Administración de Datos

Debido al tamaño y la complejidad de las bases de datos, las organizaciones, generalmente, tienen personal que se designa para atender las actividades de administración de bases de datos, que incluyen el mantenimiento de estructuras de datos,

del software de DBMS y aplicaciones relacionadas, documentación de la base de datos, procedimientos de copias de seguridad, recuperación de fallas de la base de datos, entre otras.

En este sentido, el auditor deberá observar los siguientes procedimientos, a fin de verificar cuáles están disponibles en la empresa en la que va a realizar su evaluación:

 Se encuentran definidas y documentadas las responsabilidades relativas a la

administración de bases de datos, tales como:

o Proyecto y mantenimiento de la estructura de base de datos.

o Revisión y evaluación de la confiabilidad del sistema administrador de base de

datos y la seguridad de datos.

o Evaluación del personal que opera la base de datos.

o Capacitación del personal responsable de la administración de base de datos.

o Cumplen con el perfil para administrar una base de datos.

 Las actividades de administración de base de datos son almacenadas en registros

históricos y periódicamente analizadas por un supervisor.

3.4 REDES

En la actualidad, los usuarios de un sistema pueden encontrarse en un lugar diferente de donde están físicamente los recursos informáticos de una empresa, utilizando redes de comunicación entre computadores para permitirles el acceso instantáneo a información y a otros usuarios en diferentes lugares de la institución. Es así, que las redes ofrecen facilidades tales como acceso compartido a datos, aplicaciones, impresoras y otros dispositivos; correo electrónico; acceso a usuarios y dispositivos remotos; reducción del costo de software, por medio de licencias multiusuario; acceso y ejecución de procesos en sistemas remotos.

Para que todo este sistema de comunicación de datos funcione correctamente, se utilizan:

 Registros (logs) de comunicaciones, donde se registran todos los bloques transmitidos,

correcta o incorrectamente, que se usan como estadísticas y para intento de recuperación de datos transmitidos.

grabación de registros de transacciones y para codificación y decodificación de señales de comunicación.

 Protocolo de transmisión, que garantiza la recepción correcta del bloque de

informaciones transmitido.

 Software o hardware para la realización de codificación y decodificación de la

información transmitida.

El riesgo más común en el uso de redes es el de acceso no autorizado a información y a aplicaciones que se corren en una organización, lo que puede causar daños o prejuicios intencionales o accidentales.

Actualmente, se ofrece en el mercado software y hardware especializado en limitar el acceso de usuarios o sistemas externos a una red de comunicación, tales como gateways o firewalls, que son dispositivos que restringen el acceso entre redes, importantes para reducir el riesgo asociado al uso de la Internet; monitores de teleprocesamiento que son aplicaciones incorporadas al sistema operativo para limitar el acceso y dispositivos de protección de los canales de comunicación.

El mejor medio para proteger la información al ser transportada por redes es el cifrado, pues no es suficiente la autorización o la autenticación cuando no se sabe exactamente cuál es la ruta por la que viajarán los datos. En cualquier salto intermedio, un atacante podría interceptarlos. Si esta información no fue cifrada, se podrán obtener datos confidenciales, caso contrario, no podrá tener ninguna información válida, pues no sabrá cuál es la clave de cifrado utilizada. En este contexto, se cuenta con la criptografía, que utiliza algoritmos (fórmulas matemáticas) y combinaciones de claves (secuencias de bits) que transforman un mensaje en códigos complicados para quienes no tienen una clave secreta, que es necesaria para descifrarlos, por lo que el contenido de un archivo o mensaje se mantiene en forma confidencial. Sirven también para proporcionar una firma electrónica, que puede revelar si hubo alguna modificación en el archivo, por lo que garantiza su integridad y además permite la identificación cierta del autor del mensaje. Cuando el auditor, durante su evaluación, necesita conocer más a fondo el funcionamiento de las redes de comunicación de una empresa, debe tomar en cuenta los siguientes elementos críticos, que le permitirá definir la confianza en los controles:

comunicación, tanto interna como externa, deben existir procedimientos y políticas para ayudar la administración del ambiente de red y estándares definidos para control del hardware y del software involucrados.

 Seguridad de los datos y de la red: deben haber mecanismos de control de

hardware y software que garanticen la seguridad e integridad de los datos mantenidos en el ambiente de red y de los recursos físicos que la componen, que limiten y controlen el acceso a programas y datos.

 Operación de la red: la organización debe ofrecer condiciones para una operación

eficiente de la red, incluyendo normas y procedimientos de entrenamiento y capacitación del personal, realización de copias de seguridad, evaluación de la eficiencia del servicio y rutinas de recuperación de la red después de interrupciones inesperadas.

 Software de red: Debe existir monitoreo y control del software de comunicación y el

sistema operativo instalado.

3.4.1 Administración de la red

Con el propósito de identificar los posibles riesgos que podrían existir en la administración de la red, el auditor deberá considerar para su evaluación los siguientes elementos:

 Existen objetivos de corto y mediano plazos para el procesamiento de datos distribuidos

de la organización.

 Se han definido con claridad las configuraciones de hardware, base de datos, topología

de red e interfases de red de comunicaciones.

 Se realizaron análisis de costo/beneficio para la elección de la plataforma de red, que

justifique la alternativa escogida.

 Existen procedimientos de control para el procesamiento en red, que prueban y

evalúan periódicamente la red de comunicaciones.

 Los procedimientos de operación de la red se distribuyen a los usuarios de cada

departamento y se encuentran debidamente documentados.

 Existen mecanismos que pueden garantizar la compatibilidad de archivos entre las

 Se estableció una política de auditoría y de respaldo para la red.

 La Unidad de Sistemas ha definido políticas, procedimientos y estándares

documentados, actualizados y divulgados al personal responsable.

 Se han implantado controles para garantizar que la integridad de los datos se mantenga

durante la transferencia de datos en la red, es decir, procedimientos de autenticación de mensajes.

3.4.2 Seguridad de la red

El auditor, en este apartado, deberá analizar si existen procedimientos tales como:

 Se tiene un inventario de todos los equipos de red pertenecientes a cada departamento

de la organización y que se revisan periódicamente la eficacia de las prácticas de seguridad adoptadas.

 Que se protegen los recursos físicos de la red y la integridad del software de aplicación

y de los datos almacenados, mediante procedimientos de seguridad adecuados y que éstos se revisan de forma periódica.

 Que se mantiene actualizada la documentación de seguridad y que se reevalúa con

frecuencia la adecuación de los controles de seguridad del hardware de comunicación y estaciones de trabajo, del sistema operativo, de las aplicaciones relevantes, de los datos que se consideran confidenciales.

3.4.3 Control de acceso

El auditor se basará en los siguientes procedimientos, para realizar una lista acerca de este apartado:

 Las pistas de auditoría se encuentran disponibles por periodos razonables y permiten

revisar las actividades tales como: Login/out, indicando lugar, hora y fecha, identificación de usuario; tipo de acceso e intentos de acceso inválidos, que indiquen local, hora y fecha, e identificación de usuario.

 Autorización de acceso por cada usuario o grupo de usuarios, para discos, volúmenes,

directorios y archivos.

 Qué controles de acceso se han determinado para los terminales o estaciones de

identificación en el sistema.

 Existe inhabilitación de terminales y estaciones de trabajo después de un determinado

número de intentos de acceso no autorizado.

 Se ha establecido perfiles de acceso para los usuarios, definiendo los recursos, datos,

aplicaciones, transacciones y comandos autorizados, de acuerdo con las responsabilidades de los respectivos cargos.

 La seguridad física de servidores y equipos de comunicación y conexión en red es

adecuada. Los servidores se encuentran en un área con acceso restringido para solo el personal autorizado.

 Los terminales y estaciones de trabajo poseen mecanismos de seguridad física que

previenen su eliminación no autorizada.

3.4.4 Plan de contingencia

El auditor investigará y observará si existe un plan de contingencia adecuado para la recuperación de la red y si éste es probado periódicamente mediante simulaciones. Se debe considerar si están considerados en este plan los siguientes puntos:

 Protección de archivos de datos.

 Procedimientos para varios niveles de interrupciones y emergencias.

 Procedimientos de recuperación de aplicaciones del sistema.

 Lista de documentos y archivos con copias a ser mantenidas en otro lugar.

3.4.5 Operación de la red

El auditor deberá tomar en cuenta los siguientes procedimientos para ser incluidos en su lista de verificación:

 Se documentan y actualizan con una frecuencia apropiada los procedimientos de

administración y operación de la red.

 Se han definido con claridad las responsabilidades de operación para todos los

terminales y estaciones de trabajo.

 Se han establecido procedimientos para evaluar de forma periódica el desempeño,