Sunteți pe pagina 1din 5

Auditoria de sistemas de informacin Quiones Villalaz Martin

NRC: 4706 000105067


Software para proteger una base de datos
24/05/2016

CHECK LIST PARA EVALUAR LA SEGURIDAD EN UNA BASE DE DATOS


MS SQL SERVER

CheckList Inyecciones SQL: Verificaci Observacion


n es

1. Se ha colocado el carcter especial \ Si No


antes de cada consulta para evitar que las
consultas sean corrompidas en la aplicacin?

2. Se ha delimitado correctamente el valor de Si No


las consultas mediante el uso de comillas
especiales en la aplicacin?

3. Existe algn tipo de cortafuegos que Si No


imposibilite el uso de alguna herramienta de
inyeccin a nuestra base de datos?

4. Existe algn tipo de archivo log en donde Si No


se registre los intentos fallidos para ingresar
a la base de datos?

5. Existe algn tipo de limitacin o validacin Si No


para que las consultas seas ejecutadas en el
servidor de base de datos?

6. Se emplea procedimientos almacenados en Si No


el servidor de base de datos para validar los
datos indicados por el usuario?

7. Se emplea el uso de comandos Si No


parametrizados?

8. Existen instrucciones Transact-SQL Si No


directamente a partir de datos indicados por el
usuario?

9. Se rechazan los datos que no cumplan con Si No


la validacin en los distintos niveles?

10. Tiene implementado varios niveles de Si No


validacin?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016

CheckList Elevacin de privilegios: Verificaci Observacion


n es

1. Existe un gran nmero de cuentas de Si No


usuario con privilegios altos o de
administrador o que tengas acceso a la
elevacin de privilegios?

2. Las cuentas de usuario segn su uso Si No


cuentan solo con los privilegios necesarios?

3. Se realiza frecuentemente cuentas Si No


administrativas para ejecutar algn tipo de
cdigo?

4. Cundo se realizan tareas que requieren Si No


permisos especiales se hace uso de la firma
de procedimientos?

5. Se hace uso de procedimientos Si No


almacenados certificados?

6. Se hace uso de suplantacin para asignar Si No


privilegios temporalmente?

CheckList Sondeo y observacin inteligente: Verificaci Observacion


n es

1. Existe una correcta implementacin de Si No


errores de cdigo en la aplicacin?

2. Existen ventanas o avisos que muestren al Si No


usuario final errores con parmetros que no
deberan ver en la aplicacin?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016
3. Se ha realizado un test para explorar en su Si No
mayora todos los errores arrojados cuando
interacta el usuario final con el servidor de
bd en la aplicacin?

CheckList Autenticacin: Verificaci Observacion


n es

1. Existe un archivo log que registre los Si No


intentos fallidos para ingresar a la base de
datos?

2. Existe un controlador de dominio? Si No

3. Existe algn tipo de servidor de Si No


autenticacin instalado?

4. Se emplea el uso de autenticacin de Si No


Windows?

5. Se emplea el uso de autenticacin mixta, Si No


es decir, autenticacin de sql y autenticacin
de Windows?

6. Todos los usuarios registrados en el equipo Si No


pueden autenticarse en la base de datos?

7. La aplicacin y la base de datos se encuentran Si No


en el mismo equipo?

8. Est usando una instancia de SQL Server Si No


Express o LocalDB?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016
CheckList Contraseas: Verificaci Observacion
n es

11. La contrasea tiene una longitud Si No


Mnima?

12. El ID de usuario puede repetirse? Si No

13. Y si una cuenta fue borrada o Si No


eliminada, puede utilizarse un ID ya usado y
eliminado para un usuario nuevo?

14. Se guardan los archivos y datos de las Si No


cuentas eliminadas? Por cunto tiempo?

15. Se documentan las modificaciones Si No


que se hacen en las cuentas?

16. Los usuarios son actualizados por el Si No


nivel jerrquico adecuado?

17. Se actualizan los privilegios de acceso Si No


de acuerdo a los cambios que se dan en la
empresa?

18. Se verifican que no se queden Si No


sesiones activas de usuarios, abiertas por
descuido?

19. Existen polticas para asegurar, Si No


prevenir o detectar la suplantacin de
identidades en el sistema?

20. El personal de seguridad del sistema Si No


informa sobre accesos indebidos, a travs de
un formulario y oralmente?

21. Se han establecido cambios Si No


peridicos de passwords y cmo se maneja la
confidencialidad?

22. Los ID y contraseas se vencen por no Si No


usarlos recurrentemente en el sistema?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016
23. Existen horarios de conexin Si No
establecidos en las redes ajustadas a los
horarios de trabajo?

24. Los password de los empleados son Si No


generados por alguien diferente al
administrador de la red?

25. Las passwords son generadas con Si No


procesos automticos (programas de
generacin de passwords) o son creadas por
los usuarios?

26. Dos cuentas pueden tener las mismas Si No


passwords?

27. Existe una normativa que establezca Si No


el procedimiento para el cambio de los
passwords de los usuarios?

28. Se puede cambiar en cualquier Si No


momento?

29. Quin puede hacer los cambios? - El Si No


administrador - Los usuarios a travs de una
opcin en el men - Otros (especifique)

30. Se entrena a los usuarios en la Si No


administracin del password? Se les ensea
a: - no usar passwords fciles de descifrar -
no divulgarlas - no guardarlas en lugares
donde se puedan encontrar? - entender que
la administracin de passwords es el principal
mtodo de seguridad del sistema.