Auditoria de sistemas de informacin Quiones Villalaz Martin

NRC: 4706 000105067

Software para proteger una base de datos
24/05/2016

CHECK LIST PARA EVALUAR LA SEGURIDAD EN UNA BASE DE DATOS

MS SQL SERVER

CheckList Inyecciones SQL: Verificaci Observacion

n es

1. Se ha colocado el carcter especial \ Si No

antes de cada consulta para evitar que las
consultas sean corrompidas en la aplicacin?

2. Se ha delimitado correctamente el valor de Si No

las consultas mediante el uso de comillas
especiales en la aplicacin?

3. Existe algn tipo de cortafuegos que Si No

imposibilite el uso de alguna herramienta de
inyeccin a nuestra base de datos?

4. Existe algn tipo de archivo log en donde Si No

se registre los intentos fallidos para ingresar
a la base de datos?

5. Existe algn tipo de limitacin o validacin Si No

para que las consultas seas ejecutadas en el
servidor de base de datos?

6. Se emplea procedimientos almacenados en Si No

el servidor de base de datos para validar los
datos indicados por el usuario?

7. Se emplea el uso de comandos Si No

parametrizados?

8. Existen instrucciones Transact-SQL Si No

directamente a partir de datos indicados por el
usuario?

9. Se rechazan los datos que no cumplan con Si No

la validacin en los distintos niveles?

10. Tiene implementado varios niveles de Si No

validacin?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016

CheckList Elevacin de privilegios: Verificaci Observacion

n es

1. Existe un gran nmero de cuentas de Si No

usuario con privilegios altos o de
administrador o que tengas acceso a la
elevacin de privilegios?

2. Las cuentas de usuario segn su uso Si No

cuentan solo con los privilegios necesarios?

3. Se realiza frecuentemente cuentas Si No

administrativas para ejecutar algn tipo de
cdigo?

4. Cundo se realizan tareas que requieren Si No

permisos especiales se hace uso de la firma
de procedimientos?

5. Se hace uso de procedimientos Si No

almacenados certificados?

6. Se hace uso de suplantacin para asignar Si No

privilegios temporalmente?

CheckList Sondeo y observacin inteligente: Verificaci Observacion

n es

1. Existe una correcta implementacin de Si No

errores de cdigo en la aplicacin?

2. Existen ventanas o avisos que muestren al Si No

usuario final errores con parmetros que no
deberan ver en la aplicacin?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016
3. Se ha realizado un test para explorar en su Si No
mayora todos los errores arrojados cuando
interacta el usuario final con el servidor de
bd en la aplicacin?

CheckList Autenticacin: Verificaci Observacion

n es

1. Existe un archivo log que registre los Si No

intentos fallidos para ingresar a la base de
datos?

2. Existe un controlador de dominio? Si No

3. Existe algn tipo de servidor de Si No

autenticacin instalado?

4. Se emplea el uso de autenticacin de Si No

Windows?

5. Se emplea el uso de autenticacin mixta, Si No

es decir, autenticacin de sql y autenticacin
de Windows?

6. Todos los usuarios registrados en el equipo Si No

pueden autenticarse en la base de datos?

7. La aplicacin y la base de datos se encuentran Si No

en el mismo equipo?

8. Est usando una instancia de SQL Server Si No

Express o LocalDB?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016
CheckList Contraseas: Verificaci Observacion
n es

11. La contrasea tiene una longitud Si No

Mnima?

12. El ID de usuario puede repetirse? Si No

13. Y si una cuenta fue borrada o Si No

eliminada, puede utilizarse un ID ya usado y
eliminado para un usuario nuevo?

14. Se guardan los archivos y datos de las Si No

cuentas eliminadas? Por cunto tiempo?

15. Se documentan las modificaciones Si No

que se hacen en las cuentas?

16. Los usuarios son actualizados por el Si No

nivel jerrquico adecuado?

17. Se actualizan los privilegios de acceso Si No

de acuerdo a los cambios que se dan en la
empresa?

18. Se verifican que no se queden Si No

sesiones activas de usuarios, abiertas por
descuido?

19. Existen polticas para asegurar, Si No

prevenir o detectar la suplantacin de
identidades en el sistema?

20. El personal de seguridad del sistema Si No

informa sobre accesos indebidos, a travs de
un formulario y oralmente?

21. Se han establecido cambios Si No

peridicos de passwords y cmo se maneja la
confidencialidad?

22. Los ID y contraseas se vencen por no Si No

usarlos recurrentemente en el sistema?
Auditoria de sistemas de informacin Quiones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos
24/05/2016
23. Existen horarios de conexin Si No
establecidos en las redes ajustadas a los
horarios de trabajo?

24. Los password de los empleados son Si No

generados por alguien diferente al
administrador de la red?

25. Las passwords son generadas con Si No

procesos automticos (programas de
generacin de passwords) o son creadas por
los usuarios?

26. Dos cuentas pueden tener las mismas Si No

passwords?

27. Existe una normativa que establezca Si No

el procedimiento para el cambio de los
passwords de los usuarios?

28. Se puede cambiar en cualquier Si No

momento?

29. Quin puede hacer los cambios? - El Si No

administrador - Los usuarios a travs de una
opcin en el men - Otros (especifique)

30. Se entrena a los usuarios en la Si No

administracin del password? Se les ensea
a: - no usar passwords fciles de descifrar -
no divulgarlas - no guardarlas en lugares
donde se puedan encontrar? - entender que
la administracin de passwords es el principal
mtodo de seguridad del sistema.