AUDITORIA Y CONTROL INTERNO EN UN ENTORNO DE BASE DE DATOS
Cuando el auditor, se encuentra en explotación de la informaciòn, debera estudiar el SGBD y el entorno. El desarrollo y manteniminto de sistemas informativos entornos de BD, deberían considerarse el control, la integridad y la seguridad de los datos compartidos por multiples usuario, por tal razon deben abarcase todos los componentes de la BD, pero cabe resaltar que el entorno es cada vez mas complejo y no puede limitarse al propio de una SGBD.
SISTEMA DE GESTION DE BASE DE DATOS (SGBD)
Entre sus componentes puede destacarse:
a. El núcleo (Kernel)
b. El catálogo, componente para asegurad la seguridad de la BD
c. Las utilidades del administrador de la BD, entre las que se pueden crear usuarios, conceder privilegios y resolver otras asuntos relativos a la confidencialidad.
d. Las que se encargan de la recuperacion de BD
e. Rearranque, copias de respaldo, archives diarios
f. Funciones de auditoria
g. Lenguaje de cuarta generaciòn (LG4) que incorpora el propio SGBD
SOFTWARE DE AUDITORIA
Son paquetes que pueden emplearse a facilitar la labor del auditor, es decir para la extracción de base de datos, seguimiento de transacciones, datos de prueba, etc. Hay productos muy interesantes que permiten cuadrar datos de diferentes entornos permitiendo realizar una verdadera.
SISTEMA DE MONITORIZACIÓN Y AJUSTE (TUNING)
Este tipo de sistema complementan las
facilidades ofrecidas por el propio SGBD, ofreciendo mayor información para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y del SO.
facilidades ofrecidas por el propio SGBD, ofreciendo mayor información para optimizar el sistema, llegando a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y del SO.
SISTEMA OPERATIVO (SO):
Un sistema operativo (SO, siglas en inglés Operating System) es un programa o conjunto de programas que en un sistema informático gestiona los recursos de hardware y provee servicios a los programas de aplicación, ejecutándose en modo privilegiado respecto de los restantes y anteriores próximos y viceversa.[ Ademas que es una pieza clave del entorno puesto que el SGBD se apoyara en mayor medida de los servicios que le ofrezca el SO en cuanto control, memoria, gestion de almacenamiento, manejo de errores, control de confidencialidad, mecanismos de bloqueo, etc.
MONITOR DE TRANSACCIONES
Un sistema de procesamiento de transacciones (TPS por sus siglas en inglés) es un tipo de sistema de información que recolecta, almacena, modifica y recupera toda la información generada por las transacciones producidas en una organización. Una transacción es un evento que genera o modifica los datos que se encuentran eventualmente almacenados en un sistema de información.
PROTOCOLOS Y SISTEMAS DISTRIBUIDOS
Protocolos: Es un conjunto bien conocido de reglas y formatos que se utilizan para la comunicación entre procesos que realizan una determinada tarea. Un protocolo permite que componentes heterogéneos de sistemas distribuidos puedan desarrollarse independientemente.
Sistemas Distribuidos: Sistemas cuyos componentes hardware y software, que están en ordenadores conectados en red, se comunican y coordinan sus acciones mediante el paso de mensajes, para el logro de un objetivo. Se establece la comunicación mediante un protocolo prefijado por un esquema cliente-servidor.
PAQUETES DE SEGURIDAD
Son programas de software y servicios que ayuda a proteger tu computadora de hackers, virus, spyware y otras amenazas. Paquete de seguridad de se actualizan automáticamente para mantener al usuario protegido de nuevas amenazas por internet.
DICCIONARIO DE DATOS
Un diccionario de datos es un conjunto de metadatos que contiene las características lógicas y puntuales de los datos que se van a utilizar en el sistema que se programa, incluyendo nombre, descripción, alias, contenido y organización. Identifica los procesos donde se emplean durante el análisis de flujo de datos y auxilia a los analistas que participan en la determinación de los requerimientos del sistema, su contenido también se emplea durante el diseño.
HERRAMIENTAS CASE
Son un conjunto de herramientas y métodos asociados que proporcionan asistencia automatizada en el proceso de desarrollo del software a lo largo de su ciclo de vida. Fueron desarrolladas para automatizar esos procesos y facilitar las tareas de coordinación de los eventos que necesitan ser mejorados en el ciclo de desarrollo de software.
LENGUAJES DE CUARTA DIMENSIÓN
Los 4GL son entornos de desarrollo de aplicaciones constituidos por un conjunto de herramientas integradas. Se centran principalmente en las fases de Construcción e Implantación del ciclo de vida del desarrollo de software. Los lenguajes de cuarta generación contemplan un gran grado de abstracción que viene a crear una verdadera caja negra pues el programador no dice como se realizaran las aplicaciones que se desee crear, nada más dará una serie de parámetros que aunque dependen del programa que se quiera crear siempre van a estar muy alejados de la máquina o hardware, esta ha sido la tendencia a seguir con cada generación de los lenguajes de programación.
FACILIDADES DE USUARIO DE BASES DE DATOS
Demuestran facilidades para dotar el usuario final de las más modernas y completas facilidades resultantes de la utilización de base de datos y de los ambientes que ofrecen los lenguajes de cuarta generación.
HERRAMIENTAS DE MINERIA DE DATOS
La minería de datos o exploración de datos, es un campo de las ciencias de la computación referido al proceso que intenta descubrir patrones en grandes volúmenes de conjuntos de datos. Utiliza los métodos de la inteligencia artificial, aprendizaje automático, estadística y sistemas de bases de datos. El objetivo general del proceso de minería de datos consiste en extraer información de un conjunto de datos y transformarla en una estructura comprensible para su uso posterior.
APLICACIONES
Es un programa diseñado como herramienta que permite al usuario realizar uno o diversos trabajos, especialmente como una solución informática para la automatización de ciertas tareas complicadas como la contabilidad, la redacción de múltiples documentos, el control de gestión de un almacén o la ejecución presupuestaria de una entidad, siendo estas: los procesadores de texto, hojas de cálculo y bases de datos. Ciertas aplicaciones desarrolladas suelen ofrecer una gran potencia ya que están exclusivamente diseñadas para resolver un problema en específico.
TENICAS PARA EL CONTROL DE BASES DE DATOS
La Dirección de la empresa tiene responsabilidad en lo que se refiere a la coordinación de los distintos elementos del entorno de la Base de Datosy a la aplicación correcta y coherente de los controles de seguridad. Hay que fijar responsables y procedimientos y, en la medida de lo posible, que estos faciliten una auditoría posterior.
a. Técnica de Matrices de Control
- Es la técnica básica de toda la vida
- Matriz que por un lado lleva un elemento a controlar, y por otro, los tipos de controles de seguridad (preventivos, detectivos, correctivos) que se han diseñado para ello. En su cruce llevará la enumeración de dichos controles y la opinión del auditor sobre su funcionamiento
b. Técnica de los Caminos de Acceso
- Se documentan todas las fases (flujos) por las que pasa un dato desde su introducción por un ente (usuario / máquina) hasta que se almacena en la Base de Datos, identificando los componentes por los que pasa y los controles asociados (definidos por la entidad).
- Esto mismo se hace con los datos que se obtienen del proceso de otros (por qué componentes pasa – programa, cadenas, almacenamientos transitorios – y a qué controles es sometido.
- Esta técnica permite detectar debilidades del sistema que pongan a las datos que pongan en riesgo a nivel de: Integridad, confidencialidad y seguridad.
- Hay que poner especial cuidado en el análisis de los interfaces entre los componentes y los almacenamientos transitorios (debilidades de seguridad).
No hay comentarios.:
Publicar un comentario