Plan de Auditoria de Base de Datos

Auditoria de Base de Datos

PLAN DE AUDITORIA DE BASE DE DATOS

Antecedentes: podremos observar que actualmente en la Oficina de Tecnología e Información

(OTI) de la Universidad Cesar Vallejo - Lima Este no se cuentan con controles

necesarios para poder corroborar el cumplimiento de las políticas y procedimientos

que se encuentran establecidas en relación a las bases de datos, entonces es necesario

poder implementar o adecuar controles que permitan saber que tan cuidado tenemos

el activo de la empresa que se encuentra en bases de datos, la información.

Objetivos:

- General: Llevar a cabo un control y seguimiento de las bases de datos para saber

qué tan segura, continua, disponible, integra y confiable es la información de las

matriculas que se tiene guardada en el SGBD de la Universidad, a su vez evaluar el

flujo de datos de entrada y salida con la aplicación de matrícula.

- Específicos:

o Poder identificar como e lleva el manejo de los perfiles de usuario y

contraseñas.

o Revisión del diccionario de datos

o Evaluar las copias de seguridad que se realizan y a su vez si se prueban la

implementación de las mismas

Alcance y Delimitación: analizar las condiciones actuales (manejo de datos e infraestructura) y

comprobar si se cumplen con las normas ya establecidas por la Universidad o si se tienen en

cuenta las condiciones, documentación necesaria para el manejo de las bases de datos.

Los Punto a evaluar según COBIT serán:

PO2 Definir la infraestructura de la información:

PO2.1 Modelo de Arquitectura de Información Empresarial

PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos

PO2.3 Esquema de Clasificación de Datos

PO2.4 Administración de Integridad

DS11 Gestionar datos:

DS11.1 Requerimientos del Negocio para Administración de Datos

DS11.2 Acuerdos de Almacenamiento y Conservación

DS11.3 Sistema de Administración de Librerías de Medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad para la Administración de Datos


Metodología: para cubrir los objetivos planteados en esta auditoria se llevara a cabo las

siguientes actividades:

Investigación Preliminar:

Determinar cuál es la infraestructura actual del entorno en el que se encuentra el

sistema gestor de bases de datos de la Universidad

Conocer de manera general como se realizan las diferentes actividades en las

bases de datos (encriptación de datos, autenticación, copias de respaldo, ingreso y

salida de datos, etc.).

Evaluar que tan importante para OTI es actualmente el llevar controles para el

manejo de las bases de datos.

Evaluar manejo de espacio de almacenamiento, archivos logs, manejo de datos

(tablas, columnas, vistas, etc.), documentación existente.

Diseño del Programa de Auditoria:

Definir los dominios, procesos y objetivos de control de COBIT, que tienen

relación con el proceso de auditoría de bases de datos.

Realizar los procedimientos que permitan recolectar la evidencia que apoye los

hallazgos y recomendaciones.

Ejecución de las Pruebas de Auditoria:

Conseguir la evidencia sobre los controles establecidos, su utilización, el

entendimiento y ejecución de los mismos por parte del personal de OTI en su

manejo de las bases de datos.

Identificación y agrupación de riesgos:

Identificar y clasificar los riesgos a los que está expuesto la información en las

bases de datos.

Segmentarlos por categorías de Seguridad, Respaldo, Encriptación, Autenticación,

Formato de Datos, etc.

Realización de guías de prueba y hallazgos:

Utilizar los riesgos encontrados con sus evidencias respectivas para anexarlas en

una guía de prueba.

Se realizara toda guía de prueba con su respectiva descripción, recomendación,

causas y nivel de riesgo asociado.

Elaboración y envío del informe de Auditoría:

Realizar un informe detallado sobre todos los resultados de la auditoria, con las

recomendaciones respetivas y controles que se deben establecer para

anteponerse a situación de riesgo.

Formar parte del historial de auditorías de bases de datos con los que contara OTI

Recursos:

Humanos: auditoría realizada por un grupo de auditores de bases de datos con la

asesoría de un Ingeniero Auditor.


Documentación: políticas, procedimientos y controles establecidos con relación a las

bases de datos.

Físicos: Infraestructura del entorno de base de datos, servidor de base de datos.

Lógicos: Sistema Gestor de Base de Datos.

Instrumentos y Técnicas:

Cuestionario: Se plantea para utilizarla como medio de recopilar datos.

Lista de Verificación: para el análisis y evolución de la información recolectada.

PLAN DE AUDITORIA - COBIT

PO2 - Definir la infraestructura de la información

PROCESO: Modelo de Arquitectura de Información Empresarial

Objetivo de Control: Definir que el modelo de base de datos, bajo el cual esta

soportado la integridad y seguridad de la información de la Universidad Cesar Vallejo.

PROCESO: Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos

Objetivo de Control: Establecer la creación de un Diccionario de Datos que favorezca

el entendimiento de los datos al área de OTI y demás áreas del negocio.

PROCESO: Esquema de Clasificación de Datos

Objetivo de Control: Definir y establecer el esquema bajo el cual se clasifica de que tan

crítica y sensible es la información a almacenar, a su vez estableciendo niveles de

seguridad.

PROCESO: Administración de Integridad

Objetivo de Control: Implementar procedimientos para garantizar la integridad y

consistencia de los datos almacenados.

DS11 - Gestionar datos

PROCESO: Requerimientos del Negocio para Administración de Datos

Objetivo de Control: Verificar los procedimientos mediante los cuales se reciben y procesan los datos del negocio y a su vez el flujo de salida de estos hacia las aplicaciones.

PROCESO: Acuerdos de Almacenamiento y Conservación

Objetivo de Control: Salvaguardar y conservar mediante un proceso definido la información que se genera en la Universidad además de todo su flujo hasta su almacenamiento final también se debe revisar que cumpla con requerimientos de seguridad para la protección adecuada de este activo.

PROCESO: Sistema de Administración de Librerías de Medios


Objetivo de Control: Definir e Implementar procedimientos para mantener un inventario de medios almacenados para asegurar su usabilidad e integridad.

PROCESO: Eliminación

Objetivo de Control: Establecer procedimientos para identificar y proteger datos

sensibles de la Universidad.

PROCESO: Respaldo y Restauración

Objetivo de Control: Establecer los procedimientos de respaldo y restauración de la información, además de ejecutarlo para verificar su efectividad, todo esto en pro de aportar al plan de continuidad de la Universidad Cesar Vallejo.

PROCESO: Requerimientos de Seguridad para la Administración de Datos

Objetivo de Control: Definir los mecanismos para aplicar requerimientos de seguridad, procesamiento, almacenamiento físico y entrega de información, esto para favorecer toda la administración y gestión de los datos de la Universidad.

CUESTIONARIO DE AUDITORIA DE BASE DE DATOS

Se agradece el tiempo tomado para responder a este cuestionario con fines de poder realizar un proceso de auditoría de base de datos.

INSTRUCCIONES:

Maque con una (X) en el casillero de la alternativa que Ud. Crea conveniente Se requiere responder con

la mayor sinceridad posible.

Recuerda: (Si) Afirmativa, (No) Negativa y (NA) No Aplica.

Base de Datos

Nro. Objetivos Pregunta Si No

1 DS11.1 ¿Los datos son precisos a la hora de realizar un reporte? X

2 PO2.4 ¿Se ha presentado alguna incongruencia en los datos? X

3 PO2.1 ¿La base de datos se encuentra normalizada? X

4 PO2.4 ¿Los datos mantienen la consistencia? X

5 PO2.4 ¿Todas las tablas cuentan con llave primaria que evita tener información repetida en la base de datos?

X

6 DS11.6 ¿Son gestionados los accesos a las instancias de la Base de Datos? X

7 DS11.6 ¿Se renuevan las claves de los usuarios de la Base de Datos? X

8 DS11.6 ¿Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a estructuras, tablas físicas y lógicas del repositorio?

X

9 DS11.6 ¿Cuentan con las asignaciones de los privilegios de la base de datos? X

10 DS11.5 ¿Se realiza copias de seguridad? X

11 DS11.5 ¿Existe una instancia con copia del Repositorio para el entorno de desarrollo? X

12 DS11.5 ¿Se llevan a cabo copias de seguridad del repositorio? X

13 DS11.5 ¿Las copias de seguridad se efectúan diariamente? X

14 DS11.5 ¿Las copias de seguridad son encriptados? X

15 DS11.5 ¿Se ha probado restaurar alguna vez una copia de seguridad, para probar que las X


mismas se encuentren bien hechas?

16 DS11.5 ¿Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa?

X

17 DS11.2 ¿En caso de que el equipo principal sufra una avería, existen equipos auxiliares? X

18 DS11.2 ¿Se cuenta con niveles de seguridad para el acceso a la Base de Datos? X

19 DS11.6 ¿Existe y es conocido un plan de actuación para el personal del centro de cómputo, en caso de incidentes naturales u otros que involucren gravemente la instalación?

X

20 PO2.3 ¿Ha presentado el sistema algún problema durante su ejecución específicamente en su BD?

X

21 PO2.1 ¿Se ha realizado anteriormente un análisis de riesgos? X

22 PO2.1 ¿Se lleva a cabo algún procedimiento cuando se detectan algún problema en el sistema?

X

23 PO2.1 ¿Existe una persona asignada para llevar a cabo lo anterior? X

24 DS11.2 ¿Existen relaciones entre las tablas de Datos? X

25 DS11.2 ¿Cuentan con perfiles de usuarios en la aplicación? X

26 DS11.2 ¿Para tener acceso al sistema existe una validación a la entrada del sistema? X

27 DS11.5 ¿Existen respaldos de la base de datos? X

28 DS11.5 ¿Realizan respaldos constantes en la base de datos? X

29 DS11.5 ¿Los respaldos de la base de datos son alojados en un servidor externo? X

30 DS11.6 ¿Cuentan con políticas de seguridad en la BD? X

31 DS11.6 ¿Aplican seguridad en sus procesos? X

32 DS11.6 ¿Se cuentan con Planes de Seguridad? X

33 DS11.6 ¿Se han llevado a cabo dichos Planes? X

34 DS11.5 ¿Cuenta con Planes de Contingencia? X

35 DS11.5 ¿Se han llevado a acabo dicho Planes de Contingencia? X

36 DS11.2 ¿Las políticas que existen en la Institución son difundidas al personal de TI? X

37 DS11.2 ¿Las políticas con emitidas con frecuencia? X

38 DS11.2 ¿Se lleva a cabo un control de acceso a los usuarios de base de datos? X

39 DS11.6 ¿Las contraseñas de los usuarios son encriptados? X

40 DS11.6 ¿Utilizan algoritmos para cifrar la información? X

41 DS11.6 ¿Existe un control de preparación y entrega de los reportes de salida? X

42 DS11.4 ¿Es posible que la información sea eliminada? X

43 DS11.5 ¿Son generados respaldos de información específica? X

44 DS11.5 ¿Se realiza con frecuencia los respaldos de la información delicada? X

45 PO2.2 ¿Se cuenta con un diccionario de datos de la BD? X


LISTA DE CHEKEO O CHECKLIST PARA AUDITORIA DE BASE

DE DATOS

1. Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la Base de datos?

Si

No

X N/A

Observaciones:

2. Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)?

Si

No

X N/A

Observaciones:

3. Existe algún usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor?

Si

X No

N/A

Observaciones:

4. Se encuentra un administrador de sistemas en la empresa que lleve un control del usuario?

X Si

No

N/A

Observaciones:

5. Son gestionados los perfiles de estos usuarios por el administrador?

X Si

No

N/A

Observaciones:

6. Son gestionados los accesos a las instancias de la Base de Datos?

X Si

No

N/A

Observaciones:

7. Las instancias que contienen el repositorio, tienen acceso restringido?

X Si

No

N/A

Observaciones:

8. Se renuevan las claves de los usuarios de la Base de Datos?

Si

X No

N/A

Observaciones:

9. Se obliga el cambio de la contraseña de forma automática?

Si

X No

N/A

Observaciones:

10. Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a estructuras, tablas físicas y lógicas del repositorio?

Si


X No

N/A

Observaciones:

11. Posee la base de datos un diseño físico y lógico?

X Si

No

N/A

Observaciones:

12. Posee el diccionario de datos un diseño físico y lógico?

Si

X No

N/A

Observaciones:

13. Existe una instancia con copia del Repositorio para el entorno de desarrollo?

Si

X No

N/A

Observaciones:

14. Está restringido el acceso al entorno de desarrollo?

X Si

No

N/A

Observaciones:

15. Los datos utilizados en el entorno de desarrollo, son reales?

X Si

No

N/A

Observaciones:

16. Se llevan a cabo copias de seguridad del repositorio?

Si

X No

N/A

Observaciones:

17. Las copias de seguridad se efectúan diariamente?

Si

X No

N/A

Observaciones:

18. Las copias de seguridad son encriptados?

Si

X No

N/A

Observaciones:

19. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren bien hechas?

Si

X No

N/A

Observaciones:

20. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa?

X Si

No

N/A


Observaciones:

21. En caso de que el equipo principal sufra una avería, existen equipos auxiliares?

X Si

No

N/A

Observaciones:

22. Cuando se necesita restablecer la base de datos, se le comunica al administrador?

X Si

No

N/A

Observaciones:

23. La comunicación se establece de forma escrita?

X Si

No

N/A

Observaciones:

24. Una vez efectuada la restauración, se le comunica al interesado?

X Si

No

N/A

Observaciones:

25. Se lleva a cabo una comprobación, para verificar que los cambios efectuados son los solicitados por el interesado?

X Si

No

N/A

Observaciones:

26. Se documentan los cambios efectuados?

Si

X No

N/A

Observaciones:

27. Hay algún procedimiento para dar de alta a un usuario?

Si

X No

N/A

Observaciones:

28. Hay algún procedimiento para dar de baja a un usuario?

Si

X No

N/A

Observaciones:

29. Es eliminada la cuenta del usuario en dicho procedimiento?

Si

X No

N/A

Observaciones:

30. El motor de Base de Datos soporta herramientas de auditoria?

X Si

No

N/A


Observaciones:

31. Existe algún tipo de documentación referida a la estructura y contenidos de la Base de Datos?

Si

X No

N/A

Observaciones:

32. Se cuenta con niveles de seguridad para el acceso a la Base de Datos?

X Si

No

N/A

Observaciones:

33. Se encuentra la Base de Datos actualizada con el último Set de Parches de Seguridad?

Si

X No

N/A

Observaciones:

34. Existe algún plan de contingencia ante alguna situación no deseada en la Base de Datos?

X Si

No

N/A

Observaciones:

35. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las base de datos?

Si

X No

N/A

Observaciones:

36. Se usan los generados por el DBMS?

Si

No

X N/A

Observaciones:

37. Se usan los generados por el Sistema Operativo?

Si

No

X N/A

Observaciones:

38. Se han configurado estos logs para que sólo almacenen la información relevante?

Si

No

X N/A

Observaciones:

39. Se tiene un sistema de registro de acciones propio, con fines de auditoría?

Si

X No

N/A

Observaciones:

40. Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por agua?

Si

X No

N/A

Observaciones:


41. Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por el fuego?

X Si

No

N/A

Observaciones:

42. La ubicación del centro de cómputo es acorde con las mínimas condiciones de seguridad?

X Si

No

N/A

Observaciones:

43. Existe y es conocido un plan de actuación para el personal del centro de cómputo, en caso de incidentes naturales u otros que involucren gravemente la instalación?

X Si

No

N/A

Observaciones:

44. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?

Si

X No

N/A

Observaciones:

45. La información que poseen en la base de datos es real?

X Si

No

N/A

Observaciones:

ANÁLISIS DE RIESGOS

La siguiente lista de riesgos está basada en las 2 herramientas anteriormente usadas (CheckList

y Cuestionario):

Lista de Riegos Encontrados:

No se generan backups, copias de respaldo o seguridad de la información almacenada

en la base de datos.

Los Equipos no son resistentes al agua.

No se cuenta con un diccionario de datos.

No existen procedimientos para dar de alta o baja los usuarios de la base de datos.

No hay un procedimiento para llevar a cabo el control de entrada o salida de datos de

la BD.

No existen logs sobre las acciones realizadas en la base de datos.

No documentan los cambios efectuados.

Las contraseñas de los usuarios no son encriptados.

Valoración de Riegos:

De acuerdo con los riesgos anteriormente listados y teniendo en cuenta cual es la probabilidad

de que uno de estos se presente y el impacto que podría generar en el flujo normal de trabajo


en la Universidad Cesar Vallejo – Lima Este, a continuación presentamos una tabla donde

valoraremos estos riesgos:

Riesgos / Valoración Probabilidad Impacto

A M B L M C

R1 No se generan backups, copias de respaldo o seguridad de la información almacenada en la base de datos.

X X

R2 Los Equipos no son resistentes al agua. X X

R3 No se cuenta con un diccionario de datos. X X

R4 No existen procedimientos para dar de alta o baja los usuarios de la base de datos.

X X

R5 No hay un procedimiento para llevar a cabo el control de entrada o salida de datos de la BD.

X X

R6 No existen logs sobre las acciones realizadas en la base de datos.

X X

R7 No documentan los cambios efectuados. X X

R8 Las contraseñas de los usuarios no son encriptados. X X

Probabilidad: [Alta: A | Media: M | Baja: B]

Impacto: [Catastrófico: C | Moderado: M | Leve: L]

De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se realiza al

área de OTI de la Universidad Cesar Vallejo – Lima Este se puede clasificar los riesgos como se

muestra en la siguiente tabla.

Clasificación de Riesgos:

LEVE MODERADO CATASTROFICO

ALTO R6 R8

MEDIO R3, R4, R7 R1, R5

BAJO R2

DEFINIR POLITICAS PARA EL ÁREA DE BASE DE DATOS

Políticas:

1.- Acceso a la Información Delimitar y controlar el acceso de terceras personas, dar seguimiento a su sesión tiempo de conexión así como los datos que reviso, es decir toda su interacción con la información de la entidad, esta medida para minimizar el riesgo de perder la integridad de la información que se encuentra en la base de datos, y en caso se presente estas acciones que pone en riesgo a la información, se debe llevar un registro de esto último. 2.- Seguridad de la Información


Se debe asignar responsabilidades para el cuidado y protección de la información en la base de datos, para asegurar la integridad, confidencialidad, disponibilidad y confiabilidad de la misma, teniendo en claro que tan sensibles son los datos y como se clasifican según su confidencialidad.

3.- Seguridad en Recursos Informáticos

Administración de usuarios: Establece como deben ser utilizadas las claves de ingreso a los recursos informáticos y los parámetros sobre la longitud mínima de las contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de vigencia de las mismas, entre otras. Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos deberán contar con roles predefinidos o con un módulo que permita definir roles, definiendo las acciones permitidas por cada uno de estos. Deberán permitir la asignación a cada usuario de posibles y diferentes roles. También deben permitir que un rol de usuario administre el Administración de usuarios.

4: Seguridad en Comunicaciones

Las direcciones internas, topologías, configuraciones e información relacionada con el diseño de los sistemas de comunicación, seguridad y cómputo de la Entidad, deberán ser consideradas y tratadas como información confidencial. 5: Software Utilizado

Todo software será adquirido de acuerdo con las normas vigentes y siguiendo los procedimientos específicos de la Entidad o reglamentos internos.

6: Actualización de Hardware

Cualquier cambio que se requiera realizar en los equipos de cómputo de la entidad (cambios de procesador, adición de memoria o tarjetas) debe tener previamente una evaluación técnica y autorización del área responsable. 7: Almacenamiento y Respaldo

Debe existir una definición formal de la estrategia de generación, retención y rotación de las copias de respaldo. La entidad definirá la custodia de los respaldos de la información que se realizará externamente con una compañía especializada en este tema. El área dueña de la información en conjunto con la oficina Informática definirá la estrategia a seguir para el respaldo de la información. 8: Contingencia

La administración de la Entidad debe preparar, actualizar periódicamente y probar en forma regular un plan de contingencia que permita a las aplicaciones críticas y sistemas de cómputo y comunicación estar disponibles en el evento de un desastre de grandes proporciones como terremoto, explosión, terrorismo, inundación etc. 9: Seguridad Fisca


La Entidad deberá contar con los mecanismos de control de acceso tales como puertas de seguridad, sistemas de control con tarjetas inteligentes, sistema de alarmas y circuitos cerrados de televisión en las dependencias que la entidad considere críticas.

GUÍA DE PRUEBAS

Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la siguiente

colección de pruebas para los riesgos seleccionados previamente.

GUÍA DE PRUEBA P1

UNIVERSIDAD CESAR VALLEJO – LIMA ESTE UCV – LE

Guía de Pruebas P1

Dominio Planificar y Organizar

Proceso PO2 Definir la infraestructura de la información

Objetivo de Control PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos

Riesgos Asociados R3

N° Evidencia Descripción

1 No hay Diccionario de Datos

En la Universidad Cesar Vallejo – Lima Este no se encuentra establecido el diccionario de datos que

permite tener una análisis y percepción del modelo de base de datos más al detalle, con respecto a los tipos de

datos, llenado de cada tabla, etc.

GUÍA DE PRUEBA P2


Guía de Pruebas P2



Objetivo de Control PO2.4 Administración de Integridad

Riesgos Asociados R5, R7, R6


1

No hay un procedimiento para llevar a cabo el control de entrada o salida de datos

de la BD.

Si bien en la UCV se controla la entrada y salida de datos, no hay un procedimiento estándar para llevar a cabo ello,

poniendo en riesgo la integridad de la información.

2 No documentan los cambios

efectuado

Realizar cambios sin documentarlos podría generar confusión en los datos que tiene la UCV en su base de datos, podría crear datos repetidos, entre diferentes

acciones que afectan a la BD.


GUÍA DE PRUEBA P3


Guía de Pruebas P3

Dominio Dar Soporte

Proceso DS11 Gestionar datos

Objetivo de Control DS11.2 Acuerdos de Almacenamiento y Conservación

Riesgos Asociados R2, R8


1 Los equipos no son resistentes al agua

La conservación de la información depende también del entorno donde se encuentra, es un riesgo que ante una

situación de filtrado de agua no se cuente con un plan de contingencia.

2 Las contraseñas de los

usuarios no son encriptados

Es muy delicado el hecho de que aún no se haya encriptado las contraseñas, de los usuarios de la base de datos, de tener acceso a esta sería mucho más sencillo

saber la contraseña de algún usuario.

GUÍA DE PRUEBA P4

UNIVERSIDA CESAR VALLEJO – LIMA ESTE UCV – LE

Guía de Pruebas P4

Dominio Dar Soporte


Objetivo de Control DS11.4 Eliminación



1 No existen procedimientos para dar de alta o baja los

usuarios de la base de datos.

No se lleva un procedimiento para saber si al eliminar algún registro hay datos relacionados a el que se pueden

ver afectados, o que tanto podría influir la ausencia de ciertos datos sensibles en la base de datos.

GUÍA DE PRUEBA P5


Guía de Pruebas P5

Dominio Dar Soporte


Objetivo de Control DS11.5 Respaldo y Restauración



1

No se generan backups, copias de respaldo o

seguridad de la información almacenada en la base de

datos.

No realizar copias de respaldo de la base de datos y a su vez probarlas es muy riesgoso para la Universidad ya que

es una medida que favorece al plan de continuidad.


GUÍA DE HALLAZGOS

Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los

objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las

siguientes tablas de hallazgos para cada uno de ellos.

GUÍA DE HALLAZGOS H1


Hallazgos de Auditoria H1



Objetivo de Control PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos


Descripción

En la Universidad Cesar Vallejo – Lima Este no se encuentra establecido el diccionario de datos que permite tener una análisis y percepción del modelo de base de datos más al detalle, con respecto a los tipos de datos, llenado de cada tabla, etc.

Recomendación

Se recomienda crear un diccionario de datos de la base de datos, quizás usar alguna herramienta que facilite la creación del mismo, la parte más importante sería el detallar cómo será el llenado de cada campo de cada tabla.

Causa

Poca importancia por parte de los manejadores de BD para crear un diccionario de datos de las bases de datos.






Objetivo de Control PO2.4 Administración de Integridad

Riesgos Asociados R5, R7, R6

Descripción

Si bien en la UCV se controla la entrada y salida de datos, no hay un procedimiento estándar para llevar a cabo ello, poniendo en riesgo la integridad de la información.

Realizar cambios sin documentarlos podría generar confusión en los datos que tiene la UCV en su base de datos, podría crear datos repetidos, entre diferentes acciones que afectan a la BD

Recomendación

Se recomienda establecer un procedimiento que regule el flujo de entrada y salida de datos de la BD, mediante el cual registre los movimientos realizados en la empresa.

Establecer un formato para llevar a cabo cambios en las bases de datos.

Causa

Falta de compromiso por parte del personal de OTi para realizar un historial de los movimientos que se realizan en las bases de datos así como también, no documentar todo cambio que se realiza.





Dominio Dar Soporte


Objetivo de Control DS11.2 Acuerdos de Almacenamiento y Conservación

Riesgos Asociados R2, R8

Descripción

La conservación de la información depende también del entorno donde se encuentra, es un riesgo que ante una situación de filtrado de agua no se cuente con un plan de contingencia.

Es muy delicado el hecho de que aún no se haya encriptado las contraseñas, de los usuarios de la base de datos, de tener acceso a esta sería mucho más sencillo saber la contraseña de algún usuario.

Recomendación

Se recomienda que nuestro servidor de base de datos se encuentre en lo más posible aislados de cualquier líquido, y las personas que frecuentan por sus instalaciones deben tener bien en claro que no se debe ingresar con ningún tipo de líquido, además de elaborar un plan ante el filtrado de agua en estas instalaciones.

Encriptar las contraseñas nos ayudaran a darle mayor seguridad a la información que tenemos en la base de datos, existen diferentes métodos, algoritmos para encriptar contraseñas, de las cuales podríamos optar una a implementar.

Causa

Falta de iniciativa de seguridad para implementar algún método de encriptación de contraseñas para las que tenemos en la base de datos. No se ha tomado en cuenta ni dado la relevancia de alguna probable filtrado de agua en las instalaciones donde esta nuestro sistema gestor de base de datos.




Dominio Dar Soporte


Objetivo de Control DS11.5 Respaldo y Restauración


Descripción

No realizar copias de respaldo de la base de datos y a su vez probarlas es muy riesgoso para la Universidad ya que es una medida que favorece al plan de continuidad.

Recomendación

Recomendamos llevar a cabo un bakcup / copia de seguridad o respaldo de la información con la que cuenta la Universidad Cesar Vallejo – Lima Este, debido a que sin duda este es un activo más que importante, primordial para el flujo normal de trabajo de esta organización.

Tener un procedimiento para la realización de estos bakcups y también sus pruebas de implementación, para apoyar al plan de continuidad de la Universidad, así como también respaldar y asegurar la información en nuestras bases de datos.

Causa

Falta del cuidado y continuidad de la información por parte del personal de OTI, debido a que


un perdida de información sin contar con un respaldo de esta, puede afectar de gran forma a la Universidad.




Dominio Dar Soporte


Objetivo de Control DS11.4 Eliminación


Descripción

No se lleva un procedimiento para saber si al eliminar algún registro hay datos relacionados a el que se pueden ver afectados, o que tanto podría influir la ausencia de ciertos datos sensibles en la base de datos.

Recomendación

Recomienda establecer un procedimiento que indique bajo qué condiciones se eliminara alguna data de la base de datos, a su vez que acciones previas o posteriores realizar para verificar que no afectara a la información que quedara en el sistema gestor de base de datos.

Causa

No se da la relevancia correspondiente a contar con un procedimiento para la eliminación de datos, así clasificar que datos si se pueden eliminar y cuáles no.

Plan de Auditoria de Base de Datos

Documents

Transcript of Plan de Auditoria de Base de Datos