LA SEGURIDAD DE LAS BASES DE DATOS EN LA AUDITORA DE SISTEMASUna base de datos es un conjunto de informacin til, confiable y organizada que al ser utilizadas en programas de computador se convierten en una herramienta fundamental para el manejo de procesos y toma de decisiones en una organizacin.La independencia de los datos permite que a travs del tiempo los programas que gestionan motores de bases de datos puedan ser flexibles e inmunes a las actualizaciones, cambios de hardware, entre otros cambios que se presenten, sin que ello afecte la modificacin de los programas o aplicaciones que funcionan de interfaz con el usuario.Las bases de datos permiten disminuir la redundancia de los datos y la integridad de los mismos lo que conlleva a que la auditoria de sistemas realice chequeos rutinarios de validacin, integracin, y privacidad de los datos dentro de una organizacin. De igual manera, se deben realizar Entonaciones o Tuning a las consultas ms frecuentes de los usuarios para que sean efectivas las bsquedas y recopilacin de la informacin. Las bases de datos deben estar en un motor de datos el cual debe tener la capacidad para la migracin de los datos. Los motores a su vez, deben tener una estructura definida que incluya Archivos de datos o Tablas, estas a su vez contienen campos. Los campos pueden ser numricos, alfanumricos, de fecha, de campo lgico, de campo memo, y se caracterizan por tener un nombre asignado, un tipo y una longitud especifica.Las bases de datos promueven ventajas como uso flexible, facilidad de cambios, economa, privacidad, consistencia e independencia de los datos, y la capacidad para manejar grandes volmenes de datos. La gran mayora de los datos sensibles del mundo estn almacenados en sistemas gestores de bases de datos comerciales tales como Oracle, Microsoft SQL Server entre otros, y atacar una bases de datos es uno de los objetivos favoritos para los criminales. Por lo tanto, la arquitectura y el lenguaje debe ser lo suficientemente slido para evitar fallas del sistema, y la auditoria del sistema deber tener como plataforma de seguimiento y control las Normas Generales para la Auditora de los Sistemas de Informacin.La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. Para esto se debe proceder a auditar los programas o aplicaciones que manejen base de datos en una organizacin teniendo como principio que en todas las cuestiones relacionadas con la auditora, el auditor de sistemas de informacin deber ser independiente de la organizacin auditada tanto en actitud como en apariencia. El informe de auditora deber enunciar el alcance, los objetivos, el perodo de cobertura y la naturaleza y amplitud del trabajo de auditora realizado. El informe deber identificar la organizacin, los destinatarios en cuestin y cualquier restriccin con respecto a su circulacin. El informe deber enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideracin que tuviera el auditor con respecto a la auditora[footnoteRef:1]. [1: NORMAS GENERALES PARA LA AUDITORA DE LOS SISTEMAS DE INFORMACIN. Asociacin de Auditora y Control de Sistemas de Informacin ISACA. Numeral 070.010 Informes. Pgina WEB: http://www.galeon.com/auditoriaycont/niads.pdf Consultada el 24 de Febrero de 2015.]

Para lograr una eficiente auditoria de sistemas el auditor deber tener en cuenta el Control Interno de la empresa u organizacin. Por lo tanto La evaluacin del Control Interno constituye un factor clave durante el examen de Auditora y por esta razn el Auditor debe conocer profundamente los objetivos que pretende el sistema, cules son sus elementos constituyentes y las formas de evaluarlo.[footnoteRef:2] [2: NAGAS parte II. Capitulo Siete Control Interno Pgina WEB: http://fccea.unicauca.edu.co/old/tgarf/tgarfch7.html#tgarfse80.html Consultada el 24 de Febrero de 2015. ]

Para ello deber Planificar y definir en los Papeles de Trabajo los distintos tipos de auditoria como son Auditora de seguridad interna, Auditora de seguridad perimetral, Test de intrusin, Anlisis forense, Auditora de pginas web, Auditora de cdigo de aplicaciones. En el proceso de auditoria podr realizar test tales como: Cumplimiento de licencias de software (identificar software pirata, control de licencias), Incompatibilidad del hardware y software, Errores frecuentes de la aplicacin, Bases de Datos con problemas de integridad, Bajo desempeo del hardware y software, Proyectos con retrasos o que nunca terminan, Insatisfaccin de los usuarios para con los sistemas de informacin, Correccin frecuente a los programas de las aplicaciones, Fallas en el control de versiones.Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001, lo demuestra el compromiso de la cpula directiva de la organizacin con la seguridad de la informacin. Por lo tanto podemos concluir que el proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora. Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin.Carlos Arturo Gutirrez HernndezAuditoria de Sistemas IICont. Etelberto Pallares Rambal