Capitulo 4
- 1. AUDITORIA DE BASES DE DATOS JUAN MITRE LUIS ROBLES
- 2. INTRODUCCIÓN La auditoria trata dos partes importantes: las áreas del Dpto. de Informática y las Aplicaciones. Metodologías para la Auditoría de Base de Datos. Existen diversas metodologías. Pero se puede agrupar en dos grupos. 1. Metodología Tradicional. Se observa el entorno. Se establece un checklist.
- 3. 2. Metodología de Evaluación de Riesgos. Debe cumplir los siguientes objetivos: ♂ Objetivos de Control. ♂ Técnica de Control. ♂ Prueba de Cumplimiento. ♂ Prueba Sumativa. - Al final de la Auditoría se debe presentar las conclusiones en donde se expongan los resultados arrojados por la Auditoría.
- 4. OBJETIVOS DE CONTROL DE CICLO DE VIDA DE UNA BASE DE DATOS. 1. Estudio previo y Plan de Trabajo. Elaborar estudio Tecnológico de viabilidad. Análisis de Costos-Beneficios. Decidir si desarrollar o comprar. Aprobación de la Estructura orgánica.
- 5. TAREAS DEL ADMINISTRADOR DE LA BASE DE DATOS
- 7. Se recomienda la separación de funciones entre: También debe existir una separación de funciones entre el Administrador de Base de Datos y Administrador de Seguridad.
- 8. CONCEPCIÓN DE LA BASE DE DATOS Y SELECCIÓN DEL EQUIPO. Deben utilizarse modelos y técnicas definidos. Un apartado al que COBIT dedica un apartado y que deberían dedicársele el tiempo indicado es la Arquitectura de la Base de Datos y que debe cumplir cuatro objetivos: 1. Modelo de Arquitectura de Información. 2. Datos y Diccionario de Datos Corporativo. 3. Esquema de Clasificación de Datos en cuanto a seguridad. 4. Niveles de Seguridad para cada nivel anterior.
- 9. En cuanto a la selección del personal deben tomarse en cuenta las necesidades de la empresa de no tener personal en cuanto a SGBD. Se debe tomar en cuenta el impacto y sus niveles de seguridad.
- 10. DISEÑO Y CARGA Se lleva a cabo los diseños lógicos y físicos de la BD. El auditor debe tomar una muestra de los principales elementos. Posteriormente se procede a la carga o migración de los datos.
- 11. EXPLOTACIÓN Y MANTENIMIENTO. Se debe llevar a cabo una auditoria sobre el rendimiento del sistema. La función de la Administración de Base de Datos es responsable de la integridad y rendimiento de las Bases de Datos.
- 12. CLASIFICACIÓN DE LOS OBJETIVOS PARA EL CONTROL DE DATOS.
- 13. CLASIFICACIÓN DE LOS OBJETIVOS PARA EL CONTROL DE DATOS.
- 14. REVISIÓN POST-IMPLANTACIÓN Se debe desarrollar para saber si se han cumplido los objetivos trazados en la implantación. 1. Se han conseguido los resultados esperados. 2. Se satisfacen las necesidades de los usuarios. 3. Los costos y beneficios coinciden con los previstos.
- 15. OTROS PROCESOS AUXILIARES Se debe controlar la formación que precisan tanto usuarios informáticos como no informáticos, a fin de mitigar el riesgo. Usuarios poco formados constituyen un riesgo para la organización. La formación debe incluir conceptos de control y seguridad. El auditor debe corroborar que la formación cumple con los estándares y la metodología indicada. Debe asegurarse que se haya cumplido con un aseguramiento de la calidad que, aunque existen pocas medidas de calidad en BD, deben cumplirse para el bien de la organización.