Metodología para la realización de una auditoría a la seguridad de las bases de datos

Abstract

La seguridad de la información se constituye en una actividad crítica dentro de la protección de activos empresariales. Es un componente de la disciplina informática que procura garantizar la confidencialidad, integridad y disponibilidad de la información, que es procesada y almacenada en el ejercicio de las operaciones. La auditoría de la seguridad de las bases de datos es aquella que tiene por objeto examinar y dictaminar las propiedades que garantizan el cumplimiento de la política de seguridad en materia de bases de datos, independientemente del lenguaje en el cual se encuentre desarrollada.

Este proyecto procura ser un aporte para los auditores de tecnología de información o para los auditores generales, que tienen dentro de sus programas de auditoría la elaboración de estudios de seguridad de bases de datos. Por tanto, se presenta una metodología que cubre los componentes generales de la auditoría, a saber: • Planificación Preliminar • Planificación Detallada • Ejecución del Programa de Auditoría • Elaboración del Informe • Seguimiento

Interesa guiar al auditor paso a paso, así como aportar herramientas generales que sean aplicables a cualquier empresa, pública o privada. Se plantean formatos básicos para el levantamiento de evidencia y un programa detallado para satisfacer los requerimientos de confidencialidad, integridad y disponibilidad, basados en la norma ISO 27002. Este documento está estructurado en cuatro apartados en los que se introduce el tema, se diagnostica la situación, se plantea la metodología y se extraen conclusiones con respecto al cumplimiento de los objetivos del estudio.