5.5. SISTEMA DE GESTION DE BASE DE DATOS (SGBD)

AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS

Cuando el auditor, se encuentra en explotación de la informaciòn, debera estudiar el SGBD y el entorno. El desarrollo y manteniminto de sistemas informativos entornos de BD, deberían considerarse el control, la integridad y la seguridad de los datos compartidos por multiples usuario, por tal razon deben abarcase todos los componentes de la BD, pero cabe resaltar que el entorno es cada vez mas complejo y no puede limitarse al propio de una SGBD.

SISTEMA DE GESTION DE BASE DE DATOS (SGBD)

Entre sus componentes puede destacarse:

a. El núcleo (Kernel)

b. El catálogo, componente para asegurad la seguridad de la BD

c. Las utilidades del administrador de la BD, entre las que se pueden crear usuarios, conceder privilegios y resolver otras asuntos relativos a la confidencialidad.

d. Las que se encargan de la recuperacion de BD

e. Rearranque, copias de respaldo, archives diarios

f. Funciones de auditoria

g. Lenguaje de cuarta generaciòn (LG4) que incorpora el propio SGBD

SOFTWARE DE AUDITORIA 

Son paquetes que pueden emplearse a facilitar la labor del auditor, es decir para la extracción de base de datos, seguimiento de transacciones, datos de prueba, etc. Hay productos muy interesantes que permiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera.

SISTEMA DE MONITORIZACIÓN Y AJUSTE (TUNING)

Este tipo de sistema complementan las

5.4. Revisión Post-implantación.

REVISION POST-IMPLEMENTACION

Establecer el desarrollo de un plan para efectuar una revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar si cumple con las necesidad de la empresa, mediante las siguientes interrogantes:

• Se han conseguido los resultados esperados.
• Se satisfacen las necesidades de los usuarios.
• Los costes y beneficios coinciden con lo previsto

En bastantes organizaciones omiten esta fase por falta de tiempo o recursos, pero es necesario contar con una revisión post-implantación de el sistema nuevo o modificado.

OTROS PROCESOS AUXILIARES

A lo largo de todo el ciclo de vida de la base de datos se deberá controlar la formación que precisan tanto los usuarios informático como los no informáticos; ya que la formación es una de las claves para minimizar el riesgo en la implantación de una base de datos.

Fuente (s):

• https://prezi.com/l1i1ucibdiyk/auditoria-de-base-de-datos/

5.3. Explotación y mantenimiento.

EXPLOTACIÒN Y MANTENIMIENTO

Una vez que se han realizado las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá (tras las correspondientes autorizaciones y siguiendo los procedimientos establecidos para ello) en explotación. Deben verificarse que se establecen los procedimientos de explotación y mantenimiento que

5.2. Diseño y carga.

DISEÑO Y CARGA DE AUDITORIA EN BASE DE DATOS

En esta fase se llevarán a cabo los diseños lógico y físico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizado correctamente; determinando si la definición de datos contemplan además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad. 

• Verificar corrección diseño lógico + diseño físico (en especial asociaciones de elementos, restricciones oportunas, especificaciones almacenamiento y seguridad).

• Si ha habido entrada manual de datos, hay que establecer controles que aseguren la integridad de los mismos

• Control de errores de entrada en el proceso de carga. Siempre existen problemas. Cuando se detecten, los datos de corregidos deben proceder lo más cerca posible del punto de origen.

• Los diseños deben estar autorizados, al menos por los usuarios, pero es recomendable que también por la dirección

• Si la carga proviene de una migración de otro entorno, se debe establecer un paralelo durante cierto tiempo para ver que resultados son iguales

• Si el proceso de carga es mixto (como casi siempre), dobles controles anteriores

5.1 Concepto de la auditoría de la base de datos.

Auditoria de Base de Datos

¿que es AuditoriA?

La palabra auditoria viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando

¿QUE ES BASE DE DATOS (BD)?

También denominado Banco de Datos, es el conjunto de datos que se resguardan de manera masiva y ordenada los cuales pueden ser encontrados con mayor facilidad y son susceptibles de modificaciones, ya que se encuentran relacionados entres sí.

Características de una Base de Datos:

a. Independencia lógica y física de los datos.
b. Redundancia mínima.
c. Acceso concurrente por parte de múltiples usuarios.
d. Integridad de los datos.
e. Consultas complejas optimizadas.
f. Seguridad de acceso y auditoría.
g. Respaldo y recuperación.
h. Acceso a través de lenguajes de programación estándar.

¿QUE ES UNA AUDITORIA DE BASE DE DATOS?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en

4.4. Programa de auditoría al área de servicios de subcontratación

PASOS DE LA METODOLOGÍA

• FASE 0: INICIO DEL PROYECTO.

-¿Qué hace? Identifica el alcance de lo que se está considerando para el outsourcing. Establece los criterios, las marcas importantes iniciales y los factores "adelante / alto" para las decisiones iniciales. Asigna recursos iniciales para "poner la semilla" del proyecto. 

1. ¿Cuánto tiempo? De dos a cuatro semanas. 
2. ¿Quién

4.3. Acuerdo del nivel de servicio

Nivel de servicio: El nivel de servicio define el ámbito de aplicación del servicio (operación, mantenimiento, desarrollo, etc.), para sistemas de información concretos y la forma exacta de llevarlo a cabo. 

Es uno de los puntos más importantes de un contrato de outsourcing y debe ser fácilmente medible. Para el establecimiento del nivel de servicio suele ser usual la realización conjunta, entre la organización contratante y la empresa de outsourcing, de las siguientes actividades:

• Análisis de viabilidad que defina el ámbito de aplicación. 
• Análisis detallado que determine minuciosamente todos y cada uno de los compromisos concretos que van a ser contraídos por ambas partes.

EL modelo de Acuerdo de Nivel de Servicios (Service Level Agreement, SLA) consiste en un contrato en el que se estipulan los niveles de un servicio en función de una serie de parámetros objetivos, establecidos de mutuo acuerdo entre ambas partes, así, refleja contractualmente el nivel operativo de funcionamiento, penalizaciones por caída de servicio, limitación de responsabilidad por no servicio, etc....

Este modelo no ha de estar relacionado necesariamente con la contratación de servicios a terceras partes, sino que puede implantarse a nivel interno, transformando una determinada unidad de negocio en centro de servicios que provea a la propia compañía.

En esta parte del contrato se describe y obliga a un nivel específico de calidad en el suministro.

Los principales puntos a cubrir deben ser:

• Tipo de servicio.
• Soporte a clientes y asistencia.
• Provisiones para seguridad y datos.
• Garantías del sistema y tiempos de respuesta.
• Disponibilidad del sistema.
• Conectividad.
• Multas por caida del sistema.

Estos puntos son importantísimos a la hora de formalizar de forma contractual una operación.

Implatanción de acuerdos de nivel de servicio con proveedores

Para implantar con éxito un SLA han de tenerse en cuenta un serie de factores clave, de los que va a depender en gran medida la obtención de los resultados deseados:

• Aspectos críticos
  Los aspectos más críticos, son la definición de procedimientos estándares y los mecanismos de evaluación y seguimiento.

• En la implatación de un SLA se deben seguir una serie de puntos 
  1. Definición de Objetivos: mejora de la eficacia, reducción de costes, formalización de la relación
  
  
  2. Identificar expectativas: qué es lo que espera la organización de este
  acuerdo
  
  
  3. Adecuada planificación temporal
  4. Optimización/rediseño de procesos (revisar los procesos si el SLA no asegura ningún cambio o como mínimo formalizarlos)

4.2. Contratos: características, alcance.

Contratos: características, alcance.

Contrato: Es un documento de carácter legal que recoge el alcance y características del servicio de outsourcing. El contrato de outsourcing debe definir los siguientes aspectos:

• Su duración. 

• Las condiciones de la cesión de los activos (tanto económicas como de otro tipo) referidos al momento inicial del acuerdo entre la Administración y el contratista. 

• Las condiciones de la gestión de los SI a llevar a cabo durante el contrato (nivel de servicio). 

• Las condiciones de recuperación de la gestión de los SI una vez finalizado el contrato. 

• La propiedad intelectual, especialmente si se traspasa al proveedor la responsabilidad del desarrollo de aplicaciones. 

• Las condiciones previstas para la resolución del contrato con anterioridad a la fecha de su finalización prevista.

Fuente(s): https://prezi.com/pzyj4xytpeh_/41-subcontratacion-de-servicios-en-ti/

4.1 Herramientas para subcontratación de servicios

La subcontratación se refiere a la contratación de una empresa externa e independiente para realizar una función de negocios que los empleados internos podrían realizar. Muchas organizaciones subcontratan trabajos a empresas de servicios especializados, que a menudo operan en el extranjero. La tendencia de la subcontratación continúa; la última ola de subcontratación