SlideShare a Scribd company logo

Cap #4 y 5

Download as DOCX, PDF
H
hmitre17
1 of 8
ISAEL PIMENTEL 6-712-2351 AUDITORIA DE BASE DE DATOS La Auditoría Informática o basada en base de datos es una ciencia aplicada, que proviene de la auditoría general, y pretende realizar una revisión exhaustiva del trabajo que se realiza en la Informática y que los controles que se aplican en los diferentes niveles donde interviene sean los adecuados. La auditoria de base de datos se puede agrupar en dos clases: Metodología tradicional: en esta etapa el auditor revisa el entorno con la ayuda de una lista que se compone de una serie de cuestiones a verificar. Este tipo de técnica suele ser aplicada a la auditoria de productos de base de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Metodología de evaluación de riesgo: también conocida por risk oriented approach, es la que propone ISACA, y empieza fijándose los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
ISAEL PIMENTEL 6-712-2351 OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS Son técnica de control a tener en cuenta a lo largo del ciclo de vida de una base de datos. Estudio previo y plan de trabajo: es muy importante elaborar un estudio tecnológico de viabilidad en el cual se completen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. En esta fase se debe comprobar la estructura orgánica no solo del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión y control de base de datos. Concepción de la base de datos y selección de equipo: en esta fase se empieza a diseñar la base de datos, por lo que deben utilizarse los modelos y las técnicas definidas en la metodología de desarrollo de sistema. La metodología de diseño debería también emplearse para especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoría a incluir en el sistema. El auditor debe en primer lugar analizar la metodología de diseño con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilización. la metodología de diseño conlleva dos fases: física y lógica
ISAEL PIMENTEL 6-712-2351 Diseño y carga: en esta fase se lleva a cabo los diseño físico y lógico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizados correctamente; determinando si la definición de los datos contemplan además de su estructura las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relacionadas a la seguridad. El auditor tendrá que tomar una muestra de cierto elementos (tabla, vista, índice) y comprobar que su definición es completa En aspecto importante es el tratamiento de datos en entrada erróneo, para lo que deben cuidarse con atención los procedimientos de reintroducción de forma que no disminuyan los controles. Explotación y mantenimiento: en esta fase se deben comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta Revisión post-implantación: aunque es utilizada en pocas empresas por falta de tiempo, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:  Se han conseguidos los resultados esperados  Se satisface las necesidades de los usuarios  Los costes y beneficios coinciden con los previstos. Otros procesos auxiliares: a lo largo del ciclo de vida de una base de datos se deberá controlar la formación que precisan tantos los usuarios informáticos (administradores, analistas, programadores. Etc. ) como no informáticos, ya que la formación es una de las claves para minimizar el riesgo en la implantación de una base de datos. El auditor tendrá que revisar la documentación que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por la metodología adoptada por la empresa
ISAEL PIMENTEL 6-712-2351 AUDITORÍA Y CONTROL INTERNO EN UN ENTRONO DE LA BASE DE DATOS Dentro de esta se estudia en sistema de gestión de base de datos y su entorno Sistema de gestión de base de datos (SGBD): se destaca el núcleo (kernel), el catalogo (componente fundamental para asegurar la seguridad en la base de datos). Las utilidades para el administrador en la base de datos entre las que se suelen encontrar algunas para crear usuarios, conceder privilegios, y resolver otras cuestiones relativas a la confiablidad. En cuanto a las funciones de auditoría que ofrece el propio sistema prácticamente todos los productos del mercado permiten registrar ciertas operaciones realizadas sobre la base de datos en el fichero. Software de auditoría: son paquetes o programas que pueden emplearse para facilitar la labor del auditor, en cuanto la extracción de datos, seguimientos de las transacciones, datos de prueba, etc. Sistema de monitorización y ajuste (tuning): este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor información para optimizar el sistema
ISAEL PIMENTEL 6-712-2351 Sistemas operativos (SO): el SO es una pieza clave del entorno, puesto que el SGBD se apoyara, en mayor medida en los servicios que le ofrezca el SO en cuanto al control de memoria, gestión de áreas de almacenamiento interno, manejo de errores, control de confiabilidad y mecanismos de interbloqueo. Monitor de transacción: es un elemento más del entorno con responsabilidades de confiabilidad y rendimiento. Protocolos de sistemas distribuidos: establece cinco objetivos de control a la hora de revisar la distribución de datos. 1. El sistema de proceso distribuido tiene que tener una función de administración de datos centralizada 2. Deben establecerse unas funciones de administración de datos y de base de datos fuerte. 3. Deben existir pistas de auditoría para todas las actividades realizadas por la aplicación contra sus propias bases de datos y otras compartidas. 4. Deben existir controles software para prevenir interferencias de actualización sobre la base de datos en sistemas distribuido 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuido. Paquete de seguridad: permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de acceso, la definición de privilegios y perfiles de usuarios. Diccionario de datos: este tipo de sistemas se implantaron en los años 70, juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de los datos Los propios diccionarios se pueden auditar de manera análoga a la base de datos, ya que son base de metadatos
ISAEL PIMENTEL 6-712-2351 Herramientas case (computer aided system software): este tipo de herramientas suelen llevar incorporado un diccionario de datos amplios (enciclopedias o repositorio) en los que se almacenan información sobre datos, programas y usuarios. Lenguaje de cuarta generación (L4G) independientes: se ofrecen varios objetivos de control para los L4G entre los que se destacan:  El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados  Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de autorización y petición que los proyectos de desarrollo convencionales  Las aplicaciones desarrolladas con L4G deben sacar ventaja de las características incluidas en los mismos. Uno de los peligros más graves de L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con tercera generación Facilidades de usuarios: las aplicaciones que utilicen este proceso deben seguir los mismos sólidos principios de control y tratamiento de errores que el resto. Herramientas de minería de datos: esta herramienta ofrece soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos. Aplicaciones: el auditor debe controlar que las aplicaciones no atenten contra la integridad de los datos de la base. Técnicas para el control de base de datos en un entorno complejo: existen técnicas importantes como debilitar la seguridad del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados. Emplea dos técnicas de control; matrices de control y análisis de los caminos de acceso.
ISAEL PIMENTEL 6-712-2351  matrices de control: sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos.  análisis de los caminos de acceso: con esta técnica se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el momento en que se introducen, identificando los componentes del sistema que atraviesan.
ISAEL PIMENTEL 6-712-2351 CONCLUSION El trabajo de auditoría, nos trae a aportar valiosos elementos que sirven de punto de enfoque para conocer y hacer un análisis de mejor la forma en cómo se trabaja, las labores que se deben cumplir para mejorar y mantener siempre un norte firme, que puede ser interrumpido por la falta de controles en nuestro diario vivir. La auditoria de base de datos sin duda es muy compleja para los auditores, para la realización de la misma ya sea verificando que los componentes del sistemas trabajen conjuntamente y coordinadamente hacen que la empresa u organización tengas resultados satisfactorios.

Recommended

Cap #4 5
Cap #4 5Cap #4 5
Cap #4 5hmitre17
 
Tema 7
Tema 7Tema 7
Tema 7Carmelo Branimir España Villegas
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datosmarthacely7
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4luisrobles17
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datosLeidy Andrea Sanchez
 
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...Aura Aguilar
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAManuel Medina
 

Recommended

Cap #4 5
Cap #4 5Cap #4 5
Cap #4 5hmitre17
 
Tema 7
Tema 7Tema 7
Tema 7Carmelo Branimir España Villegas
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datosmarthacely7
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4luisrobles17
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datosLeidy Andrea Sanchez
 
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...
CAPITULO IV EVALUACIÓN DE SISTEMAS DEL LIBRO AUDITORÍA INFORMÁTICA DE JOSÉ AN...Aura Aguilar
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAManuel Medina
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionChristian L
 
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemasDiiego Saldañha
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)hmitre17
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1giseela_ledesma
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticarubicolimba
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...rubicolimba
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica1803127313001
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 

More Related Content

What's hot

18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionChristian L
 
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemasDiiego Saldañha
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)hmitre17
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1giseela_ledesma
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticarubicolimba
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...rubicolimba
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica1803127313001
 

What's hot (20)

18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
 
Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacion
 
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
(Auditoria de sistemas) elementos de evaluacion en el desarrollo de sistemas
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistema
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
 
Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)Objetivos de Control de Base d Datos(ISACA,COBIT)
Objetivos de Control de Base d Datos(ISACA,COBIT)
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatos
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 

Similar to Cap #4 y 5

Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
06 auditoria de_base_de_datos
06 auditoria de_base_de_datos06 auditoria de_base_de_datos
06 auditoria de_base_de_datosMariano Moreira
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controlesEliecer Espinosa
 
Sistema de informacion gerencial (estudio)
Sistema de informacion gerencial (estudio)Sistema de informacion gerencial (estudio)
Sistema de informacion gerencial (estudio)samico01
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxDanny Israel Ligua Heras
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinezCan00
 
5 grupo 5..
5 grupo 5..5 grupo 5..
5 grupo 5..Can00
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinezCan00
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Articulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemasArticulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemasMario J Arrieta
 
Trabajo de sistemas de informacion 5
Trabajo de sistemas de informacion 5Trabajo de sistemas de informacion 5
Trabajo de sistemas de informacion 5JeanCavallo2
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosArmando Landazuri
 
Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasSzarguz
 
Ciclo de vida y Diseño de los SI
Ciclo de vida y Diseño de los SICiclo de vida y Diseño de los SI
Ciclo de vida y Diseño de los SIRafaelBrito138
 
Proceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemasProceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemasMrkarito1987
 

Similar to Cap #4 y 5 (20)

Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
13-Auditoria a Base de Datos
13-Auditoria a Base de Datos13-Auditoria a Base de Datos
13-Auditoria a Base de Datos
 
06 auditoria de_base_de_datos
06 auditoria de_base_de_datos06 auditoria de_base_de_datos
06 auditoria de_base_de_datos
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controles
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Sistema de informacion gerencial (estudio)
Sistema de informacion gerencial (estudio)Sistema de informacion gerencial (estudio)
Sistema de informacion gerencial (estudio)
 
Desarrollo de sistemas
Desarrollo de sistemasDesarrollo de sistemas
Desarrollo de sistemas
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
 
5 grupo 5..
5 grupo 5..5 grupo 5..
5 grupo 5..
 
Candelario diaz martinez
Candelario diaz martinezCandelario diaz martinez
Candelario diaz martinez
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Articulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemasArticulo análisis y diseño de sistemas
Articulo análisis y diseño de sistemas
 
Trabajo de sistemas de informacion 5
Trabajo de sistemas de informacion 5Trabajo de sistemas de informacion 5
Trabajo de sistemas de informacion 5
 
King joe
King joeKing joe
King joe
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficheros
 
Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemas
 
Ciclo de vida y Diseño de los SI
Ciclo de vida y Diseño de los SICiclo de vida y Diseño de los SI
Ciclo de vida y Diseño de los SI
 
Proceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemasProceso generico de_una_auditoria_de_sistemas
Proceso generico de_una_auditoria_de_sistemas
 

More from hmitre17

Autenticacion
AutenticacionAutenticacion
Autenticacionhmitre17
 
Autenticación
AutenticaciónAutenticación
Autenticaciónhmitre17
 
Seguridad en Gestion de redes
Seguridad en Gestion de redesSeguridad en Gestion de redes
Seguridad en Gestion de redeshmitre17
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redeshmitre17
 
Monografia Final
Monografia Final Monografia Final
Monografia Final hmitre17
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformaticahmitre17
 
Virustotal
VirustotalVirustotal
Virustotalhmitre17
 
Información básica
Información básicaInformación básica
Información básicahmitre17
 

More from hmitre17 (10)

Autenticacion
AutenticacionAutenticacion
Autenticacion
 
Autenticación
AutenticaciónAutenticación
Autenticación
 
Seguridad en Gestion de redes
Seguridad en Gestion de redesSeguridad en Gestion de redes
Seguridad en Gestion de redes
 
Cap3
Cap3Cap3
Cap3
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
 
Monografia Final
Monografia Final Monografia Final
Monografia Final
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
 
Virustotal
VirustotalVirustotal
Virustotal
 
Taller 3
Taller 3Taller 3
Taller 3
 
Información básica
Información básicaInformación básica
Información básica
 

Cap #4 y 5

  • 1. ISAEL PIMENTEL 6-712-2351 AUDITORIA DE BASE DE DATOS La Auditoría Informática o basada en base de datos es una ciencia aplicada, que proviene de la auditoría general, y pretende realizar una revisión exhaustiva del trabajo que se realiza en la Informática y que los controles que se aplican en los diferentes niveles donde interviene sean los adecuados. La auditoria de base de datos se puede agrupar en dos clases: Metodología tradicional: en esta etapa el auditor revisa el entorno con la ayuda de una lista que se compone de una serie de cuestiones a verificar. Este tipo de técnica suele ser aplicada a la auditoria de productos de base de datos, especificándose en la lista de control todos los aspectos a tener en cuenta. Metodología de evaluación de riesgo: también conocida por risk oriented approach, es la que propone ISACA, y empieza fijándose los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
  • 2. ISAEL PIMENTEL 6-712-2351 OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS Son técnica de control a tener en cuenta a lo largo del ciclo de vida de una base de datos. Estudio previo y plan de trabajo: es muy importante elaborar un estudio tecnológico de viabilidad en el cual se completen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las opciones. En esta fase se debe comprobar la estructura orgánica no solo del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión y control de base de datos. Concepción de la base de datos y selección de equipo: en esta fase se empieza a diseñar la base de datos, por lo que deben utilizarse los modelos y las técnicas definidas en la metodología de desarrollo de sistema. La metodología de diseño debería también emplearse para especificar los documentos fuentes, los mecanismos de control, las características de seguridad y las pistas de auditoría a incluir en el sistema. El auditor debe en primer lugar analizar la metodología de diseño con el fin de determinar si es o no aceptable, y luego comprobar su correcta utilización. la metodología de diseño conlleva dos fases: física y lógica
  • 3. ISAEL PIMENTEL 6-712-2351 Diseño y carga: en esta fase se lleva a cabo los diseño físico y lógico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizados correctamente; determinando si la definición de los datos contemplan además de su estructura las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relacionadas a la seguridad. El auditor tendrá que tomar una muestra de cierto elementos (tabla, vista, índice) y comprobar que su definición es completa En aspecto importante es el tratamiento de datos en entrada erróneo, para lo que deben cuidarse con atención los procedimientos de reintroducción de forma que no disminuyan los controles. Explotación y mantenimiento: en esta fase se deben comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta Revisión post-implantación: aunque es utilizada en pocas empresas por falta de tiempo, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:  Se han conseguidos los resultados esperados  Se satisface las necesidades de los usuarios  Los costes y beneficios coinciden con los previstos. Otros procesos auxiliares: a lo largo del ciclo de vida de una base de datos se deberá controlar la formación que precisan tantos los usuarios informáticos (administradores, analistas, programadores. Etc. ) como no informáticos, ya que la formación es una de las claves para minimizar el riesgo en la implantación de una base de datos. El auditor tendrá que revisar la documentación que se produce a lo largo de todo el proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por la metodología adoptada por la empresa
  • 4. ISAEL PIMENTEL 6-712-2351 AUDITORÍA Y CONTROL INTERNO EN UN ENTRONO DE LA BASE DE DATOS Dentro de esta se estudia en sistema de gestión de base de datos y su entorno Sistema de gestión de base de datos (SGBD): se destaca el núcleo (kernel), el catalogo (componente fundamental para asegurar la seguridad en la base de datos). Las utilidades para el administrador en la base de datos entre las que se suelen encontrar algunas para crear usuarios, conceder privilegios, y resolver otras cuestiones relativas a la confiablidad. En cuanto a las funciones de auditoría que ofrece el propio sistema prácticamente todos los productos del mercado permiten registrar ciertas operaciones realizadas sobre la base de datos en el fichero. Software de auditoría: son paquetes o programas que pueden emplearse para facilitar la labor del auditor, en cuanto la extracción de datos, seguimientos de las transacciones, datos de prueba, etc. Sistema de monitorización y ajuste (tuning): este tipo de sistemas complementan las facilidades ofrecidas por el propio SGBD, ofreciendo mayor información para optimizar el sistema
  • 5. ISAEL PIMENTEL 6-712-2351 Sistemas operativos (SO): el SO es una pieza clave del entorno, puesto que el SGBD se apoyara, en mayor medida en los servicios que le ofrezca el SO en cuanto al control de memoria, gestión de áreas de almacenamiento interno, manejo de errores, control de confiabilidad y mecanismos de interbloqueo. Monitor de transacción: es un elemento más del entorno con responsabilidades de confiabilidad y rendimiento. Protocolos de sistemas distribuidos: establece cinco objetivos de control a la hora de revisar la distribución de datos. 1. El sistema de proceso distribuido tiene que tener una función de administración de datos centralizada 2. Deben establecerse unas funciones de administración de datos y de base de datos fuerte. 3. Deben existir pistas de auditoría para todas las actividades realizadas por la aplicación contra sus propias bases de datos y otras compartidas. 4. Deben existir controles software para prevenir interferencias de actualización sobre la base de datos en sistemas distribuido 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuido. Paquete de seguridad: permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de acceso, la definición de privilegios y perfiles de usuarios. Diccionario de datos: este tipo de sistemas se implantaron en los años 70, juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de los datos Los propios diccionarios se pueden auditar de manera análoga a la base de datos, ya que son base de metadatos
  • 6. ISAEL PIMENTEL 6-712-2351 Herramientas case (computer aided system software): este tipo de herramientas suelen llevar incorporado un diccionario de datos amplios (enciclopedias o repositorio) en los que se almacenan información sobre datos, programas y usuarios. Lenguaje de cuarta generación (L4G) independientes: se ofrecen varios objetivos de control para los L4G entre los que se destacan:  El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados  Las aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de autorización y petición que los proyectos de desarrollo convencionales  Las aplicaciones desarrolladas con L4G deben sacar ventaja de las características incluidas en los mismos. Uno de los peligros más graves de L4G es que no se apliquen controles con el mismo rigor que a los programas desarrollados con tercera generación Facilidades de usuarios: las aplicaciones que utilicen este proceso deben seguir los mismos sólidos principios de control y tratamiento de errores que el resto. Herramientas de minería de datos: esta herramienta ofrece soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos. Aplicaciones: el auditor debe controlar que las aplicaciones no atenten contra la integridad de los datos de la base. Técnicas para el control de base de datos en un entorno complejo: existen técnicas importantes como debilitar la seguridad del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y solapados. Emplea dos técnicas de control; matrices de control y análisis de los caminos de acceso.
  • 7. ISAEL PIMENTEL 6-712-2351  matrices de control: sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos.  análisis de los caminos de acceso: con esta técnica se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases por las que pasan desde el momento en que se introducen, identificando los componentes del sistema que atraviesan.
  • 8. ISAEL PIMENTEL 6-712-2351 CONCLUSION El trabajo de auditoría, nos trae a aportar valiosos elementos que sirven de punto de enfoque para conocer y hacer un análisis de mejor la forma en cómo se trabaja, las labores que se deben cumplir para mejorar y mantener siempre un norte firme, que puede ser interrumpido por la falta de controles en nuestro diario vivir. La auditoria de base de datos sin duda es muy compleja para los auditores, para la realización de la misma ya sea verificando que los componentes del sistemas trabajen conjuntamente y coordinadamente hacen que la empresa u organización tengas resultados satisfactorios.