Download - Catedra De Riesgos Oracle
![Page 1: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/1.jpg)
La tecnología como La tecnología como facilitador del cumplimiento facilitador del cumplimiento
de los controles de un de los controles de un SGSI. SGSI.
Aproximación práctica de las Aproximación práctica de las soluciones que ofrecen las soluciones que ofrecen las herramientas tecnológicasherramientas tecnológicas
Blas Piñero Uribe, CISABlas Piñero Uribe, CISAOracle ConsultingOracle Consulting
![Page 2: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/2.jpg)
ISO17799
Communicationsand
OperationsManagement
OrganizationalSecurity
Security Policy
AssetClassification
andControl
BusinessContinuity
Management
Access Control
Physicaland
EnvironmentalSecurity
PersonnelSecurity
SystemsDevelopment
andMaintenance
Compliance
COBiT
Monitorand
Support
Acquireand
Implement
Planand
Organize
Defineand
Support
COSO
Monitoring
InternalEnvironment
RiskAssessment
ControlActivities
Informationand
Communications
ITIL
ICT InfrastructureManagement
ServiceDelivery /Support
BusinessPerspective
Planning toImplement
ServiceManagement
ApplicationManagement
SecurityManagement
ObjectiveSetting
RiskResponse
EventIdentification
![Page 3: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/3.jpg)
Estandares de seguridad IT
![Page 4: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/4.jpg)
Gestión de la Seguridad IT: ISO 27001
![Page 5: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/5.jpg)
La evolución de los estándares
![Page 6: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/6.jpg)
ISO27001
• Sistema de Gestión de la Seguridad de la Información (SGSI)
• Adopta la metodologia PDCA,
![Page 7: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/7.jpg)
PDCA Model
![Page 8: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/8.jpg)
En la actualidad
• La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502:– 27000: Definiciones y términos (draft)– 27001: Implantación del SGSI (Certificable)
evolución de BS-7799-2 y equivale a UNE 71502
– 27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas.
– 27003: Guía de implementación (draft).– 27004: Indicadores y metricas (draft).– 27005: Gestión y evaluación de riesgos
(draft).
![Page 9: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/9.jpg)
ISO27001
1) Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información
2) Tiene en cuenta requerimientos legales, de negocio y contractuales
3) Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI
4) Establece los criterios de evaluación del riesgo
![Page 10: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/10.jpg)
ISO 27002
• Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información.
• Establece la base común para desarrollar normas de seguridad dentro de las organizaciones.
• Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.
• 36 objetivos de control y 127 controles.
![Page 11: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/11.jpg)
Dominios ISO 27002
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento Legal
![Page 12: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/12.jpg)
![Page 13: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/13.jpg)
ISO/IEC 17799:2005 vs LOPD/RMS
![Page 14: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/14.jpg)
Adecuación LOPD – Control de acceso
Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel básico)Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto)
Características
Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos)
Restricción de comandos privilegidos ( DBA) basado en filtrado de dirección IP
Protección de los datos frente a modificaciones no autorizadas (Integridad)
Fuerte control de acceso sobre los datos corporativos
Cumplimiento
Aplicación
Control de acceso Segregación de funciones
Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personalAdecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones
Ayudas Tecnologicas:Oracle Database Vault
![Page 15: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/15.jpg)
¿Para que sirve Database Vault?
• Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto
• Permite implementar controles de visualización de los Datos de Aplicación por Usuario
• Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD
• Permite administrar los Objetos, aún cuando se limite el acceso a los datos.
• Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas
![Page 16: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/16.jpg)
Oracle Database Vault Realms
DBA
HR DBA HR
HR Realm
HR
• El administrador de la BD ve los datos de RRHH
select * from HR.empEliminamos el riesgo de incumplimiento legal o robo de datos
Fin
FIN DBA
• El administrador de RRHH ve los datos de Financiero
Eliminamos el riesgo derivado de la consolidacion de servidores
Fin Realm
Fin
![Page 17: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/17.jpg)
Oracle Database Vault Rules & Multi-factor Authorization
DBA
HR DBA
HR
• El administrador de la BD intenta un “alter system” remoto
alter system…….
Reglas basados en dirección IP bloquean la acción
create …• El administrador de RRHH realiza acciones no autorizadas en producción.
3pm Monday
Reglas basadas en fecha/hora bloquean la acción
HR Realm
HR
![Page 18: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/18.jpg)
ISO 27002 Dominio 7
• CONTROL DE ACCESO– Requisitos de la Organización para el control
de acceso– Administración del acceso de usuarios– Responsabilidades de los usuarios– Control de acceso de la Red– Control de acceso al Sistema Operativo– Control de acceso de las Aplicaciones– Acceso y uso del Sistema de Monitoreo– Computadoras móviles y trabajo a distancia
![Page 19: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/19.jpg)
El problema de la gestión de identidades....
![Page 20: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/20.jpg)
MasterCard
Diners Club
Government
Alice
Telecom-munication
Leisure
BoyfriendBob
Travel
Shopping
Work
Payment
Health Care
HealthStatus
CreditRating
Interests
Age
DrivingLicence
TaxStatus
NameBirthday
Birthplace
Good-Conduct
Certificate
Insurance
PhoneNumber
BloodGroup
ForeignLanguages
Income
Diary
Address
CellphoneNumber Likes &
DislikesLegend:
Identityof Alice
PartialIdentityof Alice
Gestion de
Identidades
¿Qué es una identidad?
• Una identidad es un conjunto de identidades parciales.
• Cada identidad parcial corresponde a un rol en un entorno
![Page 21: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/21.jpg)
Nuevos Empleados entran en la Empresa
Cambios y Soporte a Usuarios
Empleados dejanla Empresa
Cuentas & Políticas
Registro/Creación
Propagación
Mantenimiento/Gestión
Revocación
Ciclo de Vida de la Identidad Digital
![Page 22: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/22.jpg)
El problema de las identidades
El problema: Islas de Información
• Cada Usuario tiene multiples identidades parciales, una en cada entorno.
CONSECUENCIAS• Multiples puntos de
administración.• Multiples
administradores• Inconsistencia de datos• Falta de una
“vista”unificada de la identidad
![Page 23: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/23.jpg)
Oracle Identity Management
![Page 24: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/24.jpg)
Auditoria de Acceso a datos
• Art. 24REGISTRO DE ACCESO, exige (nivel
alto):1. Identificación, Dia/hora, Fichero y resultado
2. Identificación del registro accedido
3. Mecanismos no desactivables
4. Conservación dos años
5. Informe mensual de revisiones de control- responsable Seguridad
• Corresponde al dominio 10 ISO
![Page 25: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/25.jpg)
¿ Qué es Audit Vault?
• Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios
• Se proporciona con el Núcleo de Base de Datos 10gR2
• Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria
• Permite Auditar B.D. 9iR2 a 10GR2
• Protege, Consolida, Detecta, Monitoriza, Alerta
![Page 26: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/26.jpg)
¿ Para qué Sirve Audit Vault ?
• Adaptación a la LOPD o ISO 27001 de manera no traumática
• Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D.
• Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D.
• Eficiente herramienta de Control y Seguimiento• Permite análizar las trazas recopiladas mediante
una herramienta de Reporting.• Recopila Trazas de Múltiples orígenes
(SqlServer, DB2 ..)
![Page 27: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/27.jpg)
Funcionalidades Audit Vault
MicrosoftSQL
Server *10g
Release 1
Other thirdParty sources
*
9i Release 2
EBusinessSuite *
ApplicationServer *
Siebel *PeopleSoft *10g Release 2
Proteger, Consolidar, Detectar, Monitorizar, Administrar, Alertar y Report
Audit Archival
Mgmt
ProactiveDetectionand Alerts
Audit Reports
Audit Dashboard
Audit Admin
Audit Collection
Audit PolicyMgmt
Data Mining &Analysis
Custom Reports
V1 Java SDK
Audit CollectorsCustom Collectors
C SDK
Audit Agent
Administration
AV AdminReporting y Alertas
Auditor
MicrosoftSQL
Server *
MicrosoftSQL
Server *10g
Release 110g
Release 1
Other thirdParty sources
*
Other thirdParty sources
*
9i Release 2
9i Release 2
EBusinessSuite *
EBusinessSuite *
ApplicationServer *
ApplicationServer *
Siebel *Siebel *PeopleSoft *PeopleSoft *10g Release 2
10g Release 2
Proteger, Consolidar, Detectar, Monitorizar, Administrar, Alertar y Report
Audit Archival
Mgmt
ProactiveDetectionand Alerts
Audit Reports
Audit Dashboard
Audit Admin
Audit Collection
Audit PolicyMgmt
Data Mining &Analysis
Custom Reports
V1 Java SDK
Audit CollectorsCustom Collectors
C SDK
Audit Agent
Java SDK
Audit CollectorsCustom Collectors
C SDK
Audit Agent
Administration
AV AdminReporting y Alertas
Auditor
Reporting y Alertas
Auditor
![Page 28: Catedra De Riesgos Oracle](https://reader036.vdocumento.com/reader036/viewer/2022062405/55845b9ad8b42ae03e8b45cc/html5/thumbnails/28.jpg)
<Insert Picture Here>
Preguntas…..