Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Auditoria de base de datos

eee
by

Christian Rangel

on 15 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Auditoria de base de datos

AUDITORIA DE
BASE DE DATOS ¿Queé es la Auditoríia de BD?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la información almacenada en las bases de datos incluyendo la capacidad
de determinar: – Quieén accede a los datos
– Cuaándo se accedioó a los datos
– Desde queé tipo de dispositivo/aplicacióon
– Desde que ubicacioón en la Red
– Cuaál fue la sentencia SQL ejecutada
– Cuaál fue el efecto del acceso
a la base de datos La Auditoría de BD es importante porque:
– Toda la informacioón financiera reside en bases de datos y deben
existir controles relacionados con el acceso a las mismas.
– Se debe poder demostrar la integridad de la informacioón
– Las organizaciones deben mitigar los riesgos asociados a la peérdida
de datos y a la fuga de informacioón.
– La información confidencial de los clientes, son responsabilidad de las
organizaciones.
– Los datos convertidos en informacioón a travées de bases de datos.
– Las organizaciones deben tomar medidas mucho máas alláa de asegurar
sus datos. Mediante la auditoría de bases
de datos se evaluaraá:
– Definicioón de estructuras fiísicas y
lóogicas de las bases de datos
– Control de carga y mantenimiento de las
bases de datos
– Integridad de los datos y proteccioón
de accesos
– Estáandares para anaálisis y programacioón en
el uso de bases de datos
– Procedimientos de respaldo y de
recuperacioón de datos. Planificación de la Auditoria de BD
1. Identificar todas las bases de datos de
la organizacioón
2. Clasificar los niveles de riesgo de los datos
en las bases de datos
3. Analizar los permisos de acceso
4. Analizar los controles existentes de acceso
a las bases de datos
5. Establecer los modelos de auditoría de BD
a utilizar
6. Establecer las pruebas a realizar para cada
BD, aplicación y/o usuario Metodologiías para la auditoría de Base de Datos

- Metodología Tradicional
El auditor revisa el entorno con la ayuda de una
lista de control (Checklist), que consta de
una serie de cuestiones a verificar, registrando
los resultados de su investigacióon. En esta
investigacioón se confecciona una lista de control
de todos los aspectos a tener en cuenta. Metodología de evaluacioón de riesgos
Este tipo de metodología, conocida tambieén por Risk oriented approach es
la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que estáa sometido el entorno.
Considerando los riesgos de:
o Dependencia por la concentracioón de Datos
o Accesos no restringidos en la figura del DBA
o Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación
o Impactos de los errores en Datos y programas
o Rupturas de enlaces o cadenas por fallos del software.
o Impactos por accesos no autorizados
o Dependencias de las personas con alto conocimiento técnico Se pueden definir los siguientes Controles:
Objetivo de control: el SGBD deberá preservar la confidencialidad de la BD
Téecnicas de Control: se establecen niveles y tipos de usuarios, privilegios para el control de acceso a la base datos Metadatos.

Modelos de datos:
Un modelo de datos define las reglas generales
para la especificacioón de la estructura
de los datos y el conjunto de operaciones
permitidas sobre ellos.

Estructuras.
Las estructuras se pueden especificar de dos
maneras:
Representación de los datos e interrelaciones
entre ellos: descripción de empleado,
departamento e interrelación.
Restricciones sobre los datos: ningún
empleado cobra más que su jefe. Metadatos:
Son datos que describen otros datos, metadatos
son «datos sobre datos». Los metadatos adhieren contenido, contexto y estructura a los objetos de información.

Los metadatos permiten generar distintos puntos de vista conceptuales para sus usuarios o sistemas.

Los metadatos permiten el intercambio de la información sin la necesidad de que implique el intercambio de los propios recursos.

Los metadatos permiten preservar los objetos de información permitiendo migrar sucesivamente éstos, para su
posible uso por parte de las futuras generaciones.
Full transcript