Impacto del ENS: Propuesta Oracle Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011
AGENDA Introducción: Cumplimiento de Normativas Nueva Era de Riesgos. Esquema Nacional de Seguridad. Propuesta Oracle.
Proliferación de normativas a
Qué se necesita auditar? Database Audit Requirements SOX PCI DSS HIPAABasel IIFISMAGLBA Accounts, Roles & Permissions Do you have visibility of GRANT and REVOKE activities? ●●●●●● Failed Logins Do you have visibility of failed logins and other exception activities? ●●●●●● Privileged User Activity Do you have visibility of users activities? ●●●●●● Access to Sensitive Data Can you have visibility into what information is being queried (SELECTs)? ●●●●● Schema Changes Are you aware of CREATE, DROP and ALTER Commands that are occurring on identified Tables / Columns? ●●●●●● Data Changes Do you have visibility into Insert, Update, Merge, Delete commands? ●●
Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.
Una nueva Era de Riesgos Tendencias en TI
Cada vez más Complicado….
Las areas de foco en Seguridad Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010
¿Cuál es la Fuente de las Fugas?: 2010 Data Breach Investigations Report
Mercado global de la seguridad Gasto estimado en 2009: millones
Una paradoja La seguridad de los datos esta identificada como la primera prioridad en el ámbito de la Seguridad IT La primera fuente de fugas de información (92%) son los servidores de base de datos Sólo un 3% del presupuesto invertido en securizar las bases de datos
Oracle User Group: encuesta 2010 Solo el 28% cifra sin excepciones la información persona identificable en las Base de Datos Solo el 15% cifra sin excepciones las copias de Seguridad y exportaciones de las Base de Datos El 76% no tiene medios para evitar que un usuario privilegiado pueda leer información sensible de la Base de Datos. Solo el 25% de las empresas usan herramientas para monitorizar la actividad de las Base de Datos El 39% no saben cuanto tiempo les llevaría detectar y rectificar un cambio no autorizado de la Base de Datos.
¿En qué consiste el ENS? Ámbito de aplicación: – Obligatorio para las Administraciones Públicas (Administración General del Estado, Autonómicas y Locales), – Aplicable a todos los sistemas de información relacionados con el ejercicio de derechos y cumplimiento de deberes por medios electrónicos y con el acceso por medios electrónicos de los ciudadanos. – Excluidos los sistemas que tratan información clasificada. Alcance: limitado a establecer los principios básicos y requisitos mínimos para una protección adecuada de la información. Publicada el 29 de enero de 2010 en el BOE (11 de marzo publicada una corrección de errores) Obligatorio para los nuevos sistemas. Los sistemas existentes se adecuarán en el plazo de 12 meses (2011), desde la entrada en vigor del ENS. Si no fuera posible, deberán formalizar un plan de adecuación no superior a 48 meses (2014).
Principios Básicos del ENS Seguridad Integral: “La debilidad de un sistema la determina su punto más frágil”. Gestión de Riesgos: “Establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.” Prevención, reacción y recuperación: “..las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan”. Líneas de defensa: “Ganar tiempo….Reducir probabilidad…Minimizar el Impacto” Reevaluación periódica. Función diferenciada
ENS: Requisitos Mínimos Todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados: – Organización e implantación del proceso de seguridad – Análisis y gestión de los riesgos – Gestión de personal – Profesionalidad – Autorización y control de los accesos – Protección de las instalaciones – Adquisición de productos – Seguridad por defecto – Integridad y actualización del sistema – Protección de la información almacenada y en tránsito – Prevención ante otros sistemas de información interconectados – Registro de actividad – Incidentes de seguridad – Continuidad de la actividad – Mejora continua del proceso de seguridad
© 2009 Oracle Corporation La Seguridad como un Servicio Almacén de Identidad, Credenciales, Políticas y Acceso al Dato. Declarative Security Services Oracle AppsAplicaciones 3 os /DesarrollosProveedores Servicios Cloud Servicios Web Role Mgmt Servicios de Directorio ID Admin Autorización Autenticación Auditoría Access Management Directory Services Identity Administration Federación BBDD
Agile Application Security with Service-Oriented Security Interfaz de AutoServicio Servicios de Aprovisionamiento Servicio de Gestión Roles Servicios de Identidad Servicios de Autenticación Servicios de Autorización Servicios de Auditoría BBDD Policies Oracle WebLogic Suite-based Application Grid Oracle Identity Management Incorpora la Seguridad a la Aplicación usando OPSS Desarrollador Ap. Autenticaciónn Políticas de Autenticación & Autorización Despliega la Aplicación Define Políticas y Servicios IT Construye la Aplicación Desarrollador Ap. Portal Autoservicio SSO
ENS 18 Medidas de Seguridad: – Marco organizativo: Consultora Especializada – Marco operacional: – Medidas de protección: Categorización de los sistemas: – Dimensiones: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad – Niveles: Bajo, Medio y Alto Auditoría de la seguridad: – Con carácter ordinario: al menos cada dos años, para verificar el cumplimiento de los requerimientos. – Con carácter extraordinario: cuando se produzcan cambios sustanciales en el sistema de información. – El Comité Sectorial de Administración Electrónica evaluará periódicamente el estado de la seguridad en las AAPP. – El Régimen sancionador se espera en breve. + Consultora Especializada