UNIVERSIDAD AUTONOMA “JUAN MISAEL SARACHO”

FACULTAD DE CIENCIAS INTEGRADAS DEL GRAN CHACO

CARRERA DE INGENIERIA INFORMATICA

Trabajo de Investigación
AUDITORIA DE BASE DE DATOS

Materia: Auditoria Informática

Sigla: INF-521
Docente: Lic. Castillo Tapia Jhenny Rosmery
Integrantes:
 José Arturo Martínez
 Luis Eduardo Velásquez Puita
 Humberto Yeyson Velásquez Puita
 Elvis Brandon Zenteno Martínez

Yacuiba 11/08/2021
Tarija - Bolivia
 Índice
1. Introducción...............................................................................................................4
1.1. Auditoria de las Base de Datos...........................................................................5
1.1.1. Base de Datos o Banco de Datos......................................................................5
2. Sistema de Gestión de Bases de Datos..........................................................................5
3. Método Tradicional.......................................................................................................6
4. Metodología de Evaluación de Riesgos.........................................................................6
4.1. Objetivo de Control:................................................................................................6
4.2. Técnica de Control:.................................................................................................7
4.3. Prueba de cumplimiento:.........................................................................................7
4.4. Prueba sustantiva:....................................................................................................7
5. Objetivos de Control en el Ciclo de Vida de una Base de Datos....................................8
5.1. Estudio previo y plan de trabajo..............................................................................8
5.2. Concepción de la base de Datos y selección del equipo........................................10
5.3 Diseño y carga.......................................................................................................10
5.4. Explotación y mantenimiento................................................................................11
6. Revisión Post-Implantación........................................................................................12
6.1. Otros Procesos Auxiliares.....................................................................................12
6.2. Auditoría y Control Interno en un entorno de base de datos.................................13
6.2.1. Sistema de Base de Datos (SGBD).................................................................13
6.2.2 Software de Auditoria....................................................................................14
6.2.3 Sistema de Monitorización y Ajuste (tuning).................................................14
6.2.4. Sistema Operativo..........................................................................................14
6.2.5. Monitor de Transacciones..............................................................................15
6.2.6. Protocolos y sistemas Distribuidos.................................................................15
6.2.7 Paquete de Seguridad......................................................................................16
6.2.8. Diccionario de Datos......................................................................................16
6.2.9. Herramientas Case (Computer Aided Sistem/Sofware Engineering). IPESE
(Integrated Project Support Envinments).................................................................16
6.2.10. Lenguaje de Cuarta Generación (L4G) Independientes................................17
6.2.11. Facilidades de usuario..................................................................................17
6.2.12. Herramientas de “minería de datos”.............................................................17
6.2.13. Aplicaciones.................................................................................................18
7. Técnicas Para El Control De Base De Datos En Un Entorno Complejo Razón de Ser de
las Técnicas......................................................................................................................18
 7.1. Matrices De Control..............................................................................................18
9. Bibliografía..................................................................................................................20
1. Introducción
Siempre que hablamos de Tecnologías de la Información, tenemos que tener
presente que lo realmente importante para una organización es su información.
Por la información es que la inversión en Tecnologías tiene sentido. Por eso, la
Auditoría de las Bases de datos es importante, porque son estos repositorios en
los que la información de la organización es almacenada. La evolución de las
Tecnologías de la Información en el área de Bases de Datos ha evolucionado
de depósitos con limitadas o vulnerables características de seguridad e
integridad a componentes que proveen altas características para garantizar que
los datos de una organización son utilizados para los fines autorizados y
válidos, que son accedidos solo por el personal debidamente autorizado y con
las medidas de seguridad necesarias para evitar los ataques externos que cada
vez son más frecuentes. Establecido este escenario, parecería que nuestros
datos están seguros si tenemos la Tecnología de Bases de Datos de última
generación y no tenemos nada de qué preocuparnos. Premisa falsa.

La práctica nos enseña que siempre existen varios factores que deben de
verificarse cuando se trata de bases de datos. La verificación independiente de
un Auditor de Sistemas ayuda a la Alta Gerencia a garantizar que la Tecnología
de Bases de Datos está siendo usada de la mejor forma posible y que no se han
cometido acciones u omisiones que ponen en riesgo la integridad y seguridad
de nuestros datos. La Auditoría de Sistemas en este contexto, pasa a realizar
una evaluación del cumplimiento de los estándares establecidos por el
fabricante de la tecnología utilizada, el diseño de la base de datos, la
verificación del registro correcto de los datos y el seguimiento a los
procedimientos de Administración de Bases de Datos.

Si estos elementos no son ejecutados de una manera profesional, aunque se

haya realizado la inversión en la mejor Tecnología de Bases de Datos, siempre
se tendrán riesgos sobre los datos de la organización. La realización de este
examen, en el caso de una base de datos, debe realizarse de forma periódica,
para lograr el objetivo de que no se detecten desviaciones en los parámetros
normales de operación demasiado tarde. Dependiendo de la importancia de los
datos para la organización, la evaluación debe de realizarse mensual, trimestral
 o semestralmente. Muchas veces pasa que nuevas vulnerabilidades son
descubiertas y publicadas por los fabricantes de tecnologías y los responsables
de la Gestión de TI no realizan los ajustes necesarios para mantener los datos
seguros.

A veces pequeños cambios temporales en la asignación de privilegios no se

revierten oportunamente. A veces cambios en las aplicaciones modifican las
condiciones de integridad de los datos. Solo la revisión periódica permite
detectar y corregir estas situaciones que si se acumulan sobre el tiempo,
podrían impactar de manera negativa en la calidad de los datos, en detrimento
del soporte que las Tecnologías de la Información proporcionan al negocio.

1.1. Auditoria de las Base de Datos

La gran difusión de Sistemas de Gestión de Base de Datos (SGBD) Junto
con la consagración de los Datos como uno de los recursos Fundamentales
de las empresas, ha hecho que los temas relativos a su control interno y
auditoria cobren cada día mayor interés.

Para definir los aspectos más importantes de la auditoria de Base de Datos

es importante establecer los dos conceptos siguientes

1.1.1. Base de Datos o Banco de Datos

Es un conjunto de datos pertenecientes a un mismo contexto y
almacenados sistemáticamente para su posterior uso. En este sentido, una
biblioteca puede considerarse una base de datos compuesta en su mayoría
por documentos y textos impresos en papel.

Actualmente, y debido al desarrollo tecnológico de campos como la

informática y la electrónica, la mayoría de las bases de datos están en
formato digital (electrónico), y por ende se ha desarrollado y se ofrece un
amplio rango de soluciones al problema del almacenamiento de datos.

2. Sistema de Gestión de Bases de Datos

Es un tipo de Programa que permiten almacenar y posteriormente acceder a los
datos de forma rápida y estructurada. Las propiedades de estos SGBD, así
 como su utilización y administración, se estudian dentro del ámbito de la
informática.

Las aplicaciones más usuales son para la gestión de empresas e instituciones

públicas. También son ampliamente utilizadas en entornos científicos con el
objeto de almacenar la información experimental, existiendo los siguientes
métodos:

3. Método Tradicional
En este tipo de Control el Auditor revisa su entorno con la ayuda de un
checklist o lista de control, que consta de una serie de cuestionamientos a
verificar.

Cuando el auditor realiza su proceso de investigación debe de registrar el

resultado mediante la utilización de letras:

 S si el resultado es afirmativo
 N si el resultado es negativo
 NA no aplicable
 Evaluará aspectos generales como:
 Parámetros de instalación
 Riesgos más importantes

4. Metodología de Evaluación de Riesgos

Este tipo de metodología es la que propone ISACA (Sistemas de Información
Asociación de Auditoría y Control), y empieza fijando los objetivos de control
que minimizan los riesgos potenciales a los que está sometido el entorno. Se
señalan los riesgos más importantes que lleva consigo la utilización de una
base de datos.

Considerando estos riesgos, se podría definir por ejemplo el siguiente:

4.1. Objetivo de Control:

El sistema de seguridad de base de datos deberá preservar la
confidencialidad de la base de datos.
 Una vez establecidos los objetivos de control, se especifican las técnicas
específicas correspondientes a dichos objetivos:

4.2. Técnica de Control:

Se deberán establecer los tipos de usuarios, perfiles y privilegios
necesarios para:

 Incremento de la dependencia del servicio informático debido a la

concentración de datos.
 Mayores posibilidades de acceso en la figura del administrador de la
base de datos.
 Incompatibilidades entre sistemas de seguridad de acceso propios del
sistema de seguridad de la base de datos y el general de la instalación.
 Mayor impacto de los errores en datos o programas que en los
sistemas tradicionales.
 Ruptura de enlaces o cadenas por fallos del software o de los
programas de aplicación.
 Mayor impacto de accesos no autorizados al diccionario de la base de
datos que a un fichero tradicional.
 Mayor dependencia del nivel de conocimientos técnicos del personal
que realice tareas relacionadas con el software de base de datos.

Un objetivo de control puede llevar asociadas varias técnicas que permiten

cubrirlo en su totalidad. Estas técnicas pueden ser preventivas, detectivas o
correctivas. En caso de que los controles existan, se diseñan pruebas que
permiten verificar la consistencia de los mismos denominadas pruebas de
cumplimiento.

4.3. Prueba de cumplimiento:

Si estas pruebas detectan inconsistencias en los controles, o bien, si los
controles no existen, se pasa a diseñar otro tipo de pruebas denominadas
pruebas sustantivas que permiten dimensionar el impacto de estas
deficiencias.
 4.4. Prueba sustantiva:
Comprueba si la información ha sido corrompida comparándola con otra
fuente, o revisando, los documentos de entrada de datos y las transacciones
que se han ejecutado. Una vez valorados los resultados de las pruebas se
obtienen conclusiones que serán comentadas y discutidas por los
responsables de las áreas afectadas con el fin de corroborar resultados. Por
último, el auditor deberá emitir una serie de comentarios donde describa la
situación, el riesgo existente y la deficiencia a solucionar y sugerirá una
posible solución, el resultado de la auditoría es presentar un informe final
donde se expongan las conclusiones más importantes así como el alcance
que ha tenido la auditoría.

Esta será la técnica a utilizar para auditar el entorno general de un sistema

de base de datos, tanto en su desarrollo como durante la utilización del
mismo.

5. Objetivos de Control en el Ciclo de Vida de una Base de Datos

A continuación expondremos algunos objetivos y técnicas de control a tener en
cuenta a lo largo del ciclo de vida de una base de datos que abarca desde el
estudio previo has su explotación

5.1. Estudio previo y plan de trabajo

En esta fase es importante elaborar un estudio tecnológico de viabilidad en
el cual se contemplen distintas alternativas para alcanzar los objetivos del
proyecto y un análisis coste-beneficio, se debe de considerar la posibilidad
de no llevar a cabo el proyecto (no siempre se implementa un sistema de
bases de datos)

En la actualidad en bastantes empresas este tipo de análisis no se lleva a

cabo con el rigor necesario, con lo que a medida que se van desarrollando,
los sistemas demuestran, a veces, ser poco rentables.

El auditor debe comprobar también que la alta dirección revisa los

informes de los estudios del funcionamiento del sistema y que es la que
decide seguir adelante o no con el proyecto. Esto es fundamental porque
los técnicos han de tener en cuenta que si no existe decisión de la
organización, aumenta el riesgo de fracasar en la implantación del sistema.

En el caso que se decida llevar a cabo el proyecto es fundamental que se

establezca un plan, debiendo el auditor verificar que efectivamente dicho
plan se emplea para el seguimiento y gestión del proyecto y que cumple
con los procedimientos generales de gestión de proyectos que tenga
aprobados la organización.

Otro aspecto importante en esta fase es la aprobación de la estructura

orgánica no solo del proyecto en particular, sino también de la unidad que
tendrá la responsabilidad de la gestión y control de la base de datos, para
que un entorno de base de datos funcione debidamente, esta unidad es
imprescindible.

Se pueden establecer acerca de este tema dos objetivos de control:

 Asignarse responsabilidades para la planificación, organización,

administración de plantillas y control de los activos de datos de la
organización.
 Asignarse responsabilidad de la administración del entorno de la base
de datos.

Al momento de detallar las responsabilidades de estas funciones hay que

tener en cuenta uno de los principios fundamentales del control interno: la
separación de funciones. Se recomienda una separación de funciones entre:

 El personal de desarrollo de sistemas y el de explotación

 Explotación y control de datos
 Administración de bases de datos y desarrollo

También debe de existir una separación de funciones entre el

administrador de la seguridad y el administrador de la base de datos. No
quiere decir que deben de ser desempeñadas por personas distintas, pero sí
que es un aspecto importante de control a considerar, en caso que no se
pueda separar debe deberán establecerse controles alternativos, como por
 ejemplo una mayor atención de la dirección y la comprobación por parte
de algún usuario del contenido y de las salidas más importantes producidas
a partir de la base de datos.

La situación que el auditor encuentra normalmente en las empresas es que

al no existir una descripción detallada de los puestos de trabajo, la
separación de funciones es muy difícil de verificar.

5.2. Concepción de la base de Datos y selección del equipo

En esta parte se inicia con el diseño de la base de datos, con lo que se
aplica las técnicas y modelos propios de la metodología del desarrollo de
sistemas para la empresa.

El diseño debe incluir los documentos fuentes, mecanismos de control,

características de seguridad así como las pistas de auditoria necesarias en
el sistema con el objeto de evitar costos mayores, al incluirse luego de la
implementación del sistema.

El auditor debe analizar la metodología de diseño con el fin de estimar si

es objetiva o no, para luego comprobar su correcto uso. Para esto una
metodología debe contemplar tres fases de diseño: lógico, físico, de diseño
conceptual.

5.3 Diseño y carga

En esta fase se llevaran a cabo los diseños lógico y físico de la base de
datos, por lo que se determina si estas se llevaron a cabo correctamente,
determinando si la definición de los datos contempla además su estructura
las asociaciones y restricciones oportunas así como las especificaciones del
almacenamiento de datos y seguridad.

Una vez diseñada la base de datos, se procede a la carga ya sea de un

dispositivo magnético o ingresándolos manualmente. Este procedimiento
debe estar muy bien planificado, para evitar perdida de datos o transmitir
datos erróneos a la nueva base.

Por lo que respecta a la entrada manual de datos, hay que establecer un

conjunto de controles que aseguren la integridad de los mismos. Se debe
 asegurar que los datos se autorizan, recopilan, preparan, transmiten y
comprueban de una forma apropiada.

Los documentos fuentes deben diseñarse de tal forma que minimicen los
errores y omisiones, y que el tratamiento de estas situaciones no disminuya
los controles, y que se traten de concentrar lo más apegado al origen de los
datos.

5.4. Explotación y mantenimiento

Una vez realizado las pruebas de aceptación, con la participación de los
usuarios, el sistema se pondrá (mediante las siguientes autorizaciones y
siguiendo los procedimientos establecidos para ello) en explotación.

En esta fase, debe comprobar que se establecen lo procedimientos de

explotación y mantenimiento que aseguren que los datos se tratan de forma
congruente y exacta y que el contenido de los sistemas solo se modifica
mediante autorización adecuada.

En los nuevos COBIT se dedica un apartado completo a detallar los

objetivos de control para la gestión de datos, clasificarlos en un conjunto
de apartados.

 Procedimientos de preparación de datos.

 Procedimientos de autorización de documentos fuente recogida de
datos y de documentos fuente.
 Manejo de errores y de documentos fuente.
 Retención de documentos fuente.
 Procedimientos de autorización de datos.
 Verificación de exactitud.
 Manejo de errores de entrada de datos.
 Integridad de procesamientos de datos.
 Edición y validación de procesamiento de datos.
 Manejo de errores de procesamiento de datos.
 Retención y manejo de salidas.
 Distribución de salidas.
  Reconciliación y balanceo de salidas.
 Manejo de errores y revisión de salidas.
 Medidas de seguridad para informes de salida.
 Protección de información sensible.
 Protección de información sensible y dispuesta.
 Gestión de almacenamiento.
 Periodos de retención y términos de almacenamiento.
 Sistema de gestión de bibliotecas de medios.
 Copias de respaldo y recuperación.
 Trabajos de copias de respaldo.
 Almacenamiento de respaldos.

6. Revisión Post-Implantación
Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo se
deberá, establecer el desarrollo de un plan para efectuar una revisión pos-
implantación de todo sistema nuevo, o modificado con el fin de evaluar si: Se
han encontrado los resultados esperados. Se satisfacen las necesidades de los
usuarios

6.1. Otros Procesos Auxiliares

A lo largo de todo el ciclo de vida de la base de datos se deberá controlar
la formación que precisan tanto usuarios informativos, como no
informáticos ya que la formación es una de las claves para minimizar el
riesgo en la implementación de una base de datos.

Esta formación no se puede basar simplemente en cursos sobre el producto

que se está instalando, sino que suele ser precisa una formación de base
que resulte imprescindible cuando; se pasa de trabajar en un entorno de
archivos orientado al proceso a un entorno de base de datos, por lo que
supone “cambio filosófico” lo mismo puede decirse si se camba de tipo de
SGBD.

Hay que tener en cuenta que usuarios poco formados constituyen uno de
los peligros más importantes de un sistema. Esta formación no debería
 limitarse al área de las bases de datos, sino que tendría que ser
complementada con formación relativa a los conceptos de control y
seguridad.

El auditor tendrá que revisar la documentación que se produce a lo largo

de todo proceso, para verificar si es suficiente y si se ajusta a los
estándares establecidos por la metodología adoptada en la empresa.

A este respecto resulta muy importante que se haya llevado acabo un

aseguramiento de calidad, lo ideal sería que en la propia empresa
existiera un grupo de calidad que se encargara entre otras cosas de
asegurar la calidad para una base de datos.

6.2. Auditoría y Control Interno en un entorno de base de datos

Cuando el Auditor se encuentra el sistema en explotación, deberá estudiar
el SGBD y su entorno. El gran problema de la base de datos es que su
entorno cada vez es más complejo y no puede limitarse solo al propio
SGBD

6.2.1. Sistema de Base de Datos (SGBD)

Un Sistema de Gestión de Bases de Datos (SGBD1) consiste en una
colección de datos interrelacionados y un conjunto de programas para
acceder a los mismos. Esta definición es prácticamente idéntica a la de los
Sistema de Información, de hecho normalmente en el núcleo de un SI se
sitúa un SGBD. En principio se utilizaron para almacenar los atributos
temáticos asociados a un conjunto de entidades espaciales almacenadas en
formato vectorial, hoy en día se están empezando a utilizar además para el
almacenamiento de la información geométrica (conjunto de coordenadas)
de las entidades espaciales. Aunque se han hecho algunos intentos para
almacenar información en formato rastré en un SGBD, esta opción no
resulta eficiente.

Con respecto a las funciones de la auditoria que ofrece el propio sistema,

principalmente todos los productos del mercado permiten registrar ciertas
operaciones que se realizaron sobre la base de datos de algunos archivos,
 el SGBD señala un requisito para la auditoria es que la causa y el efecto de
todos los cambios de la base de datos se puedan verificar.

6.2.2 Software de Auditoria

El Software de Auditoría, es el procedimiento a seguir, para el examen a
de los archivos de la forma más fácil y confiable, mismo que es planeado y
elaborado con anticipación y debe ser de contenido flexible, sencillo y
conciso, de tal manera que los procedimientos empleados en cada
Auditoría estén de acuerdo con las circunstancias del examen.

El software de Auditoría, significa la tarea preliminar trazada por el

Auditor y que se caracteriza por la previsión de los trabajos que deben ser
efectuados en cada servicio profesional que presta, a fin de que este
cumpla integralmente sus finalidades dentro de la Normas científicas de la
Contabilidad y las Normas y Técnicas de la Auditoría.

6.2.3 Sistema de Monitorización y Ajuste (tuning)

Este tipo de sistema complementan las facilidades ofrecidas por el propio
SGBD, que ofrece mayor información para optimizar el sistema, que llega
a ser en determinadas ocasiones verdaderos sistemas expertos que
proporcionan la estructura óptima de la base de datos y de ciertos
parámetros del SGBD y del SO.

La optimización de la base de datos, es fundamental, puesto que se actúa

en un entorno concurrente puede degradarse fácilmente el nivel de servicio
que haya podido establecerse con los usuarios.

6.2.4. Sistema Operativo

El SO es una pieza clave del entorno, puesto que el SGBD se apoyará en
mayor o menor medida (según se trate de un SGBD dependiente o
independiente) en los servicios que le ofrezca. El auditor informático tiene
serias dificultades para controlar de manera rigurosa la interfaz entre el
SGBD y el SO, debido a que, en parte, constituye información reservada
de los fabricantes de los productos, además de requerir unos
 conocimientos excepcionales que entran en el campo de la técnica de
sistemas,

6.2.5. Monitor de Transacciones

Algunos autores lo incluyen dentro del propio SGBD, pero actualmente,
puede considerarse un elemento más del entorno con responsabilidades de
confidencialidad y rendimiento de información.

6.2.6. Protocolos y sistemas Distribuidos

Siguiendo la tendencia actual la base de datos a través de las redes se torna
más accesible por lo que el riesgo de perder la confidencialidad es más
frecuente, así como las bases de datos distribuidas pueden presentar
graves riesgos de seguridad.

Se establece cinco objetivos de control a la hora de revisar la distribución

de datos:

1. El Sistema de proceso distribuido debe tener una función de

administración de datos centralizada que establezca estándares
generales para la distribución de datos a través de las aplicaciones.
2. Deben establecerse unas funciones de administración de datos y de
base de datos fuertes, para que puedan controlar la distribución de los
datos.
3. Deben de existir pistas de auditoría para todas las actividades
realizadas por las aplicaciones contra sus propias bases de datos y
otras compartidas.
4. Deben existir controles software para prevenir interferencias de
actualización sobre las bases de datos en sistemas distribuidos.
5. Deben realizarse las consideraciones adecuadas de costes y beneficios
en el diseño de entornos distribuidos.

Respecto a este último punto, es importante destacar como, por ejemplo,

muy pocas empresas han considerado rentables implementar base de datos
“realmente” distribuidas; siendo bastante más económico y usual
 actualizar bases de datos distribuidas mediante transferencia de archivos y
procesos por lotes que hacerlo en línea.

6.2.7 Paquete de Seguridad

La información almacenada en una base de datos puede llegar a tener un
gran valor. Los SGBD deben garantizar que esta información se encuentra
segura de permisos a usuarios y grupos de usuarios, que permiten otorgar
diversas categorías de permisos.

Existen en el mercado varios productos que permiten la implantación

efectiva de una política de seguridad, puesto que centralizan el control de
accesos la definición de privilegios, perfiles de usuario, etc. Un grave
inconveniente de este tipo de software es que a veces no se encuentra bien
integrado con el SGBD pudiendo resultar poco útil su implantación si los
usuarios pueden “saltarse” los controles a través del propio SGBD.

6.2.8. Diccionario de Datos

Este tipo de sistemas, empezaron a implantarse en los años 70, también
juegan un papel primordial en el entorno de los SGBD en cuanto a la
investigación de los componentes y al cumplimiento de la seguridad de los
datos.

Los propios diccionarios se pueden auditar de forma análoga a las bases de

datos, las diferencias de unos a otros, residen principalmente en que un
fallo en una base de datos puede atentar contra la integridad de los datos y
producir un mayor riesgo financiero, mientras que un fallo en un
diccionario.

6.2.9. Herramientas Case (Computer Aided Sistem/Sofware Engineering).

IPESE (Integrated Project Support Envinments)
Desde la década pasada venimos asistiendo a una gran difusión de este tipo
de herramientas como soporte al diseño y concepción de los sistemas de
información. Suelen llevar incorporado un diccionario de datos
enciclopedia o repositorios más amplios que los mencionados
anteriormente en los que se almacenan además sobre la información de los
datos, programas, usuarios, etc. Los diagramas matrices y grafos ayudan al
 diseño. Construyen una herramienta clave para que el auditor pueda
revisar el diseño de la base de datos y comprobar si se ha empleado
correctamente la metodología y asegurar un nivel mínimo de calidad.

6.2.10. Lenguaje de Cuarta Generación (L4G) Independientes

Además de las herramientas que ofrezca el propio SGBD, el auditor se
puede encontrar con una amplia gama de generadores de aplicaciones, de
formas de informes, etc. Que actúan sobre la base de datos y que por tanto,
también son un elemento importante a considerar en el entorno de SGBD.

El L4G debe ser capaz de operar en el entorno de proceso de datos con

controles adecuados. El auditor deberá estudiar los controles disponibles
en los L4G utilizados en la empresa, analizando con atención si permiten
construir procedimientos de control y auditoria dentro de las aplicaciones y
en caso negativo, recomendar su construcción utilizando lenguajes de
tercera generación.

6.2.11. Facilidades de usuario

Con la aparición de interfaces gráficas fáciles de usar (con menús, ratón,
ventanas, etc.) se ha desarrollado toda una serie de herramientas que
permiten al usuario final acceder a los datos sin tener que conocer la
sintaxis de los lenguajes del SGBD.

La documentación de las aplicaciones desarrolladas por usuarios finales

debe ser suficiente para que tanto sus usuarios principales como cualquier
otro puedan operar y mantenerlas. Los cambios de estas aplicaciones
requieren la aprobación de la dirección y deben documentarse de forma
completa.

El auditor debe prestar atención a los procedimientos de carga y descarga

de datos de la base los paquetes ofimáticos, comprobando, por ejemplo, si
se puede actualizar la base de datos desde cualquiera de éstos o si la
descarga se realiza con datos correctamente actualizados.
 6.2.12. Herramientas de “minería de datos”
En los últimos años ha explosionado el fenómeno de los almacenes de
datos datawarehouses y las herramientas para la explotación o “minería”
de datos (datamining). Estas herramientas ofrecen soporte a la toma de
decisiones sobre datos de calidad integrados en el almacén de datos. La
auditoría de los EIS/DSS, cuyos principios se pueden aplicar a las
herramientas de “minería” debiéndose controlar la política de refresco y
carga de los datos en el almacén a partir de las bases de datos
operacionales existentes, así como la existencia de mecanismos de
retroalimentación (feedback) que modifican las bases de datos
operacionales a partir de los datos del almacén:

6.2.13. Aplicaciones
El auditor deberá controlar que las aplicaciones no atentan contra la
integridad de los datos de la base.

7. Técnicas Para El Control De Base De Datos En Un Entorno Complejo Razón

de Ser de las Técnicas
Existen varios elementos del entorno del SGBD que afectan en la base de
datos, por lo que hacen que el sistema no sea fiable, por lo que el Auditor debe
tomar medidas de prevención, detección y correctivos para que toda la
información sea muy fiable y segura, pero debe tomar en cuenta que por
ningún motivo estas técnicas afecten la base de datos.

Entre otras técnicas, podemos mencionar la siguiente:

7.1. Matrices De Control

Sirve para identificar los conjuntos de datos del SI junto con los controles
de seguridad o integridad implementados sobre los mismos. Como
referíamos anteriormente esta técnica, antes de implementarse debe ser
estudiada y analizada por el auditor para que no afecte la base de datos del
sistema. Los pasos a seguir son:

1. Preventivos: Como su misma palabra lo dice, debe prevenir el mal uso

del sistema o la carga de archivos dañados a la base de datos.
2. Detectivos: Crear informes de manera tal que se verifique algún daño
ya hecho en la base de datos para poder corregirlo.
3. Correctivos: La copia de seguridad, una de las cosas más importantes
de esta técnica, debido a que cualquier problema que exista con la
base de datos se pueda arreglar al momento en el que se encontraba
bien.
9. Bibliografía
Mario G. Piattini – Emilio Edición, M. G.–E. (27 de Diciembre de 2000).
https://books.google.com.bo/books/about/Auditor%C3%ADa_Inform
%C3%A1tica_Un_enfoque_pr%C3%A1c.html?id=0agPPQAACAAJ&redir_esc=y.