Auditoría de los sistemas administradores de base de datos

Abstract

Las bases de datos contienen información sensitiva y privada, por lo que deben ubicarse en un lugar seguro. Si esto no sucede, muchas actividades incorrectas podrían pasar, ya que personas no autorizadas podrían acceder de manera inapropiada la información, por algún método. Para evitar esto, se debe lograr mantener monitoreado el acceso y privacidad de los datos. Pero, esto es solamente parte de las actividades que involucra el proceso. La protección de la información no es una ocurrencia, sino una exigencia por regulaciones internacionales, como lo son el HIPAA, Sarbanes Oxley Act, Gram-Leanch-Bliley.

Algunas de estas organizaciones exigen grabar y monitorear el acceso a la información confidencial. Por ejemplo, una empresa de gran tamaño debe guardar las pistas de auditoría de los 365 días del año por varios años; por ello se puede deducir que se requiere gran capacidad de almacenamiento, pero, lo peor es que la información debe estar accesible y debe ser completa. Por tanto, se debe definir un mecanismo de respaldo adecuado que permita administrar el alto volumen de almacenamiento provocado por la alta frecuencia de acceso.

Otras organizaciones asientan sobre la organización: la responsabilidad y contabilidad de los datos. Por tal razón, las empresas deben establecer medidas de control que requieren evidencia de seguridad y control sobre el tiempo, establecer medidas de control que permitan monitorear amenazas, tanto internas como externas, de accesos sin autorización, todo bajo la filosofía de que la información sea completa sobre el acceso a la base de datos, entre esto las pistas de auditoría.