<Insert Picture Here>

Xavier Martorell

xavier.martorell@oracle.com

Soluciones de Seguridad

Protección del activo más

importante: La información

This document is for informational purposes. It is not a commitment

to deliver any material, code, or functionality, and should not be relied

upon in making purchasing decisions. The development, release,

and timing of any features or functionality described in this document

remains at the sole discretion of Oracle. This document in any form,

software or printed matter, contains proprietary information that is the

exclusive property of Oracle. This document and information

contained herein may not be disclosed, copied, reproduced or

distributed to anyone outside Oracle without prior written consent of

Oracle. This document is not part of your license agreement nor can

it be incorporated into any contractual agreement with Oracle or its

subsidiaries or affiliates.

3 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential

Agenda

• Introducción – Seguridad del dato en la administración pública

• Soluciones Oracle

– Seguridad en Base de Datos

– Gobierno de Identidades y accesos

• Porqué Oracle?

4 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential

INTRODUCCIÓN

5 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential

Introducción

• Cuidar de la información de ciudadanos,

empleados y socios

• Evitar fraudes

• Optimizar responsabilidades respecto al

acceso a datos

• Cumplimiento normativo

– LOPD y Propuesta de reglamento europeo

– Esquema Nacional de Seguridad

Seguridad de la información en la administración pública

6 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential

Introducción

• Ley Orgánica de Protección de Datos 15/99 – Articulo 91: control de Accesos

– Artículo 93. Identificación y autenticación

– Articulo 94: Copias de recuperación y respaldo

– Articulo 95: Responsable de Seguridad

– Articulo 96: Auditoria

– Articulo 101: Gestión y distribución de soportes – Cifrado de datos de alto nivel

– Articulo 102: Copias de Seguridad y respaldo

– Articulo 103: Registro de accesos – Saber quién ha visto que

– Artículo 104: Telecomunicaciones – Cifrado de canales de comunicación

• Propuesta de Reglamento Europeo – Previsto para 2014 o 2015 – Sanciones de hasta 100.000.000 de Euros hasta el 5% del volumen de negocios global (la superior de estas

dos cantidades) .con posible requerimiento de auditoria periodica

– Las brechas de seguridad que afecten a datos personales deben ser reportadas en un plazo no superior a 72 horas.

Cumplimiento normativo

7 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential

Introducción

• Principios básicos

– La seguridad como un proceso integral

– Gestión de la seguridad basada en riesgos.

– Prevención, reacción y recuperación

– Líneas de defensa

– Reevaluación periódica

– Función diferenciada

Esquema nacional de Seguridad

CONFIDENCIAL

INTEGRAL

AUTENTICA

TRAZABLE

DISPONIBLE

Garantizar la autenticidad de la identificación. Quien es, es realmente quien dice ser.

Poder rastrear quién ha accedido o modificado una

información.

Solo es posible realizar modificaciones por personal

autorizado.

Asegurar que solo acceden personas autorizadas a la

información

La información siempre accesible en cualquier

momento

8 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Introducción

Seguridad en Base de Datos

Gobierno de Identidades y accesos

Propuesta Oracle en Seguridad

9 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

PROPUESTA ORACLE

SEGURIDAD EN BASE DE DATOS

10 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Oracle Advanced Security Options

• Solución de cifrado disponible a nivel de columnas, tablespace y securefiles transparente a usuarios y aplicaciones

• Los datos son cifrados antes de ser escritos a disco y descifrados antes de ser devueltos usando diferentes posibilidades de algoritmo

• El cifrado se basa en una clave (TDE Master Encryption Key) definida y almacenada en el fichero de wallet (encriptado)

• Posibilidad de implementación desde Grid Control y SQL Developer

Disco

Copias de seguridad

Exports

Instalaciones de proveedores

Aplicación

Cifrado de datos

11 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

• Censura de datos on-line basada en usuario, IP, contexto de aplicación u otros factores

• Transparente. Impacto mínimo en cargas de producción

Oracle Advanced Security Options Data Redaction

12 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Oracle Audit Vault y Database Firewall Auditoria, control de accesos SQL y monitorización

Eventos del Firewall

Usuarios

Aplicaciones

Database Firewall Allow

Log

Alert

Substitute

Block

Datos Auditados

Audit Vault

Informes

! Alertas

Politicas

Auditor

Security Manager

OS, Directory, File System y Custom Audit Logs

13 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Oracle Database Vault Segregación de funciones

• Motor de políticas dentro de la BD Oracle que evalúa reglas y factores antes de ejecutar una operación.

• Asegura quién, dónde, cuándo y cómo accede a la base de datos mediante políticas de acceso (dir IP, hora , Auth, origen ...)

• Segregación de funciones y zona de seguridad asegurando los accesos adecuados a los usuarios privilegiados

• Evita el acceso a los datos de forma ajena a la aplicación, no se puede evitar y no es heurístico

Compras

RR.HH.

Financiero

Responsable de

aplicación

select * from finance.customers DBA

Responsable de

seguridad

Aplicación

15 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Oracle Database Vault Analisis de privilegios

• Permite saber qué privilegios y roles han sido usados realmente

• Eliminar privilegios innecesarios reduce el riesgo

16 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Oracle Data Masking Enmascaramiento de datos

• Transfiere datos de aplicación de forma segura a entornos no productivos

• Evita que desarrolladores de aplicaciones accedan a datos reales de producción

• Librerías y políticas extensibles para la automatización del enmascaramiento de datos

• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando correctamente

NOMBRE DNI SALARIO

ZFDGFAKJIJ 11331100-J 25,000

ASDTYHJUK 97766348-S 30,000

NOMBRE DNI SALARIO

ANA PÉREZ 12345678-A 30,000

PEDRO SÁNCHEZ 98765432-Z 25,000

Producción Desarrollo

Los datos nunca abandonan las BB.DD.

17 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Completa – único proveedor que cubre todos sus requerimientos

Transparente – no requiere ningún cambio en las aplicaciones existentes

Fácil de desplegar – consolas que facilitan el despliegue en poco horas

Rentable – soluciones integradas que reducen el riesgo con un bajo TCO

Probado – #1 en BB.DD. con más de 30 años innovando en seguridad!

• Database Vault • Advanced Security

• Data Redaction

• Data Masking

• Audit Vault & Database Firewall

Encriptación y

enmascaramiento Control de

acceso Auditoría

• Audit Vault & Database Firewall

Monitorización y bloqueo

Seguridad del dato Defensa en profundidad

18 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

PROPUESTA ORACLE

GOBIERNO DE IDENTIDADES Y ACCESOS

19 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Administración de

Identidades

Gestión de

Acceso

Servicios de

Directorio

Aprovisionamiento de Usuario basado en Roles

Autoservicio de Peticiones y Aprobaciones

Gestión de Contraseñas

Prevención de Fraude y Autenticación

Single Sign-On

Federación

Autorización y Derechos

Seguridad de Servicios Web

Dispositivos móbiles y BYOD

Almacenamiento LDAP

Identidad de Acceso Virtualizada

Gobierno de Identidades Seguridad de la Plataforma Análisis, Prevención de Fraude, Control de Privacidad Servicios de Identidad para Desarrolladores

Gobierno de Identidades y accesos Completa, Integrada, probada

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 20

PORQUE ORACLE

21 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Porque Oracle Ayuda al cumplimiento normativo

Solución Oracle LOPD ENS

(Dimensiones)

Advanced Security Options Art 101, Art 102, Art 104 Confidencialidad, Integridad,

Data Redaction, Database Vault, Data Masking Art 91, Art 93, Art 94,

Art 95

Confidencialidad, Integridad,

Audit Vault & Database Firewall,

Advanced Compression Art 96, Art 103 Trazabilidad

Identity Governance Art 93 Trazabilidad, Autenticidad

Access Management Art 91, Art 93, Art 95 Trazabilidad, Autenticidad

22 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.

Porque Oracle

Beneficios técnicos

• Solución conocida, soportada por soluciones de terceros

• Protección nativa frente a cualquier forma de acceso

• Puesta en producción rápida y eficaz

• Impacto 0 en aplicaciones

Beneficios de negocio

• Garantías de seguridad a ciudadanos y clientes potenciales

• Mejora la imagen y percepción en términos de seguridad

Gracias !