Instituto Tecnologico de Aguascalientes

Auditoria de Tecnologias de la Informacion

Lista de check List de auditoria de base de datos
Maestra Xoxhitlk Padilla Maynez
Equipo 5
Ana Cecilia Gonzlez
Moises Gaytan Arevalo
Aaron flores
Fernando Morales
luis Alejandro
Luis Gonzales Toledo

tes

SI
1. Existe algn archivo de tipo Log donde
guarde informacin referida a las operaciones
que realiza la Base de datos?

aqui debemos seleccionar con una x donde corre

que la respuesta sea psoitiva o x si la respuesta
fabor solo marcar con x

suma de preguntas que salieron positivas

Totales:
Se realiza una resta al total de preguntas que son 47
menos las preguntas que se marcaron como que no
aplican por ejemplo se pusieron 3 para reducir nuestro
universo y el promedio sea real
Se obtiene el promedio apartir de la suma de las
preguntas que si pueden ser aplicadas

37
44

84.0909091

NO

NA

OBSERVACIONES

leccionar con una x donde corresponda ya sea en

sea psoitiva o x si la respuesta es negativa por
r con x

En caso de que no aplique una pregunta que no

tipo de departamento que va aplicar fabor de m
con x

n positivas

suma de preguntas que salieron neagtivas

3
preguntas que no apliquen

En este espacio usted deberia poner las observaciones

pertinentes para que pueda ayudarse a la toma de decisiones

o aplique una pregunta que no sea aplicable a su

ento que va aplicar fabor de marcar la siguiente

que no apliquen

AUDITORIA EN BASE DE DATOS

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

1. Existe algn archivo de tipo Log donde guarde

informacin referida a las operaciones que realiza
la Base de datos?

2. Se realiza copias de seguridad (diariamente,

semanalmente, mensualmente, etc.)?

3. Existe algn usuario que no sea el DBA pero que

tenga asignado el rol DBA del servidor?

4. Se encuentra un administrador de sistemas en

la empresa que lleve un control de los usuario?

5. Son gestionados los perfiles de estos usuarios

por el administrador?

6. Son gestionados los accesos a las instancias de

la Base de Datos?

7. Las instancias que contienen el repositorio,

tienen acceso restringido?

8. Se renuevan las claves de los usuarios de la

Base de Datos?

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

9. Se obliga el cambio de la contrasea de forma

automtica?

10. Se encuentran listados de todos aquellos

intentos de accesos no satisfactorios o denegados
a estructuras, tablas fsicas y lgicas del
repositorio?

11. Posee la base de datos un diseo fsico y

lgico?

12. Posee el diccionario de datos un diseo fsico y

lgico?

13. Existe una instancia con copia del Repositorio

para el entorno de desarrollo?

14. Est restringido el acceso al entorno de

desarrollo?

15. Los datos utilizados en el entorno de

desarrollo, son reales?

16. Se llevan a cabo copias de seguridad del

repositorio?

17. Las copias de seguridad se efectan

diariamente?

17. Las copias de seguridad se efectan

diariamente?
SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

18. Las copias de seguridad son encriptadas?

19. Se ha probado restaurar alguna vez una copia

de seguridad, para probar que las mismas se
encuentren bien hechas?

20. Los dispositivos que tienen las copias de

seguridad, son almacenados fuera del edificio de
la empresa?

21. En caso de que el equipo principal sufra una

avera, existen equipos auxiliares?

22. Cuando se necesita restablecer la base de

datos, se le comunica al administrador?

23. La comunicacin se establece de forma

escrita?

24. Una vez efectuada la restauracin, se le

comunica al interesado?

25. Se lleva a cabo una comprobacin, para

verificar que los cambios efectuados son los
solicitados por el interesado?

26. Se documentan los cambios efectuados?

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

27. Hay algn procedimiento para dar de alta a un

usuario?

28. Hay algn procedimiento para dar de baja a un

usuario?

29. Es eliminada la cuenta del usuario en dicho

procedimiento?

30. El motor de Base de Datos soporta Software

de auditoria?

31. Existe algn tipo de documentacin referida a

la estructura y contenidos de la Base de Datos?

32. Se cuenta con niveles de seguridad para el

acceso a la Base de Datos?

33. Se encuentra la Base de Datos actualizada con

el ltimo Set de Parches de Seguridad?

34. Existe algn plan de contingencia ante alguna

situacin no deseada en la Base de Datos?

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

SI

NO

35. Existen logs que permitan tener pistas sobre

las acciones realizadas sobre los objetos de las
base de datos?

36. Se usan los generados (logs) por el DBMS?

37. Se usan los generados (logs) por el Sistema

Operativo?

38. Se han configurado estos logs para que slo

almacenan la informacin relevante?

39. Se tiene un sistema de registro de acciones

propio, con fines de auditora?

40. Las instalaciones del centro de cmputo son

resistentes a potenciales daos causados por
agua?

41. Las instalaciones del centro de cmputo son

resistentes a potenciales daos causados por el
fuego?

42. La ubicacin del centro de cmputo es acorde

con las mnimas condiciones de seguridad?

43. Existe y es conocido un plan de actuacin para

el personal del centro de cmputo, en caso de
incidentes naturales u otros que involucren
gravemente la instalacin?

43. Existe y es conocido un plan de actuacin para

el personal del centro de cmputo, en caso de
incidentes naturales u otros que involucren
gravemente la instalacin?
SI

NO

SI

NO

SI

NO

SI

NO

44. Existe un control de las entradas y las salidas

de la base de datos (A nivel datos)?

45. La informacin que poseen en la base de datos

es real?

46. Existe un contrato de confidencialidad con las

terceras partes?

47. Se notifican las acciones realizadas a nivel de

mantenimiento de hardware?

Totales:
calificacion en promedio obtenida por la empresa
hay que darle la interpretacion adecuada junto
con le personal encargado

0
0

#DIV/0!

Row 242

OS
NA

OBSERVACIONES

x
NA

OBSERVACIONES
Semanal

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

x
NA

OBSERVACIONES

47
Tabla de interpretacion de valores
Si se obtiene valores del promedio de 90% a 100% la auditoria sera
totalmente satisfecha y la empresa obtendra un buen promedio

Si se obtiene un calificacion de 80% a 89% sera calificacion

satisfactoria solo abria que hacer mejoras que el auditor
recomendara a las peronas auditadas en la pesta;a de conclusiones

Row 242

si se obiene de 70 a 80 era una calificacion pasable pero el auditor deberia

dejar muchas areas de oportunidad para el departamento ya que es
aceptable pero no satisfactoria

menos del 70% se considerara negativa cualquiera sea la calificacion por lo

cual el auditor debe dejar sus observaciones y conclusiones para que se
trabaje en ello

Trmino
Log

DBA

Roles

Instancia BD

Repositorio
DBMS

Definicin
Un log (Bitacora) es un registro oficial de eventos durante un rango de tiempo en particular
usado para registrar datos o informacin sobre quin, qu, cundo, dnde y por qu
manipul informacin en la Base de Datos
Un administrador de bases de datos, es aquel profesional que administra las tecnologas de
la informacin y la comunicacin, siendo responsable de los aspectos tcnicos, tecnolgicos,
cientficos, inteligencia de negocios y legales de bases de datos.
Existen dos tipos de roles de nivel de base de datos en SQL Server: los roles fijos de base de
datos, que estn predefinidos en la base de datos, y los roles flexibles de base de datos, que
pueden crearse.
Los roles fijos de base de datos se definen en el nivel de base de datos y existen en cada una
de ellas.Los miembros de los roles de base de datos db_owner y db_securityadmin pueden
administrar la pertenencia a roles fijos de base de datos.Sin embargo, solo los miembros del
rol de base de datos db_owner pueden agregar miembros al rol fijo de base de datos
db_owner
Una instancia de Motor de base de datos es una copia del ejecutable de la base de datos que
se ejecuta como un servicio de sistema operativo.Cada instancia administra varias bases de
datos del sistema y una o varias bases de datos de usuario.
Un repositorio, depsito o archivo, es un sitio centralizado donde se almacena y mantiene
informacin digital, habitualmente bases de datos o archivos informticos.
Sistema Gestor de Base de Datos

Recomendacin

Se puede implementar una base de bados interna que contenga el software que se utili
en las aulas para tener siempre disponible, ya sea en el reseteo de alguna maquina o
alumnos y profesores (de manera portable) a peticion de los m

ontenga el software que se utiliza en los equipos de computos

el reseteo de alguna maquina o para tener software utli a los
ra portable) a peticion de los mismos.