La tecnología como facilitador del
cumplimiento de los controles de
un SGSI.
Aproximación práctica de las
soluciones que ofrecen las
herramientas tecnológicas
Blas Piñero Uribe, CISA
Oracle Consulting
Risk
Response
Plan
and
Organize
Security
Management
Service
Delivery /
Support
Physical
and
Environmental
Security
Business
Continuity
Management
Internal
Environment
ISO17799
Define
and
Support
Event
Identification
COBiT
Access Control
ICT Infrastructure
Management
Information
and
Communications
Planning to
Implement
Service
Management
Objective
Setting
Systems
Development
and
Maintenance
Communications
and
Operations
Management
Asset
Classification
and
Control
Organizational
Security
Monitoring
Personnel
Security
Security Policy
COSO
ITIL
Acquire
and
Implement
Control
Activities
Application
Management
Compliance
Monitor
and
Support
Risk
Assessment
Business
Perspective
Estandares de seguridad IT
Gestión de la Seguridad IT: ISO 27001
La evolución de los estándares
ISO27001
• Sistema de Gestión de la Seguridad
de la Información (SGSI)
• Adopta la metodologia PDCA,
PDCA Model
En la actualidad
• La serie ISO 27000 reemplazara a ISO
17799 y a UNE 71502:
– 27000: Definiciones y términos (draft)
– 27001: Implantación del SGSI (Certificable)
evolución de BS-7799-2 y equivale a UNE
71502
– 27002: Transcripción de ISO 17799:2005,
catalogo de buenas practicas.
– 27003: Guía de implementación (draft).
– 27004: Indicadores y metricas (draft).
– 27005: Gestión y evaluación de riesgos
(draft).
ISO27001
1) Define un marco para el establecimiento
de objetivos y establece las directrices y
principios de accion en lo referente a
seguridad de la información
2) Tiene en cuenta requerimientos legales,
de negocio y contractuales
3) Se alinea el contexto estrategico de
gestión del riesgo de la organizacion en
el que se desarrolla el SGSI
4) Establece los criterios de evaluación del
riesgo
ISO 27002
• Con origen en la norma británica BS77991, constituye un código de buenas
prácticas para la Gestión de la Seguridad
de la Información.
• Establece la base común para desarrollar
normas de seguridad dentro de las
organizaciones.
• Define diez dominios de control que
cubren por completo la Gestión de la
Seguridad de la Información.
• 36 objetivos de control y 127 controles.
Dominios ISO 27002
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10. Cumplimiento Legal
ISO/IEC 17799:2005 vs LOPD/RMS
Ayudas Tecnologicas:
Oracle Database Vault
Aplicación
Control de acceso
Segregación de funciones
Características
Bloqueo de acceso al DBA u otros usuarios privilegiados a
datos corporativos (datos confidenciales, DBAs externos)
Restricción de comandos privilegidos ( DBA) basado en filtrado
de dirección IP
Protección de los datos frente a modificaciones no autorizadas
(Integridad)
Fuerte control de acceso sobre los datos corporativos
Cumplimiento
Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal
Adecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones
Adecuación LOPD – Control de acceso
Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus
funciones. (Nivel básico)
Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del
responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto)
¿Para que sirve Database Vault?
• Protege la Base de Datos con Separación de
Derechos por Aplicación/Usuario/Objeto
• Permite implementar controles de visualización
de los Datos de Aplicación por Usuario
• Permite limitar a los DBA’s y Super Usuarios el
acceso a los Datos Sensibles o Protegidos por
LOPD
• Permite administrar los Objetos, aún cuando se
limite el acceso a los datos.
• Proporciona un conjunto de Informes de
Seguridad para control y seguimiento de las
medidas implementadas
Oracle Database Vault
Realms
• El administrador de la BD
ve los datos de RRHH
select * from HR.emp
Eliminamos el riesgo de
incumplimiento legal o robo
de datos
• El administrador de RRHH
ve los datos de Financiero
Eliminamos el riesgo
derivado de la
consolidacion de
servidores
DBA
HR
HR
HR DBA
HR Realm
Fin
Fin
FIN DBA
Fin Realm
Oracle Database Vault
Rules & Multi-factor Authorization
•
El administrador de la BD
intenta un “alter system”
remoto
Reglas basados en dirección
IP bloquean la acción
•
El administrador de RRHH realiza
acciones no autorizadas en
producción.
Reglas basadas en
fecha/hora bloquean la
acción
alter system…….
DBA
create …
HR
HR
HR DBA
3pm Monday
HR Realm
ISO 27002 Dominio 7
• CONTROL DE ACCESO
– Requisitos de la Organización para el control
de acceso
– Administración del acceso de usuarios
– Responsabilidades de los usuarios
– Control de acceso de la Red
– Control de acceso al Sistema Operativo
– Control de acceso de las Aplicaciones
– Acceso y uso del Sistema de Monitoreo
– Computadoras móviles y trabajo a distancia
El problema de la gestión
de identidades....
¿Qué es una identidad?
• Una identidad es
un conjunto de
identidades
parciales.
• Cada identidad
parcial
corresponde a un
rol en un entorno
Health Care
Government
Work
Blood
Group
Tax
Status
Name
Address
Birthplace
Credit
Rating
Foreign
Languages
Alice
Identity
of Alice
Partial
Identity
of Alice
Phone
Number
MasterCard
Age
Diary
Legend:
GoodConduct
Certificate
Health
Status
Income
Birthday
Shopping
Insurance
Cellphone
Number
Interests
Telecommunication
Likes &
Dislikes
Payment
Diners Club
Driving
Licence
Travel
Boyfriend
Bob
Leisure
Ciclo de Vida de la Identidad Digital
Registro/Creación
Nuevos Empleados entran en
la Empresa
Propagación
Cuentas &
Políticas
Revocación
Empleados dejan
la Empresa
Mantenimiento/Gestión
Cambios y Soporte a
Usuarios
El problema de las identidades
El problema: Islas de
Información
• Cada Usuario tiene
multiples identidades
parciales, una en cada
entorno.
CONSECUENCIAS
• Multiples puntos de
administración.
• Multiples
administradores
• Inconsistencia de datos
• Falta de una
“vista”unificada de la
identidad
Oracle Identity Management
Auditoria de Acceso a datos
•
Art. 24
REGISTRO DE ACCESO, exige (nivel
alto):
1.
2.
3.
4.
5.
•
Identificación, Dia/hora, Fichero y resultado
Identificación del registro accedido
Mecanismos no desactivables
Conservación dos años
Informe mensual de revisiones de controlresponsable Seguridad
Corresponde al dominio 10 ISO
¿ Qué es Audit Vault?
• Herramienta de Seguridad enfocada a la
Auditoria de Accesos a Datos y uso de Privilegios
• Se proporciona con el Núcleo de Base de Datos
10gR2
• Dispone de un Intefaz Gráfico para Administrar
las diferentes Políticas de Auditoria
• Permite Auditar B.D. 9iR2 a 10GR2
• Protege, Consolida, Detecta, Monitoriza, Alerta
¿ Para qué Sirve Audit Vault ?
• Adaptación a la LOPD o ISO 27001 de manera
no traumática
• Identifica Quién y Cuándo ha accedido a Datos
Protegidos o Sensibles de la B.D.
• Identifica Quién y Cuándo ha realizado un uso
inadecuado de Privilegios en B.D.
• Eficiente herramienta de Control y Seguimiento
• Permite análizar las trazas recopiladas mediante
una herramienta de Reporting.
• Recopila Trazas de Múltiples orígenes
(SqlServer, DB2 ..)
Funcionalidades Audit Vault
Preguntas…..
<Insert Picture Here>
Descargar

Presentación de PowerPoint