Auditoría de Bases de Datos: Metodologías y Objetivos de Control

Ingeniería del software, , , , , ,

Metodologías para la Auditoría de Bases de Datos

Aunque existen distintas metodologías que se aplican en auditoría informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases:

  • Metodología tradicional: En este tipo de metodología, el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar.
  • Metodología de evaluación de riesgos: Este tipo de metodología, conocida también por risk-oriented approach, empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.

Riesgos más Importantes en la Auditoría de Bases de Datos

A continuación, una lista de los riesgos más importantes según dos autores:

  • Incremento de la “dependencia” del servicio informático.
  • Mayores posibilidades de acceso en la figura del administrador de la base de datos.
  • Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación.
  • Mayor impacto de los errores en datos o programas que en los sistemas tradicionales.
  • Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación.

Proceso de la Metodología de Evaluación de Riesgos

Objetivo de Control

Ejemplo: El SGBD deberá preservar la confidencialidad de la base de datos.

Técnicas de Control

Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos. Ejemplo: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las bases de datos.

Pruebas de Cumplimiento

En caso de que los controles existan, se diseñan unas pruebas (denominadas pruebas de cumplimiento) que permiten verificar la consistencia de los mismos. Por ejemplo: Listar los privilegios y perfiles existentes en el SGBD.

Estas pruebas permiten dimensionar el impacto de estas deficiencias.

Prueba Sustantiva

Comprobar si la información ha sido corrompida comparándola con otra fuente o revisando los documentos de entrada de datos y las transacciones que se han ejecutado.

Principales Objetivos de Control en el Ciclo de Vida de una Base de Datos

  • Estudio previo y plan de trabajo.
  • Creación de la base de datos y selección del equipo.
  • Diseño y carga.
  • Explotación y mantenimiento.
  • Revisión post-implantación.

Estudio Previo y Plan de Trabajo

En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto, acompañados de un análisis de costo-beneficio para cada una de las opciones.

Tareas del Administrador de Datos:
  • Realizar el diseño conceptual y lógico de la base de datos.
  • Apoyar al personal de sistemas durante el desarrollo de aplicaciones.
  • Formar al personal.
  • Establecer estándares de diseño de bases de datos, desarrollo y contenido del diccionario de datos.
  • Desarrollar políticas de gestión de datos.

A la hora de detallar las responsabilidades de estas funciones, hay que tener en cuenta uno de los principios fundamentales del control interno: la separación de funciones.

Se recomienda una separación de funciones entre:
  • El personal de desarrollo de sistemas y el de explotación.
  • Explotación y control de datos.
  • Administración de base de datos y desarrollo.

Concepción de la Base de Datos y Selección del Equipo

En esta fase se empieza a diseñar la base de datos. El auditor, en primer lugar, debe analizar la metodología de diseño. Como mínimo, una metodología de diseño de bases de datos debe contemplar dos fases de diseño:

  • Lógico.
  • Físico.
Objetivos de Control a Considerar:
  • Modelo de arquitectura de información y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información.
  • Datos y diccionario de datos corporativo.
  • Esquema de clasificación de datos en cuanto a seguridad.
  • Niveles de seguridad para cada anterior clasificación de datos.

Diseño y Carga

En esta fase se llevarán a cabo los diseños lógico y físico de la base de datos, por lo que el auditor debe examinar si estos diseños se han realizado correctamente:

  • Determinando si la definición de datos contempla, además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.

Explotación y Mantenimiento

Una vez realizadas las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá en explotación. En esta fase, se debe comprobar que los datos se tratan de forma exacta y que el contenido de los sistemas sólo se modifica mediante la autorización adecuada.

Revisión Post-Implantación

Aunque a menudo no se lleva a cabo por falta de tiempo y recursos, se debería establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si:

  • Se han conseguido los resultados esperados.
  • Se satisfacen las necesidades de los usuarios.
  • Los costos y beneficios coinciden con lo previsto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.