1 / 12

Auditoría de sistemas

Auditoría de bases de datos. Auditoría de sistemas. Son el punto de partida de la realización de la auditoria de aplicaciones, que usan esta tencología (BD). Auditoría en entornos de BD. Tradicional ChekList S (si) - N (no) - NA (no aplicable)

sarah
Download Presentation

Auditoría de sistemas

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Auditoría de bases de datos Auditoría de sistemas

  2. Son el punto de partida de la realización de la auditoria de aplicaciones, que usan esta tencología (BD) Auditoría en entornos de BD

  3. Tradicional • ChekList • S (si) - N (no) - NA (no aplicable) • Ejemplo: Existe una metodología de diseño de BD? • Evaluación de riesgos (ROA) • Confidencialidad de la BD • Tipos de usuarios, perfiles, privilegios • Técnicas que utiliza: preventivas, detectivas o correctivas. • Prueba de cumplimiento: privilegios y perfiles del SGBD • Prueba sustantiva: comprobar los datos. La IR, VC, MBIF, entre otros en la BD. Metodología Risk Oriented Approach

  4. Estudio previo y plan de trabajo Concepción de la BD y le selección del equipo Diseño y carga Explotación y mantenimiento Revisión post-implantación Otros procesos El MCV en una BD

  5. Identificación de opciones • Análisis de costo/beneficio • Desarrollar o comprar? • Analizar los informes de viabilidad por la dirección de la empresa para evitar fracasos de implementación • Llevar a cabo la Gestión de Riesgos (COBIT) • Identificar/Valorar/Medir/Accionar/Aceptar • Plan director de BD concordante con el plan general de sistemas de la organización MCV – Estudio previo

  6. Se diseña la BD acorde a los modelos y técnicas establecidas por el plan director. • Debe especificarse: • Documentación • Control • Seguridad • Pista de auditoria (triggers) • Definir la arquitectura de la información: • Modelo consistente y concordante al PS de la organización • Datos y DD corporativo • Clasificación de los datos en cuanto a su seguridad • Niveles de seguridad para cada clasificación • Selección del hardware para la BD MCV – Concepción de la BD y selección del equipo

  7. Diseño lógico y físico de la BD • Carga de datos • Inicial • Migración • Contemplar datos con errores • Lote de prueba MCV – Diseño y carga

  8. La explotación del sistema es posterior a la prueba de aceptación del usuario • Los datos se tratan en forma congruente y exacta • Los datos se modifican acorde a una matriz de autorizaciones • Tareas de mantenimiento de BD • Índices, compactación, tuning, entre otros. MCV – Explotación y mantenimiento

  9. Revisión posterior que garantiza la conservación de la BD • Se evalúa: • Resultados esperados • Necesidades de los usuarios • Costos y beneficios reales vs los previstos MCV – Revisión post-implantación

  10. Capacitación/formación a usuarios • Informáticos • No informáticos • Plan de formación integral • Cuidado con los usuarios sin formación • Aseguramiento de la calidad • Ej. Teoría de la normalización MCV – Otros procesos

  11. SGBD: kernel, catálogos, etc Software de auditoria: GAS (extracción de datos, Lotes de prueba) Sistema de monitorización y ajuste: SE de optimización SO: Relación independiente o dependiente con el SGBD) Monitor de transacciones Protocolos y sistemas distribuidos: rol de las redes de comunicación Paquete de seguridad: Privilegios, controles de usuarios externos Diccionario de datos: Integración de componentes y seguridad de datos Herramientas CASE: Se usan en conjunto con los DD. Gráficos, tablas. L4G/4GL o SQL Facilidades de usuario: QBE – Conexión con paquetes ofimáticos Herramientas de MD: DWH y DM Aplicaciones: las aplicaciones no deben afectar la integridad de los datos de la base. Auditoria y CI de un entrono de BD

  12. Matrices de control • Transacciones de datos • Preventiva: verificación • Detectiva: informe de reconciliación • Correctiva: no tiene • Registros de BD • Preventiva: cifrado • Detectiva: informe de excepción • Correctiva: backup • Análisis de caminos de acceso. • Documenta el flujo, almacenamiento y procesamiento de los datos desde su entrada hasta la escritura en el disco.- Técnicas para el control de BD en entornos complejos

More Related