Catedra De Riesgos Oracle
- 1. La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas Blas Piñero Uribe, CISA Oracle Consulting
- 3. Estandares de seguridad IT
- 4. Gestión de la Seguridad IT: ISO 27001
- 5. La evolución de los estándares
- 6. ISO27001 Sistema de Gestión de la Seguridad de la Información (SGSI) Adopta la metodologia PDCA,
- 7. PDCA Model
- 8. En la actualidad La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502: 27000: Definiciones y términos (draft) 27001: Implantación del SGSI (Certificable) evolución de BS-7799-2 y equivale a UNE 71502 27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas. 27003: Guía de implementación (draft). 27004: Indicadores y metricas (draft). 27005: Gestión y evaluación de riesgos (draft).
- 9. ISO27001 Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información Tiene en cuenta requerimientos legales, de negocio y contractuales Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI 4) Establece los criterios de evaluación del riesgo
- 10. ISO 27002 Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. 36 objetivos de control y 127 controles.
- 11. Dominios ISO 27002 Política de Seguridad Organización de Seguridad Clasificación y Control de Activos Aspectos humanos de la seguridad Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Sistema de Control de Accesos Desarrollo y Mantenimiento de Sistemas Plan de Continuidad del Negocio Cumplimiento Legal
- 13. ISO/IEC 17799:2005 vs LOPD/RMS
- 14. Ayudas Tecnologicas: Oracle Database Vault Adecuación LOPD – Control de acceso Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel básico) Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto) Características Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos) Restricción de comandos privilegidos ( DBA) basado en filtrado de dirección IP Protección de los datos frente a modificaciones no autorizadas (Integridad) Fuerte control de acceso sobre los datos corporativos Cumplimiento Aplicación Control de acceso Segregación de funciones Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal Adecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones
- 15. ¿Para que sirve Database Vault? Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto Permite implementar controles de visualización de los Datos de Aplicación por Usuario Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD Permite administrar los Objetos, aún cuando se limite el acceso a los datos. Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas
- 16. Oracle Database Vault Realms DBA HR DBA HR HR Realm HR El administrador de la BD ve los datos de RRHH select * from HR.emp Eliminamos el riesgo de incumplimiento legal o robo de datos Fin FIN DBA El administrador de RRHH ve los datos de Financiero Eliminamos el riesgo derivado de la consolidacion de servidores Fin Realm Fin
- 17. Oracle Database Vault Rules & Multi-factor Authorization HR DBA DBA HR El administrador de la BD intenta un “ alter system ” remoto alter system……. Reglas basados en dirección IP bloquean la acción create … El administrador de RRHH realiza acciones no autorizadas en producción. 3pm Monday Reglas basadas en fecha/hora bloquean la acción HR Realm HR
- 18. ISO 27002 Dominio 7 CONTROL DE ACCESO Requisitos de la Organización para el control de acceso Administración del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras móviles y trabajo a distancia
- 19. El problema de la gestión de identidades....
- 20. ¿Qué es una identidad? Una identidad es un conjunto de identidades parciales. Cada identidad parcial corresponde a un rol en un entorno Gestion de Identidades
- 21. Ciclo de Vida de la Identidad Digital Nuevos Empleados entran en la Empresa Cambios y Soporte a Usuarios Empleados dejan la Empresa Cuentas & Políticas Registro/Creación Propagación Mantenimiento/Gestión Revocación
- 22. El problema de las identidades El problema: Islas de Información Cada Usuario tiene multiples identidades parciales, una en cada entorno. CONSECUENCIAS Multiples puntos de administración. Multiples administradores Inconsistencia de datos Falta de una “vista”unificada de la identidad
- 24. Auditoria de Acceso a datos Art. 24 REGISTRO DE ACCESO, exige (nivel alto): Identificación, Dia/hora, Fichero y resultado Identificación del registro accedido Mecanismos no desactivables Conservación dos años Informe mensual de revisiones de control- responsable Seguridad Corresponde al dominio 10 ISO
- 25. ¿ Qué es Audit Vault? Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios Se proporciona con el Núcleo de Base de Datos 10gR2 Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria Permite Auditar B.D. 9iR2 a 10GR2 Protege, Consolida, Detecta, Monitoriza, Alerta
- 26. ¿ Para qué Sirve Audit Vault ? Adaptación a la LOPD o ISO 27001 de manera no traumática Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D. Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D. Eficiente herramienta de Control y Seguimiento Permite análizar las trazas recopiladas mediante una herramienta de Reporting. Recopila Trazas de Múltiples orígenes (SqlServer, DB2 ..)
- 28. <Insert Picture Here> Preguntas…..
Notas del editor
- #17: Let’s first take a look at Database Vault Realms. Here we have a database, let’s assume that this is a consolidated database. As you would expect you have the DBA as well as several other applications, here we’ve included an HR and Financial application. One of the problems faced in this type of situation is that the DBA can, if he or she wished to do so, use their powerful privileges to take a look at application data. Even the possibility of this happening can be prevented using Database Vault Realms. Simply place a Realm around the HR application and the DBA will no longer be able to use his powerful privileges to access the application. The other situation is one I eluded to earlier. Application owners tend to have very powerful privileges. In a consolidated environment, it’s very likely that you’ll have more than one application and thus several powerful users in the database above and beyond the DBA. In this example, it’s possible for the HR DBA to look at the Financial application data. Obviously this wouldn’t be a good situation, especially if it was during the financial reporting quite period. Using a Database Vault Realm, the Financial application can be protected from powerful application owners. Summary, Realms can be easily applied to existing applications and with minimal performance impact.
- #18: In addition, to Realms, Database Vault also delivers Command Rules and Multi-Factor Authorization. Command Rules provide the ability to instruct the database to evaluate conditions prior to allowing a database command to execute. Combined with Multi-Factor authorization, this provides an extremely powerful tool to limit and restrict access to databases and applications. Let’s take another example. Here I’m showing a database with a single application and the DBA. One of the common problems customers have faced from a compliance perspective is unauthorized activity in the database. This may mean that additional database accounts or application tables have been created. This can raise alarms with auditors because it can point toward lax internal controls. Using a command rule, Database Vault gives the ability to control the conditions under which a command is allowed to execute. For example, a command rule can be associated with the database “Alter System….” command. Perhaps your policy states that all ‘alter system’ commands have to be executed from a connection originating from the server hosting the database. The command rule can check the IP address and reject the command. So the rule based on IP address blocks the action. Perhaps a powerful application DBA creates a new table, command rules combined with multi-factor authorization can block this action. In summary, command rules and multi-factor provide the flexibility to meet operational security requirements.
- #23: Disparidad de perfiles de usuario en directorios y aplicaciones para una única identidad Actualizacion muy costosa en recursos y pesada en ejecucion Posibilidad de datos erróneos sobre la misma identidad en los distintos directorios o bbdd
- #24: To date Identity Management has been treated as a separate management solution—something bolted on to applications after they have been deployed. Identity Management has more closely resembled traditional systems management offerings and has been treated as an extension of such. This is changing. A new phase of identity management is dawning, one that delivers management of user identities as a service such that the applications themselves utilize the service as if it’s part of the applications’ business process. Exposing identity management as a re-usable service for all applications drives the realization of significant business efficiencies. For example, a common practice such as creation of new user profile when an employee is first entered into the HR system, should be the same profile utilized to create, approve and enable their companywide system credentials. Their access privileges and appropriate system accounts, determined automatically by their job responsibilities, are created —all as part of a single business process. This process is initiated by the HR administrator—not a separate team that synchronizes newly created account information into separate, independent identity repositories to perform account management functions. Should the role or employment status of this user be changed at any time by HR, access privilege changes or termination of access and disabling of accounts occurs automatically based on the defined business process and associated policies. This significantly speeds user account access and in-access, streamlines the entire business process, and will further drive down administrative costs. Oracle views Identity Management as an application management function—not a systems management one. Application Centric Identity Management is: Integrated out-of-the-box with your business applications, in particular your HRMS system, such that Identity Management easily enables the business processes your organization relies on today. An integral component of a wider application development and deployment framework that seamlessly works together, such that identity management is always-ready for new applications and thus rapidly deployed Architected for future SOA application environment, so that as more and more applications are deployed as loosely coupled services, they can rely on a set of standards-based, reusable security services