Upload
martin-quinones
View
222
Download
0
Embed Size (px)
Citation preview
7/26/2019 CHECK LIST SEGURIDAD BASE DE DATOS.docx
1/5
Auditoria de sistemas de informacin Quiones Villalaz MartinNRC: 4706 00010067!oft"are #ara #rote$er una %ase de datos
&4'0'&016
CHECK LIST PARA EVALUAR LA SEGURIDAD EN UNA BASE DE DATOSMS SQL SERVER
CheckList Inyecciones SQL Ve!i"c#ci$n
O%se!ciones
'( )!e (a colocado el car)cter es#ecial *+,antes de cada consulta #ara e-itar .ue lasconsultas sean corrom#idas en la a#licacin*
Si No
+( )!e (a delimitado correctamente el -alor de
las consultas mediante el uso de comillases#eciales / en la a#licacin*
Si No
,( )2iste al$3n ti#o de cortafue$os .ueim#osi%ilite el uso de al$una (erramienta deineccin a nuestra %ase de datos*
Si No
-( )2iste al$3n ti#o de arc(i-o lo$ en dondese re$istre los intentos fallidos #ara in$resara la %ase de datos*
Si No
.( 2iste al$3n ti#o de limitacin o -alidacin#ara .ue las consultas seas e5ecutadas en elser-idor de %ase de datos*
Si No
/( )!e em#lea #rocedimientos almacenados enel ser-idor de %ase de datos #ara -alidar losdatos indicados #or el usuario*
Si No
0( )!e em#lea el uso de comandos
#arametrizados*
Si No
1( )2isteninstrucciones ransact!Q8directamente a #artir de datos indicados #or el
usuario*
Si No
2( )!e rec(azan los datos .ue no cum#lan conla -alidacin en los distintos ni-eles*
Si No
'3( )iene im#lementado -arios ni-eles de
-alidacin*
Si No
7/26/2019 CHECK LIST SEGURIDAD BASE DE DATOS.docx
2/5
Auditoria de sistemas de informacin Quiones Villalaz MartinNRC: 4706 00010067!oft"are #ara #rote$er una %ase de datos
&4'0'&016
CheckList E4eci$n 5e 6!i&i4e7ios Ve!i"c#ci$n O%se!ciones
'( 9 2iste un $ran n3mero de cuentas deusuario con #ri-ile$ios altos o deadministrador o .ue ten$as acceso a laele-acin de #ri-ile$ios
Si No
+( )8as cuentas de usuario se$3n su usocuentan solo con los #ri-ile$ios necesarios
Si No
,( )!e realiza frecuentemente cuentasadministrati-as #ara e5ecutar al$3n ti#o decdi$o*
Si No
-( )Cu)ndo se realizan tareas .ue re.uieren#ermisos es#eciales se (ace uso de la ;rmade #rocedimientos*
Si No
.( )!e (ace uso de #rocedimientos
almacenados certi;cados*
Si No
/( !e (ace uso de su#lantacin #ara asi$nar#ri-ile$ios tem#oralmente*
Si No
CheckList Son5eo y o%se!ci$n inte4i7ente Ve!i"c#ci$n
O%se!ciones
1< 9 2iste una correcta im#lementacin deerrores de cdi$o en la a#licacin
Si No
&< )2isten -entanas o a-isos .ue muestren alusuario ;nal errores con #ar)metros .ue no
de%er=an -er en la a#licacin*
Si No
7/26/2019 CHECK LIST SEGURIDAD BASE DE DATOS.docx
3/5
Auditoria de sistemas de informacin Quiones Villalaz MartinNRC: 4706 00010067!oft"are #ara #rote$er una %ase de datos
&4'0'&016
>< )!e (a realizado un test #ara e2#lorar en sumaor=a todos los errores arro5ados cuandointeract3a el usuario ;nal con el ser-idor de%d en la a#licacin*
Si No
CheckList A8tentic#ci$n Ve!i"c#ci$n
O%se!ciones
1< 92iste un arc(i-o lo$ .ue re$istre losintentos fallidos #ara in$resar a la %ase dedatos
Si No
&< )2iste un controlador de dominio* Si No
>< )2iste al$3n ti#o de ser-idor deautenticacin instalado*
Si No
4< )!e em#lea el uso de autenticacin de?indo"s*
Si No
< )!e em#lea el uso de autenticacin mi2ta@es decir@ autenticacin de s.l autenticacinde ?indo"s*
Si No
6< )odos los usuarios re$istrados en el e.ui#o#ueden autenticarse en la %ase de datos*
Si No
7< )8a a#licacin la %ase de datos se encuentranen el mismo e.ui#o*
Si No
< )st) usando una instancia de !Q8 !er-er2#ress o 8ocalB*
Si No
7/26/2019 CHECK LIST SEGURIDAD BASE DE DATOS.docx
4/5
Auditoria de sistemas de informacin Quiones Villalaz MartinNRC: 4706 00010067!oft"are #ara #rote$er una %ase de datos
&4'0'&016
CheckList Cont!#se9#s Ve!i"c#ci$n
O%se!ciones
''( 98a contrasea tiene una lon$itudM=nima
Si No
'+( 9l DB de usuario #uede re#etirse Si No
',( 9E si una cuenta fue %orrada oeliminada@ #uede utilizarse un DB a usado eliminado #ara un usuario nue-o
Si No
'-( 9!e $uardan los arc(i-os datos de lascuentas eliminadas 9For cu)nto tiem#o
Si No
'.( 9!e documentan las modi;caciones.ue se (acen en las cuentas
Si No
'/( 98os usuarios son actualizados #or elni-el 5er)r.uico adecuado
Si No
'0( 9!e actualizan los #ri-ile$ios de acceso
de acuerdo a los cam%ios .ue se dan en laem#resa
Si No
'1( 9!e -eri;can .ue no se .uedensesiones acti-as de usuarios@ a%iertas #ordescuido
Si No
'2( 92isten #ol=ticas #ara ase$urar@#re-enir o detectar la su#lantacin deidentidades en el sistema
Si No
+3( 9l #ersonal de se$uridad del sistemainforma so%re accesos inde%idos@ a tra-Gs deun formulario oralmente
Si No
+'( 9!e (an esta%lecido cam%ios#eridicos de #ass"ords cmo se mane5a lacon;dencialidad
Si No
++( 98os DB contraseas se -encen #or no
usarlos recurrentemente en el sistema
Si No
7/26/2019 CHECK LIST SEGURIDAD BASE DE DATOS.docx
5/5