Anda di halaman 1dari 10

UNIVERSIDAD MARIANO GLVEZ DE GUATEMALA

FACULTAD DE INGENIERA EN SISTEMAS DE INFORMACIN


LICENCIATURA DE INGENIERA EN SISTEMAS DE
INFORMACIN Y CIENCIAS DE LA COMPUTACIN

Catedrtico (a): Claudia Ramrez


Curso: Auditoria de Sistemas

TAREA O PROYECTO

Anexo 2 de auditoria de base de datos

Estudiante: Francisco Salvador Moscoso Rivas Carn No.: 0909 99-6645


Estudiante: Edwin Omar Gmez Velsquez

Carn No.: 0909 09-5485

Estudiante: Vicente Eugenio Espinoza Salguero Carn No.: 0909 09- 9778

CHECKLIST AUDITORIA DE BASE DE DATOS:


1. Existe algn archivo de tipo Log donde guarde informacin referida a las operaciones que realiza la Base de
datos?

Si
No
N/A
Observaciones:

***REPOSITORIO: SEGURIDAD ***


2. Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)?

Si
No
N/A
Observaciones:

3. Existe algn usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor?

Si
No
N/A
Observaciones:

4. Se encuentra un administrador de sistemas en la empresa que lleve un control de los usuario?

Si
No
N/A
Observaciones:

5. Son gestionados los perfiles de estos usuarios por el administrador?


Si

No
N/A
Observaciones: el manejo de usuarios se hace a travs de la aplicacin (sistema para agencia de viajes) y esto se traslada
al nivel de la base de datos

6. Son gestionados los accesos a las instancias de la Base de Datos?


Si

No
N/A
Observaciones: la gestin de acceso se hace a nivel de aplicacin

7. Las instancias que contienen el repositorio, tienen acceso restringido?


Si
No
N/A
Observaciones:

8. Se renuevan las claves de los usuarios de la Base de Datos?


Si

No
N/A
Observaciones:

9. Se obliga el cambio de la contrasea de forma automtica?


Si
No

N/A
Observaciones:

10. Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a estructuras,
tablas fsicas y lgicas del repositorio?
Si
No

N/A
Observaciones:

11. Posee la base de datos un diseo fsico y lgico?


Si
No
N/A
Observaciones:

12. Posee el diccionario de datos un diseo fsico y lgico?


Si

No
N/A
Observaciones:

13. Existe una instancia con copia del Repositorio para el entorno de desarrollo?

Si
No
N/A
Observaciones:

14. Est restringido el acceso al entorno de desarrollo?


Si

No
N/A
Observaciones: se trabaja en forma conjunta

15. Los datos utilizados en el entorno de desarrollo, son reales?


Si

No
N/A
Observaciones: algunas veces si, ya que existen tablas con datos especficos que deben se reales para realizar pruebas

16. Se llevan a cabo copias de seguridad del repositorio?


Si
No
N/A
Observaciones:

17. Las copias de seguridad se efectan diariamente?


Si
No
N/A
Observaciones:

18. Las copias de seguridad son encriptadas?


Si

No
N/A
Observaciones:

19. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren bien
hechas?

Si
No
N/A
Observaciones:

20. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa?
Si

No
N/A
Observaciones:

21. En caso de que el equipo principal sufra una avera, existen equipos auxiliares?

Si
No
N/A
Observaciones:

22. Cuando se necesita restablecer la base de datos, se le comunica al administrador?

Si
No
N/A
Observaciones:

23. La comunicacin se establece de forma escrita?


Si

No
N/A

Observaciones:

24. Una vez efectuada la restauracin, se le comunica al interesado?

Si
No
N/A
Observaciones:

25. Se lleva a cabo una comprobacin, para verificar que los cambios efectuados son los solicitados por el
interesado?

Si
No
N/A
Observaciones: aunque es mnima, despus de un tiempo de uso surgen algunas dudas y cuestiones

26. Se documentan los cambios efectuados?

Si
No
N/A
Observaciones: Minimante. Algunos cambios suelen ser no documentados. No hay un seguimiento exhaustivo de los
cambios

27. Hay algn procedimiento para dar de alta a un usuario?

Si
No
N/A
Observaciones:

28. Hay algn procedimiento para dar de baja a un usuario?

Si
No
N/A
Observaciones:

29. Es eliminada la cuenta del usuario en dicho procedimiento?

Si

No
N/A
Observaciones: se realiza una eliminacin logica

30. El motor de Base de Datos soporta herramientas de auditoria?

Si
No
N/A
Observaciones:

31. Existe algn tipo de documentacin referida a la estructura y contenidos de la Base de Datos?

Si
No
N/A
Observaciones: documentacin extrada de la pagina oficial del motor de base de datos

32. Se cuenta con niveles de seguridad para el acceso a la Base de Datos?

Si
No
N/A
Observaciones:

33. Se encuentra la Base de Datos actualizada con el ltimo Set de Parches de Seguridad?
Si

No
N/A
Observaciones:

34. Existe algn plan de contingencia ante alguna situacin no deseada en la Base de Datos?

Si
No
N/A
Observaciones: solo se restauran los backup realizados

35. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las base de datos?

Si
No
N/A
Observaciones:

*** Si existen estos Logs ***


36. Se usan los generados por el DBMS?

Si
No
N/A
Observaciones:

37. Se usan los generados por el Sistema Operativo?


Si

No
N/A
Observaciones:

38. Se han configurado estos logs para que slo almacenan la informacin relevante?
Si

No
N/A
Observaciones:

39. Se tiene un sistema de registro de acciones propio, con fines de auditora?


Si
No

N/A
Observaciones:

40. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por agua?
Si

No
N/A
Observaciones:

41. Las instalaciones del centro de cmputo son resistentes a potenciales daos causados por el fuego?
Si

No
N/A
Observaciones:

42. La ubicacin del centro de cmputo es acorde con las mnimas condiciones de seguridad?

Si
No
N/A
Observaciones:

43. Existe y es conocido un plan de actuacin para el personal del centro de cmputo, en caso de incidentes
naturales u otros que involucren gravemente la instalacin?
Si
No

N/A
Observaciones:

44. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?

Si
No
N/A
Observaciones: este tipo de control se usa solo para casos particulares

***Tareas realizadas por terceros ***


45. La informacin que poseen en la base de datos es real?
Si

No
N/A
Observaciones: algunas veces si, ya que existen tablas con datos especficos que deben se reales para realizar pruebas

46. Existe un contrato de confidencialidad con las terceras partes?

Si
No
N/A
Observaciones:

47. Se notifican las acciones realizadas a nivel de mantenimiento de hardware?


Si

No
N/A
Observaciones: