UNIVERSIDAD ADVENTISTA DOMINICANA
VICERRECTORÍA ACADÉMICA
FACULTAD DE INGENIERÍA Y TECNOLOGÍA
AUDITORIA A LA BASE DE DATOS DE LA
INSTITUCIÓN UNAD
Por
Miguel Ángel Milton Florián
Profesor
Estanislao de la Cruz
Sonador, Piedra Blanca, Provincia
Monseñor Nouel
República Dominicana
2014
INDICE
1.4. metodología
INTRODUCCIÓN
El
presente informe contempla las conclusiones a las que ha llegado nuestra firma
de auditores después de realizar una evaluación del Sistema Gestor de Base de
Datos (SGBD) actual, usado por la empresa UNAD., su administración, seguridad,
confidencialidad, acceso y uso de los datos a fin de identificar posibles
desviaciones que pudieran estarse presentado y proponer soluciones a las misma
para su pronta solución.
La evaluación se
realiza en cumplimiento del programa de estudios, de la materia de Auditoria
Informática de la Universidad Adventista Dominicana y a petición del Ing. Miguel A. Milton en fecha del 18 de
Abril del 2014, como forma de reforzamiento practico a los conocimientos
teóricos expuestos en dicha materia. Y previa autorización de la empresa
auditada, siguiendo las normas y políticas establecidas por la empresa y las
metodologías y técnicas de evaluación internacionales para la realización de
estos procesos.
1.1 Origen De La Auditoria:
La presenta auditoria se realiza en
cumplimiento del programa de estudios, de la materia de Auditoria Informática
de la Universidad Adventista Dominicana y a petición del Ing. Miguel A. Milton en fecha del 18 de
Abril del 2014, como forma de reforzamiento practico a los conocimientos
teóricos expuestos en dicha materia. La misma está basada en el modelo de la
guía de auditoria, Aplicada al área de base de datos de la institución elegida,
la empresa UNAD.
1.2 Objetivo General:
Realizar
una evaluación del sistema gestor de base de datos (SGBD) actual usado por la
empresa, su administración, seguridad, confidencialidad, acceso, uso de los
datos.
1.3 Objetivos Específicos:
·
Determinar la capacidad del personal que
administra el SGBD.
·
Evaluar el diseño y estructura de los
datos.
·
Evaluar los niveles de acceso.
·
Evaluar los planes de contingencia.
·
Evaluar la integridad de los datos.
·
Evaluar la confiabilidad de los datos.
·
Evaluar la confidencialidad de los
datos.
·
Determinar la veracidad de la
información contenida en el SGBD.
1.4 Alcance y Naturaleza
El alcance del proyecto
comprende la evaluación de los siguientes puntos:
Evaluación del SGBD y
de las Bases de Datos en cuanto a su:
Operatividad, Diseño y
Estructura de Datos, Niveles de Concurrencia, Entrada, Salida y Modificación de
Datos, Integridad y Consistencia de Datos, Tolerancia y Tratamiento de Fallos,
Procedimientos de Respaldo, Documentación y Manuales de Uso, Licencias Y/O
Cumplimientos De Derechos De Autor.
1.5 Metodología Utilizada.
A continuación se
presenta la metodología de investigación utilizada en el proyecto, para la
evaluación de la empresa con relación a sus bases de datos.
Para la evaluación del
SGBD y de las bases de datos se llevaran a cabo las siguientes actividades:
Elaboración de
entrevista al DBA, Aplicación de la entrevista al DBA, Elaboración de pruebas
manuales, Aplicación de las pruebas manuales, Análisis y evaluación de la
información, Identificaron de las desviaciones, Elaboración del informe.
CONCLUSIONES Y RECOMENDACIONES
De
acuerdo con la petición realizada por el Ing. Miguel A. Milton, de la
Universidad Adventista Dominicana en la
materia de Auditoria Informática, de conformidad con el cumplimiento del
programa de estudios de dicha Universidad y así mismo, me permito remitir a
ustedes el dictamen de la auditoría practicada al Departamento de IT, enfocada
a la administración, seguridad, confidencialidad, acceso, y uso de los datos
del Sistema Gestor de Base de Datos (SGBD) y de las Bases de Datos de dicha empresa,
misma que se llevó a cabo del 18 de Abril al 5 de mayo del año en curso.
De los resultados
obtenidos durante la evaluación me permito informarle de las siguientes
observaciones:
Evaluación del
Departamento de IT: Pudimos comprobar que la capacidad del personal y las
funciones que realizan son llevadas a cabo de una manera eficiente, si bien no
se cuentan con normas escritas, el personal demostró conocer sus funciones.
Evaluación del SGBD y
de las Bases de Datos: Durante esta etapa de evaluación comprobamos que
existían deficiencias, en la administración del SGBD y las Bases de Datos, no
se habían implementado normas y políticas que rijan su correcto funcionamiento
y operabilidad, provocando que peligren datos de suma importancia para la
empresa y que en algunos casos se pudiera producir la paralización parcial o
total de ciertas operaciones, pero de igual forma evidenciamos la disposición
del personal a resolver dichas deficiencias en el más corto plazo posible.
Evaluación de la
Seguridad: La seguridad presentada en la institución es de nivel medio tanto
física como lógica, los controles de acceso, las políticas y normas de
seguridad deben ser revaluadas y en algunos casos implementados, para asegurar
la máxima integridad y confiabilidad de los datos.
De acuerdo con las
pruebas realizadas a la administración, seguridad, confidencialidad, acceso, y
uso de los datos del Sistema Gestor de Base de Datos (SGBD) y de las Bases de
Datos y de acuerdo con los estatutos internacionales establecidos para dicho fin,
me permito dictaminar que las desviaciones encontradas en cada una de las
evaluaciones realizadas, deben ser corregidas lo más pronto posible de acuerdo
a los términos convenidos por los encargados de su corrección y nuestros
auditores durante la identificación de las mismas,
Enfatizamos que su no
solución a tiempo puede resultar en serios percances al correcto avance
presente y futuro de la empresa.
No se cuenta con un
equipo de respaldo para el SGBD en caso de que ocurra un inconveniente.
No lo habían tomado en
cuenta, ya que no se han presentado irregularidades en las revisiones mensuales
que se realizan al mismo.
Es recomendable tener
un equipo de respaldo aunque sea con los mínimos requerimientos, ya que si algo
le ocurre al equipo que posee el SGBD se paralizarían las actividades de la
empresa.
Periodo de cambio de
contraseñas demasiado extenso.
Las contraseñas son
cambiadas cada dos meses.
Nos parece que el
tiempo estimado para el cambio de contraseñas es muy extenso y no cumple con
los estándares internacionales para el cambio de las mismas, que es como mínimo
de 30 días, recomendamos su cambio por lo menos cada 30 días no solo para
cumplir con los estándares, sino también para asegurar la confidencialidad e
integridad de los datos.
El lugar de almacenamiento
de los archivos confidenciales y los backups, se encuentran dentro de la misma
empresa.
La empresa no dispone
de una sucursal o espacio físico fuera de la institución para almacenar dichos
documentos y copias.
Recomendamos a la
empresa, que dentro de su presupuesto incluya la adquisición o arrendamiento de
un espacio físico que le permita guardar dichos archivos y backups a parte del
espacio destinado actualmente para dicha operación, y que de este modo asegure
la disponibilidad de dicha información en caso de un desastre o percance ajeno
a la empresa.
Situaciones,
Causas, Solución
Inoperatividad de un
Manual de Organización Funcional.
No ha sido desarrollado
por el departamento, ya que consideran que cada quien conoce su función.
Se debe crear el Manual
de Organización Funcional vía escrita, aunque cada quien parezca conocer sus
asignaciones, para evita la usurpación de funciones, además servirá de
referencia para futuros empleados.
No existe un plan de
operativo anual.
No lo han creado porque
las actividades básicas son consideradas rutinarias y las especiales las
desarrollan conforme surgen. Se debe
crear un plan de operativo anual para así poder establecer con anticipación las
actividades que serán realizadas en el periodo de un año y así poder mantener
la organización de la empresa.
Manejo inadecuado de
los datos de la nómina.
Los datos de nómina son
manejados por el encargado de nómina y su asistente, pero ambos utilizan la
misma PC para acceder a ellos. Se
recomienda la instalación del software destinado al manejo de la nómina en otra
PC, porque en caso de que la PC que contiene el software actualmente tenga
algún problema, atrasaría las actividades relacionadas con esta aun teniendo un
respaldo de la información que contiene dicha PC.
Tiempos de respuestas
extensos a la hora de realizar consultas. Entienden que es por la gran cantidad
de información que poseen.
Antes que nada, deben
de verificar que la red esté en óptimas condiciones para que la información
pueda fluir de manera adecuada y realizar una revisión profunda de las
sentencias de consultas a fin de optimizarlas.
Procedimientos de
control que regulen la redundancia de datos no implementados.
Tales procedimientos de
control no han sido definidos. Recomendamos definir y poner en práctica un
conjunto de normas y procedimientos de control que garanticen la reducción de
redundancia de datos.
Situaciones,
Causas, Solución
Alta de verificación de
los controles y las relaciones que se realizan. Todos estos controles y las
relaciones quedan establecidos en el diseño de la Base de Datos.
Estos controles y las
relaciones deben ser verificados cada cierto tiempo aunque en el diseño se haya
establecido, para saber y darse cuenta si se están realizando de una manera
óptima y si satisface a los usuarios de la mejor manera.
Procedimientos formales
para la operación del SGBD no estipulados.
El administrador del
SGBD no los ha creado.
Se debe realizar un
documento que les sirva como parámetro a los usuarios, ya que si en algún
momento se sienten confundidos o bien tienen alguna duda, puedan tener un
apoyo.
Tiempos de verificación
de archivos validos muy extenso, alrededor de cada 2 semanas.
Se considera que el
volumen de transacciones no es tan alto como realizar dicha verificación más a
menudo.
Creemos que el tiempo
dedicado a esta tarea debe de ser mayor, alrededor de la mitad del tiempo en
que se realiza actualmente, es decir, debe ser por lo menos semanalmente para
garantizar la mínima perdida de datos y aumentar la confiabilidad de los mismos
frente a fallos inesperados del sistema.
No se cuenta con un
equipo de respaldo para el SGBD en caso de que ocurra un inconveniente.
No lo habían tomado en
cuenta, ya que no se han presentado irregularidades en las revisiones mensuales
que se realizan al mismo.
Es recomendable tener
un equipo de respaldo aunque sea con los mínimos requerimientos, ya que si algo
le ocurre al equipo que posee el SGBD se paralizarían las actividades de la
empresa.
Incidencias encontradas
no registradas.
No existen normas que
requieran su registro.
Recomendamos el
registro de las incidencias encontradas, en un documento ya sea escrito o
digital, a fin de tener un control de las mismas y sirvan para referencias
futuras y mejoras en el mantenimiento y optimización de los procesos. Así como
la creación de normas y políticas que velen por su correcto cumplimiento.
Situaciones,
Causas, Solución
No existen medidas que
regulen los procedimientos a realizar cuando un soporte es desechado y como
consecuencia, no se borran los archivos de los dispositivos de almacenamientos
al ser desechados.
No se han creado dichas
medidas
Es recomendable que se
creen medidas que regulen tales procedimientos para desechar los soportes
debido a que su incorrecto desecho puede provocar que información privada
llegue a donde no tiene que llegar.
No se mantiene un
registro de las personas autorizadas a manejar los soportes (Backups).
Como solo los
administradores tienen acceso a los mismos no han visto necesario que se cree
un registro.
Aunque solo los
administradores tengan acceso a los soportes, es importante que se cree dicho
registro a fin que sirva de control sobre el uso que se da a los mismos.
Periodo de cambio de
contraseñas demasiado extenso.
Las contraseñas son
cambiadas cada dos meses.
Nos parece que el
tiempo estimado para el cambio de contraseñas es muy extenso y no cumple con
los estándares internacionales para el cambio de las mismas, que es como mínimo
de 30 días, recomendamos su cambio por lo menos cada 30 días no solo para
cumplir con los estándares, sino también para asegurar la confidencialidad e
integridad de los datos.
El lugar de
almacenamiento de los archivos confidenciales y los backups, se encuentran
dentro de la misma empresa. La empresa no
dispone de una sucursal o espacio físico fuera de la institución para almacenar
dichos documentos y copias.
Recomendamos a la
empresa, que dentro de su presupuesto incluya la adquisión o arrendamiento de
un espacio físico que le permita guardar dichos archivos y backups a parte del
espacio destinado actualmente para dicha operación, y que de este modo asegure
la disponibilidad de dicha información en caso de un desastre o percance ajeno
a la empresa.
Destrucción de los
archivos defectuosos no verificada.
No se han establecido
dichos procedimientos.
Recomendamos que se
certifiquen dichos procedimiento, para asegurar que los archivos están
realmente defectuosos, y que no por el contrario se trate de una fuga de
información por parte de personal mal intencionado.
