DISEÑO Y CARGA DE AUDITORIA EN BASE DE DATOS
En esta fase se llevarán a cabo los diseños lógico y físico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizado correctamente; determinando si la definición de datos contemplan además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
- Verificar corrección diseño lógico + diseño físico (en especial asociaciones de elementos, restricciones oportunas, especificaciones almacenamiento y seguridad).
- Si ha habido entrada manual de datos, hay que establecer controles que aseguren la integridad de los mismos
- Control de errores de entrada en el proceso de carga. Siempre existen problemas. Cuando se detecten, los datos de corregidos deben proceder lo más cerca posible del punto de origen.
- Los diseños deben estar autorizados, al menos por los usuarios, pero es recomendable que también por la dirección
- Si la carga proviene de una migración de otro entorno, se debe establecer un paralelo durante cierto tiempo para ver que resultados son iguales
- Si el proceso de carga es mixto (como casi siempre), dobles controles anteriores
En esta fase se llevarán a cabo los diseños lógico y físico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han realizado correctamente; determinando si la definición de datos contemplan además de su estructura, las asociaciones y las restricciones oportunas, así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.
- Verificar corrección diseño lógico + diseño físico (en especial asociaciones de elementos, restricciones oportunas, especificaciones almacenamiento y seguridad).
- Si ha habido entrada manual de datos, hay que establecer controles que aseguren la integridad de los mismos
- Control de errores de entrada en el proceso de carga. Siempre existen problemas. Cuando se detecten, los datos de corregidos deben proceder lo más cerca posible del punto de origen.
- Los diseños deben estar autorizados, al menos por los usuarios, pero es recomendable que también por la dirección
- Si la carga proviene de una migración de otro entorno, se debe establecer un paralelo durante cierto tiempo para ver que resultados son iguales
- Si el proceso de carga es mixto (como casi siempre), dobles controles anteriores
METODOLOGÍAS DE LA AUDITORIA DE BASE DE DATOS.
METODOLOGIA TRADICIONAL: En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar.
METODOLOGIA DE LA EVALUACION DE RIESGOS: Este tipo de metodología, conocida también por Risk Oriented Approach, esta inicia fijando objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno, de acuerdo a los siguientes riesgos:
a. Incremento de la "dependencia" del servicio informatico debido a la concentración de datos.
b. Mayores posibilidades de acceso en la figura del administrador de base de datos
c. Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación.
d. Mayor impacto de los errores en datos o programas que en los sistemas tradcionales.
e. Ruptura de enlaces o cadenas por fallos del sofware o de los programas de aplicación.
f. Mayor impaco de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional.
g. Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas conel software de base de datos.
b. Mayores posibilidades de acceso en la figura del administrador de base de datos
c. Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación.
d. Mayor impacto de los errores en datos o programas que en los sistemas tradcionales.
e. Ruptura de enlaces o cadenas por fallos del sofware o de los programas de aplicación.
f. Mayor impaco de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional.
g. Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas conel software de base de datos.
OBJETIVO DE CONTROL EN EL CICLO DE VIDA DE UNA BD
ESTUDIO PREVIO Y PLAN DE TRABAJO
Primera etapa del ciclo de vida, se un estudio tecnológico el cual contempla las alternativas para alcanzar los objetivos del proyecto, mediante un análisis que involucrará los beneficios vrs. costo de las todas las opciones. Además que debe considerarse las alternativas, es decir la posibilidad de no llevar a cabo el proyecto (ya que no siempre hay una justificación para implementar una BD), así como la alternativa entre desarrollar y/o comprar una sistema que adecúese la BD a las necesidades de la compañía. Otro aspecto de importancia en esta fase es la aprobación de la estructura orgánica del proyecto, sino como también de la unidad que tendrá la responsabilidad de la gestión y control de la base de datos.
CONCEPCION DE LA BASE DE DATOS Y SELECCIÓN DEL EQUIPO
En esta fase se diseña la base de datos. La metodología de diseño deberá emplearse para especifirar los documentos fuentes, así como los mecanismos de control, los métodos de seguridad y las pistas de auditoria que se incluirá en el sistema. El auditor debe analizar la metodología del diseño para determinar si es correcto o no, y si será funcional para cubrir todas la necesidades de utilización. El requisito mínimo para el diseño de la BD deberá completar dos fases de diseño: Lógico y Físico, aunque en la mayoría de los casos se incluye una tercera fase, el Diseño Conceptual.
No hay comentarios.:
Publicar un comentario