La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Impacto del ENS: Propuesta Oracle Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011.

Publicada porNatalia Alcala Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Impacto del ENS: Propuesta Oracle Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011."— Transcripción de la presentación:

1 Impacto del ENS: Propuesta Oracle Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011

2 AGENDA Introducción: Cumplimiento de Normativas Nueva Era de Riesgos. Esquema Nacional de Seguridad. Propuesta Oracle.

3 Proliferación de normativas a

4 Qué se necesita auditar? Database Audit Requirements SOX PCI DSS HIPAABasel IIFISMAGLBA Accounts, Roles & Permissions Do you have visibility of GRANT and REVOKE activities? ●●●●●● Failed Logins Do you have visibility of failed logins and other exception activities? ●●●●●● Privileged User Activity Do you have visibility of users activities? ●●●●●● Access to Sensitive Data Can you have visibility into what information is being queried (SELECTs)? ●●●●● Schema Changes Are you aware of CREATE, DROP and ALTER Commands that are occurring on identified Tables / Columns? ●●●●●● Data Changes Do you have visibility into Insert, Update, Merge, Delete commands? ●●

5 Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.

6 Una nueva Era de Riesgos Tendencias en TI

7 Cada vez más Complicado….

8 Las areas de foco en Seguridad - 2010 Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010

9 ¿Cuál es la Fuente de las Fugas?: 2010 Data Breach Investigations Report

10 Mercado global de la seguridad Gasto estimado en 2009: 17.000 millones

11 Una paradoja La seguridad de los datos esta identificada como la primera prioridad en el ámbito de la Seguridad IT La primera fuente de fugas de información (92%) son los servidores de base de datos Sólo un 3% del presupuesto invertido en securizar las bases de datos

12 Oracle User Group: encuesta 2010 Solo el 28% cifra sin excepciones la información persona identificable en las Base de Datos Solo el 15% cifra sin excepciones las copias de Seguridad y exportaciones de las Base de Datos El 76% no tiene medios para evitar que un usuario privilegiado pueda leer información sensible de la Base de Datos. Solo el 25% de las empresas usan herramientas para monitorizar la actividad de las Base de Datos El 39% no saben cuanto tiempo les llevaría detectar y rectificar un cambio no autorizado de la Base de Datos.

13 ¿En qué consiste el ENS? Ámbito de aplicación: – Obligatorio para las Administraciones Públicas (Administración General del Estado, Autonómicas y Locales), – Aplicable a todos los sistemas de información relacionados con el ejercicio de derechos y cumplimiento de deberes por medios electrónicos y con el acceso por medios electrónicos de los ciudadanos. – Excluidos los sistemas que tratan información clasificada. Alcance: limitado a establecer los principios básicos y requisitos mínimos para una protección adecuada de la información. Publicada el 29 de enero de 2010 en el BOE (11 de marzo publicada una corrección de errores) Obligatorio para los nuevos sistemas. Los sistemas existentes se adecuarán en el plazo de 12 meses (2011), desde la entrada en vigor del ENS. Si no fuera posible, deberán formalizar un plan de adecuación no superior a 48 meses (2014).

14 Principios Básicos del ENS Seguridad Integral: “La debilidad de un sistema la determina su punto más frágil”. Gestión de Riesgos: “Establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.” Prevención, reacción y recuperación: “..las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan”. Líneas de defensa: “Ganar tiempo….Reducir probabilidad…Minimizar el Impacto” Reevaluación periódica. Función diferenciada

15 ENS: Requisitos Mínimos Todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados: – Organización e implantación del proceso de seguridad – Análisis y gestión de los riesgos – Gestión de personal – Profesionalidad – Autorización y control de los accesos – Protección de las instalaciones – Adquisición de productos – Seguridad por defecto – Integridad y actualización del sistema – Protección de la información almacenada y en tránsito – Prevención ante otros sistemas de información interconectados – Registro de actividad – Incidentes de seguridad – Continuidad de la actividad – Mejora continua del proceso de seguridad

16 © 2009 Oracle Corporation La Seguridad como un Servicio Almacén de Identidad, Credenciales, Políticas y Acceso al Dato. Declarative Security Services Oracle AppsAplicaciones 3 os /DesarrollosProveedores Servicios Cloud Servicios Web Role Mgmt Servicios de Directorio ID Admin Autorización Autenticación Auditoría Access Management Directory Services Identity Administration Federación BBDD

17 Agile Application Security with Service-Oriented Security Interfaz de AutoServicio Servicios de Aprovisionamiento Servicio de Gestión Roles Servicios de Identidad Servicios de Autenticación Servicios de Autorización Servicios de Auditoría BBDD Policies Oracle WebLogic Suite-based Application Grid Oracle Identity Management Incorpora la Seguridad a la Aplicación usando OPSS Desarrollador Ap. Autenticaciónn Políticas de Autenticación & Autorización Despliega la Aplicación Define Políticas y Servicios IT Construye la Aplicación Desarrollador Ap. Portal Autoservicio SSO

18 ENS 18 Medidas de Seguridad: – Marco organizativo: Consultora Especializada – Marco operacional: – Medidas de protección: Categorización de los sistemas: – Dimensiones: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad – Niveles: Bajo, Medio y Alto Auditoría de la seguridad: – Con carácter ordinario: al menos cada dos años, para verificar el cumplimiento de los requerimientos. – Con carácter extraordinario: cuando se produzcan cambios sustanciales en el sistema de información. – El Comité Sectorial de Administración Electrónica evaluará periódicamente el estado de la seguridad en las AAPP. – El Régimen sancionador se espera en breve. + Consultora Especializada

19

Descargar ppt "Impacto del ENS: Propuesta Oracle Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011."

Presentaciones similares

TEMA 21 EL PRESUPUESTO.

TEMA 21 EL PRESUPUESTO.
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
Introducción a Microsoft Operations Manager 2005 Joshua Sáenz G Joshua Sáenz G

Introducción a Microsoft Operations Manager 2005 Joshua Sáenz G Joshua Sáenz G
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Copyright © 2007 Quest Software WebSeminar: Potencie al máximo su Directorio Activo con ActiveRoles BLOG:

Copyright © 2007 Quest Software WebSeminar: Potencie al máximo su Directorio Activo con ActiveRoles BLOG:
Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.

Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.
LAS PALMAS DE GRAN CANARIA

LAS PALMAS DE GRAN CANARIA
Comprimido ARCHIformativo

Comprimido ARCHIformativo
Convenio para realizar la

Convenio para realizar la
ESQUEMA DE SEGURIDAD NACIONAL APLICADO SISTEMAS WINDOWS Juan Luis García Rambla MVP Windows Security Responsable de seguridad Informática 64 jlrambla@informatica64.com.

ESQUEMA DE SEGURIDAD NACIONAL APLICADO SISTEMAS WINDOWS Juan Luis García Rambla MVP Windows Security Responsable de seguridad Informática 64
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
4.3. Privilegios de usuarios

4.3. Privilegios de usuarios
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Red nacional de información

Red nacional de información
Control del Acceso de los Usuarios

Control del Acceso de los Usuarios

Presentaciones similares

Anuncios Google