Responsable del diligenciamiento

Nombre:
Cargo:
Empresa:
Ubicación:
Teléfono:

Fecha del diligenciamiento

Nombre de la Base de Datos

Nombre y especificación del servidor asociado

Nombre de la aplicación asociada

No. ITEM

1. CONFIGURACION ESPECIFICA DEL SISTEMA OPERATIVO y DIRECTORIO SQL

Modo de autenticación.
SQL Server permite dos formas de
autenticación.
1. Modo de autenticación con Windows.
1.1. 2. Modo de autenticación mixto.

Actualización sobre tablas del sistema -

Querys.

1.2
 Declaración de permisos.
Verificar la asignación de "Statement
permission" a roles y cuentas de
seguridad

1.1.

Dueños no autorizados de objetos

Verificar los objetos propios del dueño
de la base de datos.

1.3

2. CONFIGURACION DE PARAMETROS SQL

Conexiones a la Base de Datos a través
del Usuario sa.

Verificar que el ID de usuario sa no

presenta un número excesivo de
2.1 conexiones. El uso de la cuenta sa
debe ser limitada a tareas
administrativas.

Cuenta de inicio del Servicio

MSSQLServer.
Verificar la cuenta con la cual se inicia
el servicio de SQL Server.
2.2
 Cifrado de contraseñas
Verificar que el encriptamiento de
contraseñas se encuentra habilitado
para todos los identificadores de
usuario.
2.3

Permitir Acceso Remoto.

Verificar que la opción de acceso
remoto no esté habilitada, a menos que
otros servidores SQL Server se
encuentren en uso.

2.4

3. MANTENIMIENTO Y SOPORTE DE LA BASE DE DATOS

La base de datos está incluida en la

3.1 programación de copias de respaldo y
retención de información
4. CONTROL DE USUARIOS

Cuenta unica como identificador de

4.1
usuario

4.2 Cuentas genéricas

4.3 Contraseña de usuario

4.4 Cambio de contraseña

Revisión periodica de Usuarios Base de

4.5
Datos
 Política de Contraseñas

4.6

Política de bloqueo de cuenta

4.7
 Auditoría de inicio de sesión fallidos.

4.8

5 - LOGS DE AUDITORIA Y REGISTRO DE EVENTOS

Se han activado logs de auditoría y

5.1 registro de eventos de seguridad en la
base de datos

5.2 Eventos de auditoria

 LISTA DE ASEGURAMIEN

el servidor asociado

DESCRIPCIÓN

A DEL SISTEMA OPERATIVO y DIRECTORIO SQL

La autenticación con Windows es considerado el modo de ingreso
más seguro ya que SQL Server se basa en Windows NT/2000 para
proporcionar seguridad al inicio de sesión. Cuando un usuario inicia
su sesión con Windows NT/2000, se comprueba la identificación de la
cuenta de usuario. SQL Server comprueba que el usuario fue validado
por Windows NT/2000 y permite el acceso basado en esa
identificación.

La opción de permitir modificaciones directamente sobre los catálogos

del sistema, determina que las actualizaciones, borrados o
inserciones pueden ejecutarse sobre tablas del sistema, activacion de
consultas Hdoc, XPCmdShellEnabled.
 Los Statement Permissions son permisos especiales requeridos en
actividades de creación de base de datos o de objetos en una base
de datos, como tablas o procedimientos almacenados y copias de
seguridad.

Los objetos de SQL Server incluyen tablas, vistas, procedimientos

almacenados, triggers, valores por defecto y reglas. El usuario que
crea un objeto se convierte en su dueño. Por razones de seguridad,
sólo el dueño de la base de datos debe poder crear y definir como
propios sus objetos.

Se deben verificar los objetos que no han sido creados por el dueño
de la base de datos para asegurar que no se hayan hecho cambios
no autorizados y/o por Caballos de Troya en el servidor.

ETROS SQL
La cuenta sa corresponde a la cuenta del administrador del sistema
SQL Server y es creada en la instalación inicial. Esta cuenta tiene
asignados todos los permisos y no puede ser removida.

Las mejores prácticas limitan su uso a sólo una persona. Si la

contraseña de esta cuenta es conocida por más de una persona o si
múltiples usuarios ingresan al sistema utilizando esta cuenta, el
ingreso y la no repudiación pierde efectividad.

Microsoft SQL Server se ejecuta como el servicio de Windows

MSSQLServer. Un servicio de Windows debe establecerse para
utilizar una cuenta de Windows para tener acceso a los recursos del
sistema operativ. Los servicios de Windows son configurados para
autenticarse utilizando la cuenta "LocalSystem" que tiene priviliegios
de Administrador.
 Por defecto, SQL Server cifra las contraseñas que almacena en la
tabla syslogins. Esta característica puede ser deshabilitada y permitir
a los usuarios, con permisos de lectura, descifrar las contraseñas.

La opción de acceso remoto determina si se permite la conexión de

otros servidores SQL Server al actual. Las conexiones remotas son
requeridas en caso de tareas de replicación y ejecución remota de
procedimientos almacenados. Para servidores donde el acceso
remoto no es requerido, esta característica debe ser deshabilitada.

DE LA BASE DE DATOS

- Acta de backup - Procedimiento de backup de Ecopetrol, con sus

respectivas firmas.-

El base de datos emplea una cuenta única como identificador de

usuario, la cual cumple la estructura definida en la normativa de
ECOPETROL S.A.

Se utilizan cuentas genéricas para el acceso al sistema de

información (el cumplimiento se da sino no existan cuentas
genericas). En los casos que existan, se encuentran documentadas,
justificadas y aprobadas mediante acta de acuerdo.

- Cambio obligatorio de contraseña en el primer inicio de sesión

- La base de datos permite realizar cambio de contraseña a solicitud

del usuario. Para ello solicita la contraseña anterior y la nueva
contraseña.

El administrador de la base de datos realiza una revision y validación

periodica de Usuarios, roles y privilegios asignados a los usuarios.
Estas revisiones son documentadas y se realizan cada mes.
SQL Server no posee la capacidad de monitorear las contraseñas de
los usuarios, pero cuando es configurado para usar la seguridad de
Windows, haciendo uso de la validación de ingreso de Windows
NT/2000, impone la política de contraseñas definidas para el servidor.

Si la autenticación a través de SQL Server es usada, el administrador

de la base de datos necesitará crear procedimientos almacenados
especiales para monitorear las contraseñas de los usuarios y hacer
cumplir la política de contraseñas.

Políticas de contraseñas definida para Ecopetrol.

- Longitud mínima de caracteres: 6
- Cantidad mínima de caracteres especiales: 1
- Cantidad mínima de caracteres numéricos: 1
- No se permite caracteres consecutivos repetidos
- Histórico de contraseñas: 6
- Vigencia de la contraseña: 60 días
- Vigencia de la contraseña para usuarios administradores: 60 días

Si SQL Server es configurado para usar la seguridad de Windows,

verificar la adecuada configuración de la política relacionada con
bloqueo de cuenta, la cual contempla:
- Bloqueo automático de la sesión de usuario por tiempo de
inactividad
- La sesión de usuario que se ha bloqueado solicita el nombre de
usuario y contraseña para reiniciar la operación.
- Terminación automática de la sesión de usuario por tiempo de
inactividad
- Límite de 5 intentos de acceso fallidos consecutivos antes de
proceder a bloquear la cuenta de usuario
 Windows Server puede monitorear los intentos fallidos de ingreso a
SQL Server usando la autenticación de Windows.

STRO DE EVENTOS

Verificar que la base de datos debe tiene habilitada la auditoria.

Acceso de usuarios (ID de usuario, fecha y hora de entrada, fecha y

hora de salida)
Eventos de seguridad (intentos fallidos de sesión, detección de
intrusiones, errores de sistema, alertas o mensajes de sistema)
Operaciones con privilegio (utilización de la cuenta Administrador)
Cambios en la configuración del sistema
Inicio y apagado del sistema
 LISTA DE ASEGURAMIENTO SQL SERVER

CUMPLI_
EXCEPCION
PRUEBA MIENTO
(S/N)
(S/N)

Verificar que el modo de autenticación se encuentra

acorde con las especificaciones de las políticas de
seguridad.

Seleccionar SQL Server Enterprise Manager →

Herramientas → Propiedades de configuración de SQL
Server → Seguridad

Seleccionar SQL Server Enterprise Manager →

Herramientas → Propiedades de Configuración de SQL
Server → Configuración del Servidor → Facet →
Security.

Verificar que las opción “Permitir que se modifiquen

directamente los catálogos del sistema” no se encuentre
habilitada.
Documentar la evidencia que verifique
Para la base de datos correspondiente
Seleccionar Inicio → Enterprise Manager → Bases de
Datos. Clic derecho sobre la base de datos seleccionada
y escoger Propiedades → Permisos.

Documentar la evidencia correspondiente para la

asignación de permisos de:
- Create DB.
- Create Table
- Create View.
- Create Store Procedure.
- Create Default.
- Create Rule
- Create Function
- Backup DataBase
- Backup Transaction Log

Desde el SQL Server Enterprise Manager seleccionar la

base de datos correspondiente y verificar que la
propiedad de todas las Tablas, Vistas, Procedimientos
Almacenados y Tipos de Datos de Usuario sea única y
corresponda al dueño o esquema de la base de datos.-

Verificar que la cuenta de usuario administrador sa está

asignada a un único usuario, en caso contrario obtener
sustentación de su asignación.

Seleccione Inicio → Configuración → Panel de Control

→ Herramientas Administrativas → Servicios.
Verificar cual es la cuenta que inicia el servicio
MSSQLServer.

Ésta debe corresponder a una cuenta autorizada con

privilegios de administrador.
Seleccionar SQL Server Enterprise Manager → Bases
de Datos → Master → Vistas → syslogins. Clic derecho
sobre la vista de syslogins y escoger Vista → Retornar
todas las filas.

Documentar la evidencia que verifique que en la

columna password no se presentan valores NULL o
texto plano.

Seleccione SQL Enterprise Manager → Herramientas →

Propiedades de Configuración de SQL Server →
Conexiones.

Verifique que la casilla “Permitir que otros servidores

SQL Server conecten de forma remota a este servidor
SQL Server mediante RPC”, no esté habilitada, si otros
servidores SQL Server no están siendo utilizados.

Documentar la evidencia sobre el bloqueo de la

conexión remota O documente explícitamente la
excepción por la cual se requiere la conexión remota.

- Anexar Acta de Backup y el LOG que retorna la

herramienta DataPortector donde se identifique que la
base dedatos tiene respaldo y politicas de backup.-

Documentar evidencia lista de usuarios con los

estandares establecias por Ecopetrol

Documetar que no existan cuentas genericas en el

listado de base de datos.

Documentar evidencia del cambio obligatorio de la

contraseña

Documentar evidencia de solicitud de contraseña

anterior y contraseña actual para los cambios de
contraseña.

Documentar la evidencia del listado de usuarios donde

se verifica la fecha de creación de cada uno de los
usuarios. El usuario de base
Verificar la existencia y definición de las políticas de
contraseñas dentro del servidor en el que se encuentra
la base de datos o en su defecto, en el servidor de
dominio.

Seleccionar Inicio → Configuración → Panel de Control

→ Herramientas Administrativas → Políticas de
seguridad local → Políticas de Cuentas → Política de
Contraseña y Política de Bloqueo de Cuenta

Documentar la evidencia que verifique el cumplimiento

de las políticas de contraseñas definida para Ecopetrol.

Verificar la existencia y definición de las políticas de

bloqueo de cuenta dentro del servidor en el que se
encuentra la base de datos o en su defecto, en el
servidor de dominio.

Seleccionar Inicio → Configuración → Panel de Control

→ Herramientas Administrativas → Políticas de
seguridad local → Políticas de Cuentas → Política de
Contraseña y Política de Bloqueo de Cuenta

Documentar la evidencia que verifique el cumplimiento

de las políticas de bloqueo de cuenta definida para
Ecopetrol.
1. Si se utiliza la autenticación de Windows, los intentos
fallidos de ingreso a la aplicación pueden ser
monitoreados.

Verificar las políticas de auditoría del servidor de

dominio. Seleccionar Inicio → Configuración → Panel
de Control → Herramientas Administrativas → Políticas
de Seguridad Local → Políticas Locales → Políticas de
Auditoría.

Documentar la evidencia que verifique este monitoreo.

2. Documentar la evidencia sobre el Visualizador de

Eventos (Event Viewer (a nivel de Seguridad)), donde se
verifique que se lleva un registro de los eventos de
acuerdo a las políticas de auditoría activadas.

Seleccionar Inicio → Configuración → Panel de Control

→ Herramientas Administrativas → Visualizador de
Eventos.

Documentar la evidencia donde se verifica que se

encuentra habilitada la auditoria ( fn_trace_getinfo ,
sp_trace_setfilter )

Documentar la evidencia donde verifique los eventos de

auditoria (EventID - Columns), Traza en General.-
ERVER

JUSTIFICACION
Nivel:BD /
(Incluir referencia al documento de CONTROL SOX
Instancia
evidencia)
id control
Instancia

Instancia
 BD

BD

id control
BD

Instancia
Instancia

Instancia

id control
BD

id control
BD

BD

BD

BD

BD
BD

BD
BD

id control
BD

BD
 PPC-ID-CO-EPCOP-001/F17-B

Fecha de edición Octubre de 2011

Edición 1

CONTROL SOX

ID Grupo de control ID control de seguridad

ID Grupo de control ID control de seguridad
ID Grupo de control ID control de seguridad

ID Grupo de control ID control de seguridad

ID Grupo de control ID control de seguridad