1
<Insert Picture Here>Oracle PartnerNetwork Days – Satellite Event Spain. March, 30Seguridad OracleJosé Manuel Rodriguez de...
AGENDA       •           Estrategia de Oracle en Seguridad       •           Retos para nuestros clientes       •         ...
Seguridad IT               4
5
Seguridad Oracle                                                                             Seguridad en BBDD            ...
Las areas de foco en Seguridad - 2010Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010         ...
Más fugas de información que nunca…                                                        FUGAS DE INFORMACION PUBLICAS  ...
Más fugas de información que nunca… 49%   Fugas con responsables internos a las organizaciones                            ...
Causa #1 de fugas de informacion:        Credenciales robadas y Aplicaciones Web modificadas con                          ...
Cual es la fuente de las fugas?                                    2010 Data Breach                                  Inves...
Cifra sin excepciones la      Los datos pueden ser leidos por cualquier      informacion personal          usuario con pri...
Mercado global de la seguridad     Gasto estimado en 2009: 17.000 millones             Seguridad final                    ...
Una paradojaLa seguridad de los datos está identificadacomo la primera prioridad en el ámbito de laSeguridad ITLa primera ...
Proliferación de normativas                                                                         Criminal              ...
Control de riesgos y Cumplimiento de     Normativas: Complejos y Costosos                                                 ...
PCI-DSS: Requisitos              17      17
Seguridad Oracle                                                                             Seguridad en BBDD            ...
Oracle Identity Management    Administración de                  Gestión de                     Servicios de      Identida...
Gestión de Identidadbasada en Roles                       20
OportunidadGestión de Identidad basada en Roles                                       Necesidades                         ...
OportunidadGestión de Identidad basada en Roles                                       Necesidades                         ...
OportunidadGestión de Identidad basada en Roles                                       Solución Tecnológica                ...
Oportunidad  Gestión de Identidad basada en Roles                      Petición de Validación de SoD                      ...
OportunidadGestión de Identidad basada en Roles                                       Solución Tecnológica                ...
Conclusiones de Forrester• Modelo financiero basado en la metodología TEI de  Forrester• Se crea una organización tipo par...
Oportunidad Gestión de Identidad basada en Roles• Gestión de Identidades 2.0• Proyectos apoyados desde negocio• Podemos po...
Virtualización deIdentidades                    28
Oportunidad Virtualización de Identidades                                                       Necesidades• Diferentes re...
Solución TecnológicaOportunidadVirtualización de Identidades                                           Servicios web      ...
Solución TecnológicaOportunidadVirtualización de IdentidadesAplicación   SSO                                 BB.DD. de    ...
Solución TecnológicaOportunidadVirtualización de Identidades              InetOrgPerson                    AD Person    AD...
Solución TecnológicaOportunidadVirtualización de Identidades                         Oracle Virtual        BB.DD.         ...
Solución TecnológicaOportunidadVirtualización de Identidades                                          Active Directory    ...
Solución TecnológicaOportunidadVirtualización de Identidades                          BB.DD. Oracle                       ...
Solución TecnológicaOportunidadVirtualización de Identidades                        Oracle Virtual    Directorio LDAP     ...
Oportunidad Virtualización de Identidades• Proyecto táctico, de corto alcance y con resultados rápidos• Despierta interés ...
SSO Corporativo38            Copyright © 2009, Oracle. All rights reserved
Oportunidad SSO Corporativo                                               Necesidades• Mejora la experiencia de usuario• R...
OportunidadSSO Corporativo                                                                          Solución Tecnológica  ...
Oportunidad SSO Corporativo• Proyecto corto, pero puede suponer una puerta de entrada a otras  oportunidades ( Gestión de ...
Seguridad en Base de Datos                                        !         Alertas                                       ...
Protección del Dato yCumplimiento Normativo                         43
Oportunidad Protección del Dato y Cumplimiento                                                              Necesidades• D...
OportunidadProtección del Dato y Cumplimiento                                     Necesidades                             ...
Oportunidad Protección del Dato y Cumplimiento                                                                            ...
OportunidadProtección del Dato y Cumplimiento                                     Solución Tecnológica                    ...
OportunidadProtección del Dato y Cumplimiento                                               Solución TecnológicaTransparen...
Oportunidad    Protección del Dato y Cumplimiento           Datos RR.HH.             Datos CRM             Datos ERP      ...
OportunidadProtección del Dato y CumplimientoAnonimización irreversible de datos en   Solución Tecnológica      entornos n...
Oportunidad Protección del Dato y Cumplimiento• Proyecto resultado de un proceso de prescripción, asesoría de seguridad• L...
Firewall de Base de Datos                            52
Oportunidad Firewall de Base de Datos                                                                    NecesidadesSQL IN...
OportunidadFirewall de Base de Datos                            Solución Tecnológica                                      ...
OportunidadFirewall de Base de Datos                            Solución Tecnológica                                      ...
OportunidadFirewall de Base de Datos                            Solución Tecnológica                                      ...
Seguridad Oracle para Bases de datosResumen de Soluciones                  • Oracle Advanced Security                  • O...
Protección de Documentos                           58
OportunidadProtección de Documentos                           Necesidades                                   59
Oportunidad                                               Securizar las copias y saber quién ha                           ...
OportunidadProtección de Documentos• Proyecto con mucha visibilidad de cara a los usuarios finales y a la  Dirección• Perc...
Seguridad Oracle                                                                             Seguridad en BBDD            ...
Trabajo en EquipoPlan de trabajo conjunto                         <Insert Picture Here>        Áreas de foco en producto ...
PREGUNTAS            64
65
Upcoming SlideShare
Loading in …5
×

Opn march30th security_track

450 views
365 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
450
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Opn march30th security_track

  1. 1. 1
  2. 2. <Insert Picture Here>Oracle PartnerNetwork Days – Satellite Event Spain. March, 30Seguridad OracleJosé Manuel Rodriguez de LlanoSenior Sales Manager Identity Management and SecurityJosé Manuel CarmonaPrincipal Sales Consultant. Identity Management and Security
  3. 3. AGENDA • Estrategia de Oracle en Seguridad • Retos para nuestros clientes • Cómo proteger sus aplicaciones y datos frente a ataques internos y externos • Cumplimiento de los requerimientos de leyes y regulaciones • Gestión de Identidades basada en Roles • Reducción de los costes derivados del cumplimiento de las normativasCopyright Oracle Corporation. 2011. All rights reserved
  4. 4. Seguridad IT 4
  5. 5. 5
  6. 6. Seguridad Oracle Seguridad en BBDD • Cifrar y enmascarar • Control usuarios privilegiados • Monitorización y auditoría Gestión de Identidades • Provisión de usuarios • Gestión de roles • Gestión de autorizaciones • Directorio virtualInformación Infraestructura Seguridad de Documentos Base de Datos Aplicaciones • Monitorización uso de documentos • Control de acceso a documentos Contenidos • Seguridad dentro y fuera de la Empresa 6
  7. 7. Las areas de foco en Seguridad - 2010Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010 Source Forrester September 2010 7
  8. 8. Más fugas de información que nunca… FUGAS DE INFORMACION PUBLICAS 400 300 630% 200 100 Registros Expuestos (Millones) 0 2005 2006 2007 2008 Coste medio: $202 por registro Coste total medio por fuga: $6.6 millionSource: DataLossDB, Ponemon Institute, 2009 8
  9. 9. Más fugas de información que nunca… 49% Fugas con responsables internos a las organizaciones 9
  10. 10. Causa #1 de fugas de informacion: Credenciales robadas y Aplicaciones Web modificadas con “SQL Injection”Threat action categories by percent of breaches and records Types of hacking by percent of breaches within Hacking and percent of recordsAttack pathways by percent of breaches and percent of records 2010 Data Breach Investigations Report 10
  11. 11. Cual es la fuente de las fugas? 2010 Data Breach Investigations Report 11
  12. 12. Cifra sin excepciones la Los datos pueden ser leidos por cualquier informacion personal usuario con privilegios de acceso a la base identificable en las BB.DD de datos28% Tiene medios para evitar que Los DBA o cualquiera con los privilegios un usuario privilegiado necesarios pueden acceder a los datos leainformacion sensible de almacenados24% la Base de Datos No pueden detectar si sus Los usuarios de base de datos pueden usuarios estan abusando de realizar actividades no permitidas si ser sus privilegios detectados68% No estan seguros de si sus Los datos pueden ser manipulados desde aplicaciones pueden sufrir el exterior por hackers que acceden desde “SQL injection” las aplicaciones66% Copian informacion sensible Los desarrolladores pueden acceder a los a entornos fuera de datos reales de produccion produccion48% 12
  13. 13. Mercado global de la seguridad Gasto estimado en 2009: 17.000 millones Seguridad final Seguridad final (empresas) (particulares) 2.800 millones 3.700 millones Seguridad eMail Gestión de vulnerabilidades 1.500 millones 2.000 millones Seguridad en BB.DD. ¿SÓLO 500 millones? Gestión de Identidades Otro tipo de seguridad 1.400 millones 3.000 millones Seguridad de red 2.000 millonesCifras en Dólares EE.UU. 13
  14. 14. Una paradojaLa seguridad de los datos está identificadacomo la primera prioridad en el ámbito de laSeguridad ITLa primera fuente de fugas de información(92%) son los servidores de base de datos 2010 Data Breach Investigations ReportSólo un 3% del presupuesto invertido ensecurizar las bases de datos (Gartner 2009) 14
  15. 15. Proliferación de normativas Criminal Civil Liability UK/PRO Prosecution PIPEDA Government EU Data Directives Sarbanes-Oxley GLBA Sanctions PCI Basel II Breach Disclosure FISMA LOPD K SOX Euro SOX J SOX HIPAA ISO 17799 SAS 70 COBIT AUS/PRO 90% Compañias e instituciones no cumplenSource: IT Policy Compliance Group, 2007. 15
  16. 16. Control de riesgos y Cumplimiento de Normativas: Complejos y Costosos • Regulación internacional, nacional, local, por industria… añadiendo más normativa cada año • Necesidad de cumplir y demostrar el cumplimiento • Los costes de auditoria y cumplimiento pueden ser insostenibles! Informes y auditoría Código Penal: responsabilidad penal Nuevo de las personas jurídicas © 2010 Oracle Corporation – Proprietary and Confidential 16
  17. 17. PCI-DSS: Requisitos 17 17
  18. 18. Seguridad Oracle Seguridad en BBDD • Cifrar y enmascarar • Control usuarios privilegiados • Monitorización y auditoría Gestión de Identidades • Provisión de usuarios • Gestión de roles • Gestión de autorizaciones • Directorio virtualInformación Infraestructura Seguridad de Documentos Base de Datos Aplicaciones • Monitorización uso de documentos • Control de acceso a documentos Contenidos • Seguridad dentro y fuera de la Empresa 18
  19. 19. Oracle Identity Management Administración de Gestión de Servicios de Identidades Acceso Directorio Aprovisionamiento de Prevención de Fraude y Almacenamiento LDAP Usuario basado en Autenticación Identidad de Acceso Roles Single Sign-On y Virtualizada Autoservicio de Federación Peticiones y Autorización y Derechos Aprobaciones Seguridad de Servicios Gestión de Web Contraseñas Gobierno de Identidades Seguridad de la PlataformaAnálisis, Prevención de Fraude, Control de Servicios de Identidad para Desarrolladores Privacidad 19
  20. 20. Gestión de Identidadbasada en Roles 20
  21. 21. OportunidadGestión de Identidad basada en Roles Necesidades 21
  22. 22. OportunidadGestión de Identidad basada en Roles Necesidades 22
  23. 23. OportunidadGestión de Identidad basada en Roles Solución Tecnológica 23
  24. 24. Oportunidad Gestión de Identidad basada en Roles Petición de Validación de SoD !  Respuesta de Validación de SoD Provisión de Permisos en Sincronización de Datoscorcondancia con de Permisos de Acceso las políticas de SoD 24
  25. 25. OportunidadGestión de Identidad basada en Roles Solución Tecnológica 25
  26. 26. Conclusiones de Forrester• Modelo financiero basado en la metodología TEI de Forrester• Se crea una organización tipo para poblar el modelo • Basada en entrevistas con clientes reales • Asunciones básicas extraídas de 4 proyectos reales • Análisis completo de coste-beneficio y ajuste del riesgo 26
  27. 27. Oportunidad Gestión de Identidad basada en Roles• Gestión de Identidades 2.0• Proyectos apoyados desde negocio• Podemos posicionarlo en diferentes tipos de clientes : • Sin gestión de Identidades • Con Gestión de Identidades No Oracle • Con Gestión de Identidades Oracle 27
  28. 28. Virtualización deIdentidades 28
  29. 29. Oportunidad Virtualización de Identidades Necesidades• Diferentes repositorios de Identidades con procesos complejos de sincronización• Falta de servicios comunes de identidad• Proyectos parados o comprometidos en su planificación• Costes altos en administración y mantenimiento• Dificultad en consolidar un esquema global de identidad• La información de Identidad que no está en Directorios LDAP queda fuera de la foto 29
  30. 30. Solución TecnológicaOportunidadVirtualización de Identidades Servicios web Active Directory Oracle Virtual Directory Directorio LDAP BB.DD. 30
  31. 31. Solución TecnológicaOportunidadVirtualización de IdentidadesAplicación SSO BB.DD. de RR.HH. 31
  32. 32. Solución TecnológicaOportunidadVirtualización de Identidades InetOrgPerson AD Person AD Forest Oracle Virtual Directory 32
  33. 33. Solución TecnológicaOportunidadVirtualización de Identidades Oracle Virtual BB.DD. Directory PeopleSoft/Siebel 33
  34. 34. Solución TecnológicaOportunidadVirtualización de Identidades Active Directory Forest #1 Active Directory Forest #2 Oracle Virtual Directory Directorio LDAP BB.DD. 34
  35. 35. Solución TecnológicaOportunidadVirtualización de Identidades BB.DD. Oracle Active Directory Oracle Virtual Directory (o Novell o SUN DS) 35
  36. 36. Solución TecnológicaOportunidadVirtualización de Identidades Oracle Virtual Directorio LDAP Directory 36
  37. 37. Oportunidad Virtualización de Identidades• Proyecto táctico, de corto alcance y con resultados rápidos• Despierta interés y se entiende su beneficio rápidamente• Pieza tecnológica que puede acelerar proyectos complejos ( Gestión de Identidades, Control de Acceso Web, …)• Complementario a soluciones de Portal, Gestión de Contenidos, …• Curva de aprendizaje rápida en el conocimiento de la tecnología• En la licencia se incluyen tres productos 37
  38. 38. SSO Corporativo38 Copyright © 2009, Oracle. All rights reserved
  39. 39. Oportunidad SSO Corporativo Necesidades• Mejora la experiencia de usuario• Reducción de costes en help-desk• Mejora de la seguridad• Uso de mecanismos de autenticación fuertes• No intrusión en las aplicaciones• Tecnología de aplicaciones heterogénea 39
  40. 40. OportunidadSSO Corporativo Solución Tecnológica jperez01 eSSO rellena la identificación automáticamente juan.perez juanpe ******* eSSO rellena la identificación automáticamente Active contab173 Repositorio Directory eSSo 40
  41. 41. Oportunidad SSO Corporativo• Proyecto corto, pero puede suponer una puerta de entrada a otras oportunidades ( Gestión de Identidades, Control de Acceso Web, …)• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección• Curva de aprendizaje rápida en el conocimiento de la tecnología 41
  42. 42. Seguridad en Base de Datos ! Alertas Informes Auditoría Integrados Consolidación Informes Informes personalizados Políticas Confidencial No Autorizado Sensible Público Log Permiso Contratación Seguridad en la Alertas administración de Base de HR datos SustituciónAplicaciones Block Financiero Bloqueo y Monitorización de Base de datos Backups Informes Data Encriptada Encriptados Encriptados Masking la red SQL 42
  43. 43. Protección del Dato yCumplimiento Normativo 43
  44. 44. Oportunidad Protección del Dato y Cumplimiento Necesidades• Diferentes normativas que obligan a proteger el dato debidamente : LOPD, ENS, PCI/DSS• Asegurar el ciclo de vida del dato• Control de las operaciones que pueden realizar los admininstradores de base de datos Oracle• Auditoría de acceso al dato• Poder trabajar con datos de producción en entornos de desarrollo de forma segura 44
  45. 45. OportunidadProtección del Dato y Cumplimiento Necesidades 45
  46. 46. Oportunidad Protección del Dato y Cumplimiento Necesidades• ENS : todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados:• Requisitos mínimos: • Organización e implantación del proceso de seguridad • Análisis y gestión de los riesgos • Gestión de personal • Profesionalidad • Autorización y control de los accesos • Protección de las instalaciones • Adquisición de productos • Seguridad por defecto • Integridad y actualización del sistema • Protección de la información almacenada y en tránsito • Prevención ante otros sistemas de información interconectados • Registro de actividad • Incidentes de seguridad • Continuidad de la actividad • Mejora continua del proceso de seguridad 46
  47. 47. OportunidadProtección del Dato y Cumplimiento Solución Tecnológica 47
  48. 48. OportunidadProtección del Dato y Cumplimiento Solución TecnológicaTransparent Data Encryption Capa SQL• Encripta los datos de las aplicaciones • Encriptación columnas Buffer Cache • Encriptación tablespaces y sus ficheros “SSN = 987-65-..” • 3DES168, AES128, AES192 (def), AES256• Altamente eficiente • Alto rendimiento (overhead < 5%) • Integrado con Oracle Advanced Compression• No se necesitan cambios en las aplicaciones undo temp • Cualquier tipo de dato blocks blocks • Se permiten índices sobre datos redo flashback encriptados logs logs 48
  49. 49. Oportunidad Protección del Dato y Cumplimiento Datos RR.HH. Datos CRM Datos ERP Databases Consolida los registros de auditorías en un repositorio centralizado y seguro Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados Informes predefinidos y personalizados de auditoría de usuarios privilegiados, permisos, logins fallidos, acceso a datos sensibles, cambios de esquema, … Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc. Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sysbase, DB2 49
  50. 50. OportunidadProtección del Dato y CumplimientoAnonimización irreversible de datos en Solución Tecnológica entornos no productivos 50
  51. 51. Oportunidad Protección del Dato y Cumplimiento• Proyecto resultado de un proceso de prescripción, asesoría de seguridad• Los productos por sí solos no resuelven el problema : es necesaria una consultoría previa• Imprescindibles para procesos de “cloud” privada• Diferenciador en propuestas de “outsourcing”• Mercado objetivo : cualquier cliente de Oracle Enterprise Edition• Proyectos de medio-largo recorrido 51
  52. 52. Firewall de Base de Datos 52
  53. 53. Oportunidad Firewall de Base de Datos NecesidadesSQL INJECTION Cuando el programador incorpora en una sentencia SQL una variable cuyo valor es suministrado por el usuario final y su contenido no es correctamente filtrado, permitiendo que el usuario final pueda introducir valores que puedan ser interpretados como parte de una sentencia SQL. “SELECT * FROM users WHERE name = " + userName + ";" Con SQL Injection se puede conseguir: SELECT * FROM users WHERE name = OR 1=1; SELECT * FROM users WHERE name = a;DROP TABLE users; SELECT * FROM userinfo WHERE t = t; Mediante SQL Injections se obtienen datos no permitidos de las bases de datos o se realizan ataques de denegación de servicio. 53
  54. 54. OportunidadFirewall de Base de Datos Solución Tecnológica 54
  55. 55. OportunidadFirewall de Base de Datos Solución Tecnológica 55
  56. 56. OportunidadFirewall de Base de Datos Solución Tecnológica 56
  57. 57. Seguridad Oracle para Bases de datosResumen de Soluciones • Oracle Advanced Security • Oracle Database Vault • Oracle Label Security • Oracle Audit Vault • Oracle Total Recall • Oracle Database Firewall • Oracle Data Masking 57
  58. 58. Protección de Documentos 58
  59. 59. OportunidadProtección de Documentos Necesidades 59
  60. 60. Oportunidad Securizar las copias y saber quién ha accedido a ellas Evitar que las copias sean enviadas o editadas inadecuadamente Proteger la información confidencial para trabajar de forma colaborativa con terceros Revocar el acceso a información confidencial a empleados que se han ido o personas en las que ya no confiamos Implementar las políticas de clasificación documental (ISO 17799) 6. Auditoría detallada del acceso a los documentos 60
  61. 61. OportunidadProtección de Documentos• Proyecto con mucha visibilidad de cara a los usuarios finales y a la Dirección• Percepción alta de necesidad en este momento• Escaso en servicios tecnológicos y rico en servicios de consultoría• Curva de aprendizaje rápida en el conocimiento de la tecnología Blog público de IRM : http://blogs.oracle.com/irm/ 61
  62. 62. Seguridad Oracle Seguridad en BBDD • Cifrar y enmascarar • Control usuarios privilegiados • Monitorización y auditoría Gestión de Identidades • Provisión de usuarios • Gestión de roles • Gestión de autorizaciones • Directorio virtualInformación Infraestructura Seguridad de Documentos Base de Datos Aplicaciones • Monitorización uso de documentos • Control de acceso a documentos Contenidos • Seguridad dentro y fuera de la Empresa 62
  63. 63. Trabajo en EquipoPlan de trabajo conjunto <Insert Picture Here>  Áreas de foco en producto  Áreas de foco en mercado  Plan de acciónGeneración de demanda  Formación a ventas y preventa  “Security Whiteboard Session”  Eventos conjuntos, visitas conjuntas a clientes  Apoyo preventa. Cualificación, RFI/RFP  Pruebas de concepto 63 63
  64. 64. PREGUNTAS 64
  65. 65. 65

×