Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Auditoria de Bases de Datos

No description
by

Julian Alejandro Silva Montenegro

on 24 September 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Auditoria de Bases de Datos

Presentado por: Julian Alejandro Silva
Juaquin Patiño
Jaime Alexander Ocampo Auditoria de Bases de Datos Introduccion: la importancia del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que realizan esta tecnología. Aunque existen distintas metodologías que se aplican a la auditoría informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia),

Se podrían aplicar en dos clases Metodologias para la auditoría de BaseS de Datos Metodología Tradicional En este tipo de metodologia el auditor revisa el entorno con la ayuda de control(checklist), que consta de una serie de cuestiones a verificar. ¿ esxiste una metodologia de diseño de bases de datos? Un auditor debera registrar el resultado de su investigacion: S, si es la respuesta afirmativa, N, en caso contrario, o NA, (No aplicable) Este tipo de metodología, conocida también por risk oriented approach, es la que propone la ISACA, y empieza fijando los objetivos.
Se señalan los riesgos mas importantes que lleva con sigo la utilización de una base de datos y que se recogen en la figura siguiente Metodología de Evaluación de Riesgos Incremento de la dependencia del servicio informático debido a la concentración de datos.
mayores posibilidades de acceso en la figura del administrador de la base de datos
incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación
mayor impacto de los errores en datos o programas que en los sistemas tradicionales
ruptura de enlaces o de cadenas por fallos de software o de los programas de aplicación
Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional
mayor dependencia del nivel de conocimientos técnicos del personal qie realice tareas relacionadas con el software de base de datos (Administradores, programadores, etc.) Objetivo de control Objetivos de control Técnicas de control Pruebas de cumplimiento Prueba sustantiva Objetivos y técnicas de control a tener en cuenta a lo largo del ciclo de vida de una base de datos Objetivos de control en el ciclo de vida de una base de datos en esta primera fase es muy importante elaborar un estudio tecnología de la viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis coste-beneficio para cada una de las acciones. Estudio previo y plan de trabajo PAQUETE DE SEGURIDAD Existen en el mercado varios productos que permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de accesos, la definición de privilegios, perfiles de usuario, etc. DICCIONARIOS DE DATOS Este tipos de sistemas empezaron a implantarse en los años setenta, también juegan un papel primordial en el entorno de los SGBD en cuanto a la integración de componentes y al cumplimiento de la seguridad de los datos. HERRAMIENTAS CASE Desde la década pasada venimos asistiendo a una gran difusión de este tipo de herramientas como soporte al diseño y concepción de sistemas de información. Suelen llevar incorporado un diccionario de datos mas amplio que los mencionados anteriormente en los que se almacenan además de información sobre datos, programas, usuarios, etc. HERRAMIENTAS CASE Desde la década pasada venimos asistiendo a una gran difusión de este tipo de herramientas como soporte al diseño y concepción de sistemas de información. Suelen llevar incorporado un diccionario de datos mas amplio que los mencionados anteriormente en los que se almacenan además de información sobre datos, programas, usuarios, etc. LENGUAJES Además de las herramientas que ofrezca el propio SGBD, el auditor se puede encontrar con una amplia gama de generadores d aplicaciones de forma de informes, etc.
Que actúan sobre la base de datos y que por tanto también son un elemento importante a considerar en entorno del SGBD. FACILIDADES DE USUARIO Con la aparición de interfaces graficas fáciles de usar se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los leguajes del SGBD. FACILIDADES DE USUARIO Con la aparición de interfaces graficas fáciles de usar se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los leguajes del SGBD. HERRAMIENTAS DE “MINERÍA DE DATOS” En los últimos años ha explosionado el fenómeno de los almacenes de datos datawarehouses y las herramientas para la explotación o “minería” de datos.
Esta herramienta ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos. TECNICAS PARA EL CONTROL DE BASES DE DATOS EN UN ENTORNO COMPLEJO Para llevar acabo esta labor se deben fijar claramente las responsabilidades sobre los diferentes componentes, utilizar informes de excepción efectivos que permitan monitorizar los controles, establecer procedimientos adecuados, implantar una gestión rigurosa de la configuración del sistema. MATRICES DE CONTROL Estas matrices, sirven para identificar los conjuntos de datos del sistema de información junto con los controles de seguridad o integridad implementados sobre los mismos. ANALISIS DE LOS CAMINOS DE ACCESO Con esta técnica se documentan el flujo, almacenamiento de los datos en todas las fases por las que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan tanto el hardware como el software y los controles asociados.
Full transcript