Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos 24/05/2016
CHECK LIST PARA EVALUAR LA SEGURIDAD EN UNA BASE DE DATOS
MS SQL SERVER
CheckList Inyecciones SQL: Verificaci Observacion
n es
1. Se ha colocado el carcter especial \ Si No
antes de cada consulta para evitar que las consultas sean corrompidas en la aplicacin?
2. Se ha delimitado correctamente el valor de Si No
las consultas mediante el uso de comillas especiales en la aplicacin?
3. Existe algn tipo de cortafuegos que Si No
imposibilite el uso de alguna herramienta de inyeccin a nuestra base de datos?
4. Existe algn tipo de archivo log en donde Si No
se registre los intentos fallidos para ingresar a la base de datos?
5. Existe algn tipo de limitacin o validacin Si No
para que las consultas seas ejecutadas en el servidor de base de datos?
6. Se emplea procedimientos almacenados en Si No
el servidor de base de datos para validar los datos indicados por el usuario?
7. Se emplea el uso de comandos Si No
parametrizados?
8. Existen instrucciones Transact-SQL Si No
directamente a partir de datos indicados por el usuario?
9. Se rechazan los datos que no cumplan con Si No
la validacin en los distintos niveles?
10. Tiene implementado varios niveles de Si No
validacin? Auditoria de sistemas de informacin Quiones Villalaz Martin NRC: 4706 000105067 Software para proteger una base de datos 24/05/2016
CheckList Elevacin de privilegios: Verificaci Observacion
n es
1. Existe un gran nmero de cuentas de Si No
usuario con privilegios altos o de administrador o que tengas acceso a la elevacin de privilegios?
2. Las cuentas de usuario segn su uso Si No
cuentan solo con los privilegios necesarios?
3. Se realiza frecuentemente cuentas Si No
administrativas para ejecutar algn tipo de cdigo?
4. Cundo se realizan tareas que requieren Si No
permisos especiales se hace uso de la firma de procedimientos?
5. Se hace uso de procedimientos Si No
almacenados certificados?
6. Se hace uso de suplantacin para asignar Si No
privilegios temporalmente?
CheckList Sondeo y observacin inteligente: Verificaci Observacion
n es
1. Existe una correcta implementacin de Si No
errores de cdigo en la aplicacin?
2. Existen ventanas o avisos que muestren al Si No
usuario final errores con parmetros que no deberan ver en la aplicacin? Auditoria de sistemas de informacin Quiones Villalaz Martin NRC: 4706 000105067 Software para proteger una base de datos 24/05/2016 3. Se ha realizado un test para explorar en su Si No mayora todos los errores arrojados cuando interacta el usuario final con el servidor de bd en la aplicacin?
CheckList Autenticacin: Verificaci Observacion
n es
1. Existe un archivo log que registre los Si No
intentos fallidos para ingresar a la base de datos?
2. Existe un controlador de dominio? Si No
3. Existe algn tipo de servidor de Si No
autenticacin instalado?
4. Se emplea el uso de autenticacin de Si No
Windows?
5. Se emplea el uso de autenticacin mixta, Si No
es decir, autenticacin de sql y autenticacin de Windows?
6. Todos los usuarios registrados en el equipo Si No
pueden autenticarse en la base de datos?
7. La aplicacin y la base de datos se encuentran Si No
en el mismo equipo?
8. Est usando una instancia de SQL Server Si No
Express o LocalDB? Auditoria de sistemas de informacin Quiones Villalaz Martin NRC: 4706 000105067 Software para proteger una base de datos 24/05/2016 CheckList Contraseas: Verificaci Observacion n es
11. La contrasea tiene una longitud Si No
Mnima?
12. El ID de usuario puede repetirse? Si No
13. Y si una cuenta fue borrada o Si No
eliminada, puede utilizarse un ID ya usado y eliminado para un usuario nuevo?
14. Se guardan los archivos y datos de las Si No
cuentas eliminadas? Por cunto tiempo?
15. Se documentan las modificaciones Si No
que se hacen en las cuentas?
16. Los usuarios son actualizados por el Si No
nivel jerrquico adecuado?
17. Se actualizan los privilegios de acceso Si No
de acuerdo a los cambios que se dan en la empresa?
18. Se verifican que no se queden Si No
sesiones activas de usuarios, abiertas por descuido?
19. Existen polticas para asegurar, Si No
prevenir o detectar la suplantacin de identidades en el sistema?
20. El personal de seguridad del sistema Si No
informa sobre accesos indebidos, a travs de un formulario y oralmente?
21. Se han establecido cambios Si No
peridicos de passwords y cmo se maneja la confidencialidad?
22. Los ID y contraseas se vencen por no Si No
usarlos recurrentemente en el sistema? Auditoria de sistemas de informacin Quiones Villalaz Martin NRC: 4706 000105067 Software para proteger una base de datos 24/05/2016 23. Existen horarios de conexin Si No establecidos en las redes ajustadas a los horarios de trabajo?
24. Los password de los empleados son Si No
generados por alguien diferente al administrador de la red?
25. Las passwords son generadas con Si No
procesos automticos (programas de generacin de passwords) o son creadas por los usuarios?
26. Dos cuentas pueden tener las mismas Si No
passwords?
27. Existe una normativa que establezca Si No
el procedimiento para el cambio de los passwords de los usuarios?
28. Se puede cambiar en cualquier Si No
momento?
29. Quin puede hacer los cambios? - El Si No
administrador - Los usuarios a travs de una opcin en el men - Otros (especifique)
30. Se entrena a los usuarios en la Si No
administracin del password? Se les ensea a: - no usar passwords fciles de descifrar - no divulgarlas - no guardarlas en lugares donde se puedan encontrar? - entender que la administracin de passwords es el principal mtodo de seguridad del sistema.