Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 677 vistas

    Check List Seguridad Base de Datos

    Cargado por

    ReyChabal
    Este documento presenta una lista de verificación (checklist) para evaluar la seguridad de una base de datos MS SQL Server. La lista contiene varias secciones para revisar posibles vulnerabilidades relacionadas a inyecciones SQL, elevación de privilegios, sondeo y observación inteligente, autenticación y contraseñas. El objetivo es que el administrador de la base de datos revise cada punto de la lista para identificar posibles áreas de mejora en la seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Check List Seguridad Base de Datos

    Cargado por

    ReyChabal
    677 vistas5 páginas
    Este documento presenta una lista de verificación (checklist) para evaluar la seguridad de una base de datos MS SQL Server. La lista contiene varias secciones para revisar posibles vulnerabilidades relacionadas a inyecciones SQL, elevación de privilegios, sondeo y observación inteligente, autenticación y contraseñas. El objetivo es que el administrador de la base de datos revise cada punto de la lista para identificar posibles áreas de mejora en la seguridad.

    Descripción original:

    edff

    Título original

    315589804 Check List Seguridad Base de Datos Docx (1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta una lista de verificación (checklist) para evaluar la seguridad de una base de datos MS SQL Server. La lista contiene varias secciones para revisar posibles vulnerabilidades relacionadas a inyecciones SQL, elevación de privilegios, sondeo y observación inteligente, autenticación y contraseñas. El objetivo es que el administrador de la base de datos revise cada punto de la lista para identificar posibles áreas de mejora en la seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    677 vistas5 páginas

    Check List Seguridad Base de Datos

    Cargado por

    ReyChabal
    Este documento presenta una lista de verificación (checklist) para evaluar la seguridad de una base de datos MS SQL Server. La lista contiene varias secciones para revisar posibles vulnerabilidades relacionadas a inyecciones SQL, elevación de privilegios, sondeo y observación inteligente, autenticación y contraseñas. El objetivo es que el administrador de la base de datos revise cada punto de la lista para identificar posibles áreas de mejora en la seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 5

    Auditoria de sistemas de información Quiñones Villalaz Martin

    NRC: 4706 000105067


    Software para proteger una base de datos 24/05/2016

    CHECK LIST PARA EVALUAR LA SEGURIDAD EN UNA BASE DE DATOS MS SQL SERVER

    CheckList Inyecciones SQL: Verificación Observaciones

    1. ¿ Se ha colocado el carácter especial “\” antes de cada Si No


    consulta para evitar que las consultas sean corrompidas
    en la aplicación?

    2. ¿ Se ha delimitado correctamente el valor de las Si No


    consultas mediante el uso de comillas especiales ‘’ en la
    aplicación?

    3. ¿ Existe algún tipo de cortafuegos que imposibilite el uso Si No


    de alguna herramienta de inyección a nuestra base de
    datos?

    4. ¿ Existe algún tipo de archivo log en donde se registre Si No


    los intentos fallidos para ingresar a la base de datos?

    5. Existe algún tipo de limitación o validación para que las Si No


    consultas seas ejecutadas en el servidor de base de
    datos?

    6. ¿ Se emplea procedimientos almacenados en el servidor Si No


    de base de datos para validar los datos indicados por el
    usuario?

    7. ¿ Se emplea el uso de comandos parametrizados? Si No

    8. ¿Existen instrucciones Transact-SQL directamente a partir Si No


    de datos indicados por el usuario?

    9. ¿Se rechazan los datos que no cumplan con la validación Si No


    en los distintos niveles?

    10. ¿Tiene implementado varios niveles de validación? Si No

    CheckList Elevación de privilegios: Verificación Observaciones


    Auditoria de sistemas de información Quiñones Villalaz Martin
    NRC: 4706 000105067
    Software para proteger una base de datos 24/05/2016
    1. ¿ Existe un gran número de cuentas de usuario con Si No
    privilegios altos o de administrador o que tengas acceso
    a la elevación de privilegios?

    2. ¿ Las cuentas de usuario según su uso cuentan solo con Si No


    los privilegios necesarios?

    3. ¿ Se realiza frecuentemente cuentas administrativas para Si No


    ejecutar algún tipo de código?

    4. ¿ Cuándo se realizan tareas que requieren permisos Si No


    especiales se hace uso de la firma de procedimientos?

    5. ¿Se hace uso de procedimientos almacenados Si No


    certificados?

    6. Se hace uso de suplantación para asignar privilegios Si No


    temporalmente?

    CheckList Sondeo y observación inteligente: Verificación Observaciones

    1. ¿ Existe una correcta implementación de errores de Si No


    código en la aplicación?

    2. ¿ Existen ventanas o avisos que muestren al usuario final Si No


    errores con parámetros que no deberían ver en la
    aplicación?

    3. ¿ Se ha realizado un test para explorar en su mayoría Si No


    todos los errores arrojados cuando interactúa el usuario
    final con el servidor de bd en la aplicación?

    CheckList Autenticación: Verificación Observaciones


    Auditoria de sistemas de información Quiñones Villalaz Martin
    NRC: 4706 000105067
    Software para proteger una base de datos 24/05/2016
    1. ¿Existe un archivo log que registre los intentos fallidos Si No
    para ingresar a la base de datos?

    2. ¿ Existe un controlador de dominio? Si No

    3. ¿ Existe algún tipo de servidor de autenticación Si No


    instalado?

    4. ¿ Se emplea el uso de autenticación de Windows? Si No

    5. ¿ Se emplea el uso de autenticación mixta, es decir, Si No


    autenticación de sql y autenticación de Windows?

    6. ¿ Todos los usuarios registrados en el equipo pueden Si No


    autenticarse en la base de datos?

    7. ¿ La aplicación y la base de datos se encuentran en el Si No


    mismo equipo?

    8. ¿ Está usando una instancia de SQL Server Express o Si No


    LocalDB?

    CheckList Contraseñas: Verificación Observaciones

    11. ¿La contraseña tiene una longitud Mínima? Si No

    12. ¿El ID de usuario puede repetirse? Si No

    13. ¿Y si una cuenta fue borrada o eliminada, puede Si No


    utilizarse un ID ya usado y eliminado para un usuario
    nuevo?

    14. ¿Se guardan los archivos y datos de las cuentas Si No


    eliminadas? ¿Por cuánto tiempo?

    15. ¿Se documentan las modificaciones que se hacen en las Si No


    Auditoria de sistemas de información Quiñones Villalaz Martin
    NRC: 4706 000105067
    Software para proteger una base de datos 24/05/2016
    cuentas?

    16. ¿Los usuarios son actualizados por el nivel jerárquico Si No


    adecuado?

    17. ¿Se actualizan los privilegios de acceso de acuerdo a los Si No


    cambios que se dan en la empresa?

    18. ¿Se verifican que no se queden sesiones activas de Si No


    usuarios, abiertas por descuido?

    19. ¿Existen políticas para asegurar, prevenir o detectar la Si No


    suplantación de identidades en el sistema?

    20. ¿El personal de seguridad del sistema informa sobre Si No


    accesos indebidos, a través de un formulario y
    oralmente?

    21. ¿Se han establecido cambios periódicos de passwords y Si No


    cómo se maneja la confidencialidad?

    22. ¿Los ID y contraseñas se vencen por no usarlos Si No


    recurrentemente en el sistema?

    23. ¿Existen horarios de conexión establecidos en las redes Si No


    ajustadas a los horarios de trabajo?

    24. ¿Los password de los empleados son generados por Si No


    alguien diferente al administrador de la red?

    25. ¿Las passwords son generadas con procesos Si No


    automáticos (programas de generación de passwords) o
    son creadas por los usuarios?

    26. ¿Dos cuentas pueden tener las mismas passwords? Si No

    27. ¿Existe una normativa que establezca el procedimiento Si No


    para el cambio de los passwords de los usuarios?

    28. ¿Se puede cambiar en cualquier momento? Si No

    29. ¿Quién puede hacer los cambios? - El administrador - Si No


    Los usuarios a través de una opción en el menú - Otros
    Auditoria de sistemas de información Quiñones Villalaz Martin
    NRC: 4706 000105067
    Software para proteger una base de datos 24/05/2016
    (especifique)

    30. ¿Se entrena a los usuarios en la administración del Si No


    password? ¿Se les enseña a: - no usar passwords fáciles
    de descifrar - no divulgarlas - no guardarlas en lugares
    donde se puedan encontrar? - entender que la
    administración de passwords es el principal método de
    seguridad del sistema.

    También podría gustarte