DIECINUEVEAVO INFORME

Servicio de Liderazgo Técnico BD

Para:

Banco Falabella Perú S.A.

Diciembre 2022

Confidencialidad y Ventaja Competitiva

Entendiendo que tenemos acceso a informaciones confidenciales y estrategias competitivas y, por otro lado, por
ser necesaria la apertura de nuestra metodología de trabajo, Banco Falabella y CRATI se comprometen a
mantener la total confidencialidad y sigilo sobre todas las informaciones y documentos utilizados y generados,
de ambas partes, para la ejecución de los servicios solicitados, incluyéndose esta propuesta, y a no presentar
estas informaciones a cualquier otra empresa, sin previo acuerdo de ambas partes”.

PÁGINA 1
 Contenido

1. Introducción...................................................................................................................3
2. Evaluación......................................................................................................................3
3. Reporte de análisis de brecha con respecto a la línea base de seguridad de bd.......3

1. Introducción
El presente documento compone el Informe de revisión de seguridad de la Base de Datos
OM2BPEPR2.

PÁGINA 2
2. Evaluación
La evaluación, revisión de seguridad y emisión de reporte de usuarios, fue realizada a la
siguiente Base de datos:
Base de datos: OM2BPEPR2
# Reporte
Reporte de análisis de brecha con respecto a las líneas base de seguridad de BD, se debe indicar si
1
cumple o no

3. Reporte de análisis de brecha con respecto a la línea base de seguridad

de bd
La evaluación de lineamientos base de seguridad de base de datos fue realizada bajo las
siguientes configuraciones de seguridad
a) Configuración de Sistema Operativo
b) Instalación y Planeamiento.
c) Permisos y propiedades
d) Configuraciones generales
e) Permisos de MySQL.
f) Auditoria de registros (logs).
g) Autenticación
h) Configuración de red
i) Replicación

Mysql
OM2BPEPR2
No
Eval-
No cumple
18% uado
18%
Cumple
64%

No Evaluado Cumple No cumple

PÁGINA 3
 Base de Datos: OM2BPEPR2
a) Configuración de Sistema Operativo
Ítem Vulnerabilidad ¿Cumple? Comentario
1.1 Particiones de sistema Si
 Cumple con configuración recomendada.

1.2 Cuenta MySQL deamon/service Si

 Cumple con configuración recomendada.

1.3 Historial de comandos de MySQL No evaluado

 El resultado no muestra si cumple o no, debido a qu
permisos sobre carpetas.

PÁGINA 4
1.4 Variable de entorno MYSQL_PWD No evaluado
 El resultado no muestra si cumple o no, debido a qu
permisos sobre carpetas.

1.5 Login interactivo Si

 Cumple con configuración recomendada.

1.6 Actualizaciones de MySQL No

 El resultado muestra una versión del 22-10-2022. El
Mysql 5.7.40 al 11-10-2022

Nota: Link de listado de version de Mysql

https://downloads.mysql.com/docs/mysql-5.7-relnotes-e

b) Instalación y Planeamiento
Ítem Vulnerabilidad ¿Cumple? Comentario
2.1 Servidor dedicado para MySQL Si
 Cumple con configuración recomendada.

2.2 Las contraseñas en línea de comandos Si

 Cumple con configuración recomendada.

2.3 Reutilización de cuentas de usuario No

 Validar aquellos usuarios listados que se reutilizan pa

PÁGINA 5
 c) Permisos y Propiedades
Ítem Vulnerabilidad ¿Cumple? Comentario
3.1 ‘datadir’con permisos adecuados Si
 Cumple con configuración recomendada.

3.2 'log_bin_basename' con permisos adecuados No evaluado

 La ruta ejecutada en la segunda instrucción no cump
de Bd.

 No coincide la ruta con la bd om2pepr2

3.3 'log_error' con permisos adecuados No evaluado

 La ruta ejecutada en la segunda instrucción no cu
variable de Bd.

PÁGINA 6
3.4 'slow_query_log' con permisos adecuados No evaluado
 Información no enviada

3.5 'relay_log_basename' con permisos adecuados No evaluado

 Información incompleta. Falta ejecutar segunda instr

3.6 'general_log_file' con permisos adecuados Si

 Cumple con configuración recomendada.

3.7 Archivos de clave SSL Si

 Cumple con configuración recomendada. SSL no confi

PÁGINA 7
 d) Configuraciones generales
Ítem Vulnerabilidad ¿Cumple? Comentario
4.1 Base de datos ‘test’ No
 Se recomienda evaluar BD listadas que sugieren que

4.2 Bibliotecas compartidas Si

 Cumple con configuración recomendada.

4.3 Archivo ‘local_infile’ No

 Se sugiere deshabilitar (Off) local_infile para redu
pueda leer archivos confidenciales del servidor a trav
SQL..

4.4 Plugin 'daemon_memcach ed' Si

 Cumple con configuración recomendada.

4.5 'secure_file_priv' Si
 Cumple con configuración recomendada.

4.6 Estados cambiantes de datos Si

 Cumple con configuración recomendada.

e) Permisos de Mysql

PÁGINA 8
Ítem Vulnerabilidad ¿Cumple? Comentario
5.1 Permisos de administrators Si
 Cumple con configuración recomendada.

5.2 Privilegios en archivos Si

 Cumple con configuración recomendada.

5.3 Privilegio en procesos Si

 Cumple con configuración recomendada.

5.4 Super privilegio Si

 Cumple con configuración recomendada.

5.5 Privilegio de Shutdown Si

 Cumple con configuración recomendada.

5.6 Privilegio de creación de usuario Si

 Cumple con configuración recomendada.

5.7 Privilegio ‘grant option’ Si

 Cumple con configuración recomendada.

f) Auditoria de registros (logs)

Ítem Vulnerabilidad ¿Cumple? Comentario
6.1 Registro de errores Si
 Cumple con configuración recomendada.

PÁGINA 9
6.2 Registro de alertas Si
 Cumple con configuración recomendada.

6.3 Log-raw Si
 Cumple con configuración recomendada.

6.4 Audit log No

 Información no enviada (envío mismo resultado de 6
evaluado
6.5 Auditar Login de usuarios No
 audit_log_policy no configurado para registrar audito

6.6 Plugin de auditoria Si

 No instalado

g) Autenticación
Ítem Vulnerabilidad ¿Cumple? Comentario
7.1 Contraseñas antiguas Si
 Cumple con configuración recomendada, valor difere

PÁGINA 10
7.2 'secure_auth' Si
 Cumple con configuración recomendada

7.3 Almacenamiento de contraseñas en GC Si

 Cumple con configuración recomendada

7.4 Contraseñas en blanco No evaluado

 La ejecución muestra error en campo password.

7.5 Complejidad de las contraseñas No

 Complemento de política de complejidad de passwor

PÁGINA 11
7.6 Las cuentas anónimas Si
 Cumple con configuración recomendada. No hay cue

h) Configuración de red
Ítem Vulnerabilidad ¿Cumple? Comentario
8.1 Trafico SSL No
 No cumple con configuración recomendada

8.2 Tipo de trafico SSL No

 No cumple con configuración recomendada

i) Replicación
Ítem Vulnerabilidad ¿Cumple? Comentario
9.1 Tráfico de replicación Si
 Cumple con configuración recomendada

PÁGINA 12
PÁGINA 13