LINEAMIENTOS DE SEGURIDAD

PARA MIGRAR BASES DE DATOS DEL

CONSEJO DE LA JUDICATURA

CÓDIGO JPSI-SGSI-2018-008-RF
VERSIÓN 1.0
FECHA DE LA VERSIÓN 20 de febrero de 2018
CREADO POR Dirección Nacional de TICS
APROBADO POR (En trámite para aprobación del Director TICS)
NIVEL DE CONFIDENCIALIDAD Uso Interno

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 1 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
CONTENIDO

HISTORIAL DE REVISIONES DEL DOCUMENTO……………………………………………………………………………. 3

INTRODUCCIÓN……………………………………………………………………………………………………....................... 4
OBJETIVO DEL DOCUMENTO……………………………………………………………………………………………………….. 4
ALCANCE DEL DOCUMENTO……………………………………………………………………………………………………... 4
DOCUMENTOS DE REFERENCIA………………………………………………………………………………………………….. 4
RESPONSABLES………………………………………………………………………………………………………………………….. 4
DEFINICIONES……………………………………………………………………………………………………………………………. 5

1. LINEAMIENTOS GENERALES………………………………………………………………………………………………………………… 5
1.1 PLANIFICACIÓN………………………………………………………..……………………….………………………….. 5
1.2 CRONOGRAMA PARA LA MIGRACIÓN DE BASE DE DATOS ……………………………..…………… 6
1.3 LISTA DE CHEQUEO PARA LA MIGRACIÓN …………………………………………………………………………… 7
1.4 MAPEO DE TIPOS DE DATOS O MAPEO DE CAMPOS.…………………………………………….…….. 8
1.5 RESTRICCIONES, TRIGGERS Y JOBS………………………………………………………………………………. 8
1.6 CODIFICACIÓN DE CARACTERES…………………………………………………………………………………….. 8
1.7 VALIDACIÓN DE DATOS……………………………………………………………………………………………….. 8
1.8 CONTADOR DE REGISTROS……………………………………………………………………………………………. 8
1.9 RECOMENDACIONES ADICIONALES……………………………………………………………………………… 8
2. LINEAMIENTOS ESPECÍFICOS PARA SQL SERVER 2012……..………………………………………………….. 9
2.1 VERIFICACIÓN DE LAS INTANCIAS………………………………………………………………………………….. 9
2.2 COPIAS DE SEGURIDAD…………………………………………………………………………………………………… 9
2.3 ESPACIO INSUFICIENTE EN DISCO DURO Y REQUISITOS DE HARDWARE……………………….. 9
2.4 DATOS DBCC………………………………………………………………………………………………………………….. 9
2.5 INICIO DE SESIÓN…………………………………………………………………………………………………………… 8
2.6 PROCEDIMIENTOS ALMACENADOS……………………………………………………………………………….. 9
2.7 REPLICACIÓN DE BASES DE DATOS………………………………………………………………………………… 9
2.8 ANEXOS…………………………………………………………………………………………………………………………. 10

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 2 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
HISTORIAL DE REVISIONES DEL DOCUMENTO

VERSIÓN FECHA DESCRIPCIÓN AUTOR FIRMA

Entrega del documento borrador:
LINEAMIENTOS DE SEGURIDAD PARA MIGRAR
1.0 08/02/2018 BASES DE DATOS SQL SERVER 2008 A SQL Rossvan Flores
SERVER 2012 DEL CONSEJO DE LA
JUDICATURA
Revisión documento LINEAMIENTOS DE
SEGURIDAD PARA MIGRAR BASES DE DATOS
1.0 19/02/2018 Karina Rendón
SQL SERVER 2008 A SQL SERVER 2012 DEL
CONSEJO DE LA JUDICATURA
Revisión documento LINEAMIENTOS DE
SEGURIDAD PARA MIGRAR BASES DE DATOS
1.0 20/02/2018 Fran Cedeño
SQL SERVER 2008 A SQL SERVER 2012 DEL
CONSEJO DE LA JUDICATURA
Ampliación del documento LINEAMIENTOS DE
SEGURIDAD PARA MIGRAR BASES DE DATOS ROSSVAN Firmado
SQL SERVER 2008 A SQL SERVER 2012 DEL digitalmente por
EMILIO ROSSVAN EMILIO
1.0 23/05/2018 Rossvan Flores
CONSEJO DE LA JUDICATURA en base a las FLORES FLORES NARANJO
Fecha: 2018.06.05
observaciones y recomendaciones del NARANJO 16:26:41 -05'00'

Memorando-CJ-DNTICS-SNIT-2018-0129-M

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 3 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
INTRODUCCIÓN.
Uno de los procesos básicos en las implementaciones de nuevos sistemas de información es lo
referente a las actividades de migración de datos. Es importante establecer las verdaderas
razones que se tienen para realizar una migración de datos y documentar los objetivos de la
misma y definir la metodología a seguir para realizar este proceso.

En este documento se describen los lineamientos de seguridad para migrar bases de datos,
definidas por la Dirección Nacional de TICS (DNTICS), y se constituyen como parte fundamental
del sistema de gestión de seguridad de la información de la DNTICS, convirtiéndose en la base
para la implantación de los controles, procedimientos y estándares definidos.

OBJETIVO DEL DOCUMENTO.

Establecer los lineamientos de seguridad para la migración de bases de datos con el fin de
asegurar su integridad y su accesibilidad, así como evitar el uso mal intencionado de la
información generada y almacenada en los diferentes motores de bases de datos.

ALCANCE DEL DOCUMENTO.

Las políticas de Seguridad de la Información cubren todos los aspectos administrativos y de
control que deben ser cumplidos por los funcionarios judiciales de la DNTICs del Consejo de la
Judicatura en el control del acceso y perfiles sobre las bases de datos.

DOCUMENTOS DE REFERENCIA.
• Lineamientos de seguridad para el desarrollo de bases de Datos del Consejo de la Judicatura
v1.1
• Lineamientos de gestión de contraseñas del usuario del dominio del Consejo de la Judicatura.
• https://technet.microsoft.com/es-es/library/bb895180(v=sql.105).aspx
• ISO 27002 A.10.7 Gestión de medios, evitar la divulgación, modificación, eliminación o
destrucción no autorizada de los activos; y la interrupción de las actividades comerciales.
• ISO 27002 A.10.10 Monitoreo, detectar actividades de procesamiento de información no
autorizadas.
• ISO 27002 A.11.1 Control de acceso, controlar el acceso a la información.
• ISO 27002 A.11.2 Gestión del acceso del usuario, asegurar el acceso del usuario autorizado y
evitar el acceso no autorizado a los sistemas de información.
• ISO 27002 A.11.3 Responsabilidades del usuario, evitar el acceso de usuarios no autorizados, y
el compromiso o robo de la información y los medios de procesamiento de la información.

RESPONSABLES.
Responsables de la actualización del documento.

• Dirección Nacional de TICs: Subdirección Nacional de Seguridad de Información del Consejo

de la Judicatura, Subgerencia de Proyectos y Subgerencia de Aseguramiento y Calidad del
Software.

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 4 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
DEFINICIONES:

DBA: Administrador de Base de datos.

Autenticación: es el procedimiento de comprobación de la identidad de un usuario o recurso
tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.
Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas,
procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de
carácter administrativo, tecnológico, físico o legal.
Integridad: es la protección de la exactitud y estado completo de la información y los activos.
Confidencialidad: es la propiedad de la información, por la que se garantiza que no está accesible
únicamente a personal autorizado a acceder a dicha información.
Disponibilidad: es la garantía de que los usuarios autorizados tienen acceso a la información y a
los activos asociados cuando lo requieren.
SGBD: Sistema de Gestión de Seguridad de bases de datos.
Campo: Espacio de almacenamiento de dato. Es la mínima unidad de información que se puede
acceder en la base de datos.
Clúster: En términos de servidores de datos se refiere a un conjunto de servidores que trabajan
juntos como un nodo para compartir recursos y aplicaciones de clientes.
DML: Data Manipulation Language. Sentencias o conjunto de comandos SQL que se usan para
manipular datos con operaciones de consulta, inserción, eliminación o actualización.
RAID: Sistema de almacenamiento con múltiples discos duros que sirven para distribuir o replicar
datos. Su sigla en inglés es Redundant Array of Inexpensive Disk
NV: Documento Notas de la Versión.
PP: Documento de Paso a Producción.
LINKED SERVER: Los servidores vinculados normalmente se configuran para habilitar al motor de
base de datos a fin de ejecutar una instrucción Transact-SQL que incluye las tablas de otra
instancia de SQL Server u otro producto de base de datos como Oracle.

1. LINEAMIENTOS GENERALES
1.1 PLANIFICACIÓN
Se debe contar con un formulario del plan de migración, en el cual conste incluso procesos de
reversado del proceso en caso de fallos (roll back), se detallará al menos:

ITEM RESPONSABLE ESTADO FECHA

Equipo multidisciplinario de gestión de la migración.
Elaborar cronograma de migración.
Documentar los procedimientos de control de cambio para
que se incorporen en el plan de migración.
Informar con anticipación el inicio del procedimiento (abrir
ventanas de mantenimiento)
Coordinar con los proveedores tecnológicos los procesos de
almacenamiento basados en el empleo de buenas prácticas
(Norma NTE INEN-ISO/IEC 27001, Control 10.7.3,
Procedimientos para el manejo de información, literal G
mantener la distribución de data en lo mínimo)

En el caso de la participación de personal técnico externo, se

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 5 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
 deberá seguir las políticas de seguridad para el acceso físico
y lógico a los ambientes relacionados.
Planificar actividades previas a la migración que permitan
determinar indicadores para puntos de control que faciliten
la verificación posterior a la migración, se debe generar una
hoja de ruta para la migración sin fechas que incluyan
procesos de rollback.
ANEXO No. 1 Hoja de ruta sin fechas
Se debe completar la hoja de ruta incorporando fechas de
cumplimiento de las actividades y ejecutarlas.
ANEXO No. 1 Hoja de ruta con fechas
Formalizar la migración con el documento de Control de
Cambios para migración de BDD.
ANEXO No. 2 Control de Cambios
Verificar con listas de chequeo todos los pasos de la
migración se realicen de manera exitosa.

Se debe considerar que no es posible realizar un downgrade de versiones, por el momento se ha

optado por usar el modo de compatibilidad 2008 con lo cual la BDD simula seguir en motor 2008
sin embargo Upgrades posteriores se debe validar funcionalidad Integral.

1.2 CRONOGRAMA PARA LA MIGRACIÓN DE BASE DE DATOS

El cronograma que se va a ejecutar dentro de la ventana de mantenimiento para la migración:

CRONOGRAMA PARA LA MIGRACIÓN DE BDD SQL SERVER 2008 A 2012

TRABAJO DURACIÓN RESPONSABILIDAD OBSERVACIONES
Inicio Ventana de Mantenimiento 0:00:00 Mesa de servicios
Ejecutar conteo de registros de tablas
señaladas por despliegue. (Habilitar
usuario) -> PreUpgrade 0:01:00 Operaciones
Este conteo lo realiza PAUL HARO, Se
debe habilitarle el acceso

Deshabilitar los Jboss de APP (Sorteos

0:02:00 Infraestructura
y Escritos) (Realiza Eduardo)
Ejecutar checkpoint (20 veces)
Detener motor y agente de instancias
0:05:00 Infraestructura
(SQL 2008)
Iniciar instancias en modo
SINGLE_USER
Vaciar log de las bases de datos (SQL
2008)
Obtener backup FULL de las bases a
migrar (SQL 2008)

Detener motor instancias (SQL 2008)

Copiar respaldos al servidor local 0:05:00 Infraestructura

Detener agentes instancias (SQL 2012)

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 6 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
 Restaurar bases en las nuevas
0:05:00 Infraestructura
instancias

Ejecutar conteo de registros de tablas

señaladas por despliegue. (Habilitar
usuario) -> PostUpgrade 0:01:00 Infraestructura
Este conteo lo realiza PAUL HARO, Se
debe habilitarle el acceso

Reindexar bases de datos 4:00:00 Infraestructura

Reconstruir estadística bases de datos 0:30:00 Infraestructura

Vaciar log de las bases de datos (SQL

2012)
Validar integridad de las base de datos
5:00:00 Infraestructura
migradas
Obtener backup FULL de las bases
migradas (SQL 2012)
Actualizar instancias Pre-Producción
10.1.15.106\IPRE01, Infraestructura
10.1.15.106\IPRE02
Iniciar agente de las instancias (SQL
0:10:00 Infraestructura
2012)
Verificar conectividad de Linked
0:10:00 Infraestructura
Servers

Apuntar Jboss a las nuevas instancias 0:10:00 Infraestructura

Iniciar motor y agente de instancias

(SQL 2008)
Colocar bases de datos migradas en
modo OffLine (SQL 2008)
Fin Ventana de Mantenimiento 0:00:00 Mesa de servicios

Además es importante determinar el tamaño de los datos participantes en la migración para lo

cual hay que considerar elementos como:

1.3 LISTA DE CHEQUEO PARA LA MIGRACIÓN

La siguiente lista de chequeo se debe cumplir en cada migración.

Lista 1: Arquitectura de servidores y clientes, para su revisión antes y después de la migración

ARQUITECTURA DE SERVIDORES Y CLIENTES OBSERVACIONES

Proveedor del servidor (Validar si cuenta con soporte Cumple o no cumple
del proveedor o fabricante)
Número de CPUs Antes y después de la migración
Memoria RAM Antes y después de la migración
Número de dominios y particiones lógicas De ser aplicable
Sistema de almacenamiento utilizado Antes y después de la migración
Versiones de sistemas operativos Antes y después de la migración
Tamaños de bases de datos Antes y después de la migración

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 7 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
 Requerimientos de disponibilidad de la base de datos Ventana de mantenimiento
(SLA, tiempos de inactividad)
Clústeres existentes Antes y después de la migración
Administradores de volúmenes De ser aplicable
Número de réplicas Antes y después de la migración
Aplicaciones a las que da servicio la BDD Antes y después de la migración
Velocidades de red De ser aplicable

1.51.4 MAPEO DE TIPOS DE DATOS O MAPEO DE CAMPOS

El mapeo de campos o de tipo de datos se debe realizar tanto en la base de datos origen como la
de destino, para asegurar la consistencia de la información. El equipo de gestión de la migración
debe realizar reuniones de levantamiento de información, descripción de los campos del sistema
destino, análisis de campos de la base de datos destino que no se pueden mapear con la base de
datos fuente.

La utilización de ésta técnica se hace usando el reverse mapping (Mapeo de destino a origen) o
direct mapping (Mapeo origen a destino) para la especificación de datos que requiere el sistema
destino para su normal operatividad.

1.61.5 RESTRICCIONES, TRIGGERS Y JOBS

En el caso de tener restricciones, triggers y jobs, se debe inhabilitar temporalmente las mismas
para poder hacer el traslado masivo de datos entre los sistemas a migrar.

1.71.6 CODIFICACIÓN DE CARACTERES

Se deben realizar pruebas de verificación que permitan identificar caracteres que podrían
provocar inconvenientes en la copia masiva de datos.

1.81.7 VALIDACIÓN DE DATOS

En la validación de datos se debe verificar la información resultante del proceso de migración de
datos, comparándola con los resultados esperados de acuerdo con los sistemas de datos fuente.
De igual manera se deben generan los reportes de estadísticas de la migración para valorar el
proceso con base en los resultados y se informa a todos los usuarios del sistema para una
verificación final de la consistencia de la información.

1.91.8 CONTADOR DE REGISTROS

Se debe realizar un conteo de registros, teniendo como referencia cuántos registros son
insertados en forma correcta y cuántos han fallado en su proceso de inserción, con el objetivo de
presentar los resultados cuantificados en inserciones exitosas e inserciones fallidas.

1.101.9 RECOMENDACIONES ADICIONALES

Revisar el inventario de DataSources que se debe cambiar a nivel de aplicación (nodos de
aplicación que llaman a IP de balanceo, archivos de configuración Web y Cliente Servidor),

Actualizar planes de contingencia,

Revisar arquitectura de aplicaciones que se conectan a la BDD migrada(Cliente Servidor, Web)

Revisar cambios en configuración regional de servidores,

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 8 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial

Revisar valores quemados (Ejemplo: nombre de la instancia),

Actualizar diagramas de arquitectura de BDD,

Evitar usar linked server ya que representan una carga adicional al servidor que invoca al
linked server y a su vez es un hueco de seguridad.

2. LINEAMIENTOS ESPECÍFICOS PARA SQL SERVER 2012

2.1 VERIFICACIÓN DE LAS INSTANCIAS
Cuando se actualiza instancias de SQL Server en que el Agente SQL Server está dado de alta en
relaciones entre servidores maestros y servidores de destino, actualice los servidores de destino
antes de actualizar los servidores maestros. Si actualiza los servidores maestros antes de
actualizar los servidores de destino, el Agente SQL Server no podrá conectarse a instancias
maestras de SQL Server.

2.2 COPIAS DE SEGURIDAD

Realice una copia de seguridad de todos los archivos de base de datos de SQL Server en la
instancia que va a actualizar, para que pueda restaurarlos al completo, si fuera necesario.

2.3 ESPACIO SUFICIENTE EN DISCO DURO Y REQUSITOS DE HARDWARE

Se debe verificar que exista espacio necesario en disco para actualizar los componentes de SQL
Server, así como las bases de datos de usuario, para obtener el espacio en disco necesario para los
componentes de SQL Server.

2.4 DATOS DBCC

Ejecute los comandos de consola de datos (DBCC) en las bases de datos que vaya a actualizar
para asegurarse de que se encuentran en un estado coherente. Los comandos DBCC utilizan
bloqueos de tabla en lugar de instantáneas internas de la base de datos cuando el comando se
ejecuta en:
Un grupo de archivos de solo lectura
Un sistema de archivos FAT
Un volumen que no admite "flujos con nombre"
Un volumen que no admite "flujos alternativos"

2.5 INICIO DE SESION

Se debe verificar que todos los servidores de bases de datos tengan información de inicio de
sesión en la base de datos master. Esto es especialmente importante para restaurar las bases de
datos, ya que la información de inicio de sesión del sistema reside en la base de datos master.
2.6 PROCEDIMIENTOS ALMACENADOS
Se sugiere deshabilitar todos los procedimientos almacenados de inicio, ya que el proceso de
actualización detendrá e iniciará los servicios en la instancia de SQL Server que se vaya a
actualizar. Los procedimientos almacenados procesados al inicio podrían impedir el proceso de
migración.

2.7 REPLICACION DE BASE DE DATOS

Se debe detener la replicación y asegúrese de que el registro de replicación está vacío.

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 9 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
3. ANEXOS
ANEXO No. 1: Hoja de ruta para la migración de base de datos.

FECHA FECHA
ACTIVIDAD RESPONSABLE
INICIO FINALIZACIÓN

Planificación
Instalación del motor de base de
datos
Configuración de software y
hardware
Coordinación técnica de
proveedores
Verificación y validación técnica
de resultados (con participación
de SQM)

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 10 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial
 ANEXO No. 2: Control de cambios para la migración de base de datos.

CONTROL DE CAMBIOS PARA LA MIGRACIÓN DE BASE DE DATOS

Nombre del proyecto

No. Control de Cambio

Fecha de elaboración dd/MM/yyyy

Fecha de inicio de migración

(Definida en acta de reuniones con dd/MM/yyyy
involucrados)

Fecha de finalización de migración dd/MM/yyyy

Documento mediante el cual se realiza la petición formal

Qué (Petición formal) <Mediante memorando No, Trámite, Fecha, suscrito por xxx, se solicita la
migración de xxxx

Cómo (Planificación cronológica) Cronograma de actividades a ejecutarse para la migración

Por qué (Justificación) Justificación de la migración solicitada

Con quién (Acta de reunión con los

Actas de reuniones entre Infraestructura, Seguridades y Despliegue
involucrados)

APROBACIONES

INFRAESTRUCTURA

SEGURIDAD DE LA INFORMACION

SQM

DESPLIEGUE

MESA DE SERVICIO

Lineamientos de seguridad para migración de bases de datos ver.1.0 del 29 de febrero de 2018 Página 11 de 11

©2018 – Consejo de la Judicatura del Ecuador. Todos los Derechos Reservados. Prohibida su Reproducción Total o Parcial