Opn march30th security_track

<Insert Picture Here>

Oracle PartnerNetwork Days – Satellite Event Spain. March, 30Seguridad Oracle

José Manuel Rodriguez de LlanoSenior Sales Manager Identity Management and SecurityJosé Manuel CarmonaPrincipal Sales Consultant. Identity Management and Security

Copyright Oracle Corporation. 2011. All rights reserved

AGENDA

• Estrategia de Oracle en Seguridad• Retos para nuestros clientes• Cómo proteger sus aplicaciones y datos frente a

ataques internos y externos• Cumplimiento de los requerimientos de leyes y

regulaciones• Gestión de Identidades basada en Roles• Reducción de los costes derivados del cumplimiento

de las normativas

4

Seguridad IT

6

• Cifrar y enmascarar• Control usuarios

privilegiados• Monitorización y auditoría

Gestión de Identidades

Seguridad de Documentos Base de Datos

Aplicaciones

Contenidos

Seguridad Oracle

Infraestructura

• Provisión de usuarios• Gestión de roles• Gestión de autorizaciones• Directorio virtual

• Monitorización uso de documentos• Control de acceso a documentos• Seguridad dentro y fuera de la

Empresa

Información

Seguridad en BBDD

7

Las areas de foco en Seguridad - 2010Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010

Source Forrester September 2010

8

Más fugas de información que nunca…

0

100

200

300

400

2005 2006 2007 2008

FUGAS DE INFORMACION PUBLICAS

630%

Registros Expuestos (Millones)

Source: DataLossDB, Ponemon Institute, 2009

Coste medio: $202 por registro

Coste total medio por fuga: $6.6 million

9

Más fugas de información que nunca…

49% Fugas con responsables internos a las organizaciones

10

Causa #1 de fugas de informacion:Credenciales robadas y Aplicaciones Web modificadas con

“SQL Injection”

2010 Data Breach Investigations Report

Threat action categories by percent of breaches and records

Attack pathways by percent of breaches and percent of records

Types of hacking by percent of breaches within Hacking and percent of records

11

Cual es la fuente de las fugas?


12

28%

Cifra sin excepciones la informacion personal identificable en las BB.DD

Los datos pueden ser leidos por cualquier usuario con privilegios de acceso a la base de datos

24%

Tiene medios para evitar que un usuario privilegiado leainformacion sensible de la Base de Datos

Los DBA o cualquiera con los privilegios necesarios pueden acceder a los datos almacenados

68%

No pueden detectar si sus usuarios estan abusando de sus privilegios

Los usuarios de base de datos pueden realizar actividades no permitidas si ser detectados

66%No estan seguros de si sus aplicaciones pueden sufrir “SQL injection”

Los datos pueden ser manipulados desde el exterior por hackers que acceden desde las aplicaciones

48%Copian informacion sensible a entornos fuera de produccion

Los desarrolladores pueden acceder a los datos reales de produccion

13

Mercado global de la seguridad Gasto estimado en 2009: 17.000 millones

Seguridad final (particulares) 3.700 millones

Gestión de Identidades 1.400 millones

Seguridad de red 2.000 millones

Gestión de vulnerabilidades 2.000 millones

Seguridad final (empresas) 2.800 millones

Seguridad eMail 1.500 millones

Otro tipo de seguridad 3.000 millones

Seguridad en BB.DD.¿SÓLO 500 millones?

Cifras en Dólares EE.UU.

14

Una paradoja

La seguridad de los datos está identificada como la primera prioridad en el ámbito de la Seguridad IT

La primera fuente de fugas de información (92%) son los servidores de base de datos

Sólo un 3% del presupuesto invertido en securizar las bases de datos (Gartner 2009)


15

Proliferación de normativas

FISMA

Sarbanes-Oxley

Breach DisclosurePCI

HIPAA

GLBAPIPEDA

Basel IIEU Data Directives

Euro SOXJ SOX

K SOX

SAS 70

AUS/PRO

UK/PRO

Source: IT Policy Compliance Group, 2007.

COBIT

ISO 17799

90% Compañias e instituciones no cumplen

LOPD

Civil Liability

Government Sanctions

Criminal Prosecution

© 2010 Oracle Corporation – Proprietary and Confidential 16

Control de riesgos y Cumplimiento de Normativas: Complejos y Costosos

• Regulación internacional, nacional, local, por industria… añadiendo más normativa cada año

• Necesidad de cumplir y demostrar el cumplimiento

• Los costes de auditoria y cumplimiento pueden ser insostenibles

! Informes y auditoría

Nuevo Código Penal: responsabilidad penalde las personas jurídicas

17

PCI-DSS: Requisitos

17

18





Aplicaciones

Contenidos

Seguridad Oracle

Infraestructura



Empresa

Información

Seguridad en BBDD

19

Oracle Identity Management

Administración deIdentidades

Gestión deAcceso

Servicios deDirectorio

Aprovisionamiento de Usuario basado en Roles

Autoservicio de Peticiones y Aprobaciones

Gestión de Contraseñas

Prevención de Fraude y AutenticaciónSingle Sign-On y FederaciónAutorización y DerechosSeguridad de Servicios Web

Almacenamiento LDAPIdentidad de Acceso Virtualizada

Gobierno de Identidades Seguridad de la PlataformaAnálisis, Prevención de Fraude, Control de

PrivacidadServicios de Identidad para Desarrolladores

20

Gestión de Identidad basada en Roles

21

Oportunidad Gestión de Identidad basada en Roles

Necesidades

22

Oportunidad Gestión de Identidad basada en Roles

Necesidades

23

OportunidadGestión de Identidad basada en Roles

Solución Tecnológica

24

Sincronización de Datos de Permisos de Acceso

Provisión de Permisos en

corcondancia con las políticas de

SoD

Petición de Validación de SoD

!!

Respuesta de Validación de SoD


25



26

Conclusiones de Forrester• Modelo financiero basado en la metodología TEI de

Forrester• Se crea una organización tipo para poblar el modelo

• Basada en entrevistas con clientes reales• Asunciones básicas extraídas de 4 proyectos reales• Análisis completo de coste-beneficio y ajuste del

riesgo

27

• Gestión de Identidades 2.0• Proyectos apoyados desde negocio• Podemos posicionarlo en diferentes tipos de clientes :

• Sin gestión de Identidades• Con Gestión de Identidades No Oracle• Con Gestión de Identidades Oracle


28

Virtualización de Identidades

29

• Diferentes repositorios de Identidades con procesos complejos de sincronización

• Falta de servicios comunes de identidad• Proyectos parados o comprometidos en su planificación• Costes altos en administración y mantenimiento• Dificultad en consolidar un esquema global de identidad• La información de Identidad que no está en Directorios LDAP

queda fuera de la foto

Oportunidad Virtualización de Identidades

Necesidades

30

Active Directory

Directorio LDAP

BB.DD.

Oracle Virtual Directory

Servicios web



31

BB.DD. de RR.HH.

Aplicación SSO



32

AD ForestOracle Virtual Directory

AD PersonInetOrgPerson



33

BB.DD.PeopleSoft/Siebel




34

Active Directory Forest #1

Directorio LDAP

BB.DD.


Active Directory Forest #2



35

Active Directory(o Novell o SUN DS)


BB.DD. Oracle



36

Directorio LDAPOracle Virtual Directory



37

• Proyecto táctico, de corto alcance y con resultados rápidos• Despierta interés y se entiende su beneficio rápidamente• Pieza tecnológica que puede acelerar proyectos complejos ( Gestión de

Identidades, Control de Acceso Web, …)• Complementario a soluciones de Portal, Gestión de Contenidos, …• Curva de aprendizaje rápida en el conocimiento de la tecnología• En la licencia se incluyen tres productos

OportunidadVirtualización de Identidades

38 Copyright © 2009, Oracle. All rights reserved

SSO Corporativo

39

• Mejora la experiencia de usuario• Reducción de costes en help-desk• Mejora de la seguridad• Uso de mecanismos de autenticación fuertes• No intrusión en las aplicaciones• Tecnología de aplicaciones heterogénea

Oportunidad SSO Corporativo

Necesidades

40

OportunidadSSO Corporativo


RepositorioeSSo

jperez01

juanpe

contab173ActiveDirectory

juan.perez*******

eSSO rellena la identificación

automáticamente

eSSO rellena la identificación automáticamente

41

• Proyecto corto, pero puede suponer una puerta de entrada a otras oportunidades ( Gestión de Identidades, Control de Acceso Web, …)

• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección

• Curva de aprendizaje rápida en el conocimiento de la tecnología

OportunidadSSO Corporativo

42

InformesIntegrados

Alertas

Informespersonalizados

!Auditoría

Consolidación Informes

Políticas

DataMasking

Backups Encriptados

Base de datosEncriptada

InformesEncriptados

Seguridad en Base de Datos

Contratación

HR

Financiero

Sensible PúblicoConfidencial

Seguridad en la administración de Base de

datos

No Autorizado

Aplicaciones

Block

Log

Permiso

Alertas

Sustitución

Bloqueo y Monitorización de

la red SQL

43

Protección del Dato y Cumplimiento Normativo

44

Oportunidad Protección del Dato y Cumplimiento

Necesidades

• Diferentes normativas que obligan a proteger el dato debidamente : LOPD, ENS, PCI/DSS

• Asegurar el ciclo de vida del dato• Control de las operaciones que pueden realizar los admininstradores de

base de datos Oracle• Auditoría de acceso al dato• Poder trabajar con datos de producción en entornos de desarrollo de

forma segura

45


Necesidades

46


Necesidades• ENS : todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer

formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados:

• Requisitos mínimos:• Organización e implantación del proceso de seguridad• Análisis y gestión de los riesgos• Gestión de personal• Profesionalidad• Autorización y control de los accesos• Protección de las instalaciones• Adquisición de productos• Seguridad por defecto• Integridad y actualización del sistema• Protección de la información almacenada y en tránsito• Prevención ante otros sistemas de información interconectados• Registro de actividad• Incidentes de seguridad• Continuidad de la actividad• Mejora continua del proceso de seguridad

47

OportunidadProtección del Dato y Cumplimiento


48


Solución TecnológicaTransparent Data Encryption

• Encripta los datos de las aplicaciones• Encriptación columnas • Encriptación tablespaces y sus ficheros• 3DES168, AES128, AES192 (def), AES256

• Altamente eficiente• Alto rendimiento (overhead < 5%)• Integrado con Oracle Advanced

Compression• No se necesitan cambios en las

aplicaciones• Cualquier tipo de dato• Se permiten índices sobre datos

encriptados

Capa SQL

undo blocks

temp blocks

flashback logs

redo logs

Buffer Cache“SSN = 987-65-..”

49


Consolida los registros de auditorías en un repositorio centralizado y seguro Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados Informes predefinidos y personalizados de auditoría de usuarios privilegiados,

permisos, logins fallidos, acceso a datos sensibles, cambios de esquema, … Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc. Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sysbase, DB2

Datos CRM

Datos ERP

Databases

Datos RR.HH.

50


Solución TecnológicaAnonimización irreversible de datos en entornos no productivos

51

• Proyecto resultado de un proceso de prescripción, asesoría de seguridad• Los productos por sí solos no resuelven el problema : es necesaria una

consultoría previa • Imprescindibles para procesos de “cloud” privada• Diferenciador en propuestas de “outsourcing”• Mercado objetivo : cualquier cliente de Oracle Enterprise Edition• Proyectos de medio-largo recorrido


52

Firewall de Base de Datos

53

Oportunidad Firewall de Base de Datos

Necesidades

SQL INJECTIONCuando el programador incorpora en una sentencia SQL una variable cuyo valor es suministrado por el usuario final y su contenido no es correctamente filtrado, permitiendo que el usuario final pueda introducir valores que puedan ser interpretados como parte de una sentencia SQL.

“SELECT * FROM users WHERE name = '" + userName + "';" Con SQL Injection se puede conseguir: SELECT * FROM users WHERE name = '' OR '1'='1'; SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT *

FROM userinfo WHERE 't' = 't'; Mediante SQL Injections se obtienen datos no permitidos de las bases de datos o se

realizan ataques de denegación de servicio.

54



55



56



57

Seguridad Oracle para Bases de datosResumen de Soluciones

• Oracle Advanced Security• Oracle Database Vault• Oracle Label Security• Oracle Audit Vault• Oracle Total Recall• Oracle Database Firewall• Oracle Data Masking

58

Protección de Documentos

59

Oportunidad Protección de Documentos

Necesidades

60

Oportunidad

Securizar las copias y saber quién ha accedido a ellas

Evitar que las copias sean enviadas o editadas inadecuadamente

Proteger la información confidencial para trabajar de forma colaborativa con terceros

Revocar el acceso a información confidencial a empleados que se han ido o personas en las que ya no confiamos

Implementar las políticas de clasificación documental (ISO 17799)

6. Auditoría detallada del acceso a los documentos

61

• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección

• Percepción alta de necesidad en este momento• Escaso en servicios tecnológicos y rico en servicios de consultoría• Curva de aprendizaje rápida en el conocimiento de la tecnología

Blog público de IRM : http://blogs.oracle.com/irm/

OportunidadProtección de Documentos

62





Aplicaciones

Contenidos

Seguridad Oracle

Infraestructura



Empresa

Información

Seguridad en BBDD

6363

<Insert Picture Here>

Trabajo en Equipo

Plan de trabajo conjunto Áreas de foco en producto Áreas de foco en mercado Plan de acción

Generación de demanda Formación a ventas y preventa “Security Whiteboard Session” Eventos conjuntos, visitas conjuntas a clientes Apoyo preventa. Cualificación, RFI/RFP Pruebas de concepto

64

PREGUNTAS

Opn march30th security_track

Education

Transcript of Opn march30th security_track