Para definir de forma sencilla el concepto de "auditoría de base de datos" es importante partir de los dos términos que engloba. En este sentido, la palabra auditoría alude a la revisión y verificación de una determinada actividad, en este caso relacionada con la información almacenada en bancos de datos.
Las bases de datos, como es bien sabido, se componen de conjuntos de datos y están caracterizadas por una serie de rasgos, como la independencia e integridad de los datos, las consultas complejas, respaldo y recuperación, redundancia mínima o, entre otros, la seguridad de acceso y auditoría.
La
auditoría de base de datos, finalmente, es un proceso implementado por los
auditores de sistemas con el fin de auditar los accesos a los datos, por lo
general siguiendo bien una metodología basada en un checklist que contempla los
puntos que se quieren comprobar o mediante la evaluación de riesgos
potenciales.
En
concreto, se realiza un examen de los accesos a los datos almacenados en las
bases de datos con el fin de poder medir, monitorear y tener constancia de los
accesos a la información almacenada en las mismas. Si bien el objetivo puede
variar en función de la casuística, en todos los casos el fin último persigue,
de uno u otro modo, la seguridad corporativa.
Una auditoría
de base de datos, por lo tanto, facilita herramienta eficaz para conocer de
forma exacta cuál es la relación de los usuarios a la hora de acceder a las
bases de datos, incluyendo las actuaciones que deriven en una generación,
modificación o eliminación de datos.
Realizar
un seguimiento de estos eventos en la base de datos también es un primer paso
para llevar a cabo auditorías en las aplicaciones asociadas a aquella. No en
vano, el papel primordial que tienen los datos en las organizaciones, su activo
más valioso, obliga a controlar los pormenores de su acceso.
En
este sentido, la auditoría de base de datos es un control necesario, cuya
dificultad aumenta de forma paralela a la creciente complejidad de las
tecnologías de bases de datos. Asimismo, las amenazas de seguridad se han
multiplicado, apareciendo nuevos riesgos e incrementándose los ya existentes,
al tiempo que se amplía su alcance a través de la disciplina conocida como
Gestión de Recursos de Información.
Es
el proceso que permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la información almacenada en las bases de datos incluyendo la
capacidad de determinar:
ü Quién accede a los datos.
ü Cuándo se accedió a los datos.
ü Desde qué tipo de dispositivo/aplicación.
ü Desde que ubicación en la Red.
ü Cuál fue la sentencia SQL ejecutada.
ü Cuál fue el efecto del acceso a la base de datos.
Objetivos Generales de la Auditoría de BD.
Disponer
de mecanismos que permitan tener trazas de auditoría completas y automáticas
relacionadas con el acceso a las bases de datos incluyendo la capacidad de
generar alertas con el objetivo de:
Ø Mitigar los riesgos asociados con el manejo inadecuado de
los datos.
Ø Apoyar el cumplimiento regulatorio.
Ø Satisfacer los requerimientos de los auditores.
Ø Evitar acciones criminales.
Ø Evitar multas por incumplimiento.
La
importancia de la auditoría del entorno de bases de datos radica en que es el
punto de partida para poder realizar la auditoría de las aplicaciones que
utiliza esta tecnología.
La
Auditoría de BD es importante porque:
v Toda la información financiera de la organización reside en
bases de datos y deben existir controles relacionados con el acceso a las
mismas.
v Se debe poder demostrar la integridad de la información
almacenada en las bases de datos.
v Las organizaciones deben mitigar los riesgos asociados a la
pérdida de datos y a la fuga de información.
v La información confidencial de los clientes, son
responsabilidad de las organizaciones.
v Los datos convertidos en información a través de bases de
datos y procesos de negocios representan el negocio.
v Las organizaciones deben tomar medidas mucho más allá de
asegurar sus datos.
Deben monitorearse perfectamente a fin de conocer quién o qué les hizo exactamente qué, cuándo y cómo.
VIDEO AUDITORIA:
Referencias bibliográficas:
[1] Redacción PowerData. (2016). ¿Qué es la auditoría
de base de datos? Powerdata.es.
https://blog.powerdata.es/el-valor-de-la-gestion-de-datos/que-es-la-auditoria-de-base-de-datos
[2] 3.2.2 Auditoria de Bases de Datos. (2021).
Uaeh.edu.mx. http://cidecame.uaeh.edu.mx/lcc/mapa/PROYECTO/libro21/322_auditoria_de_bases_de_datos.html
Comentarios
Publicar un comentario