Auditoría de Bases de Datos

Una dificultad inherente de la auditoría de las bases de datos es el nivel de conocimiento que se tiene del motor de bases de datos. Es complicado estar al tanto de todas las opciones disponibles dentro del software de base de datos, las capacidades que proporcionan y como pueden ser usadas para realizar transacciones indebidas. Especialmente importante es saber cuáles transacciones son las que se han ejecutado y el impacto que tienen en el control interno. Para establecer un ejemplo, pensemos en la capacidad que tiene un Administrador de Base de Datos para cambiar el password de un usuario. Esta capacidad podría permitirle cambiar el password de un usuario y luego utilizar el usuario para realizar transacciones indebidas, totalmente amparado en el anonimato. Si pensamos en este escenario de riesgo y comenzamos a estudiar los controles que se pueden implementar, una forma de controlar este riesgo es el establecimiento de roles concretos de usuarios, con la definición de las instrucciones específicas que pueden realizar. Hay que recordar que en la base de datos se pueden realizar 4 tipos de transacciones a nivel de usuario: agregar datos, modificar datos, borrar datos y consultar. Las otras opciones son a nivel de la administración del software y la base de datos misma. Aquí podemos enumerar acciones como la creación de bases de datos, la creación de usuarios, la creación de tablas en la base de datos y la asignación de permisos de acceso a los usuarios para definir que privilegios tendrán sobre las tablas de datos, es decir, si podrán añadir datos, modificarlos, borrarlos o consultarlos. De esta manera, un rol de administrador de bases de datos, no debe de tener acceso a realizar operaciones sobre los datos. El uso de las opciones del administrador de base de datos para asignar privilegios de acceso, debe de ser autorizado por el dueño de la base de datos y monitoreado por la gerencia general y la auditoría interna. De igual manera, los cambios realizados al entorno de la gestión de la base de datos, como el cambio de passwords de usuarios, debe de hacerse de acuerdo a políticas, solicitudes debidamente registradas, agregando mecanismos que garanticen que el usuario tiene control sobre la definición y seguridad de su password. Esto incluye que el usuario este consciente de los riesgos existentes si alguien más conoce y utiliza su password.
Para resumir, la auditoría de bases de datos requiere del conocimiento del auditor del motor de base de datos, de los procedimientos y controles necesarios para administrar transparentemente las bases de datos, así como de los recursos técnicos para verificar el funcionamiento correcto de los controles. En el medio salvadoreño, muchas veces pasa que la Gerencia de TI no ha definido completamente estos controles, por lo que toca al auditor de sistemas evaluar la situación actual del ambiente de control de la base de datos y recomendar los controles necesarios para llevar el sistema de control interno de la base de datos a un nivel óptimo.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 23 de enero de 2013 en Auditoría de TI y etiquetado en , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

A %d blogueros les gusta esto: