opn march30th security_track

Oracle PartnerNetwork Days – Satellite Event Spain. March, 30Seguridad Oracle

José Manuel Rodriguez de LlanoSenior Sales Manager Identity Management and SecurityJosé Manuel CarmonaPrincipal Sales Consultant. Identity Management and Security

AGENDA

• Estrategia de Oracle en Seguridad• Retos para nuestros clientes• Cómo proteger sus aplicaciones y datos frente a

ataques internos y externos• Cumplimiento de los requerimientos de leyes y

regulaciones• Gestión de Identidades basada en Roles• Reducción de los costes derivados del cumplimiento

de las normativas

Seguridad IT

• Cifrar y enmascarar• Control usuarios

privilegiados• Monitorización y auditoría

Gestión de Identidades

Seguridad de Documentos Base de Datos

Aplicaciones

Contenidos

Seguridad Oracle

Infraestructura

• Provisión de usuarios• Gestión de roles• Gestión de autorizaciones• Directorio virtual

• Monitorización uso de documentos• Control de acceso a documentos• Seguridad dentro y fuera de la

Empresa

Información

Seguridad en BBDD

Las areas de foco en Seguridad - 2010Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010

Source Forrester September 2010

Más fugas de información que nunca…

2005 2006 2007 2008

FUGAS DE INFORMACION PUBLICAS

Registros Expuestos (Millones)

Source: DataLossDB, Ponemon Institute, 2009

Coste medio: $202 por registro

Coste total medio por fuga: $6.6 million

Más fugas de información que nunca…

49% Fugas con responsables internos a las organizaciones

Causa #1 de fugas de informacion:Credenciales robadas y Aplicaciones Web modificadas con

“SQL Injection”

2010 Data Breach Investigations Report

Threat action categories by percent of breaches and records

Attack pathways by percent of breaches and percent of records

Types of hacking by percent of breaches within Hacking and percent of records

Cual es la fuente de las fugas?

Cifra sin excepciones la informacion personal identificable en las BB.DD

Los datos pueden ser leidos por cualquier usuario con privilegios de acceso a la base de datos

Tiene medios para evitar que un usuario privilegiado leainformacion sensible de la Base de Datos

Los DBA o cualquiera con los privilegios necesarios pueden acceder a los datos almacenados

No pueden detectar si sus usuarios estan abusando de sus privilegios

Los usuarios de base de datos pueden realizar actividades no permitidas si ser detectados

66%No estan seguros de si sus aplicaciones pueden sufrir “SQL injection”

Los datos pueden ser manipulados desde el exterior por hackers que acceden desde las aplicaciones

48%Copian informacion sensible a entornos fuera de produccion

Los desarrolladores pueden acceder a los datos reales de produccion

Mercado global de la seguridad Gasto estimado en 2009: 17.000 millones

Seguridad final (particulares) 3.700 millones

Gestión de Identidades 1.400 millones

Seguridad de red 2.000 millones

Gestión de vulnerabilidades 2.000 millones

Seguridad final (empresas) 2.800 millones

Seguridad eMail 1.500 millones

Otro tipo de seguridad 3.000 millones

Seguridad en BB.DD.¿SÓLO 500 millones?

Cifras en Dólares EE.UU.

Una paradoja

La seguridad de los datos está identificada como la primera prioridad en el ámbito de la Seguridad IT

La primera fuente de fugas de información (92%) son los servidores de base de datos

Sólo un 3% del presupuesto invertido en securizar las bases de datos (Gartner 2009)

Proliferación de normativas

Sarbanes-Oxley

Breach DisclosurePCI

GLBAPIPEDA

Basel IIEU Data Directives

Euro SOXJ SOX

SAS 70

AUS/PRO

UK/PRO

Source: IT Policy Compliance Group, 2007.

ISO 17799

90% Compañias e instituciones no cumplen

Civil Liability

Government Sanctions

Criminal Prosecution

Control de riesgos y Cumplimiento de Normativas: Complejos y Costosos

• Regulación internacional, nacional, local, por industria… añadiendo más normativa cada año

• Necesidad de cumplir y demostrar el cumplimiento

• Los costes de auditoria y cumplimiento pueden ser insostenibles

! Informes y auditoría

Nuevo Código Penal: responsabilidad penalde las personas jurídicas

PCI-DSS: Requisitos

Aplicaciones

Contenidos

Seguridad Oracle

Infraestructura

Empresa

Información

Seguridad en BBDD

Oracle Identity Management

Administración deIdentidades

Gestión deAcceso

Servicios deDirectorio

Aprovisionamiento de Usuario basado en Roles

Autoservicio de Peticiones y Aprobaciones

Gestión de Contraseñas

Prevención de Fraude y AutenticaciónSingle Sign-On y FederaciónAutorización y DerechosSeguridad de Servicios Web

Almacenamiento LDAPIdentidad de Acceso Virtualizada

Gobierno de Identidades Seguridad de la PlataformaAnálisis, Prevención de Fraude, Control de

PrivacidadServicios de Identidad para Desarrolladores

Gestión de Identidad basada en Roles

Oportunidad Gestión de Identidad basada en Roles

Necesidades

Oportunidad Gestión de Identidad basada en Roles

Necesidades

OportunidadGestión de Identidad basada en Roles

Solución Tecnológica

Sincronización de Datos de Permisos de Acceso

Provisión de Permisos en

corcondancia con las políticas de

Petición de Validación de SoD

Respuesta de Validación de SoD

Conclusiones de Forrester• Modelo financiero basado en la metodología TEI de

Forrester• Se crea una organización tipo para poblar el modelo

• Basada en entrevistas con clientes reales• Asunciones básicas extraídas de 4 proyectos reales• Análisis completo de coste-beneficio y ajuste del

riesgo

• Gestión de Identidades 2.0• Proyectos apoyados desde negocio• Podemos posicionarlo en diferentes tipos de clientes :

• Sin gestión de Identidades• Con Gestión de Identidades No Oracle• Con Gestión de Identidades Oracle

Virtualización de Identidades

• Diferentes repositorios de Identidades con procesos complejos de sincronización

• Falta de servicios comunes de identidad• Proyectos parados o comprometidos en su planificación• Costes altos en administración y mantenimiento• Dificultad en consolidar un esquema global de identidad• La información de Identidad que no está en Directorios LDAP

queda fuera de la foto

Oportunidad Virtualización de Identidades

Necesidades

Active Directory

Directorio LDAP

BB.DD.

Oracle Virtual Directory

Servicios web

BB.DD. de RR.HH.

Aplicación SSO

AD ForestOracle Virtual Directory

AD PersonInetOrgPerson

BB.DD.PeopleSoft/Siebel

Active Directory Forest #1

Directorio LDAP

BB.DD.

Active Directory Forest #2

Active Directory(o Novell o SUN DS)

BB.DD. Oracle

Directorio LDAPOracle Virtual Directory

• Proyecto táctico, de corto alcance y con resultados rápidos• Despierta interés y se entiende su beneficio rápidamente• Pieza tecnológica que puede acelerar proyectos complejos ( Gestión de

Identidades, Control de Acceso Web, …)• Complementario a soluciones de Portal, Gestión de Contenidos, …• Curva de aprendizaje rápida en el conocimiento de la tecnología• En la licencia se incluyen tres productos

OportunidadVirtualización de Identidades

SSO Corporativo

• Mejora la experiencia de usuario• Reducción de costes en help-desk• Mejora de la seguridad• Uso de mecanismos de autenticación fuertes• No intrusión en las aplicaciones• Tecnología de aplicaciones heterogénea

Oportunidad SSO Corporativo

Necesidades

OportunidadSSO Corporativo

RepositorioeSSo

jperez01

juanpe

contab173ActiveDirectory

juan.perez*******

eSSO rellena la identificación

automáticamente

eSSO rellena la identificación automáticamente

• Proyecto corto, pero puede suponer una puerta de entrada a otras oportunidades ( Gestión de Identidades, Control de Acceso Web, …)

• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección

• Curva de aprendizaje rápida en el conocimiento de la tecnología

OportunidadSSO Corporativo

InformesIntegrados

Alertas

Informespersonalizados

!Auditoría

Consolidación Informes

Políticas

DataMasking

Backups Encriptados

Base de datosEncriptada

InformesEncriptados

Seguridad en Base de Datos

Contratación

Financiero

Sensible PúblicoConfidencial

Seguridad en la administración de Base de

No Autorizado

Aplicaciones

Permiso

Alertas

Sustitución

Bloqueo y Monitorización de

la red SQL

Protección del Dato y Cumplimiento Normativo

Oportunidad Protección del Dato y Cumplimiento

Necesidades

• Diferentes normativas que obligan a proteger el dato debidamente : LOPD, ENS, PCI/DSS

• Asegurar el ciclo de vida del dato• Control de las operaciones que pueden realizar los admininstradores de

base de datos Oracle• Auditoría de acceso al dato• Poder trabajar con datos de producción en entornos de desarrollo de

forma segura

Necesidades

Necesidades• ENS : todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer

formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados:

• Requisitos mínimos:• Organización e implantación del proceso de seguridad• Análisis y gestión de los riesgos• Gestión de personal• Profesionalidad• Autorización y control de los accesos• Protección de las instalaciones• Adquisición de productos• Seguridad por defecto• Integridad y actualización del sistema• Protección de la información almacenada y en tránsito• Prevención ante otros sistemas de información interconectados• Registro de actividad• Incidentes de seguridad• Continuidad de la actividad• Mejora continua del proceso de seguridad

OportunidadProtección del Dato y Cumplimiento

Solución TecnológicaTransparent Data Encryption

• Encripta los datos de las aplicaciones• Encriptación columnas • Encriptación tablespaces y sus ficheros• 3DES168, AES128, AES192 (def), AES256

• Altamente eficiente• Alto rendimiento (overhead < 5%)• Integrado con Oracle Advanced

Compression• No se necesitan cambios en las

aplicaciones• Cualquier tipo de dato• Se permiten índices sobre datos

encriptados

Capa SQL

undo blocks

temp blocks

flashback logs

redo logs

Buffer Cache“SSN = 987-65-..”

Consolida los registros de auditorías en un repositorio centralizado y seguro Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados Informes predefinidos y personalizados de auditoría de usuarios privilegiados,

permisos, logins fallidos, acceso a datos sensibles, cambios de esquema, … Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc. Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sysbase, DB2

Datos CRM

Datos ERP

Databases

Datos RR.HH.

Solución TecnológicaAnonimización irreversible de datos en entornos no productivos

• Proyecto resultado de un proceso de prescripción, asesoría de seguridad• Los productos por sí solos no resuelven el problema : es necesaria una

consultoría previa • Imprescindibles para procesos de “cloud” privada• Diferenciador en propuestas de “outsourcing”• Mercado objetivo : cualquier cliente de Oracle Enterprise Edition• Proyectos de medio-largo recorrido

Firewall de Base de Datos

Oportunidad Firewall de Base de Datos

Necesidades

SQL INJECTIONCuando el programador incorpora en una sentencia SQL una variable cuyo valor es suministrado por el usuario final y su contenido no es correctamente filtrado, permitiendo que el usuario final pueda introducir valores que puedan ser interpretados como parte de una sentencia SQL.

“SELECT * FROM users WHERE name = '" + userName + "';" Con SQL Injection se puede conseguir: SELECT * FROM users WHERE name = '' OR '1'='1'; SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT *

FROM userinfo WHERE 't' = 't'; Mediante SQL Injections se obtienen datos no permitidos de las bases de datos o se

realizan ataques de denegación de servicio.

Seguridad Oracle para Bases de datosResumen de Soluciones

• Oracle Advanced Security• Oracle Database Vault• Oracle Label Security• Oracle Audit Vault• Oracle Total Recall• Oracle Database Firewall• Oracle Data Masking

Protección de Documentos

Oportunidad Protección de Documentos

Necesidades

Oportunidad

Securizar las copias y saber quién ha accedido a ellas

Evitar que las copias sean enviadas o editadas inadecuadamente

Proteger la información confidencial para trabajar de forma colaborativa con terceros

Revocar el acceso a información confidencial a empleados que se han ido o personas en las que ya no confiamos

Implementar las políticas de clasificación documental (ISO 17799)

6. Auditoría detallada del acceso a los documentos

• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección

• Percepción alta de necesidad en este momento• Escaso en servicios tecnológicos y rico en servicios de consultoría• Curva de aprendizaje rápida en el conocimiento de la tecnología

Blog público de IRM : http://blogs.oracle.com/irm/

OportunidadProtección de Documentos

Aplicaciones

Contenidos

Seguridad Oracle

Infraestructura

Empresa

Información

Seguridad en BBDD

Trabajo en Equipo

Plan de trabajo conjunto Áreas de foco en producto Áreas de foco en mercado Plan de acción

Generación de demanda Formación a ventas y preventa “Security Whiteboard Session” Eventos conjuntos, visitas conjuntas a clientes Apoyo preventa. Cualificación, RFI/RFP Pruebas de concepto

PREGUNTAS

opn march30th security_track

millones seguridad en

identidades seguridad

foco en seguridad

seguridad gasto estimado

riesgos y cumplimiento

usuarios gestin

una paradojala seguridad

leyes y regulaciones

Education

opn days fy11_crm_alvaro

opn for uima

opn mgt introduction (1)

opn competency center - · pdf filethe opn competency...

intro opn mangt

mauricio madrid opn days_fy11_disaster_recovery

opn site talk_flipbook_20120515_hungarian (1)

opn™ product guide

pulsenet (opn)

opn, estatutos, agosto 2011

opn trabalho grupo

opn research design

opn sitetalk flipbook croatian

opn powerpoint

parallel opn of transformers

kokemuksen kehtolaulu - opn studio

ecertificate opn

opn 1st mid

opn - 28/09/2005

david gandara opn oracle