The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle. 2 Copyright 2011, Oracle and/or its affiliates. All rights reserved. Public Information
Proteja el activo más importante de su empresa: La Información Marcelo Herrera, CISSP, LA ISO27001, PMP Sr. Sales Consultant
Agenda Desafíos del CSO Estado Actual de la Seguridad en la Empresa Security Inside Out Un Enfoque Holístico Porqué Oracle?
Desafíos del CSO Estar al día con el cumplimiento regulatorio Protejer los datos en el origen Crear una única fuente de verdad para la identidad
Estado Actual de la Seguridad en la Empresa Ambiente Regulatorio Complejo Los Datos están inseguros Proliferación de las Aplicaciones Fuerza de Trabajo Global Móvil Amenazas en Aumento Dentro & Fuera
Ambiente Regulatorio Complejo Regulaciones en aumento a nivel mundial El no cumplir no es una opción Los procesos manuales son costosos e insostenibles Desafíos de jurisdicción de los datos! Reporte y Auditoría Los costos de auditoría, investigación de incidentes, remediación y notificación pueden incrementarse 79% Víctimas de brechas que estaban retrasados en el cumplimiento Fuente: Verizon Data Breach Investigations Report, 2010.
Los Datos están Inseguros Key Loggers Phishing Malware Botware SQL Injection Ingeniería Social Espionaje Usuarios Web Usuarios de Aplicación Aplicación Base de Datos Administradores Las Soluciones de Seguridad Existentes No Son Suficientes
Proliferación de las Aplicaciones Cloud Computing Aplicaciones Empresariales 3ros. & Custom Frameworks de Seguridad Diferentes Repositorios de Datos Diferentes Nociones de Identidad Diferentes Requirimientos Regulatorios Diferentes
Fuerza de Trabajo Global Móvil Facilidad Para Sus Usuarios Empleados y Contratados Soporte de la Movilidad, Independencia de Dispositivos Aprovechar las Redes Sociales
Ellos no descansan usted tampoco debe hacerlo! Algunas cifras y hechos 12 Copyright 2011, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 8
En el Mundo Sector Educación Feb 6 2012 College students' names, addresses posted online Fuente: http://www.clickorlando.com/news/college- students-names-addresses-posted-online/- /1637132/8605190/-/dkvnfqz/-/ Sector Gobierno Feb 6 2012, Hackers Target Your Personal Info in DMV Database Fuente: http://www.wltx.com/news/article/172302/2/hackers- Target-Your-Personal-Info-in-DMV-Database Sector Financiero Feb 7 2012, St George distributes client emails Fuente: http://www.smh.com.au/business/st-george-distributesclient-emails-20120207-1r3q2.html Sector Telecomunicaciones Feb 7 2012, Motorola expone datos personales de sus clientes por error Fuente: http://www.enter.co/moviles/motorola-entrega-tabletasremanufacturadas-con-datos-de-sus-antiguos-duenos/ Ene 27 2012, Students busted for hacking computers, changing grades Fuente: http://www.theregister.co.uk/2012/01/27/students_hack_t eachers_computers/ Ene 20 2012, Anonymous revela datos personales del director del FBI, Robert Muller Fuente: http://www.eltiempo.com/tecnologia/actualidad/anonymousrevela-datos-personales-del-director-del-fbi-robertmuller_10974481-4 Y siguen en aumento! Databreaches.net http://www.databreaches.net/ To Catch an ID Thief http://www.youtube.com/watch?v=t3vrhlds0wi
Actualidad Databreaches.net Fuente: The Guardian,, http://www.databreaches.net/ http://www.guardian.co.uk/music/2012/mar/05/michael-jackson-backcatalogue-stolen?newsfeed=true Fuente: Daily Mail, http://www.dailymail.co.uk/tvshowbiz/article-2110022/michael-jacksons-catalogue-stolen.html
En América Latina Fuente: Informe Global sobre Fraude. Edición Anual 2010/11. Kroll http://krolltendencias.com/site/images/stories/tendencias/092/kroll-global-fraud-report-2010-2011-espanol-final.pdf
Es Necesario un Enfoque Holístico Security Inside Out Basado en Riesgo Plataforma Integrada
Oracle Security Inside Out Información Infraestructura Bases de Datos Aplicaciones Seguridad de la Infraestructura Extensiones de SO trusted Seguridad en la Virtualización Aceleración Criptográfica & Almacenamiento de claves incorporado Almacenamiento Seguro y Continuidad del Negocio Seguridad de Bases de Datos Gestión de Identidades y Accesos Gobernabilidad, Riesgo y Cumplimiento
Oracle Security Inside Out Información Seguridad en la Infraestructura Seguridad en Bases de Datos Prevenir el acceso directo a los datos Infraestructura Bases de Datos Aplicaciones Autenticación Fuerte Control de acceso de usuarios priv. Auditoría de la actividad y acceso a BD Monitorear tráfico y bloquear amenazas Ambiente productivo seguro Enmascaramiento de datos Gestión de Identidades y Accesos Gobernabilidad, Riesgo y Cumplimiento
Oracle Security Inside Out Infraestructura Bases de Datos Información Aplicaciones Seguridad en la Infraestructura Seguridad en Bases de Datos Gestión de Identidades y Accesos Identidad única y Virtualizada Híbrido roles, permisos, reglas Arquitectura de seguridad orientada a servicios Autenticación basada en riesgo Solicitudes de acceso centralizadas Arquitectura abierta y basada en estándares Gobernabilidad, Riesgo y Cumplimiento
Oracle Security Inside Out Infraestructura Bases de Datos Aplicaciones Seguridad en la Infraestructura Seguridad en Bases de Datos Gestión de Identidades y Accesos Gobernabilidad, Riesgo y Cumplimiento Warehouse de Identidades con Inteligencia Certificación Periódica Gobernabilidad Segregación de Funciones Controles Detectivos y Preventivos Auditoría Monitoreo y Consolidación
Soluciones de Seguridad Centradas en la Información EXPERIENCIA DEL USUARIO SIMPLIFICADA GESTION DE IDENTIDADES Y ACCESOS SEGURIDAD DE BASES DE DATOS Single Sign-On Gestión de Identidades Monitoreo de la Actividad Cliente Autoservicio Reinicio de Pwds Aplicaciones Gobernabilidad de Identidades y Accesos Control de Acceso y Autorización Bases de Datos Políticas de Seguridad Gestión de Accesos Servicios de Directorio Encripción y Enmascaramiento 21
Seguridad en Base de Datos Dos tercios de los datos sensibles o protegidos por regulaciones residen en bases de datos y se duplican cada dos años Tarjetas de crédito Información clasificada del gobierno Secretos industriales Planes corporativos HR Ciudadanos Clientes Financiero Código Fuente Fuente: "Effective Data Leak Prevention Programs: Start by Protecting Data at the Source Your Databases", IDC, August 2011
Oracle Database Security - Defensa en Profundidad mysql Transparent Data Encryption, Privileged User Controls, Multi-Factor Authorization, Data Classification, and Change Tracking Máxima Seguridad para las Bases de Datos Oracle Oracle Advanced Security Oracle Database Vault Oracle Label Security Oracle Total Recall Database Activity Auditing and Reporting, SQL Traffic Monitoring and Blocking, Real-Time Alerting Seguridad por fuera de la base de datos para Oracle y No-Oracle Oracle Audit Vault Oracle Database Firewall Secure Configuration Scanning, Automated Patching, Configuration Change Control, Data Masking for Test and Development Seguridad para bases de datos en ambientes Productivos y No-Productivos: Oracle Database Lifecycle Management Oracle Data Masking 23 Copyright 2011, Oracle and/or its affiliates. All rights reserved. Public Information
Seguridad en la Base de Datos Consolidación de auditoría Aplicaciones Compras Secreto Confidencial RH Clientes Público Actividades no autorizadas DBA Autorización Multi-factor Consolidación de seguridad en bases de datos Supervisión y bloqueo de SQL en la red Base de datos cifrada Respaldos cifrados Tráfico cifrado Enmascaramiento 24 Copyright 2011, Oracle and/or its affiliates. All rights reserved. Public Information
Oracle Identity Management 25 Copyright 2011, Oracle and/or its affiliates. All rights reserved. Public Information
Dueño de Aplicación Seguridad Orientada a Servicios Identity-as-a-Service Aplicación Departamental Servicio de Aprovisionamiento Servicio de Autenticación Oracle Identity Management Políticas Servicio de Adm. De Roles Servicio de Autorización Servicios de Datos de Identidades Servicio de Federación & Trust Oracle WebLogic Suite-based Application Grid Seguridad TI Servicios Discretos de Seguridad Exteriorizados y Fácilmente Consumidos por las Aplicaciones Rápida Seguridad en Aplicaciones, Mejoras en la Agilidad de TI
Administración de Identidades OTORGAR REVOCAR OTORGAR REVOCAR OTORGAR REVOCAR Empleado Sistema RRHH Procesos de Aprobación Ingresa / Sale Aprovisionamiento y desaprovisionamiento automático Gestión de los Roles Identificación de cuentas huérfanas Reportes sobre Quién tiene acceso a qué Autoservicio, Solicitudes Aplicaciones
Control de Acceso Basado en Riesgo Autenticación Mutua Segura Risk Scoring Dispositivo Geografía Tiempo Actividad Autorización Basada en Riesgo Prevención de Fraude en Tiempo Real Perfilado de Comportamiento Auto Learning Detección de Patrones y Anomalías Autenticación Fuerte, OTP
Gobernabilidad de Identidades y Accesos Fuentes de Datos de las Identidades Gestión de Identidades Gestión de Accesos Identity Warehouse Tableros y Reportes Gobernabilidad de Roles Monitoreo de SoD Certificación de Accesos Automatización de Cumplimiento Acelerado y Sostenible Segregación de Tareas, Certificación de Accesos, Conformidad closed-loop Tableros Interactivos & Analísis Completos Optimizado para el Análisis, Minería, Correlación, Reportes sobre Información de Identidades, Accesos y Políticas
Cert360 Visión 360 de los Accesos del Usuario Vista Granular de los Accesos del Usuario para la Toma de Decisiones Glosario de Negocio Excepciones de Auditoría Estado de las Cuentas Información Histórica Información sobre Aprobaciones Tableros de Certificación para Cumplimiento Oficiales Remediación closed loop con Integración a IdM
Cumplimiento Amigable al Usuario y Accionable Aplicaciones Fuentes de Datos de la Identidad Identity Warehouse Factores de Riesgo Bases de Datos Mainframe Roles Histórico de Privilegios Certificaciones Eventos de Aprovisionamiento Sumarización del Riesgo Eventos de Acceso Violaciones de Políticas Certificaciones basadas en Riesgo Rápida sumarización y compilación de datos de cumplimiento Reportes de cumplimiento amigables al usuario de negocio Remediación closed loop para canalizar los riesgos no autorizados Usuario de Riesgo Bajo Certificación Masiva Aprobar Rechazar Usuario de Riesgo Alto Cert360 Focused Sign-off
Controles Automatizados Basados en Identidades 1 Definir Revisión Periódica 2 El certificador es notificado y accede al autoservicio 3 Acción automatizada en base a la revisión periódica 4 Reportes y resultados almacenados en BD Qué revisar? Opciones Certificar Envío de resultado a usuario via email Revocar Baja de usuario automática Quién lo revisa? Rechazar Delegar Notificación al dueño del proceso Notificación al certificador delegado Archivado Datos Certificados Cuándo inicia? Con qué frecuencia? Comentarios Acciones de Certif. Pasos de Delegación
Consola de Comando de Cumplimiento Presentación de Datos de Identidad en Formato Amigable al Negocio Tableros accionables Análisis de riesgo confiable Tableros de cumplimiento +50 Reportes predefinidos Esquema disponible Datos presentables completos Gobernabilidad de identidades completa Análisis avanzado
Al Invertir En Seguridad Se Obtiene Cumplimiento Sostenido APLICACION DE CONTROLES AUTOMATIZACION DE REPORTES Soluciones de Seguridad de Oracle MONITOREO DE CONTROLES PROCESOS OPTIMIZADOS Aplicación de Controles Segregación de funciones Control de Acceso Monitoreo de Controles Quién accedió a qué? Quién cambió qué? Procesos Optimizados Certificación Automatización de Reportes Reportes de conformidad predefinidos Reportes personalizados
Diferenciadores de Oracle Completo Abierto Integrado Y Seguro!
Preguntas