UNIVERSIDAD AUTONOMA “JUAN MISAEL SARACHO” FACULTAD DE CIENCIAS INTEGRADAS DEL GRAN CHACO CARRERA DE INGENIERIA INFORMATICA Trabajo de Investigación AUDITORIA DE BASE DE DATOS Materia: Auditoria Informática Sigla: INF-521 Docente: Lic. Castillo Tapia Jhenny Rosmery Integrantes: José Arturo Martínez Luis Eduardo Velásquez Puita Humberto Yeyson Velásquez Puita Elvis Brandon Zenteno Martínez Yacuiba 11/08/2021 Tarija - Bolivia Índice 1. Introducción ................................................................................................................ 4 1.1. Auditoria de las Base de Datos ........................................................................... 5 1.1.1. Base de Datos o Banco de Datos ...................................................................... 5 2. Sistema de Gestión de Bases de Datos........................................................................... 5 3. Método Tradicional ........................................................................................................ 6 4. Metodología de Evaluación de Riesgos ......................................................................... 6 4.1. Objetivo de Control: ................................................................................................ 6 4.2. Técnica de Control: .................................................................................................. 7 4.3. Prueba de cumplimiento: ......................................................................................... 7 4.4. Prueba sustantiva: .................................................................................................... 7 5. Objetivos de Control en el Ciclo de Vida de una Base de Datos .................................... 8 5.1. Estudio previo y plan de trabajo .............................................................................. 8 5.2. Concepción de la base de Datos y selección del equipo ........................................ 10 5.3 Diseño y carga........................................................................................................ 10 5.4. Explotación y mantenimiento ................................................................................ 11 6. Revisión Post-Implantación ......................................................................................... 12 6.1. Otros Procesos Auxiliares ...................................................................................... 12 6.2. Auditoría y Control Interno en un entorno de base de datos................................. 13 6.2.1. Sistema de Base de Datos (SGBD) ................................................................. 13 6.2.2 Software de Auditoria ..................................................................................... 14 6.2.3 Sistema de Monitorización y Ajuste (tuning) ................................................. 14 6.2.4. Sistema Operativo ........................................................................................... 14 6.2.5. Monitor de Transacciones ............................................................................... 15 6.2.6. Protocolos y sistemas Distribuidos ................................................................. 15 6.2.7 Paquete de Seguridad ....................................................................................... 16 6.2.8. Diccionario de Datos....................................................................................... 16 6.2.9. Herramientas Case (Computer Aided Sistem/Sofware Engineering). IPESE (Integrated Project Support Envinments) .................................................................. 16 6.2.10. Lenguaje de Cuarta Generación (L4G) Independientes ................................ 17 6.2.11. Facilidades de usuario ................................................................................... 17 6.2.12. Herramientas de “minería de datos” ............................................................. 17 6.2.13. Aplicaciones .................................................................................................. 18 7. Técnicas Para El Control De Base De Datos En Un Entorno Complejo Razón de Ser de las Técnicas ....................................................................................................................... 18 7.1. Matrices De Control ............................................................................................... 18 9. Bibliografía ................................................................................................................... 20 1. Introducción Siempre que hablamos de Tecnologías de la Información, tenemos que tener presente que lo realmente importante para una organización es su información. Por la información es que la inversión en Tecnologías tiene sentido. Por eso, la Auditoría de las Bases de datos es importante, porque son estos repositorios en los que la información de la organización es almacenada. La evolución de las Tecnologías de la Información en el área de Bases de Datos ha evolucionado de depósitos con limitadas o vulnerables características de seguridad e integridad a componentes que proveen altas características para garantizar que los datos de una organización son utilizados para los fines autorizados y válidos, que son accedidos solo por el personal debidamente autorizado y con las medidas de seguridad necesarias para evitar los ataques externos que cada vez son más frecuentes. Establecido este escenario, parecería que nuestros datos están seguros si tenemos la Tecnología de Bases de Datos de última generación y no tenemos nada de qué preocuparnos. Premisa falsa. La práctica nos enseña que siempre existen varios factores que deben de verificarse cuando se trata de bases de datos. La verificación independiente de un Auditor de Sistemas ayuda a la Alta Gerencia a garantizar que la Tecnología de Bases de Datos está siendo usada de la mejor forma posible y que no se han cometido acciones u omisiones que ponen en riesgo la integridad y seguridad de nuestros datos. La Auditoría de Sistemas en este contexto, pasa a realizar una evaluación del cumplimiento de los estándares establecidos por el fabricante de la tecnología utilizada, el diseño de la base de datos, la verificación del registro correcto de los datos y el seguimiento a los procedimientos de Administración de Bases de Datos. Si estos elementos no son ejecutados de una manera profesional, aunque se haya realizado la inversión en la mejor Tecnología de Bases de Datos, siempre se tendrán riesgos sobre los datos de la organización. La realización de este examen, en el caso de una base de datos, debe realizarse de forma periódica, para lograr el objetivo de que no se detecten desviaciones en los parámetros normales de operación demasiado tarde. Dependiendo de la importancia de los datos para la organización, la evaluación debe de realizarse mensual, trimestral o semestralmente. Muchas veces pasa que nuevas vulnerabilidades son descubiertas y publicadas por los fabricantes de tecnologías y los responsables de la Gestión de TI no realizan los ajustes necesarios para mantener los datos seguros. A veces pequeños cambios temporales en la asignación de privilegios no se revierten oportunamente. A veces cambios en las aplicaciones modifican las condiciones de integridad de los datos. Solo la revisión periódica permite detectar y corregir estas situaciones que si se acumulan sobre el tiempo, podrían impactar de manera negativa en la calidad de los datos, en detrimento del soporte que las Tecnologías de la Información proporcionan al negocio. 1.1. Auditoria de las Base de Datos La gran difusión de Sistemas de Gestión de Base de Datos (SGBD) Junto con la consagración de los Datos como uno de los recursos Fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoria cobren cada día mayor interés. Para definir los aspectos más importantes de la auditoria de Base de Datos es importante establecer los dos conceptos siguientes 1.1.1. Base de Datos o Banco de Datos Es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso. En este sentido, una biblioteca puede considerarse una base de datos compuesta en su mayoría por documentos y textos impresos en papel. Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital (electrónico), y por ende se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos. 2. Sistema de Gestión de Bases de Datos Es un tipo de Programa que permiten almacenar y posteriormente acceder a los datos de forma rápida y estructurada. Las propiedades de estos SGBD, así como su utilización y administración, se estudian dentro del ámbito de la informática. Las aplicaciones más usuales son para la gestión de empresas e instituciones públicas. También son ampliamente utilizadas en entornos científicos con el objeto de almacenar la información experimental, existiendo los siguientes métodos: 3. Método Tradicional En este tipo de Control el Auditor revisa su entorno con la ayuda de un checklist o lista de control, que consta de una serie de cuestionamientos a verificar. Cuando el auditor realiza su proceso de investigación debe de registrar el resultado mediante la utilización de letras: S si el resultado es afirmativo N si el resultado es negativo NA no aplicable Evaluará aspectos generales como: Parámetros de instalación Riesgos más importantes 4. Metodología de Evaluación de Riesgos Este tipo de metodología es la que propone ISACA (Sistemas de Información Asociación de Auditoría y Control), y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. Se señalan los riesgos más importantes que lleva consigo la utilización de una base de datos. Considerando estos riesgos, se podría definir por ejemplo el siguiente: 4.1. Objetivo de Control: El sistema de seguridad de base de datos deberá preservar la confidencialidad de la base de datos. Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos: 4.2. Técnica de Control: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para: Incremento de la dependencia del servicio informático debido a la concentración de datos. Mayores posibilidades de acceso en la figura del administrador de la base de datos. Incompatibilidades entre sistemas de seguridad de acceso propios del sistema de seguridad de la base de datos y el general de la instalación. Mayor impacto de los errores en datos o programas que en los sistemas tradicionales. Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación. Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional. Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas con el software de base de datos. Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en su totalidad. Estas técnicas pueden ser preventivas, detectivas o correctivas. En caso de que los controles existan, se diseñan pruebas que permiten verificar la consistencia de los mismos denominadas pruebas de cumplimiento. 4.3. Prueba de cumplimiento: Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a diseñar otro tipo de pruebas denominadas pruebas sustantivas que permiten dimensionar el impacto de estas deficiencias. 4.4. Prueba sustantiva: Comprueba si la información ha sido corrompida comparándola con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado. Una vez valorados los resultados de las pruebas se obtienen conclusiones que serán comentadas y discutidas por los responsables de las áreas afectadas con el fin de corroborar resultados. Por último, el auditor deberá emitir una serie de comentarios donde describa la situación, el riesgo existente y la deficiencia a solucionar y sugerirá una posible solución, el resultado de la auditoría es presentar un informe final donde se expongan las conclusiones más importantes así como el alcance que ha tenido la auditoría. Esta será la técnica a utilizar para auditar el entorno general de un sistema de base de datos, tanto en su desarrollo como durante la utilización del mismo. 5. Objetivos de Control en el Ciclo de Vida de una Base de Datos A continuación expondremos algunos objetivos y técnicas de control a tener en cuenta a lo largo del ciclo de vida de una base de datos que abarca desde el estudio previo has su explotación 5.1. Estudio previo y plan de trabajo En esta fase es importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto y un análisis coste-beneficio, se debe de considerar la posibilidad de no llevar a cabo el proyecto (no siempre se implementa un sistema de bases de datos) En la actualidad en bastantes empresas este tipo de análisis no se lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando, los sistemas demuestran, a veces, ser poco rentables. El auditor debe comprobar también que la alta dirección revisa los informes de los estudios del funcionamiento del sistema y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los técnicos han de tener en cuenta que si no existe decisión de la organización, aumenta el riesgo de fracasar en la implantación del sistema. En el caso que se decida llevar a cabo el proyecto es fundamental que se establezca un plan, debiendo el auditor verificar que efectivamente dicho plan se emplea para el seguimiento y gestión del proyecto y que cumple con los procedimientos generales de gestión de proyectos que tenga aprobados la organización. Otro aspecto importante en esta fase es la aprobación de la estructura orgánica no solo del proyecto en particular, sino también de la unidad que tendrá la responsabilidad de la gestión y control de la base de datos, para que un entorno de base de datos funcione debidamente, esta unidad es imprescindible. Se pueden establecer acerca de este tema dos objetivos de control: Asignarse responsabilidades para la planificación, organización, administración de plantillas y control de los activos de datos de la organización. Asignarse responsabilidad de la administración del entorno de la base de datos. Al momento de detallar las responsabilidades de estas funciones hay que tener en cuenta uno de los principios fundamentales del control interno: la separación de funciones. Se recomienda una separación de funciones entre: El personal de desarrollo de sistemas y el de explotación Explotación y control de datos Administración de bases de datos y desarrollo También debe de existir una separación de funciones entre el administrador de la seguridad y el administrador de la base de datos. No quiere decir que deben de ser desempeñadas por personas distintas, pero sí que es un aspecto importante de control a considerar, en caso que no se pueda separar debe deberán establecerse controles alternativos, como por ejemplo una mayor atención de la dirección y la comprobación por parte de algún usuario del contenido y de las salidas más importantes producidas a partir de la base de datos. La situación que el auditor encuentra normalmente en las empresas es que al no existir una descripción detallada de los puestos de trabajo, la separación de funciones es muy difícil de verificar. 5.2. Concepción de la base de Datos y selección del equipo En esta parte se inicia con el diseño de la base de datos, con lo que se aplica las técnicas y modelos propios de la metodología del desarrollo de sistemas para la empresa. El diseño debe incluir los documentos fuentes, mecanismos de control, características de seguridad así como las pistas de auditoria necesarias en el sistema con el objeto de evitar costos mayores, al incluirse luego de la implementación del sistema. El auditor debe analizar la metodología de diseño con el fin de estimar si es objetiva o no, para luego comprobar su correcto uso. Para esto una metodología debe contemplar tres fases de diseño: lógico, físico, de diseño conceptual. 5.3 Diseño y carga En esta fase se llevaran a cabo los diseños lógico y físico de la base de datos, por lo que se determina si estas se llevaron a cabo correctamente, determinando si la definición de los datos contempla además su estructura las asociaciones y restricciones oportunas así como las especificaciones del almacenamiento de datos y seguridad. Una vez diseñada la base de datos, se procede a la carga ya sea de un dispositivo magnético o ingresándolos manualmente. Este procedimiento debe estar muy bien planificado, para evitar perdida de datos o transmitir datos erróneos a la nueva base. Por lo que respecta a la entrada manual de datos, hay que establecer un conjunto de controles que aseguren la integridad de los mismos. Se debe asegurar que los datos se autorizan, recopilan, preparan, transmiten y comprueban de una forma apropiada. Los documentos fuentes deben diseñarse de tal forma que minimicen los errores y omisiones, y que el tratamiento de estas situaciones no disminuya los controles, y que se traten de concentrar lo más apegado al origen de los datos. 5.4. Explotación y mantenimiento Una vez realizado las pruebas de aceptación, con la participación de los usuarios, el sistema se pondrá (mediante las siguientes autorizaciones y siguiendo los procedimientos establecidos para ello) en explotación. En esta fase, debe comprobar que se establecen lo procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas solo se modifica mediante autorización adecuada. En los nuevos COBIT se dedica un apartado completo a detallar los objetivos de control para la gestión de datos, clasificarlos en un conjunto de apartados. Procedimientos de preparación de datos. Procedimientos de autorización de documentos fuente recogida de datos y de documentos fuente. Manejo de errores y de documentos fuente. Retención de documentos fuente. Procedimientos de autorización de datos. Verificación de exactitud. Manejo de errores de entrada de datos. Integridad de procesamientos de datos. Edición y validación de procesamiento de datos. Manejo de errores de procesamiento de datos. Retención y manejo de salidas. Distribución de salidas. Reconciliación y balanceo de salidas. Manejo de errores y revisión de salidas. Medidas de seguridad para informes de salida. Protección de información sensible. Protección de información sensible y dispuesta. Gestión de almacenamiento. Periodos de retención y términos de almacenamiento. Sistema de gestión de bibliotecas de medios. Copias de respaldo y recuperación. Trabajos de copias de respaldo. Almacenamiento de respaldos. 6. Revisión Post-Implantación Aunque en bastantes organizaciones no se lleva a cabo, por falta de tiempo se deberá, establecer el desarrollo de un plan para efectuar una revisión posimplantación de todo sistema nuevo, o modificado con el fin de evaluar si: Se han encontrado los resultados esperados. Se satisfacen las necesidades de los usuarios 6.1. Otros Procesos Auxiliares A lo largo de todo el ciclo de vida de la base de datos se deberá controlar la formación que precisan tanto usuarios informativos, como no informáticos ya que la formación es una de las claves para minimizar el riesgo en la implementación de una base de datos. Esta formación no se puede basar simplemente en cursos sobre el producto que se está instalando, sino que suele ser precisa una formación de base que resulte imprescindible cuando; se pasa de trabajar en un entorno de archivos orientado al proceso a un entorno de base de datos, por lo que supone “cambio filosófico” lo mismo puede decirse si se camba de tipo de SGBD. Hay que tener en cuenta que usuarios poco formados constituyen uno de los peligros más importantes de un sistema. Esta formación no debería limitarse al área de las bases de datos, sino que tendría que ser complementada con formación relativa a los conceptos de control y seguridad. El auditor tendrá que revisar la documentación que se produce a lo largo de todo proceso, para verificar si es suficiente y si se ajusta a los estándares establecidos por la metodología adoptada en la empresa. A este respecto resulta muy importante que se haya llevado acabo un aseguramiento de calidad, lo ideal sería que en la propia empresa existiera un grupo de calidad que se encargara entre otras cosas de asegurar la calidad para una base de datos. 6.2. Auditoría y Control Interno en un entorno de base de datos Cuando el Auditor se encuentra el sistema en explotación, deberá estudiar el SGBD y su entorno. El gran problema de la base de datos es que su entorno cada vez es más complejo y no puede limitarse solo al propio SGBD 6.2.1. Sistema de Base de Datos (SGBD) Un Sistema de Gestión de Bases de Datos (SGBD1) consiste en una colección de datos interrelacionados y un conjunto de programas para acceder a los mismos. Esta definición es prácticamente idéntica a la de los Sistema de Información, de hecho normalmente en el núcleo de un SI se sitúa un SGBD. En principio se utilizaron para almacenar los atributos temáticos asociados a un conjunto de entidades espaciales almacenadas en formato vectorial, hoy en día se están empezando a utilizar además para el almacenamiento de la información geométrica (conjunto de coordenadas) de las entidades espaciales. Aunque se han hecho algunos intentos para almacenar información en formato rastré en un SGBD, esta opción no resulta eficiente. Con respecto a las funciones de la auditoria que ofrece el propio sistema, principalmente todos los productos del mercado permiten registrar ciertas operaciones que se realizaron sobre la base de datos de algunos archivos, el SGBD señala un requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos se puedan verificar. 6.2.2 Software de Auditoria El Software de Auditoría, es el procedimiento a seguir, para el examen a de los archivos de la forma más fácil y confiable, mismo que es planeado y elaborado con anticipación y debe ser de contenido flexible, sencillo y conciso, de tal manera que los procedimientos empleados en cada Auditoría estén de acuerdo con las circunstancias del examen. El software de Auditoría, significa la tarea preliminar trazada por el Auditor y que se caracteriza por la previsión de los trabajos que deben ser efectuados en cada servicio profesional que presta, a fin de que este cumpla integralmente sus finalidades dentro de la Normas científicas de la Contabilidad y las Normas y Técnicas de la Auditoría. 6.2.3 Sistema de Monitorización y Ajuste (tuning) Este tipo de sistema complementan las facilidades ofrecidas por el propio SGBD, que ofrece mayor información para optimizar el sistema, que llega a ser en determinadas ocasiones verdaderos sistemas expertos que proporcionan la estructura óptima de la base de datos y de ciertos parámetros del SGBD y del SO. La optimización de la base de datos, es fundamental, puesto que se actúa en un entorno concurrente puede degradarse fácilmente el nivel de servicio que haya podido establecerse con los usuarios. 6.2.4. Sistema Operativo El SO es una pieza clave del entorno, puesto que el SGBD se apoyará en mayor o menor medida (según se trate de un SGBD dependiente o independiente) en los servicios que le ofrezca. El auditor informático tiene serias dificultades para controlar de manera rigurosa la interfaz entre el SGBD y el SO, debido a que, en parte, constituye información reservada de los fabricantes de los productos, además de requerir unos conocimientos excepcionales que entran en el campo de la técnica de sistemas, 6.2.5. Monitor de Transacciones Algunos autores lo incluyen dentro del propio SGBD, pero actualmente, puede considerarse un elemento más del entorno con responsabilidades de confidencialidad y rendimiento de información. 6.2.6. Protocolos y sistemas Distribuidos Siguiendo la tendencia actual la base de datos a través de las redes se torna más accesible por lo que el riesgo de perder la confidencialidad es más frecuente, así como las bases de datos distribuidas pueden presentar graves riesgos de seguridad. Se establece cinco objetivos de control a la hora de revisar la distribución de datos: 1. El Sistema de proceso distribuido debe tener una función de administración de datos centralizada que establezca estándares generales para la distribución de datos a través de las aplicaciones. 2. Deben establecerse unas funciones de administración de datos y de base de datos fuertes, para que puedan controlar la distribución de los datos. 3. Deben de existir pistas de auditoría para todas las actividades realizadas por las aplicaciones contra sus propias bases de datos y otras compartidas. 4. Deben existir controles software para prevenir interferencias de actualización sobre las bases de datos en sistemas distribuidos. 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diseño de entornos distribuidos. Respecto a este último punto, es importante destacar como, por ejemplo, muy pocas empresas han considerado rentables implementar base de datos “realmente” distribuidas; siendo bastante más económico y usual actualizar bases de datos distribuidas mediante transferencia de archivos y procesos por lotes que hacerlo en línea. 6.2.7 Paquete de Seguridad La información almacenada en una base de datos puede llegar a tener un gran valor. Los SGBD deben garantizar que esta información se encuentra segura de permisos a usuarios y grupos de usuarios, que permiten otorgar diversas categorías de permisos. Existen en el mercado varios productos que permiten la implantación efectiva de una política de seguridad, puesto que centralizan el control de accesos la definición de privilegios, perfiles de usuario, etc. Un grave inconveniente de este tipo de software es que a veces no se encuentra bien integrado con el SGBD pudiendo resultar poco útil su implantación si los usuarios pueden “saltarse” los controles a través del propio SGBD. 6.2.8. Diccionario de Datos Este tipo de sistemas, empezaron a implantarse en los años 70, también juegan un papel primordial en el entorno de los SGBD en cuanto a la investigación de los componentes y al cumplimiento de la seguridad de los datos. Los propios diccionarios se pueden auditar de forma análoga a las bases de datos, las diferencias de unos a otros, residen principalmente en que un fallo en una base de datos puede atentar contra la integridad de los datos y producir un mayor riesgo financiero, mientras que un fallo en un diccionario. 6.2.9. Herramientas Case (Computer Aided Sistem/Sofware Engineering). IPESE (Integrated Project Support Envinments) Desde la década pasada venimos asistiendo a una gran difusión de este tipo de herramientas como soporte al diseño y concepción de los sistemas de información. Suelen llevar incorporado un diccionario de datos enciclopedia o repositorios más amplios que los mencionados anteriormente en los que se almacenan además sobre la información de los datos, programas, usuarios, etc. Los diagramas matrices y grafos ayudan al diseño. Construyen una herramienta clave para que el auditor pueda revisar el diseño de la base de datos y comprobar si se ha empleado correctamente la metodología y asegurar un nivel mínimo de calidad. 6.2.10. Lenguaje de Cuarta Generación (L4G) Independientes Además de las herramientas que ofrezca el propio SGBD, el auditor se puede encontrar con una amplia gama de generadores de aplicaciones, de formas de informes, etc. Que actúan sobre la base de datos y que por tanto, también son un elemento importante a considerar en el entorno de SGBD. El L4G debe ser capaz de operar en el entorno de proceso de datos con controles adecuados. El auditor deberá estudiar los controles disponibles en los L4G utilizados en la empresa, analizando con atención si permiten construir procedimientos de control y auditoria dentro de las aplicaciones y en caso negativo, recomendar su construcción utilizando lenguajes de tercera generación. 6.2.11. Facilidades de usuario Con la aparición de interfaces gráficas fáciles de usar (con menús, ratón, ventanas, etc.) se ha desarrollado toda una serie de herramientas que permiten al usuario final acceder a los datos sin tener que conocer la sintaxis de los lenguajes del SGBD. La documentación de las aplicaciones desarrolladas por usuarios finales debe ser suficiente para que tanto sus usuarios principales como cualquier otro puedan operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobación de la dirección y deben documentarse de forma completa. El auditor debe prestar atención a los procedimientos de carga y descarga de datos de la base los paquetes ofimáticos, comprobando, por ejemplo, si se puede actualizar la base de datos desde cualquiera de éstos o si la descarga se realiza con datos correctamente actualizados. 6.2.12. Herramientas de “minería de datos” En los últimos años ha explosionado el fenómeno de los almacenes de datos datawarehouses y las herramientas para la explotación o “minería” de datos (datamining). Estas herramientas ofrecen soporte a la toma de decisiones sobre datos de calidad integrados en el almacén de datos. La auditoría de los EIS/DSS, cuyos principios se pueden aplicar a las herramientas de “minería” debiéndose controlar la política de refresco y carga de los datos en el almacén a partir de las bases de datos operacionales existentes, así como la existencia de mecanismos de retroalimentación (feedback) que modifican las bases de datos operacionales a partir de los datos del almacén: 6.2.13. Aplicaciones El auditor deberá controlar que las aplicaciones no atentan contra la integridad de los datos de la base. 7. Técnicas Para El Control De Base De Datos En Un Entorno Complejo Razón de Ser de las Técnicas Existen varios elementos del entorno del SGBD que afectan en la base de datos, por lo que hacen que el sistema no sea fiable, por lo que el Auditor debe tomar medidas de prevención, detección y correctivos para que toda la información sea muy fiable y segura, pero debe tomar en cuenta que por ningún motivo estas técnicas afecten la base de datos. Entre otras técnicas, podemos mencionar la siguiente: 7.1. Matrices De Control Sirve para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos. Como referíamos anteriormente esta técnica, antes de implementarse debe ser estudiada y analizada por el auditor para que no afecte la base de datos del sistema. Los pasos a seguir son: 1. Preventivos: Como su misma palabra lo dice, debe prevenir el mal uso del sistema o la carga de archivos dañados a la base de datos. 2. Detectivos: Crear informes de manera tal que se verifique algún daño ya hecho en la base de datos para poder corregirlo. 3. Correctivos: La copia de seguridad, una de las cosas más importantes de esta técnica, debido a que cualquier problema que exista con la base de datos se pueda arreglar al momento en el que se encontraba bien. 9. Bibliografía Mario G. Piattini – Emilio Edición, M. G.–E. (27 de Diciembre de 2000). https://books.google.com.bo/books/about/Auditor%C3%ADa_Inform%C3%A1tic a_Un_enfoque_pr%C3%A1c.html?id=0agPPQAACAAJ&redir_esc=y.