Documentación TGB Opciones Seguridad
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Documentación TGB Opciones Seguridad

on

  • 672 views

 

Statistics

Views

Total Views
672
Views on SlideShare
671
Embed Views
1

Actions

Likes
0
Downloads
3
Comments
0

1 Embed 1

http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Documentación TGB Opciones Seguridad Document Transcript

  • 1. Una publicación de Oracle PROTEGER LA INFORMACIÓN DESDE EL ORIGEN
  • 2. Ricardo Martínez Director Oracle Mediana Empresaíndice editorial La economía mundial se enfrenta actualmente a un entorno de recesiónEditorial...................................... 2 económica. En casi todos los países y sectores vemos empresas cuyos negociosProteger la información desde la se ven afectados por la caída del consumo, por las dificultades defuente......................................... 3 acceso al crédito y por otras circunstancias. En este entorno económico, la facturación de las empresas se veLa opinión de IDC........................ 4 afectada. Por ello, se han visto obligadas a optimizar sus estructuras de costes a fin de mantener estables sus márgenes. En esta situación,Algunos ejemplos graves de se requiere la contribución de todas las áreas y departamentospérdida de datos........................ 4 empresariales, incluyendo el departamento de TI. Hoy queremos mostrarle cómo podemos colaborar en la reducción deCuestión de sensibilidad............ 5 los costes del área de TI de su empresa, utilizando piezas clave de nuestra tecnología básica, de la que la base de datos con sus opcionesUn partner, un proyecto................... 6 reforzadas en materia de seguridad, almacenamiento, alta disponibilidad y administración de sistemas es el elemento fundamental.La visión de los expertos................ 8 Este documento es el primero de una serie en el que queremos mostrarA cada necesidad una opción........ 13 las ventajas que supone la utilización de las Opciones de base de datos que Oracle ofrece. La seguridad es el primer punto a tratar y en estas páginas encontrará información de su interés para reducir los riesgos en este campo y ajustarse al cumplimiento legal. En esta línea, un informe de PricewaterhouseCoopers señala que la protección de datos se ha convertido en una prioridad estratégica parastaff gran parte de los CEOs durante la crisis económica, por lo que los responsables de TI y seguridad también deberían enfocar susDirección. prioridades en esa misma dirección.Carmen Pizarro El informe destaca, además, que las empresas con una buena gestiónRedacción de la seguridad estarán preparadas para abordar, en los próximos años,Ana García Huerta tres aspectos claves para su éxito futuro: la protección de los datos, los riesgos asociados al networking y el cloud computing.DiseñoJon Callón En Oracle queremos ayudarle a anular cualquier riesgo en materia de seguridad controlando los cambios planificados e imprevistos de la infraestructura, llevando a cabo un seguimiento y una auditoría de todas las actividades y garantizando las copias de los datos de producción durante el ciclo de vida, entre otras muchas funciones de seguridad. En este sentido, las opciones de seguridad de la base de datos Oracle con sus múltiples módulos es su aliada. En este documento le invitamos a profundizar en el conocimiento de su alcance.2
  • 3. Proteger la información desde la fuenteLa seguridad de los datos ha sido una de las preocupaciones clave de las organizacionesde TI desde hace tiempo, una preocupación que no para de crecer. Para las compañíasque experimentan una pérdida de datos, los costes financieros, legales y de reputaciónpueden llegar a ser muy elevados. Además, las regulaciones en la materia (como es elcaso de la LOPD) obligan a las compañías a adoptar medidas que protejan la informaciónsensible y monitoricen el acceso a esa información.Actualmente, diferentes estudios muestran que las nivel global, el 65% de las empresas asegura disponerempresas europeas no son conscientes de todas las de una estrategia global de seguridad de la información.consecuencias que derivan del problema. Al mismo En muchos casos la seguridad se percibe como unatiempo, España tiene la política más estricta de Europa ayuda a la hora de mitigar posibles riesgos asociados aen cuanto a la regulación legal sobre la protección de aspectos como la globalización. Todo esto ha contribuidodatos de carácter personal, con las sanciones y multas a alinear los objetivos de los responsables de seguridadmás grandes y persecución judicial si fuera necesario. con los propios de la compañía y, por lo tanto, losEl riesgo de no obedecer la ley LOPD es lo primero de responsables empresariales han dotado a la seguridadlo que son conscientes las empresas españolas. de la información de una cierta relevancia.Hoy en día las compañías han de protegerse no sólo El 44% de los entrevistados disponía de políticas decontra las intrusiones externas, sino también ante prevención de pérdida de datos, en comparación al 29%amenazas internas. En esta línea, el noveno estudio del año anterior. Aún así, la localización y control de losconjunto del Computer Security Institute y el FBI datos más importantes es una asignatura pendiente parapublicado en junio de 2009 muestra que más del 70% muchas compañías. Seis de cada diez encuestadosde los ataques y las pérdidas de información los asegura que en su empresa no se ha realizado unperpetran los empleados que tienen acceso a los datos inventario detallado de dónde se recolectan, transmitenen algún nivel. En respuesta a esto, muchos y alojan los datos de clientes o empleados.departamentos de TI están trabajando para salvaguardarlos datos sensibles de sus bases de datos. La situación en España difiere del resto de los países. El 65% de los encuestados a nivel nacional indica que enEn el estudio publicado durante el tercer trimestre de la actual situación de recesión han aumentado las2009 por PriceWaterhouseCoopers queda patente que, amenazas a la seguridad de la información de susademás del incremento del riesgo y de la mayor organizaciones. Sin embargo, pese a este aumento delcomplejidad regulatoria, la situación de inestabilidad riesgo, el 52% de las organizaciones nacionaleseconómica ha impactado en la función de seguridad y encuestadas indica que en 2010 disminuirá o seha intensificado su importancia en las compañías. A mantendrá estable la inversión en seguridad. foto 3
  • 4. La opinión de IDCIDC también está de acuerdo en que las organizaciones Por otra parte, las organizaciones (45%) creen que laempiezan a valorar la importancia de ser proactivas en fuga de datos es más probable que se produzca pormateria de seguridad, aunque en tiempos de dificultades errores humanos de los empleados que por hackerseconómicas las empresas miran más que nunca con externos con intenciones maliciosas (15%).lupa sus inversiones. La mayoría de los encuestados (85%) cree que la pérdidaEn un estudio publicado en 2009, la consultora muestra de datos a través de hacking externo es “muyque las organizaciones están empezando a darse cuenta improbable”, y un 55 % percibe que sólo tiene undel valor de tomar un enfoque proactivo hacia la “impacto moderado” o “ninguno” en sus negocios. Porseguridad, a pesar de que sólo un 19% de las compañías su parte, más de un 60 % considera que es improbableincrementó su gasto en TI de 2008 a 2009, mientras que que se vean afectados por un ataque de virus.un 41% recortó esta partida, principalmente debido a la Además, IDC insiste en que con el incremento en losactual recesión económica. El informe muestra, además, despidos en el actual clima económico, la probabilidadque casi un 60% de las organizaciones destinó una media de que un empleado deliberadamente destruya o robede un 10% de sus presupuestos al área de seguridad. información sensible de la organización ha incrementado.Otro dato a destacar es que las organizaciones La mayor parte de las soluciones de seguridad estáentrevistadas están cambiando su enfoque de inversión centrada en el perímetro (firewalls, VPNs, etc) y en losen soluciones de seguridad puntuales por uno más recursos (laptops, servidores). En definitiva, se protegeintegral. Así, un 59% tiene planificado invertir en la infraestructura que contiene la información y no losauditorías de seguridad, un 57% en prevención de datos, algo que Oracle piensa que es un error de enfoque.pérdida de datos y un 52% en servicios de consultoría.En este punto, las organizaciones creen que sufriránfugas de datos en alguna etapa, aunque ésta seráaccidental en vez de maliciosa. El hecho de que un 57%de las compañías entrevistadas confirmara tenerplanificado invertir en tecnología de protección de datos,indica una amplia aceptación de la necesidad decomplementar el enfoque de seguridad.Algunos ejemplos graves de pérdida de datos…. El hospital Clínic de Barcelona prevé llevar ante el juez la pérdida de datos de trasplantes. El centro no evitó la fuga de datos médicos de 173 personas trasplantadas. Documentos confidenciales de los trasplantados entre 1998 y marzo de 2007 fueron hallados tirados junto a un contenedor de basura situado a 300 metros del hospital. El responsable de la fuga de datos médicos de 173 personas trasplantadas en el hospital Clínic infringió, además de la Ley de Protección de Datos, "las normas básicas del centro, las reglas deontológicas y, sobre todo, el sentido común". Lo dijo ayer el consejero delegado del hospital catalán, Raimon Belenes, quien asumió toda la responsabilidad de unos hechos que tildó de "graves y preocupantes". Belenes advirtió de que el centro será "muy riguroso" y que emprenderá "acciones judiciales" si detecta un "comportamiento malicioso" en el autor de la negligencia. El País, 4 de noviembre de 20094
  • 5. La violación del sistema Heartland Payment comprometió a 130 millones detarjetas de crédito y de débito Los datos financieros - números de cuentas bancarias, números de seguridad social, y otra información de identificación personal - es muy valiosa para los piratas informáticos, y su pérdida resulta costosa para los consumidores. El resultado es un daño grave en la reputación de las empresas implicadas y el abandono de la compañía por parte del cliente. Enero de 2009Deutsche Telekom pierde 17 millones de archivos La base de datos de los clientes robada estaba almacenada en los soportes de backup de la empresa e incluía nombres, direcciones, números de teléfono, fechas de nacimiento, así como la dirección de correo electrónico. La empresa afirmó que la base de datos no contenía ninguna información financiera de carácter personal. El hecho se produjo en 2006 pero no se conoció hasta mediados de 2008. Hubo un gran escándalo en Alemania con la consecuente pérdida de clientes.Cuestión de sensibilidadPreguntas que su empresa debería hacerse enmateria de seguridad1. ¿Tiene identificada la información sensible de su organización?2. ¿Sabe cuál es la información de valor para el negocio que han de proteger?3. ¿Conoce qué información está sujeta a la legislación de protección de datos?4. ¿Conoce cuáles son las medidas específicas de protección a las que obliga la normativa legal para la información foto sensible? ¿Las ha puesto en práctica?5. ¿Está cifrada la información sensible cuando está almacenada en la base de datos? ¿Y cuando se transmite por la red? ¿Y en las cintas de back up?6. ¿Es consciente de que el 70% de las vulneraciones de seguridad se llevan a cabo por su propio personal o por subcontratados?7. Los administradores de la base de datos ¿tienen acceso a la información sensible? 5
  • 6. Un partner, un proyectoSeguridad y protección de datos enel sector socio-sanitarioCatalina Hoffmann,directora general de Vitalia tu centro de díaVitalia es una organización centrada en el cuidado y tratamiento especializado de la terceraedad en centros de día bajo una filosofía propia conocida como Método Hoffmann. Dichométodo se sostiene en una innovadora plataforma tecnológica en la que Oracle y supartner Adiante, experto en implantar las opciones de seguridad de la base de datos deOracle, han aportado su saber hacer.¿Cuál es la filosofía de Vitalia? ¿Cuáles eran las necesidades principales para crear la plataforma?Como especialista en rehabilitación de mayores mediantela estimulación cognitiva, me di cuenta de que había una Digitalizar, sistematizar, generar informes mensuales degran necesidad de una metodología propia de trabajo en todos los usuarios para todo el equipo, todo esto contandola atención a los problemas propios de la tercera edad. con una información accesible y protegida. Cuando regis-Creé así el método Hoffmann y abrimos en Madrid el tré el Método Hoffmann no quería adaptar algo existenteprimer centro de día hace ahora seis años. desde el punto de vista tecnológico. Quería algo propio e integral, una plataforma tecnológica altamente eficaz yUna vez creado el concepto, había que trasladar su lógica segura para el sector socio-sanitario en la que se apoyaa una plataforma tecnológica. Quería profesionalizar el tanto la parte organizativa, administrativa y empresarialenfoque a la tercera edad tanto sanitaria como tecnológi- como la que puramente se refiere a articular la esenciacamente. El equipo humano que compone los centros del negocio.responde a múltiples perfiles: médicos, enfermeros, fisiote-rapeutas, expertos en terapia ocupacional, neuropsicólo- ¿Hasta qué punto es importante la seguridad y el controlgos, auxiliares de clínica, conductores, administrativos y de acceso a la información?todos ellos cumplen una función a partir de unos protoco- Todo el mundo que trabaja en Vitalia, unos 15 por centro,los específicos que queríamos sistematizar con ayuda de tiene acceso de una forma o de otra a la plataforma tecno-la tecnología. Al tiempo, el Método Hoffmann tiene una lógica en el parámetro que le corresponde. Cada profesio-serie de pautas para cada tipo de patología que también nal tiene su protocolo de actuación y existe una privacidadhabía que trasladar al software. muy alta con distintos niveles de acceso. El terapeuta tiene su protocolo que puede cruzar con fisioterapia pero no con datos médicos o de gerencia. La protección de datos es vital, especialmente estos tan delicados y personales. En este punto la participación de Oracle y Adiante es crucial. ¿Por qué eligieron a Oracle como proveedor? Adiante es una compañía especializada en protección de datos, control de accesos y niveles de seguridad que ha aportado su saber hacer al proyecto en la parte de seguri- dad. Ellos nos recomendaron Oracle como opción y nos gustó su vocación global.Catalina Hoffmann, Directora GeneralVitalia tu centro de díawww.vitalia.com.es6
  • 7. La solución El valor del partnerOracle Advanced Security y Oracle Database Vault, opcio- “Adiante ha contribuido en varios aspectos fundamentalesnes de seguridad de base de datos para proteger la infor- en lo que se refiere a la implantación de la opción Oraclemación de Vitalia. Advanced Security de la base de datos Oracle. Su conocimiento técnico de los productos Oracle ha sidoLa seguridad de los datos es un aspecto crítico en la plata- determinante, así como su experiencia en las implicacionesforma tecnológica de Vitalia porque la naturaleza de la de la LOPD, principalmente en la parte de aplicacionesinformación que maneja está catalogada como datos que tecnológicas para su cumplimiento”. Luis Mediero, gerenteexigen un nivel de seguridad elevado según la Ley Orgáni- de Adianteca de Protección de Datos. Se trata además de una aplica-ción web alojada en servidores externos a las instalaciones Como expertos en soluciones de seguridad ¿quédel cliente, con lo cual era necesario garantizar que nadie problemáticas se encuentran en esta materia en elsin los permisos adecuados pudiese acceder a la informa- seno de las empresas en las que han trabajado?ción del sistema. Principalmente dos: el cumplimiento de la LOPD cuandoLa plataforma utiliza la base de datos Enterprise 11gR2 sus ficheros son de nivel alto de protección o cuandocon la opción Oracle Advanced Security y en breve se desean mantener la confidencialidad de los datosimplementará la opción Oracle Database Vault. almacenados. Cuando hablas con un director de sistemas o de calidad y les explicas lo fácil que es proteger laLa plataforma que recoge el Método Hoffmann es un siste- información de su empresa con soluciones como las dema muy exigente no sólo en aspectos de seguridad, Oracle se quedan sorprendidos.también era necesario que fuera simple de utilizar y conunos requisitos de accesibilidad web adecuados. Para ello ¿Cuál de ellas es la que más preocupa a lasse realizó un exhaustivo estudio de los datos a proteger y empresas?las medidas de seguridad a implementar en la instalación Actualmente las empresas están muy sensibilizadas conde la base de datos y sus opciones. los aspectos de la LOPD, aunque una empresa que tiene un departamento de I+D muy activo también se preocupa de que no haya fuga de información aunque esos datos no sean de carácter personal. ¿Hay sensibilidad suficiente en la empresa española ante los requisitos de protección de datos? Los estudios de hace un par de años mostraban que sólo alrededor del 10% de las empresas españolas tenían registrados ficheros ante la Agencia Española de Protección de Datos. Teniendo en cuenta que el 100% de las empresas o autónomos con al menos 1 empleado deberían tener registrado algún fichero, se trata de datos verdaderamente bajos. Esta tendencia ha cambiado mucho durante el último año y medio, principalmente porque la agencia ya puede actuar de oficio y no necesita una denuncia para auditar a una empresa. Adiante Nuevas Tecnologías, S.L. 915 392 877 info@adiante.es www.adiante.es 7
  • 8. La visión de los expertosLa comunidad de partners de Oracle aporta experiencia, visión y saber hacer en laimplantación de las soluciones del fabricante. Ellos viven el día a día de los proyectosy conocen de primera mano cuáles son las necesidades concretas de sus clientes.Hemos seleccionado una pequeña muestra de los partners de Oracle especializadosen seguridad, con experiencia en implantación de proyectos, y ellos van a comentarqué es lo que preocupa a las empresas españolas en materia de seguridad de susdatos. 4. ¿Qué hace especial a la tecnología de opciones de base de datos de Oracle en materia de seguridad? GFI Las distintas Opciones que Oracle aporta no son excluyentes entre sí sino que se pueden complementar. 913 836 320 Además son soluciones transparentes desde el punto www.gfi.es de vista de la aplicación, es decir, no requieren modificación del código. También cabe destacar que son soluciones flexibles que se pueden llegar a configurar a un nivel de detalle muy fino; esto permite1. En su experiencia , ¿qué problemáticas encuentran adaptar estas soluciones a las necesidades concretasen el seno de las empresas en las que han trabajado? de seguridad de cada cliente.En los últimos años las empresas se han visto 5. ¿Qué valor añadido le ofrece su empresa a laobligadas a optimizar sus procesos de negocio tecnología de opciones de bases de datos de Oracle?haciéndolos más eficientes y más accesibles. Las La tecnología de Oracle nos permite construir laempresas han abierto sus procesos de negocio para seguridad de una forma paralela al desarrollo de losponer en marcha procedimientos B2B, B2C y B2E, así sistemas que desarrollamos para nuestros clientes.como para facilitar el acceso remoto de sus Esto nos permite centrarnos en el negocio del clientetrabajadores a los recursos de la compañía. Esta y confiar la seguridad a una solución robusta, conapertura al mundo exterior, no se encuentra exenta de costes acotados tanto en tiempo como en precio y conriesgos de seguridad que deben de ser estudiados y una fiabilidad probada en términos de seguridad.sobre los que se debe actuar definiendo nuevosprocedimientos organizacionales y utilizando 6. ¿Podría darnos el ejemplo de alguna instalación desoluciones tecnológicas como las de Oracle. opciones de base de datos en algún cliente concreto? Un caso muy interesante es el de una empresa2. ¿Cuál de ellas es la que más preocupa a las aseguradora del sector Salud que provee servicios deempresas? valor añadido a las compañías aseguradorasMuchas empresas todavía interpretan que la mayoría facilitándoles enormemente los procesos de selecciónde riesgos de seguridad provienen de posibles ataques de riesgos. En este cliente se instaló Oracle Transparentcomo resultado de la apertura de sus procedimientos Data Encryption que permite encriptar el contenido dede negocio al mundo exterior, y se suele obviar la las bases de datos, sin tener que modificar el códigoverdad, que una gran parte de los riesgos de seguridad de las aplicaciones y Oracle Database Vault, quese producen de forma interna en la propia red de la permite controlar el acceso a los datos, inclusocompañía o como resultado de una inapropiada restringiendo el acceso a los administradores de lasegregación de tareas, funciones y roles en los base de datos y, además, audita los intentos de accesoprocedimientos internos. La buena noticia es que esta no permitidos.realidad empieza a estar cada vez más presente en laempresa. 7.¿Qué beneficios ha experimentado dicha empresa a raíz de ello?3. ¿Hay sensibilidad suficiente en la empresa española Más que beneficios, en este caso concreto era, unaante los requisitos de protección de datos? exigencia concreta para cumplir con la legislaciónNuestra experiencia nos dice que, aunque la protección vigente, especialmente si hablamos de datos dede datos es una asignatura aprobada “raspando” para carácter estrictamente personal como son los que selas grandes empresas, la mayoría de las PYMES manejan a la hora de valorar el riesgo de un candidatoresponden ante esta problemática de una forma a un seguro de vida. Cualquier divulgación noreactiva y después de haber sufrido algún problema autorizada de este tipo de información es inaceptable,al respecto. y desde el punto de vista legal se castiga con multas que tienen importes muy elevados.8
  • 9. 4. ¿Qué hace especial a la tecnología de opciones de Ibermática base de datos de Oracle en materia de seguridad? Lo especial es precisamente que no es un nuevo 944 310 200 software, sino Opciones de una tecnología www.ibermatica.com extensamente conocida, la base de datos Oracle. Estas Opciones permiten incorporar los diferentes mecanismos y normativas que se necesiten y/o surjan,1. En su experiencia , ¿qué problemáticas encuentran de una forma no intrusiva, sin sobrecarga, modular yen el seno de las empresas en las que han trabajado? transparente para las aplicaciones. Asimismo, no sóloLa principal problemática reside en la diversificación incluyen opciones de administración de la seguridad,tecnológica de los sistemas que soportan el negocio. sino también auditoría y trazabilidad de aplicación deLos sistemas deben entenderse entre sí y respetar las las normativas.políticas de seguridad intrínsecas a cada uno de ellos.Además, el negocio de nuestros clientes está en 5. ¿Qué valor añadido le ofrece su empresa a lacontinuo cambio y las TIC deben adaptarse a las nuevas tecnología de opciones de bases de datos de Oracle?necesidades. Lo que suele suceder es que las empresas Hace más de 20 años que Ibermática empezó a trabajaradaptan sus sistemas al cambio, pero siempre dejan con la tecnología de Oracle. Nosotros siempre hemosen segundo plano el tema de la seguridad. estado en una adaptación continua para entender, comprender y utilizar su tecnología en nuestros2. ¿Cuál de ellas es la que más preocupa a las clientes. Por ello, el principal valor que podemos ofrecerempresas? es toda nuestra experiencia empresarial y elEn la actualidad, las empresas dependen de la conocimiento que tenemos de los diversos productos:disponibilidad de los sistemas de información. Los base de datos, desarrollo de aplicaciones, middleware,administradores de seguridad saben, por experiencia SOA, gestión de identidades…propia, que las amenazas continúan en aumento,principalmente por parte de los hackers y los 6. ¿Podría darnos el ejemplo de alguna instalación dedelincuentes, lo que les obliga a dedicar mucho tiempo opciones de base de datos en algún cliente concreto?y recursos a la gestión de la seguridad para ser Colaboramos con una compañía de ámbito nacionaleficaces. (que cuenta con cientos de miles de clientes) en su canal de venta online, utilizando los productos de3. ¿Hay sensibilidad suficiente en la empresa española seguridad de Oracle Audit Vault y Oracle Databaseante los requisitos de protección de datos? Vault.Creemos que la empresa está sensibilizadasocialmente, pero no empresarialmente. Desde un 7.¿Qué beneficios ha experimentado dicha empresa apunto de vista social y político, son conscientes de la raíz de ello?importancia de cumplir los requisitos que la agencia Además de los evidentes, como son cumplir con lade protección de datos establece. Sin embargo, cuando normativa legal en temas de seguridad y separar lase quiere traducir esa sensibilidad a términos técnicos, figura de administrador de datos de la de administradorentran en juego factores económicos y de negocio que de base de datos, desde el minuto uno, el cliente seinfluyen en la consecución de esos requerimientos. En pudo centrar en mejorar sus procesos de venta onlineeste aspecto la ley va por delante de la implantación y dedicar todos sus recursos al negocio propiamentede las soluciones tecnológicas. dicho. 9
  • 10. de los riesgos que corren si carecen de los mecanismos de seguridad que protejan sus datos. Informática El Corte Inglés 4. ¿Qué hace especial a la tecnología de opciones de base de datos de Oracle en materia de seguridad? 913 874 946 El aspecto que más valoramos de Oracle es su www.ieci.es capacidad de actualización, su flexibilidad para ir incorporando a sus soluciones los elementos necesarios para que sus soluciones se adapten a las 1. En su experiencia , ¿qué problemáticas encuentran nuevas normativas. El rendimiento tecnológico se le en el seno de las empresas en las que han trabajado? supone, de modo que en el ámbito de la seguridad, su La experiencia que hemos desarrollado a partir de la capacidad para entender los cambios en las normativas relación con nuestra comunidad de clientes podría y aplicarlos a su portfolio de soluciones es un valor resumirse en la necesidad de las organizaciones de inestimable. cumplir sin fisuras las normativas vigentes. Se 5. ¿Qué valor añadido le ofrece su empresa a la preocupan especialmente de los aspectos que tienen tecnología de opciones de bases de datos de Oracle? que ver con la protección de datos corporativos y con IECISA tiene una consolidada y contrastada experiencia encontrar el modo de evitar los accesos no deseados como integrador de soluciones de TI. En esta línea, y las modificaciones que pudieran producirse en la trabajamos con todas las tecnologías existentes en información a partir de ese intrusismo. También se todo tipo de compañías. sienten especialmente interesados en el cumplimiento de determinados requisitos de seguridad con auditorías 6. ¿Podría darnos el ejemplo de alguna instalación de previas a la puesta en producción. opciones de base de datos en algún cliente concreto? Tenemos experiencia en la implantación de diferentes 2. ¿Cuál de ellas es la que más preocupa a las opciones de seguridad de Oracle, entre ellas Advanced empresas? Security. En esta área trabajamos fundamentalmente Sin duda, la principal inquietud tiene que ver con la con distintos organismos pertenecientes al sector posibilidad de que alguien no autorizado penetre en público que han de cumplir certificaciones de seguridad los sistemas de información de la compañía y llegue especialmente estrictas debido a la naturaleza de su a modificar la información. Evitar la manipulación del actividad. capital informativo es un asunto muy importante para nuestros clientes. En el sector privado tenemos experiencia en dos compañías aseguradoras que nos han confiado su 3. ¿Hay sensibilidad suficiente en la empresa española adaptación para que su desempeño sea compatible ante los requisitos de protección de datos? con la LOPD. No queremos generalizar pero la realidad nos dice que, salvo excepciones, no percibimos la suficiente 7.¿Qué beneficios ha experimentado dichas empresas sensibilidad ante los desafíos en materia de seguridad a raíz de ello? a los que están expuestas hoy en día las La situación de Oracle en el mercado habla por sí sola. organizaciones. Desde nuestra posición intentamos Nos interesa muchísimo estar siempre al tanto de llevar a cabo una función de difusión que, sin cualquiera de sus desarrollos porque se trata de alarmismos, lleve a las empresas a tomar conciencia soluciones que abarcan áreas no cubiertas por otros fabricantes.10
  • 11. similar al que ya hemos vivido con los sistemas de implantación de calidad en las empresas hace años, y S21sec que ahora es un estándar. 916 616 079 4. ¿Qué hace especial a la tecnología de opciones de www.s21sec.es base de datos de Oracle en materia de seguridad? La facilidad de implementación y despliegue en1. En su experiencia , ¿qué problemáticas encuentran entornos productivos sin requerir grandes esfuerzosen el seno de las empresas en las que han trabajado? en la adaptación de las aplicaciones existentes en lasSe suelen encontrar problemas en la correcta empresas.protección de los activos para evitar fugas de 5. ¿Qué valor añadido le ofrece su empresa a lainformación de forma mal intencionada o no y, sobre tecnología de opciones de bases de datos de Oracle?todo, en materias de cumplimiento legal como LOPD Complementa el ciclo completo del procesoo PCI DSS. (consultoría, auditoria, implantación de soluciones para2. ¿Cuál de ellas es la que más preocupa a las el gap detectado).empresas? 6. ¿Podría darnos el ejemplo de alguna instalación dePreocupa especialmente el riesgo del compromiso de opciones de base de datos en algún cliente concreto?sus activos que motive fraude o un daño en la imagen Gracias a la implantación de las soluciones de cifradocorporativa de la empresa. de Oracle, algunos de nuestros clientes del sector3. ¿Hay sensibilidad suficiente en la empresa española financiero y comercio electrónico, garantizan laante los requisitos de protección de datos? confidencialidad, integridad y disponibilidad de losNo la suficiente, aún es necesario seguir predicando, datos críticos de sus clientes referentes al cumplimientosi bien la empresa tiene ya clara la necesidad de de normativas.implementar controles básicos como antivirus, firewall, 7.¿Qué beneficios han experimentado dichas empresascopias de seguridad, usuarios/contraseñas, etc. Todavía a raíz de ello?queda mucho camino que recorrer para poder llegar Por una parte dar cumplimiento a normativas y pora otros estadios como Cumplimiento de Legislación otra, que a mi entender es más importante, darsobre Seguridad , seguir con la Gestión del Proceso confianza a sus clientes ya que los procesos se realizande Seguridad, proseguir con la Gestión del Riesgo y de la forma más correcta y confidencial, además definalizar con la Certificación. Todo esto es un proceso ser un factor diferencial con respecto a la competencia o al sector. 3. ¿Hay sensibilidad suficiente en la empresa española ante los requisitos de protección de datos? Existe sensibilidad pero falta aún concienciación acerca Staitec del riesgo de seguridad que implica el incumplimiento www.staitec.com de la LOPD. En muchos casos el cumplimiento de la LOPD no se percibe como la evidente oportunidad de mejora que es.1. En su experiencia , ¿qué problemáticas encuentran 4. ¿Qué hace especial a la tecnología de opciones deen el seno de las empresas en las que han trabajado? base de datos de Oracle en materia de seguridad?Ser capaz de diseñar una adecuada y correcta estrategia Sus prestaciones, fiabilidad y potencia.de seguridad que dé respuesta a los retos de seguridad 5. ¿Qué valor añadido le ofrece su empresa a laconcretos y específicos que plantea la LOPD constituye tecnología de opciones de bases de datos de Oracle?una problemática básica de las empresas con las que Conocimiento y criterio especializado en el diseño ehemos trabajado. En nuestro caso proteger y mantener implementación de la solución basada en instrumentosla privacidad de los datos que contienen información Oracle. Esto se traduce en proyectos de implantaciónconfidencial sea o no personal es la problemática de adecuados en tiempo y costes.negocio más habitual. Esto se traduce en actuacionesque tienen como objetivo crear entornos seguros. 6. ¿Podría darnos el ejemplo de alguna instalación de opciones de base de datos en algún cliente concreto?2. ¿Cuál de ellas es la que más preocupa a las Implementación de un entorno de preproducciónempresas? anonimizado mediante un proceso de Data MaskingEn el caso de la protección de datos, disponer de para el Departamento de Salud de una Comunidadsoluciones fiables que permitan realizar procesos de Autónoma.disociación y enmascaramiento de base de datosseguros y eficientes en tiempo y costos. Estos procesos 7.¿Qué beneficios ha experimentado dichogarantizan el derecho a la privacidad de los propietarios departamento a raíz de ello?de los datos y a su vez incrementan la seguridad global Incremento de seguridad, cumplimiento estricto de ladel sistema. legislación, sobre todo en aquellos aspectos más complejos y disminución significativa del riesgo de pérdida de la confidencialidad de sus usuarios. 11
  • 12. características, fruto de la larga presencia de Oracle Seresco en el mercado son las que nos han llevado a apostar 915 989 110 por sus soluciones. www.seresco.es 5. ¿Qué valor añadido le ofrece su empresa a la tecnología de opciones de bases de datos de Oracle? 1. En su experiencia, ¿qué problemáticas encuentran Desde Seresco nos preocupa que los clientes que han en el seno de las empresas en las que han trabajado? confiado en nuestra experiencia como implantadores Las problemáticas desde el punto de vista del negocio de soluciones Oracle nos vean como un partner consisten en gestionar adecuadamente el acceso a la tecnológico con capacidad de responder a sus información, controlando que cada usuario tenga demandas. La cercanía, el conocimiento de múltiples acceso a toda la información que necesita, cuando la sectores y sus problemáticas y la experiencia necesita, y sólo a ella. Mantener un registro de estos contrastada son las principales aportaciones de accesos, y limitar el mal uso de esta información es el Seresco. siguiente objetivo. Asimismo, es importante que esta 6. ¿Podría darnos el ejemplo de alguna instalación de información esté disponible cumpliendo con los opciones de base de datos en algún cliente concreto? requisitos que planteen las normativas legales. En un Ayuntamiento del norte de España, se ha 2. ¿Cuál de ellas es la que más preocupa a las implantado con éxito una solución de Single Sign-On, empresas? que permite acceder a las diferentes aplicaciones Uno de los aspectos que hemos detectado que más existentes en el Ayuntamiento mediante una única preocupa a las empresas en materia de seguridad es contraseña. De esta forma, los usuarios simplemente todo lo que se refiere a la gestión de identidades. En realizan un acceso a su equipo de escritorio, y un momento en el que las organizaciones tienen que automáticamente obtienen acceso a las diferentes conseguir una homogeneización de sus infraestructuras aplicaciones existentes en la organización, sin es cuando más necesitan un acceso cómodo y sencillo necesidad de conocer ninguna contraseña adicional. a los recursos TI corporativos, el aprovisionamiento En una segunda fase, el Ayuntamiento está valorando automatizado de contraseñas y derechos a usuarios, la instalación del sistema integral de Gestión de y mayores niveles de seguridad de la información. Identidades, que enlaza directamente con el proceso Contar con una solución que le ayude a organizar todo de Single Sign-On para automatizar los procesos de esto se convierte en prioritario. Otra de las altas y bajas de usuarios en los sistemas de TI. Una preocupaciones se refiere a la protección de datos vez instalado, el ciclo de vida completo del usuario personales, sobre todo desde la entrada en vigor de queda controlado por este aplicativo, y los procesos la LOPD. de altas/bajas/modificaciones son automáticamente realizados en base a las reglas de negocio definidas 3. ¿Hay sensibilidad suficiente en la empresa española en la organización. ante los requisitos de protección de datos? En la mayor parte de las empresas españolas existe 7.¿Qué beneficios ha experimentado dicha una verdadera preocupación por cumplir los requisitos organizacióna raíz de ello? de la ley. Sin embargo a veces se encuentran con El principal beneficio es un aumento importante de la dificultades derivadas de las deficiencias de sus seguridad en los sistemas, desde el momento en que políticas de seguridad o de su infraestructura hardware no es necesario que el usuario final recuerde multitud o software. Hemos observado, por parte de los de credenciales diferentes para las diferentes responsables de sistemas, un interés creciente por aplicaciones. Disponemos de una única credencial de mejorar las políticas de cumplimiento no solo de la acceso al sistema, y que puede ser securizada LOPD sino también de todas aquellas normativas de adicionalmente con dispositivos criptográficos, para seguridad europeas que deben ser implantadas en conseguir una mayor seguridad todavía. De manera nuestro país. secundaria, se consiguen importantes beneficios sobre los administradores de TI, ya que se rebajan en gran 4. ¿Qué hace especial a la tecnología de opciones de medida las peticiones de servicio de reseteo y cambio base de datos de Oracle en materia de seguridad? de contraseñas, gestión de cuentas, etc. Estas tareas La principal ventaja es la solidez de las soluciones, así quedan automatizadas con el sistema de gestión de como el conocimiento que posee tanto del mercado identidades y Single Sign-On. como de las necesidades de los clientes. Estas Si desea más información sobre los partners especializados en tema de seguridad, por favor, visite http://partner.oracle.com/tecnica12
  • 13. A cada necesidad, una opciónDisponer de una plataforma de seguridad que garantice la integridad de los datos,evitando su pérdida y su uso indebido es, en sí misma, una de las principalesnecesidades de negocio para cualquier organización, independientemente de sutamaño. Oracle ha identificado cuatro eslabones básicos que cubrir en este ámbitopara que las empresas puedan estar totalmente seguras de la protección de datos,monitorización y gestión de usuarios.A. Control de acceso B. Protección de datos Los datos están completamente protegidos cumpliendoCon ellas sólo accederá a los datos sensibles quien con todas las exigencias de privacidad de laslo necesite y pueda hacerlo, controlando incluso el normativas regulatorias.acceso a los usuarios internos con privilegios.Oracle Database Vault Oracle Advanced Security Con Oracle Advanced Security, las empresas puedenActualmente existen múltiples normativas que encriptar transparentemente todos los datos de unaobligan a las organizaciones a mantener controles aplicación y todos los datos sensibles como númerosinternos para proteger a la información sensible de tarjetas de crédito, números de la seguridad social(datos financieros, de salud e información de tarjetas o información de identificación personal.de crédito) de accesos no autorizados o de cualquiertipo de modificación. Oracle Database Vault ayuda alas empresas a ser compatibles con esos requisitoscon fuertes sistemas de control diseñados para Oracle Secure Backupproteger los datos frente a las amenazas del interior. Oracle Secure Backup es una solución de backup integrada y fácil de usar que encripta los datos en la cinta para protegerlos contra el uso indebido de datosOracle Label Security sensibles en caso de que dichas cintas de backup se pierdan o sean robadas.Oracle Label Securiry es una herramienta poderosay fácil de usar destinada a clasificar los datos y a Con un coste mínimo de entrada, Oracle Secure Backupsuministrar acceso a datos basados en dichas es ideal tanto para pequeñas y medianas empresasclasificaciones. Es decir, una compañía estará como para grandes organizaciones.capacitada para controlar, por ejemplo, el acceso deun usuario a una tabla de clientes, pero no a unconjunto específico de datos dentro de la tabla. Oracle Data Masking Pack La capacidad para enmascarar los datos críticos es un elemento de creciente importancia dentro de las leyes de protección de datos de todo el mundo. Con Oracle Data Masking, la información sensible como los números de las tarjetas de crédito o de la seguridad social puede reemplazarse, permitiendo que los datos de producción se utilicen de forma segura para el desarrollo y análisis y se compartan con socios externos para propósitos que no tengan que ver con la producción. 13
  • 14. C. Monitorización D. Otros productos de Oracle que ayudan a la Con estas opciones de seguridad de la base de datos, gestión de seguridad las empresas podrán hacer el seguimiento y auditoría de las acciones ejecutadas sobre la información de la base de datos. Así, las amenazas se detectan más Con ellos, las empresas disfrutan de una mayor eficazmente y se reducen los costes de TI al gestionar agilidad de gestión, reducción de costes y seguridad los parámetros auditados a través de todas las bases en el control de los usuarios que acceden a los de datos desde una única consola. sistemas y las aplicaciones. Oracle Audit Vault Oracle Identity Management La auditoría puede ayudar a la detección temprana de Permite gestionar todo el ciclo de vida de las problemas, reduciendo el impacto financiero de las identidades de los usuarios. brechas en la información. Oracle Audit Vault recoge y consolida transparentemente los datos auditados, ofreciendo una noción valiosa acerca de quién hizo Oracle Enterprise User Security qué a cuáles datos y en qué momento, incluyendo a los usuarios privilegiados que cuentan con acceso Permite a los usuarios creados y gestionados directo a la base de datos. autentificarse contra la base de datos mediante la actualización de roles. Con Oracle Audit Vault, las organizaciones se encuentran en una mejor posición para reforzar las políticas de privacidad, protegerse de las amenazas internas y cumplir los requisitos normativos. Oracle Total Recall Oracle Total Recall complementa a Oracle Audit Vault permitiendo a las organizaciones acceso instantáneo a los datos históricos necesarios para realizar análisis o para corregir errores. Oracle Configuration Management Pack Para asegurar la protección de la base de datos, Oracle Configuration Management Pack incorpora funciones adaptables de búsqueda y comparación; seguimiento de cambios en los históricos; marcos de definición de procedimientos y evaluaciones de compatibilidad con las normativas de protección.14