6.2 Auditoria

 

Auditoria: Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:

 

•      Quién accede a los datos

 

•      Cuándo se accedió a los datos

 

•      Desde qué tipo de dispositivo/aplicación

 

•      Desde que ubicación en la Red

 

•      Cuál fue la sentencia SQL ejecutada

 

•      Cuál fue el efecto del acceso a la base de datos

 

6.2.1 Objetivos Generales de la Auditoría de BD

Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:

•      Mitigar los riesgos asociados con el manejo inadecuado de los datos.

 

•      Apoyar el cumplimiento regulatorio.

 

•      Satisfacer los requerimientos de los auditores.

 

•      Evitar acciones criminales.

 

•      Evitar multas por incumplimiento.

 

 

6.2.2 Importancia de la Auditoría de Base de Datos

 ·         Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas

·         Se debe poder demostrar la integridad de la información almacenada en las bases de datos

·         Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la fuga de información

·         La información confidencial de los clientes, son responsabilidad de las organizaciones

·         Los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio

·         Las organizaciones deben tomar medidas mucho más allá de asegurar sus datos

Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.

 

6.2.3 Datos a Evaluar por Medio de la Auditoría de la Base de Datos:

·         Definición de estructuras físicas y lógicas de las bases de datos

·         Control de carga y mantenimiento de las bases de datos

·         Integridad de los datos y protección de accesos

·         Estándares para análisis y programación en el uso de bases de datos

·         Procedimientos de respaldo y de recuperación de datos

 

6.2.4 Aspectos Claves

 ·         No se debe Comprometer el Desempeño de las Bases de Datos

o    Soportar diferentes esquemas de auditoría.

o   Se debe tomar en cuenta el tamaño de las bases de datos a auditar y los posibles SLA establecidos.

 

·         Segregación de Funciones

o   El sistema de auditoría de base de datos no puede ser administrado por los DBA del área de IT.

 

·         Proveer Valor a la Operación del Negocio

o   Información para auditoría y seguridad.

o   Información para apoyar la toma de decisiones de la organización.

o   Información para mejorar el desempeño de la organización.