Principales áreas de la auditoría informática. Patricio Astorga Vega AUDITORÍA INFORMÁTICA Instituto IACC 30 octubre 2017
INSTRUCCIONES: Responda a los planteamientos que se exponen a continuación: En una bodega se lleva un control de inventario almacenando la información de los productos en una base de datos Oracle. Periódicamente se generan reportes de cuadraturas de los productos en stock y los que han entrado y salido de la bodega, sin embargo, en los últimos dos meses se han encontrado diferencias entre el reporte que entrega la base de datos y el inventario manual. De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la base de datos para revisar si el problema de inconsistencia en los informes automáticos corresponde a la base de datos o no. 1) ¿Qué tipo de auditoría es necesaria en este caso?
Aunque existen distintas metodologías que se aplican en auditoria informática (prácticamente cada firma de auditores y cada institución desarrolla la suya propia). En este caso utilizaremos la metodología tradicional, es acá donde como auditor revisaremos el entorno con ayuda de una lista de control (checklist), que consta de una serie de cosas a verificar donde con una metodología de diseño de base de datos como ejemplo (si S es si, N no y Na no aplicable), debiendo registrar como auditor el resultado de la investigación. Este tipo de técnica será aplicada a la auditoria de productos de base de datos, específicos en la lista de control de todos los aspectos a tener en cuentas.
¿Es necesario incluir el sistema operativo sobre el que opera la base de datos y la aplicación que maneja los datos? Justifique su análisis.
Creo que es necesario ya que el sistema operativo trabaja a nivel de objetos y realiza funciones en base a este concepto. Por esta razón, las tareas que realiza son claramente diferentes a las efectuadas por un sistema operativo clásico (gestión de procesos, memoria, e/s, ficheros, etc.). Por otra parte, hay que tener en cuenta que éste se ejecuta sobre la máquina abstracta orientada a objetos. Los sistemas que aglutinan los elementos que intervienen para gestionar la información que manejan los subsistemas empresariales es lo que se conoce como Sistemas de Información. Se suele utilizar las siglas SI o IS (de Information Server) para referirse a ello). Realmente un sistema de información sólo incluye la información que nos interesa de la empresa y los elementos necesarios para gestionar esa información. Sistemas Gestores de Bases de Datos La gestión de los datos A estos sistemas se les llama sistemas de ficheros. Se consideran también así a los sistemas que utilizan programas ofimáticos (como Word y Excel) para gestionar sus datos. De hecho estos sistemas producen los mismos (si no más) problemas. Sistemas de información orientados a los datos. Bases de datos En este tipo de sistemas los datos se centralizan en una base de datos común a todas las aplicaciones. La manipulación de los datos involucra tanto la definición de estructuras para el almacenamiento de la información como la provisión de mecanismos para el manejo de la información. Además un sistema de base de datos debe de tener implementados mecanismos de seguridad que garanticen la integridad de la información, a pesar de caídas del sistema o intentos de accesos no autorizados. Los sistemas de bases de datos requieren que la institución reconozca el papel
estratégico de la información y comience activamente a administrar y planear la información como recurso corporativo. De forma sencilla podemos indicar que una base de datos no es más que un conjunto de información relacionada que se encuentra agrupada o estructurada. Las bases de datos requieren de nuevo software y de un nuevo personal capacitado especialmente en las técnicas del Sistema de Gestión de Base de Datos, así como las nuevas estructuras administrativas. Desaparecen por completo en este sistema operativo conceptos como el de espacio de direcciones y el de proceso. En cuanto al primero, dado que el único concepto soportado es el de objeto, podría decirse que éstos integran el espacio de direcciones necesario para almacenar su información. En cuanto al segundo, desaparece como tal porque el flujo de ejecución va asociado a cada objeto. En este" sentido se consideran los objetos "activos", cuando se invoca un método de un objeto es éste el que se activa y se procede a ejecutar la parte del código correspondiente, teniendo en cuenta que esta ejecución depende exclusivamente del propio objeto. 2) Proporcione una lista de todos los aspectos auditables (a nivel de base de datos y/o sistema operativo) que incluiría en su auditoría. Justifique su elección .
Lista a nivel de base de datos:
Incremento de la dependencia del servicio informático debido a la concentración de datos.
Mayores posibilidades de acceso en la figura del administrador de la base de dato.
Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación.
Mayor impacto de los errores en datos o programas que en los sistemas tradicionales.
Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación.
Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional.
Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas con el software de base de datos (administrador, programadores, etc.).
Lista a nivel de Sistema operativo:
Procedimientos de selección de software del sistema
Estudio de viabilidad/factibilidad
Proceso de selección
Software de seguridad del sistema
Implementación de software del sistema
Documentación de autorizaciones de accesos
Documentación del sistema
Actividades de mantenimiento de software del sistema
