Oracle Security Tendencias actuales y ayuda al cumplimiento normativo

Transcripción

1 Oracle Security Tendencias actuales y ayuda al cumplimiento normativo Angel Luis Nebrera Security Account Manager 30 de Marzo 2016

2 Agenda Tendencias y Seguridad en la actualidad LOPD - ENS - Principales requerimientos Soluciones Oracle para el cumplimiento normativo Caso de éxito AGE

3 SERVICE ORIENTED CITIZEN CENTERED INTERAGENCY CONNECTED DIGITAL CITIES INFORMATION DRIVEN MOBILE COLLABORATION POLITICAL TRANSPARENCY APPS SOCIAL GOVERNMENT SUSTAINABLE ECOLOGY ONLINE SERVICES

4 NATIONAL HEALTH Government IT SERVICES The Great EMERGENCY SERVICES SOCIAL SERVICES TAX RE-ARCHITECTURE DRIVERS LICENSES PENSIONS NATIONAL SECURITY NATIONAL ID WELFARE VEHICLE REGISTRATION SERVICES

5 THE NEW GOVERNMENT EXPERIENCE Cloud Collaboration Citizen Services Data Security APPS CONTROL

6 SECURING PEOPLE, DEVICES & DATA Excessive Access External Hacktivists Stolen Data International Espionage Regulatory Compliance

7 Principales Regulaciones en España LOPD - ENS Ley Orgánica de Protección de Datos Tiene por objeto garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. (Art. 1 LOPD). Esquema Nacional de Seguridad Su finalidad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. Los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. 7

8 Ley Orgánica de Protección de Datos Nivel básico Artículo 91. Control de acceso. (Nivel básico) Los usuarios tendrán acceso únicamente a aquellos recursos que necesiten para el desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Artículo 93. Identificación y autenticación. (Nivel básico) adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas Artículo 94. Copias de respaldo y recuperación. (Nivel básico) Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros reales no se realizará con datos reales, 8

9 Ley Orgánica de Protección de Datos Nivel alto Artículo 101. Gestión y distribución de soportes. (Nivel alto) La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos Artículo 103. Registro de accesos (Nivel alto) De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. Artículo 104. Telecomunicaciones. (Nivel alto) la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. 9

10 Esquema Nacional de Seguridad Medidas de seguridad 10

11 Dimensiones de la Seguridad 11

12 Soluciones Oracle para el Cumplimiento Normativo Seguridad del Dato Separación de funciones con Database Vault Database Vault select DNI from CIUDADANOS Alter system.. Alter table. Operational DBA * Ejemplos de roles y privilegios X Data DBA / Manager X alter table. DBA KING, 18031, $1,800 KING SCOTT SMITH select DNI from CIUDADANOS; Proteger los datos en tránsito con Network Encryption KING, 18031, $1,800 Protegiendo los datos almacenados cifrando la información en las Bases de Datos con Advanced Security KING SCOTT SMITH Desarrollador Enmascaramiento de datos para entornos no productivos DataMasking Controlar el acceso a aplicaciones Administrar las Identidades y Roles con Identity Management Usuarios Administradores IT Seguridad IT DBAs Managers Protección frente a SQL Injections Consolidación e Informes de Datos Auditables con Audit Vault and Database Firewall 12

13 Soluciones Oracle para el Cumplimiento Normativo Seguridad de las Aplicaciones Identity and Access Management 13

14 Ley Orgánica de Protección de Datos Requerimientos vs Oracle Artículo LOPD Productos Artículo 91 (Nivel básico) Control de acceso. Articulo 93 (Nivel básico) Identificación y autenticación. Articulo 94 (Nivel básico) Copias de respaldo y recuperación. Articulo 101 (Nivel alto) Gestión y distribución de soportes. Artículo 103 (Nivel alto) Registro de accesos. Articulo 104 (Nivel alto) Telecomunicaciones. Oracle Database Vault Oracle Identity Manager Oracle Access + Adaptative Access Manager Oracle Identity Manager Oracle DataMasking and Subsetting Oracle Advance Security Oracle Advance Security Oracle Audit Vault and Database Firewall Oracle Advance Security 14

15 Esquema Nacional de Seguridad Requerimientos vs Oracle Requerimiento ENS Req. 5: Autorización y control de acceso Req. 8: Sistemas diseñados y configurados de tal forma que garanticen la seguridad por defecto Req. 10: Protección de la información almacenada y en tránsito Req. 11: Prevención ante otros sistemas de información interconectados Req. 12: Registro de actividad Req. 13: Protección y registro frente a incidentes de seguridad Req. 14: Continuidad de la actividad Productos Oracle Database Vault, Oracle Audit Vault and Database Firewall, Identity Management Database Vault, Data Masking and Subsetting, Advanced Security Option, Advanced Security Option, Data Masking and Subsetting Data Masking and Subsetting, Oracle Audit Vault and Database Firewall Oracle Audit Vault and Database Firewall, Identity Management Oracle Audit Vault and Database Firewall Oracle Database Vault, Advance Security 15

16 Caso de éxito AGE Securización de BBDD Remotas Principales problemáticas de seguridad en las Sedes Remotas Acceso a dispositivos físicos Evitar posibles robos de información Acceso a los datos Evitar fugas/robos Segregar funciones de los Usuarios Privilegiados Registro y control Todo lo que pasan en las BBDD quedará registrado Cumplimiento LOPD-ENS Escenarios similares a los productivos 16

17 Caso de éxito AGE Securización de BBDD Remotas Soluciones seleccionadas e implantadas Oracle DataMasking and Subsetting Pack Reemplazo de la información sensible de los entornos productivos, de forma que datos similares a los que se manejan por el usuario final, puedan ser utilizados de forma segura en otros entornos. Oracle Advance Security Cifrado de datos, gestión de claves multinivel, autenticación fuerte contra la BBDD Oracle Database Vault Separación de funciones y dominios de seguridad; Establecimiento de controles robustos sobre qué puede hacer quién dentro de la base de datos Oracle Audit Vault and Database Firewall Recopilación de datos de actividad en las BBDD, firewall de BBDD para monitorizar y bloquear sentencias SQL 17

18 18

19