Principales áreas de la auditoria informática Fernando Moraga Auditoria Informática Instituto IACC 14-12-2018
Desarrollo 1.
En una bodega se lleva un control de inventario almacenando la información de los
productos en una base de datos Oracle. Periódicamente se generan reportes de cuadraturas cu adraturas de los productos en stock y los que han entrado y salido de la bodega, sin embargo, en los últimos dos meses se han encontrado diferencias entre el reporte que entrega la base de datos y el inventario manual. De acuerdo a lo anterior usted es contratado para conducir una auditoria sobre la base de datos para revisar si el problema es inconsistencia en los informes automáticos corresponde a la base de datos o no. •
¿Qué tipo de auditoria es necesaria en este caso? ¿Es necesario incluir el sistema
operativo sobre el que opera la base de datos y la aplicación que maneja los datos? R: primero que todo definiremos que es una auditoria de base de datos, la auditoria de base de datos, es un proceso implementado por los auditores de sistemas con el fin de auditar los accesos a los datos, por lo general siguiendo bien una metodología basada en un checklist que contempla los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales Respondiendo la primera pregunta planteado sobre ¿Qué tipo de auditoria es necesaria en este caso? consideramos dos grandes tipos de auditorías de la base de datos, esta división está relacionada directamente con las actividades estas son: Auditoría de actividades: El primer tipo de auditoría lo llamamos auditoría de actividades, que consiste en controlar las actividades que realizan los usuarios en los objetos de la base de datos y entenderemos como objetos todas las tablas, vistas, restricciones de integridad que los usuarios crean en la base de datos. Este proceso de monitoreo de las actividades de los usuarios permite encontrar posibles accesos a objetos no autorizados, conexiones en horas o días fuera de horarios normales. Toda esta actividad se va almacenando en una tabla o en un archivo que llamaremos el
registro de auditoría. El registro de auditoría (RA) tiene un crecimiento muy alto, por lo que es necesario administrarlo adecuadamente, muchas veces este registro llega a ser igual o mayor en tamaño que la base de datos. Imagínese el RA de una organización de más de 2000 empleados, que además permite el acceso de clientes por Internet, o el registro de auditoría de un banco, que puede recibir más de 20 transacciones por minuto. Auditoría de transacciones: La auditoría de transacciones consiste en implementar una serie de controles que permiten llevar una bitácora de todas las transacciones que los usuarios realizan, pero a un nivel tal que qu e podamos establecer una un a historia de d e cómo se produjeron los cambios. Al igual que en el tipo anterior, es necesario crear un registro de auditoría al que llamaremos registro de auditoría de transacciones (RAT). El crecimiento del RAT es superior al del RA, ya que es posible que un usuario que se conecte una sola vez, pueda hacer 30 transacciones. En este caso el RA almacena las actividades de conexión y desconexión, básicamente mientras que el RAT almacena 30 registros correspondientes a la información antes y después de cada transacción. Según las definiciones de los dos tipos existente a mi parecer el tipo de auditoria que se necesita en este caso es Auditoria de actividades R:
dando respuesta a la segunda pregunta ¿es necesario incluir el sistema operativo sobre el
que opera la base de datos y la aplicación que maneja los datos? Según lo estudiado en el contenido de la semana 7 n el trascurso de este documento, la auditoria de base de datos y aplicaciones tiene un componente base que es el servidor donde se encuentra está instalada o configurada. Este servidor también tiene su vulnerabilidad y elementos a auditar los cuales dependen específicamente del sistema operativo por este motivo es indispensable realizar la auditoria también al sistema operativo y a la aplicación que maneja los datos dat os
Proporcione una lista de todo los aspectos auditables (a nivel de base de datos y/o sistema operativo) que incluiría en su auditoria
R: Lista de aspectos que serán auditada a nivel de base de datos
