Protección del activo más valioso de las TIC: la información
-
Upload
oracle-espana -
Category
Documents
-
view
228 -
download
0
Transcript of Protección del activo más valioso de las TIC: la información
<Insert Picture Here>
Xavier Martorell
Soluciones de Seguridad
Protección del activo más
importante: La información
This document is for informational purposes. It is not a commitment
to deliver any material, code, or functionality, and should not be relied
upon in making purchasing decisions. The development, release,
and timing of any features or functionality described in this document
remains at the sole discretion of Oracle. This document in any form,
software or printed matter, contains proprietary information that is the
exclusive property of Oracle. This document and information
contained herein may not be disclosed, copied, reproduced or
distributed to anyone outside Oracle without prior written consent of
Oracle. This document is not part of your license agreement nor can
it be incorporated into any contractual agreement with Oracle or its
subsidiaries or affiliates.
3 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential
Agenda
• Introducción – Seguridad del dato en la administración pública
• Soluciones Oracle
– Seguridad en Base de Datos
– Gobierno de Identidades y accesos
• Porqué Oracle?
4 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential
INTRODUCCIÓN
5 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential
Introducción
• Cuidar de la información de ciudadanos,
empleados y socios
• Evitar fraudes
• Optimizar responsabilidades respecto al
acceso a datos
• Cumplimiento normativo
– LOPD y Propuesta de reglamento europeo
– Esquema Nacional de Seguridad
Seguridad de la información en la administración pública
6 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential
Introducción
• Ley Orgánica de Protección de Datos 15/99 – Articulo 91: control de Accesos
– Artículo 93. Identificación y autenticación
– Articulo 94: Copias de recuperación y respaldo
– Articulo 95: Responsable de Seguridad
– Articulo 96: Auditoria
– Articulo 101: Gestión y distribución de soportes – Cifrado de datos de alto nivel
– Articulo 102: Copias de Seguridad y respaldo
– Articulo 103: Registro de accesos – Saber quién ha visto que
– Artículo 104: Telecomunicaciones – Cifrado de canales de comunicación
• Propuesta de Reglamento Europeo – Previsto para 2014 o 2015 – Sanciones de hasta 100.000.000 de Euros hasta el 5% del volumen de negocios global (la superior de estas
dos cantidades) .con posible requerimiento de auditoria periodica
– Las brechas de seguridad que afecten a datos personales deben ser reportadas en un plazo no superior a 72 horas.
Cumplimiento normativo
7 | © 2011 Oracle Corporation and Mercadona Internal Only – Proprietary and Confidential
Introducción
• Principios básicos
– La seguridad como un proceso integral
– Gestión de la seguridad basada en riesgos.
– Prevención, reacción y recuperación
– Líneas de defensa
– Reevaluación periódica
– Función diferenciada
Esquema nacional de Seguridad
CONFIDENCIAL
INTEGRAL
AUTENTICA
TRAZABLE
DISPONIBLE
Garantizar la autenticidad de la identificación. Quien es, es realmente quien dice ser.
Poder rastrear quién ha accedido o modificado una
información.
Solo es posible realizar modificaciones por personal
autorizado.
Asegurar que solo acceden personas autorizadas a la
información
La información siempre accesible en cualquier
momento
8 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Introducción
Seguridad en Base de Datos
Gobierno de Identidades y accesos
Propuesta Oracle en Seguridad
9 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
PROPUESTA ORACLE
SEGURIDAD EN BASE DE DATOS
10 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Oracle Advanced Security Options
• Solución de cifrado disponible a nivel de columnas, tablespace y securefiles transparente a usuarios y aplicaciones
• Los datos son cifrados antes de ser escritos a disco y descifrados antes de ser devueltos usando diferentes posibilidades de algoritmo
• El cifrado se basa en una clave (TDE Master Encryption Key) definida y almacenada en el fichero de wallet (encriptado)
• Posibilidad de implementación desde Grid Control y SQL Developer
Disco
Copias de seguridad
Exports
Instalaciones de proveedores
Aplicación
Cifrado de datos
11 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
• Censura de datos on-line basada en usuario, IP, contexto de aplicación u otros factores
• Transparente. Impacto mínimo en cargas de producción
Oracle Advanced Security Options Data Redaction
12 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Oracle Audit Vault y Database Firewall Auditoria, control de accesos SQL y monitorización
Eventos del Firewall
Usuarios
Aplicaciones
Database Firewall Allow
Log
Alert
Substitute
Block
Datos Auditados
Audit Vault
Informes
! Alertas
Politicas
Auditor
Security Manager
OS, Directory, File System y Custom Audit Logs
13 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Oracle Database Vault Segregación de funciones
• Motor de políticas dentro de la BD Oracle que evalúa reglas y factores antes de ejecutar una operación.
• Asegura quién, dónde, cuándo y cómo accede a la base de datos mediante políticas de acceso (dir IP, hora , Auth, origen ...)
• Segregación de funciones y zona de seguridad asegurando los accesos adecuados a los usuarios privilegiados
• Evita el acceso a los datos de forma ajena a la aplicación, no se puede evitar y no es heurístico
Compras
RR.HH.
Financiero
Responsable de
aplicación
select * from finance.customers DBA
Responsable de
seguridad
Aplicación
15 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Oracle Database Vault Analisis de privilegios
• Permite saber qué privilegios y roles han sido usados realmente
• Eliminar privilegios innecesarios reduce el riesgo
16 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Oracle Data Masking Enmascaramiento de datos
• Transfiere datos de aplicación de forma segura a entornos no productivos
• Evita que desarrolladores de aplicaciones accedan a datos reales de producción
• Librerías y políticas extensibles para la automatización del enmascaramiento de datos
• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando correctamente
NOMBRE DNI SALARIO
ZFDGFAKJIJ 11331100-J 25,000
ASDTYHJUK 97766348-S 30,000
NOMBRE DNI SALARIO
ANA PÉREZ 12345678-A 30,000
PEDRO SÁNCHEZ 98765432-Z 25,000
Producción Desarrollo
Los datos nunca abandonan las BB.DD.
17 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Completa – único proveedor que cubre todos sus requerimientos
Transparente – no requiere ningún cambio en las aplicaciones existentes
Fácil de desplegar – consolas que facilitan el despliegue en poco horas
Rentable – soluciones integradas que reducen el riesgo con un bajo TCO
Probado – #1 en BB.DD. con más de 30 años innovando en seguridad!
• Database Vault • Advanced Security
• Data Redaction
• Data Masking
• Audit Vault & Database Firewall
Encriptación y
enmascaramiento Control de
acceso Auditoría
• Audit Vault & Database Firewall
Monitorización y bloqueo
Seguridad del dato Defensa en profundidad
18 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
PROPUESTA ORACLE
GOBIERNO DE IDENTIDADES Y ACCESOS
19 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Administración de
Identidades
Gestión de
Acceso
Servicios de
Directorio
Aprovisionamiento de Usuario basado en Roles
Autoservicio de Peticiones y Aprobaciones
Gestión de Contraseñas
Prevención de Fraude y Autenticación
Single Sign-On
Federación
Autorización y Derechos
Seguridad de Servicios Web
Dispositivos móbiles y BYOD
Almacenamiento LDAP
Identidad de Acceso Virtualizada
Gobierno de Identidades Seguridad de la Plataforma Análisis, Prevención de Fraude, Control de Privacidad Servicios de Identidad para Desarrolladores
Gobierno de Identidades y accesos Completa, Integrada, probada
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 20
PORQUE ORACLE
21 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Porque Oracle Ayuda al cumplimiento normativo
Solución Oracle LOPD ENS
(Dimensiones)
Advanced Security Options Art 101, Art 102, Art 104 Confidencialidad, Integridad,
Data Redaction, Database Vault, Data Masking Art 91, Art 93, Art 94,
Art 95
Confidencialidad, Integridad,
Audit Vault & Database Firewall,
Advanced Compression Art 96, Art 103 Trazabilidad
Identity Governance Art 93 Trazabilidad, Autenticidad
Access Management Art 91, Art 93, Art 95 Trazabilidad, Autenticidad
22 Copyright © 2011, Oracle and/or its affiliates. All rights reserved.
Porque Oracle
Beneficios técnicos
• Solución conocida, soportada por soluciones de terceros
• Protección nativa frente a cualquier forma de acceso
• Puesta en producción rápida y eficaz
• Impacto 0 en aplicaciones
Beneficios de negocio
• Garantías de seguridad a ciudadanos y clientes potenciales
• Mejora la imagen y percepción en términos de seguridad
Gracias !