INFORME Nº 03-00-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE. Nombre del Área El área encargada de la evaluación técnica para la adquisición de la solución de seguridad de información es el Departamento de Soporte Técnico de la Gerencia de Tecnologías de Información de la SBS. El área usuaria del producto en mención es la Gerencia de Tecnologías de Información.. Nombre y Cargo de los Responsables de la Evaluación El responsable de la evaluación es el Sr. Saúl Rojas Romaní, Administrador de Base de Datos del Departamento de Soporte Técnico de la Gerencia de Tecnologías de Información (GTI). 3. Fecha La fecha del presente informe es el 09 de noviembre de 00. 4. Justificación Entre las acciones estratégicas definidas por la Superintendencia para el período 00, se ha considerado implementar una solución de seguridad de información, que permita mitigar el riesgo relacionado con el acceso a la información sensible almacenada en la base de datos, así como crear políticas de seguridad que permitan controlar y auditar el acceso a dicha información. Este proyecto responde al requerimiento de la Gerencia de Tecnologías de Información definido en el Plan de Trabajo Interno 00. Para tal fin, es necesario contar con una solución que permita controlar y auditar el acceso a la información de la base de datos, realizando el seguimiento, principalmente, sobre los usuarios con mayores privilegios de acceso a la información. La solución deberá permitir identificar e informar acerca de comportamientos fraudulentos, ilegales u otros restringidos, de cualquier usuario con acceso a través de aplicaciones que se conectan a la base de datos y/o a través de cualquier herramienta informática que permita una conexión a la base de datos y la consiguiente extracción de información. La solución también deberá, en algunos casos, impedir en tiempo real la consulta de información sensible o evitar la realización de alguna modificación sobre la data o estructura de los objetos de la base de datos. Finalmente, la solución de seguridad deberá contribuir a cumplir con las exigencias legales y regulatorias de protección de información, para así cumplir con los requerimientos de auditoría, así como mejorar la gestión del riesgo y alcanzar las metas de la gestión de información. 5. Alternativas El proceso de selección de alternativas, se inició a partir del Plan de Trabajo Interno 00 y del requerimiento de la Gerencia de Tecnologías de Información. Proyecto 3...: Implementar una solución de seguridad que permita proteger la información contenida en la Base de Datos.
La selección de alternativas se ha llevado a cabo siguiendo una metodología, cuyos pasos son descritos en el Gráfico N 0. Gráfico N 0: Metodología de Selección de Alternativas Las alternativas se identificaron a partir del análisis de la situación de los niveles de seguridad de la información contenida en las base de datos corporativas de la institución, así como de las necesidades de seguridad informática y de funcionalidades requeridas, que tiene como objetivo controlar y analizar, de forma transparente, las actividades con las bases de datos, para identificar e informar acerca de comportamientos fraudulentos, ilegales u otros restringidos. En ese sentido, se realizaron consultas a Gartner (la Superintendencia mantiene un contrato de servicios de búsqueda e investigación) y a proveedores locales, sobre productos y herramientas que garanticen una integridad con el manejador de base de datos que posee la institución (Oracle), con la finalidad de no alterar la configuración y desempeño de la plataforma actual de administración relacional de datos. A partir del análisis de las funcionalidades requeridas, se extrajo información relevante de Gartner y se estableció contacto con diferentes proveedores de tecnología que cuentan con presencia (en términos comerciales y de soporte técnico) en el mercado local, los cuales presentaron sus soluciones tecnológicas correspondientes. Así, en coordinación con los proveedores, se realizaron Pruebas de Concepto (POC por sus siglas en inglés) para cada una de las soluciones a evaluar, lo cual permitió realizar la definición de los requerimientos técnicos. Posteriormente, también en coordinación con los proveedores, se han validado las funcionalidades previstas para cubrir los requerimientos de la SBS, los cuales han permitido seleccionar las alternativas de productos que podrían participar en el proceso de implementación. Como resultado de este proceso, el Cuadro N 0 presenta la relación de proveedores y los productos que éstos ofrecen como solución tecnológica, los cuales han sido evaluados por la Superintendencia. Cabe señalar que, para esta evaluación, la Superintendencia contactó aquellos fabricantes que cuentan con presencia local, es decir, con representantes autorizados en el Perú. http://www.gartner.com
Guardium Solución ORACLE Cuadro N 0: Proveedores con presencia local y sus soluciones tecnológicas N Producto Fabricante Oracle Security Solutions http://www.oracle.com/us/products/database/security/index.html Guardium http://www.guardium.com Oracle IBM Empresa Representante (Licencias y Servicios) Oracle IBM Tal como se mencionó anteriormente, un criterio utilizado en la selección de alternativas ha sido el posicionamiento del producto en el mercado. Para ello, en el caso de los dos primeros productos, dicho posicionamiento se obtiene a través de los informes de Gartner y de Forrester Research 3, que confirman que ambas soluciones cumplen la validación de los requisitos. 6. Análisis Comparativo Técnico y de Costo Beneficio 6.. Análisis Comparativo Técnico Para realizar el análisis comparativo de las alternativas seleccionadas, se han definido una serie de factores técnicos (requerimientos mínimos), los cuales están comprendidos en el Modelo de Calidad expuesto en la Guía Técnica de Software para la Administración Pública 4 y que están en línea con los solicitados a los proveedores en el Requerimiento de Información (RFIpor sus siglas en inglés) descrito anteriormente. Dichos factores son detallados en el Cuadro N 0. Cuadro N 0: Análisis Comparativo Técnico de los Productos Seleccionados Criterio Atributo de Uso 5 I:Interno E:Externo U:Uso Prioridad : Baja : Medio 3: Alta Mandatorio Posible Requerimiento Futuro 3 4 5 6 Flexibilidad en la definición de reglas y políticas de seguridad Permite crear un repositorio de auditoría centralizado Permite monitorear varios servidores de base de datos Permite monitorear varias instancias en un servidor de base de datos La solución se instala en forma independiente a la base de datos Se pueden definir las políticas de seguridad sobre tablas y columnas criticas de tablas I S Si Si Si I N Si No 3 Forrester Research Inc. es una compañía independiente de investigación que ofrece asesoramiento en la aplicación de cambios tecnológicos y/o nuevas tecnologías en los negocios empresariales. Ofrece guías e investigaciones en tecnologías destinadas principalmente a los ejecutivos de marketing, estrategas de negocio y profesionales de TI para crear un plan tecnológico unificado que les permita obtener ventajas competitivas. (http://www.forrester.com) 4 Resolución Ministerial N 39-004-PCM, ONGEI 5 Según Guía Técnica sobre Evaluación de Software en la Administración Pública (Aprobado por Resolución Ministerial N 39-004-PCM, ONGEI)
Guardium Solución ORACLE Criterio Atributo de Uso 5 I:Interno E:Externo U:Uso Prioridad : Baja : Medio 3: Alta Mandatorio Posible Requerimiento Futuro 7 8 9 0 Permite realizar un escaneo de vulnerabilidades de configuración de base de datos Permite modificar y crear nuevos reportes de auditoria Muestra gráficos de la actividad de acceso a la base de datos Permite exportar los reportes de auditoría para su posterior análisis y elaboración de informes Permite desplegar la solución en alta disponibilidad U,I,E S Si Si U,I,E N Si Si U,E N Si Si I N Si Si 6.. Análisis Comparativo de Costos El análisis comparativo de costos ha sido elaborado en función a las propuestas presentadas por los proveedores evaluados. Cabe señalar que los costos indicados son referenciales y podrían variar al momento de la presentación de las propuestas económicas finales. El Cuadro N 03 presenta el resumen de costos. Cuadro N 03: Costos Totales de la Solución Producto.- Oracle Security Solutions: Oracle Database Firewall Incluye: Oracle Database Firewall Server Oracle Database Firewall Agent Enterprise Linux Premier Limited Support. Guardium Incluye: DAM Appliance (Collector) CPU License DAM (Full Audit) CAS (Change Audit System) S-GATE Blocking Vulnerability Assessment VA Subscription Aggregation and Central Managment Standard Maintenance and Support (HW & SW) Professional Services and Local Support Costo 6 de la Solución S/. 400,68.33 S/. 6,764.97 7. Conclusiones De la evaluación realizada se concluye lo siguiente: La Superintendencia requiere de una solución de seguridad de información, que permita mitigar el riesgo relacionado con el acceso a la información sensible almacenada en la base de datos, 6 Costo expresado en soles y convertido según el tipo de cambio de la SBS al 0/09/00 (T.C..79)
así como crear políticas de seguridad que permitan controlar y auditar el acceso a dicha información. La solución deberá permitir la identificación de comportamientos inusuales o anormales en la base de datos, sean de cualquier usuario con acceso a través de aplicaciones o herramientas informáticas que permitan una conexión a la base de datos y la consiguiente extracción de información. La solución de seguridad a adquirir facilitará el cumplimiento de las exigencias legales y regulatorias de protección de información, así como la atención de los requerimientos de auditoría, la mejora en la gestión del riesgo y el logro de las metas establecidas para la gestión de información. Por las razones anteriormente expuestas, se recomienda realizar un proceso de selección para la adquisición de la solución de seguridad de información para base de datos, la cual estará conformada por los criterios técnicos descritos en el presente informe. 8. Firmas Igor Sakuma Carbonel Gerente de Tecnologías de Información Saúl Rojas Romaní Administrador de Base de Datos