datos.


RECOMENDACIONES

Todas las empresas deben adoptar Sistemas de Gestin de Base de Datos SGBD,

para llevar un control eficiente de las bases de datos y lograr con ello el objetivo de

salvaguardar los activos.

El Contador Pblico y Auditor CPA, deber revisar una planificacin del desarrollo de

su auditoria el cual debe incluir objetivos, alcances, reas a auditar, costo beneficio.

El auditor debe examinar la utilizacin de todas las herramientas que ofrece el propio

SGBD y las polticas y procedimientos que sobre su utilizacin haya definido el

administrador para valorar si son suficientes o si debe ser mejorados.


BIBLIOGRAFIA

AUDITORIA INFORMATICA UN ENFOQUE PRACTICO

Mario G. Piattini Emilio del Peso 2da Edicin

Alfaomega Grupo Editor Capitulo 14 pagina 312 a 333

AUDITORIA DE BASE DE DATOS.pdf

Documents

Transcript of AUDITORIA DE BASE DE DATOS.pdf