Auditoria de sistemas de informacin

NRC: 4706
Software para proteger una base de datos
24/05/2016

Quiones Villalaz Martin

000105067

CHECK LIST PARA EVALUAR LA SEGURIDAD EN UNA BASE DE DATOS

MS SQL SERVER

CheckList Inyecciones SQL:

Verificaci
n

1. Se ha colocado el carcter especial \

antes de cada consulta para evitar que las
consultas sean corrompidas en la aplicacin?

Si

No

2. Se ha delimitado correctamente el valor de

las consultas mediante el uso de comillas
especiales en la aplicacin?

Si

No

3. Existe algn tipo de cortafuegos que

imposibilite el uso de alguna herramienta de
inyeccin a nuestra base de datos?

Si

No

4. Existe algn tipo de archivo log en donde

se registre los intentos fallidos para ingresar
a la base de datos?

Si

No

5. Existe algn tipo de limitacin o validacin

para que las consultas seas ejecutadas en el
servidor de base de datos?

Si

No

6. Se emplea procedimientos almacenados en

el servidor de base de datos para validar los
datos indicados por el usuario?

Si

No

7. Se emplea el uso de comandos

parametrizados?

Si

No

8. Existen instrucciones Transact-SQL

Si

No

9. Se rechazan los datos que no cumplan con

la validacin en los distintos niveles?

Si

No

10.
Tiene implementado varios niveles de
validacin?

Si

No

directamente a partir de datos indicados por el

usuario?

Observacion
es

Auditoria de sistemas de informacin

NRC: 4706
Software para proteger una base de datos
24/05/2016

CheckList Elevacin de privilegios:

Quiones Villalaz Martin

000105067

Verificaci
n

1. Existe un gran nmero de cuentas de

usuario con privilegios altos o de
administrador o que tengas acceso a la
elevacin de privilegios?

Si

No

2. Las cuentas de usuario segn su uso

cuentan solo con los privilegios necesarios?

Si

No

3. Se realiza frecuentemente cuentas

administrativas para ejecutar algn tipo de
cdigo?

Si

No

4. Cundo se realizan tareas que requieren

permisos especiales se hace uso de la firma
de procedimientos?

Si

No

5. Se hace uso de procedimientos

almacenados certificados?

Si

No

6. Se hace uso de suplantacin para asignar

privilegios temporalmente?

Si

No

CheckList Sondeo y observacin inteligente:

Verificaci
n

1. Existe una correcta implementacin de

errores de cdigo en la aplicacin?

Si

No

2. Existen ventanas o avisos que muestren al

usuario final errores con parmetros que no
deberan ver en la aplicacin?

Si

No

Observacion
es

Observacion
es

Auditoria de sistemas de informacin

NRC: 4706
Software para proteger una base de datos
24/05/2016
3. Se ha realizado un test para explorar en su
mayora todos los errores arrojados cuando
interacta el usuario final con el servidor de
bd en la aplicacin?

CheckList Autenticacin:

Quiones Villalaz Martin

000105067

Si

No

Verificaci
n

1. Existe un archivo log que registre los

intentos fallidos para ingresar a la base de
datos?

Si

No

2. Existe un controlador de dominio?

Si

No

3. Existe algn tipo de servidor de

autenticacin instalado?

Si

No

4. Se emplea el uso de autenticacin de

Windows?

Si

No

5. Se emplea el uso de autenticacin mixta,

es decir, autenticacin de sql y autenticacin
de Windows?

Si

No

6. Todos los usuarios registrados en el equipo

pueden autenticarse en la base de datos?

Si

No

7. La aplicacin y la base de datos se encuentran

en el mismo equipo?

Si

No

8. Est usando una instancia de SQL Server

Express o LocalDB?

Si

No

Observacion
es

Auditoria de sistemas de informacin

NRC: 4706
Software para proteger una base de datos
24/05/2016

Quiones Villalaz Martin

000105067

CheckList Contraseas:

Verificaci
n

11.
La contrasea tiene una longitud
Mnima?

Si

No

12.

Si

No

13.
Y si una cuenta fue borrada o
eliminada, puede utilizarse un ID ya usado y
eliminado para un usuario nuevo?

Si

No

14.
Se guardan los archivos y datos de las
cuentas eliminadas? Por cunto tiempo?

Si

No

15.
Se documentan las modificaciones
que se hacen en las cuentas?

Si

No

16.
Los usuarios son actualizados por el
nivel jerrquico adecuado?

Si

No

17.
Se actualizan los privilegios de acceso
de acuerdo a los cambios que se dan en la
empresa?

Si

No

18.
Se verifican que no se queden
sesiones activas de usuarios, abiertas por
descuido?

Si

No

19.
Existen polticas para asegurar,
prevenir o detectar la suplantacin de
identidades en el sistema?

Si

No

20.
El personal de seguridad del sistema
informa sobre accesos indebidos, a travs de
un formulario y oralmente?

Si

No

21.
Se han establecido cambios
peridicos de passwords y cmo se maneja la
confidencialidad?

Si

No

22.
Los ID y contraseas se vencen por no Si
usarlos recurrentemente en el sistema?

No

El ID de usuario puede repetirse?

Observacion
es

Auditoria de sistemas de informacin

NRC: 4706
Software para proteger una base de datos
24/05/2016

Quiones Villalaz Martin

000105067

23.
Existen horarios de conexin
establecidos en las redes ajustadas a los
horarios de trabajo?

Si

No

24.
Los password de los empleados son
generados por alguien diferente al
administrador de la red?

Si

No

25.
Las passwords son generadas con
procesos automticos (programas de
generacin de passwords) o son creadas por
los usuarios?

Si

No

26.
Dos cuentas pueden tener las mismas
passwords?

Si

No

27.
Existe una normativa que establezca
el procedimiento para el cambio de los
passwords de los usuarios?

Si

No

28.
Se puede cambiar en cualquier
momento?

Si

No

29.
Quin puede hacer los cambios? - El
administrador - Los usuarios a travs de una
opcin en el men - Otros (especifique)

Si

No

30.
Se entrena a los usuarios en la
Si
administracin del password? Se les ensea
a: - no usar passwords fciles de descifrar no divulgarlas - no guardarlas en lugares
donde se puedan encontrar? - entender que
la administracin de passwords es el principal
mtodo de seguridad del sistema.

No