Auditoria de sistemas de información Quiñones Villalaz Martin

NRC: 4706 000105067

Software para proteger una base de datos 24/05/2016

CHECK LIST PARA EVALUAR LA SEGURIDAD EN UNA BASE DE DATOS MS SQL SERVER

CheckList Inyecciones SQL: Verificación Observaciones

1. ¿ Se ha colocado el carácter especial “\” antes de cada Si No

consulta para evitar que las consultas sean corrompidas
en la aplicación?

2. ¿ Se ha delimitado correctamente el valor de las Si No

consultas mediante el uso de comillas especiales ‘’ en la
aplicación?

3. ¿ Existe algún tipo de cortafuegos que imposibilite el uso Si No

de alguna herramienta de inyección a nuestra base de
datos?

4. ¿ Existe algún tipo de archivo log en donde se registre Si No

los intentos fallidos para ingresar a la base de datos?

5. Existe algún tipo de limitación o validación para que las Si No

consultas seas ejecutadas en el servidor de base de
datos?

6. ¿ Se emplea procedimientos almacenados en el servidor Si No

de base de datos para validar los datos indicados por el
usuario?

7. ¿ Se emplea el uso de comandos parametrizados? Si No

8. ¿Existen instrucciones Transact-SQL directamente a partir Si No

de datos indicados por el usuario?

9. ¿Se rechazan los datos que no cumplan con la validación Si No

en los distintos niveles?

10. ¿Tiene implementado varios niveles de validación? Si No

CheckList Elevación de privilegios: Verificación Observaciones

Auditoria de sistemas de información Quiñones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos 24/05/2016
1. ¿ Existe un gran número de cuentas de usuario con Si No
privilegios altos o de administrador o que tengas acceso
a la elevación de privilegios?

2. ¿ Las cuentas de usuario según su uso cuentan solo con Si No

los privilegios necesarios?

3. ¿ Se realiza frecuentemente cuentas administrativas para Si No

ejecutar algún tipo de código?

4. ¿ Cuándo se realizan tareas que requieren permisos Si No

especiales se hace uso de la firma de procedimientos?

5. ¿Se hace uso de procedimientos almacenados Si No

certificados?

6. Se hace uso de suplantación para asignar privilegios Si No

temporalmente?

CheckList Sondeo y observación inteligente: Verificación Observaciones

1. ¿ Existe una correcta implementación de errores de Si No

código en la aplicación?

2. ¿ Existen ventanas o avisos que muestren al usuario final Si No

errores con parámetros que no deberían ver en la
aplicación?

3. ¿ Se ha realizado un test para explorar en su mayoría Si No

todos los errores arrojados cuando interactúa el usuario
final con el servidor de bd en la aplicación?

CheckList Autenticación: Verificación Observaciones

Auditoria de sistemas de información Quiñones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos 24/05/2016
1. ¿Existe un archivo log que registre los intentos fallidos Si No
para ingresar a la base de datos?

2. ¿ Existe un controlador de dominio? Si No

3. ¿ Existe algún tipo de servidor de autenticación Si No

instalado?

4. ¿ Se emplea el uso de autenticación de Windows? Si No

5. ¿ Se emplea el uso de autenticación mixta, es decir, Si No

autenticación de sql y autenticación de Windows?

6. ¿ Todos los usuarios registrados en el equipo pueden Si No

autenticarse en la base de datos?

7. ¿ La aplicación y la base de datos se encuentran en el Si No

mismo equipo?

8. ¿ Está usando una instancia de SQL Server Express o Si No

LocalDB?

CheckList Contraseñas: Verificación Observaciones

11. ¿La contraseña tiene una longitud Mínima? Si No

12. ¿El ID de usuario puede repetirse? Si No

13. ¿Y si una cuenta fue borrada o eliminada, puede Si No

utilizarse un ID ya usado y eliminado para un usuario
nuevo?

14. ¿Se guardan los archivos y datos de las cuentas Si No

eliminadas? ¿Por cuánto tiempo?

15. ¿Se documentan las modificaciones que se hacen en las Si No

Auditoria de sistemas de información Quiñones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos 24/05/2016
cuentas?

16. ¿Los usuarios son actualizados por el nivel jerárquico Si No

adecuado?

17. ¿Se actualizan los privilegios de acceso de acuerdo a los Si No

cambios que se dan en la empresa?

18. ¿Se verifican que no se queden sesiones activas de Si No

usuarios, abiertas por descuido?

19. ¿Existen políticas para asegurar, prevenir o detectar la Si No

suplantación de identidades en el sistema?

20. ¿El personal de seguridad del sistema informa sobre Si No

accesos indebidos, a través de un formulario y
oralmente?

21. ¿Se han establecido cambios periódicos de passwords y Si No

cómo se maneja la confidencialidad?

22. ¿Los ID y contraseñas se vencen por no usarlos Si No

recurrentemente en el sistema?

23. ¿Existen horarios de conexión establecidos en las redes Si No

ajustadas a los horarios de trabajo?

24. ¿Los password de los empleados son generados por Si No

alguien diferente al administrador de la red?

25. ¿Las passwords son generadas con procesos Si No

automáticos (programas de generación de passwords) o
son creadas por los usuarios?

26. ¿Dos cuentas pueden tener las mismas passwords? Si No

27. ¿Existe una normativa que establezca el procedimiento Si No

para el cambio de los passwords de los usuarios?

28. ¿Se puede cambiar en cualquier momento? Si No

29. ¿Quién puede hacer los cambios? - El administrador - Si No

Los usuarios a través de una opción en el menú - Otros
Auditoria de sistemas de información Quiñones Villalaz Martin
NRC: 4706 000105067
Software para proteger una base de datos 24/05/2016
(especifique)

30. ¿Se entrena a los usuarios en la administración del Si No

password? ¿Se les enseña a: - no usar passwords fáciles
de descifrar - no divulgarlas - no guardarlas en lugares
donde se puedan encontrar? - entender que la
administración de passwords es el principal método de
seguridad del sistema.