Upload
robinson-daniel-escate-ramos
View
217
Download
4
Tags:
Embed Size (px)
DESCRIPTION
auditoria BD
Citation preview
Auditoria Informática
Integrantes:
Nancy Monsalve C.I. 9.222.712 Noriarman Páez C.I. 14.269.856 Nadiuska Arenas C.I. 16.530.548 Leopoldo Torres C.I. 23.364.569 Luis Pérez C.I. 18.690.072
Identificación de la Empresa
Empresas MILO, C.A. está alineada con la estrategia de los
negocios, a través de una marca global de herramientas de
belleza para el profesional y en general para todos aquellos que
buscan calidad e innovación para el cuidado del cabello. Nace en
el 2001, con un concepto desarrollado exclusivamente para el
mercado Latinoamericano, bajo los siguientes principios: adaptado
al tipo de cabello, a las posibilidades económicas del consumidor,
a las necesidades del mercado y brindar una imagen impecable.
Alcance
Auditoría Informática de Base de Datos, a la empresa MILO, C.A., durante el período del 31/01/2015 al 28/02/2015.
Objetivos
General
• Realizar Auditoría Informática de Base de Datos de la empresa MILO, C.A.
Específicos• Diagnosticar la gestión de la Base de Datos.
• Evaluar la gestión de la Base de Datos.
• Analizar la situación actual de la gestión de Base de Datos.
• Presentar informe
Área Evaluada
Se realizó la evaluación en el departamento de sistema donde se encuentra toda la estructura física y lógica de la base de datos de la empresa MILO C.A
Alcance y Limitaciones
ALCANCE:
Se realizó la evaluación en el área del departamento de sistema donde se encuentra toda la estructura física y lógica de la base de datos de la empresa MILO C.A
LIMITACIONES:
No se tuvo ninguna limitación en la aplicación de la lista de verificación en la empresa MILO C.A, debido a que se logró chequear cada uno de los puntos establecidos en la misma.
Aspecto COBIT
Satisfacer las necesidades de las partes interesadas
En Empresas MILO, C.A., la disponibilidad de la información de forma eficiente y
eficaz es de suma importancia para las partes interesadas (la directiva, los
empleados, los miembros ordinarios y los clientes), en tal sentido el enfoque
principal de la Auditoría de Base de Datos a realizar, se basa principalmente en el
“Rendimiento” que garantice a las partes interesadas obtener beneficios dentro del
contexto de la Organización, de las metas relacionadas con la TI y de las metas
habilitadoras.
Matriz de Auditoria
OBJETIVOSDimension Indicadores Instrumento
General Específicos
Realizar Auditoría
Informática de Base
de Datos de la
empresa MILO, C.A.
Diagnosticar la gestión de la Base de Datos.
Privilegios de
Usuario
• Número de usuarios.
• Perfil de usuarios.
• Privilegios en tablas y
procedimientos.
Entrevistas
Encuestas
EstadísticasSeguridad de los
Datos
• Numero de
restauraciones
exitosas.
• Numero de Caídas del
sistema.
• Frecuencia de prueba
de copias.
• Tiempo de
restauración de los
datos.
• Numero de datos
perdidos.
OBJETIVOSDimension Indicadores Instrumento
General Específicos
Realizar Auditoría Informática de Base de Datos de la empresa MILO, C.A.
Evaluar la gestión de Base de Datos.
Diseño• Recursos Físicos• Recursos Lógicos• Cantidad de copias al día.
Entrevistas
Encuestas
Estadísticas
Mantenimiento• Tiempo de espera en las consultas.
• Cantidad de usuarios satisfechos.
Rendimiento• Frecuencia de pérdida de información.
• Cantidad de datos incongruentes.
Documentación
• Diccionario de Datos.
• Perfiles de Usuarios.
• Identificación de Procedimientos y
comentarios en tablas.
Procesos y procedimientos
• Registro de:
• Cantidad de accesos.
• Cuando acceden.
• Desde que aplicación.
• Cantidad de procesos por cada acceso.
• Cantidad de sistemas
Matriz de Auditoria
OBJETIVOSDimension Indicadores Instrumento
General Específicos
Realizar Auditoría Informática de Base de Datos de la empresa MILO, C.A.
Analizar la situación actual de la gestión de Base de Datos.
Desempeño
Presentar informe. Resultados
Matriz de Auditoria
Dimensión: Rendimiento de la Base de Datos
Aspectos a Evaluar
• Identificar las tablas de gran tamaño y los procesos más complejos que realiza la base de datos.
• Evaluación de tiempos de respuesta en procesos críticos.
• considerar los efectos que puede tener en el rendimiento el aumento del número de usuarios con acceso a la base de datos.
• Revisión de tiempos de espera de consultas y reportes.
• Evaluación de perdida de información.
• Evaluación de inconsistencia de datos.
• Configuración y uso de recursos físicos (discos, memoria, procesador)
• Medir el grado de satisfacción del cliente.
N° CARACTERISTICA A CHEQUEAR SI NO
1 ¿Existió una metodología para el diseño de la base de datos? X
2 ¿Se cuenta con un diseño conceptual y lógico de la base de datos? X
3 ¿Posee el diccionario de datos un diseño físico y lógico? X
4 ¿Existen políticas de gestión de datos? X
5 ¿Se cuenta con procedimientos para controlar la integridad y seguridad de los datos? X
6 ¿Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la base de datos? X
7 ¿Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)? X
8 ¿Existe algún usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor? X
9 ¿Se encuentra un administrador de sistemas en la empresa que lleve un control de los usuarios? X
10 ¿Son gestionados los perfiles de estos usuarios por el administrador? X
11 ¿Las instancias que contienen el repositorio, tienen acceso restringido? X
12 ¿Se renuevan las claves de los usuarios de la base de datos? X
13 ¿Se obliga el cambio de la contraseña de forma automática? X
14 ¿Se realiza chequeos de consistencia de la base de datos? X
Lista de Chequeo
Ho
jad
e C
on
tro
l
CODIGO ABD-5
Tipo de Documento: Rendimiento de la Base de Datos. Pág. 5 de 7
Propósito: Identificar si la base de datos realiza todas la operaciones en forma rápida y correcta.Tipo dePrueba:
Pruebas de consentimiento
Auditor: Luis PérezNoriarman Páez
Empresa: Milo, C.A.
Pre-requisitos: Revisión del hardware existente: disco de almacenamiento, diseño de índices usados, parámetros deconfiguración.
Pasos: Identificación de procesos críticos
Revisión de tiempos de espera de consultas y reportes
Evaluación de tiempos de respuesta en procesos críticos
Evaluación de satisfacción de usuario
Evaluación de perdida de información
Evaluación de inconsistencia de datos
ResultadosEsperados:
Lograr un mejor rendimiento en el uso de la base de datos optimizando su desempeño y el manejo de lainformación en la empresa.
Observación: La empresa no realiza mediciones en los usuarios finales, en cuanto a la satisfacción del manejo de los sistemasy tiempo de respuesta.No se cuenta con un ambiente de desarrollo para evaluar mejoras y/o nuevas opciones en los sistemas deinformación.
Hoja de Control
Entrevista
N°
PREGUNTAS RESPUESTA
1 ¿Con cuántos usuarios cuenta la base de datos? 20
2 ¿Con cuántos servidores cuenta la empresa para almacenar la data? 2
3 ¿Cuántas unidades de respaldo poseen? 1
4 ¿Cada cuánto hacen respaldos a la base de datos? Cada 15 días
5 ¿Cómo previenen los errores? En este momento no lo hacemos
6 ¿Cuantos usuarios tienen perfil de administrador? 2
7 ¿Establecen accesos específicos para cada usuario? Si
8 ¿Cómo se limita el acceso a la base de datos a los usuarios?Asignando el usuario a grupos de uso de
base de datos especifica
9 ¿Realizan pruebas de la copia de los respaldos? No
10 ¿Con cuántos sistemas de información cuentan en la organización? 14
11 ¿Cuál es el volumen de tablas por bases de datos? 15 tablas por BD
12 ¿Cuál es el número de procedimientos por bases de datos?50 procedimientos (sumando triggers y SP)
13 ¿Cuál es la cantidad de procesos por cada acceso? 5
14 ¿Poseen diccionario de datos para cada una de las bases de datos? No
15 ¿Qué base de datos utilizan para el resguardo de la data? SQL Server 2012
CuestionarioNo DESCRIPCION Si NO N/A OBSERVACIONES
1 ¿Existe reporte de fallas del sistema por parte del usuario?X
2 ¿Existe medición del grado de confianza sobre los datos almacenados?X
3 ¿El proceso de obtención de resultados resulta rápido? X
4 ¿El personal aplica de manera correcta los procedimientos?X La mayor parte de ellos
5 ¿Considera que los usuarios están satisfechos? X Medianamente satisfechos
6 ¿Cuenta con controles que identifiquen el desempeño de la base de datos?X No siempre se usan
7¿Cuentan con controles que identifiquen las desviaciones en el desempeño
de la base de datos?
X
8 ¿Se implementan medidas para corregir las desviaciones?X
9¿Utilizan software de contadores para evaluar el rendimiento de la base de
datos?
X En ciertas ocasiones
10¿Considera que el sistema de gestión utilizado para valorar la base de datos
es suficientes?
X
11 ¿Cuentan con sala de servidores? X
12 ¿Existe resguardo contra incendios en el salón de servidores?X
13 ¿Está el personal preparado contra eventualidad de incendio?X
Informe
Uno de los procedimientos de auditoría a seguir se basa en lo siguiente:
5. Evaluar el rendimiento de la base de datos.Cuando se diseña una base de datos, se debe asegurar de que realiza todas las operaciones importantes de forma rápida y correcta. Es importante identificar las tablas de gran tamaño y los procesos más complejos que realizará la base de datos. También se debe prestar atención al rendimiento en cuanto a los recursos del sistema operativo utilizados (espacio, memoria, procesador) y los efectos que puede tener en el rendimiento el aumento del número de usuarios con acceso a la base de datos.
Luego del desarrollo de la auditoría en la empresa MILO, C.A., se encontraron las siguientes debilidades:
• No poseen la figura DBA (Administrador de la Base de Datos).
• No se renuevan las claves de los usuarios de la base de datos.
• No tienen definido un diccionario de datos.
• No llevan periódicamente estadísticas de rendimiento y de consumo de recursos.
• No poseen un buen sistema de protección de la base de datos frente a ataques externos.
• Poseen un gran uso de tablas temporales en la generación de reportes, lo que hace que se tenga un alto nivel de almacenamiento y procesamiento.
• La cantidad de usuarios en la base de datos es elevada. No tienen actividades de limpieza de usuarios.
Hallazgos