Auditoria: Es el proceso que permite medir,
asegurar, demostrar, monitorear y
registrar los accesos a la información almacenada en las bases de datos
incluyendo la capacidad de determinar:
• Quién accede a
los datos
• Cuándo se
accedió a los datos
• Desde qué tipo
de dispositivo/aplicación
• Desde que
ubicación en la Red
• Cuál fue la
sentencia SQL ejecutada
• Cuál fue el
efecto del acceso a la base de datos
6.2.1 Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
• Mitigar
los riesgos asociados con el manejo inadecuado de los datos.
• Apoyar
el cumplimiento regulatorio.
• Satisfacer
los requerimientos de los auditores.
• Evitar
acciones criminales.
• Evitar
multas por incumplimiento.
6.2.2 Importancia de la Auditoría de Base de
Datos
· Toda la información financiera de la organización reside en bases de datos y deben existir controles relacionados con el acceso a las mismas
· Se
debe poder demostrar la integridad de la información almacenada en las bases de
datos
· Las
organizaciones deben mitigar los riesgos asociados a la pérdida de datos y a la
fuga de información
· La
información confidencial de los clientes, son responsabilidad de las
organizaciones
· Los
datos convertidos en información a través de bases de datos y procesos de
negocios representan el negocio
· Las
organizaciones deben tomar medidas mucho más allá de asegurar sus datos
Deben monitorearse
perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y
cómo.
6.2.3 Datos a Evaluar por
Medio de la Auditoría de la Base de Datos:
· Definición
de estructuras físicas y lógicas de las bases de datos
· Control
de carga y mantenimiento de las bases de datos
· Integridad
de los datos y protección de accesos
· Estándares
para análisis y programación en el uso de bases de datos
· Procedimientos
de respaldo y de recuperación de datos
6.2.4 Aspectos Claves
· No se debe Comprometer el Desempeño de las Bases de Datos
o Soportar
diferentes esquemas de auditoría.
o Se debe
tomar en cuenta el tamaño de las bases de datos a auditar y los posibles SLA
establecidos.
· Segregación
de Funciones
o El sistema
de auditoría de base de datos no puede ser administrado por los DBA del área de
IT.
· Proveer
Valor a la Operación del Negocio
o Información
para auditoría y seguridad.
o Información
para apoyar la toma de decisiones de la organización.
o Información
para mejorar el desempeño de la organización.
No hay comentarios.:
Publicar un comentario