Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Webinar: Soluciones Oracle para el cumplimiento de GDPR

373 views

Published on

Webinar de las funcionalidades de seguridad de Oracle Database para ayudarle en el cumplimiento de los artículos y requerimientos de la nueva normativa de GDPR.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Webinar: Soluciones Oracle para el cumplimiento de GDPR

  1. 1. Seguridad Oracle y GDPR Ana Zazo Jiménez Especialista en Seguridad de base de datos Versión 1/ 15 Feb 2018
  2. 2. Agenda 1. Nueva regulación general de protección de datos: GDPR 2. Seguridad Oracle y GDPR 3. ¿Cómo cumplir con la normativa en plataforma Oracle? 4. Servicios Express 5. Diagnóstico de seguridad 2Seguridad Oracle y GDPR
  3. 3. 3 1. Nueva Regulación General de Protección de Datos:GDPR Seguridad Oracle y GDPR
  4. 4. • Aspectos clave del GDPR  Sustituye la actual Directiva 95/46/EC adoptada en España mediante la Ley orgánica de Protección de Datos (LOPD) .  Los nuevos requisitos legales requerirán que las compañías reconsideren cómo manejan y protegen sus datos personales.  Incluye un nuevo régimen de responsabilidad y sanción.  Entrada en vigor el 24 de mayo de 2018 • Posibles consecuencias graves  Multas de hasta el 4% de los ingresos anuales o 20 millones de euros  72 horas para notificación de violación de datos http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:31995L0046&from=ES Nueva Regulación General de Protección de Datos:GDPR 4Seguridad Oracle y GDPR
  5. 5. 5 2. Seguridad Oracle y GDPR Seguridad Oracle y GDPR
  6. 6. • Esta Regulación requiere del cumplimiento en acceso y protección de datos desde los siguientes principios clave: Seguridad Oracle y GDPR 6Seguridad Oracle y GDPR
  7. 7. 7 3. ¿Cómo cumplir con la normativa en plataforma Oracle? Seguridad Oracle y GDPR
  8. 8. ¿Cómo cumplir con la normativa en plataforma Oracle? 8Seguridad Oracle y GDPR
  9. 9. ¿Cómo cumplir con la normativa en plataforma Oracle? 9Seguridad Oracle y GDPR
  10. 10. Mapeo de productos Oracle y GDPR 10Seguridad Oracle y GDPR Database Vault
  11. 11. • Los DBAs pierden sus privilegios con el usuario SYS. • Permite un mejor gobierno del dato mediante la segregación de derechos. ¿Qué protege Database Vault? • Protege de accesos no deseados (ejecución de queries, exports, etc.) a esquemas protegidos. Database Vault 11Seguridad Oracle y GDPR
  12. 12. Claves de implantación • Producto que lleva coste en licencia. • Se requiere que esté instalada o instalar DB Console. • Database Vault es una opción que viene con la base de datos, sólo hay que activarla. • Es transparente para los aplicativos. Factores para la estimación del tiempo de implantación • Número de entornos donde montar Database Vault (desarrollo, pre, prod). • Número de esquemas de base de datos a proteger. • Determinación e implantación de políticas de protección de esquemas (se establecerán reuniones con los departamentos implicados). Database Vault 12Seguridad Oracle y GDPR
  13. 13. Seguridad Oracle y GDPR Prevención de riesgos 13Seguridad Oracle y GDPR Data masking & subsetting ASO (TDE, Data Redaction, Label security)
  14. 14. • Se instala con la base de datos pero su activación lleva coste de licencia. • TDE,Label Security y Data Redaction, forman parte de esta opción. • Permite generar backups encriptados. • Integración con otras tecnologías Oracle (Ejemplo: Exadata, GoldenGate, etc). Advanced Security Option (ASO) 14Seguridad Oracle y GDPR
  15. 15. ¿Qué ofrece TDE? • El cifrado puede realizarse a nivel de columna o a nivel de tablespace. • Los tiempos de cifrado de datos son inexistentes y los accesos a datos cifrados son prácticamente inapreciables. • La base de datos es la que gestiona la encriptación y la desencriptación de los datos. • Se integra con otras tecnologías (Exadata, GoldenGate). ASO: Transparent Data Encryption (TDE) Permite cifrar datos sensibles. 15Seguridad Oracle y GDPR
  16. 16. Claves de implantación • Modificación del fichero sqlnet.ora. • Se activa mediante la creación de un wallet. • Es muy importante custodiar la password de ese wallet porque la pérdida u olvido de la misma producirían la imposibilidad de acceder al dato. Factores para la estimación del tiempo de implantación • Número de bases de datos y tamaño de las mismas. En función del tamaño variará el tiempo de cifrado y por tanto se tendrán que determinar las ventanas para reducir los tiempos de inactividad de los sistemas productivos o de negocio. • Número de esquemas a securizar. ASO: Transparent Data Encryption (TDE) 16Seguridad Oracle y GDPR
  17. 17. Claves de implantación • Modificación del fichero sqlnet.ora. • Su activación, permite el cifrado de datos vía red, en ambos sentidos (cliente/servidor ó servidor/cliente). • No implica realizar cambios en los aplicativos. Factores para la estimación del tiempo de implantación • Número de entornos ASO: Cifrado de datos vía red 17Seguridad Oracle y GDPR
  18. 18. • Oracle Label Security es la solución más avanzada para acceder a los datos a partir de su clasificación. • Está integrado con OIM(Oracle Identity Management). • Transparente a las aplicaciones. • Gestionado desde Cloud Control. ASO: Label Security 18Seguridad Oracle y GDPR
  19. 19. Claves de implantación • Puede integrarse con Database Vault. Factores para la estimación del tiempo de implantación • Número de entornos. • Número de esquemas a securizar. • Número de objetos donde se quieren crear “etiquetas”. ASO: Label Security 19Seguridad Oracle y GDPR
  20. 20. • Permite enmascarar datos en tiempo real, mediante diferentes métodos. • Es una opción muy útil en aplicaciones de call center en donde los datos son read- only o en entornos donde los datos cambien constantemente. • Integrado en OEM. ASO: Data Redaction 20Seguridad Oracle y GDPR
  21. 21. Claves de implantación • Utilidad dentro de ASO, que está disponible a partir de la 11.2.0.4. Factores para la estimación del tiempo de implantación • Número de entornos. • Número de esquemas a securizar. • Número de objetos donde se quiere aplicar Redaction. ASO: Data Redaction 21Seguridad Oracle y GDPR
  22. 22. • Oracle Data Masking enmascara datos sensibles de entornos productivos, para poder ser usados en otros entornos no productivos. • Oracle Data Subsetting gestiona los datos de prueba (ya enmascarados) en porciones o conjuntos de datos. • Soporte para bases de datos no Oracle. Data Masking & Subsetting 22Seguridad Oracle y GDPR
  23. 23. Claves de implantación • Es necesario disponer de la licencia del pack Data Masking & Subsetting. • Para Subsetting se requiere una completa integridad referencial. Factores para la estimación del tiempo de implantación • Número de entornos. • Número de bases de datos, esquemas y objetos a enmascar. Data Masking & Subsetting 23Seguridad Oracle y GDPR
  24. 24. Respuesta a auditoria en minutos 24Seguridad Oracle y GDPR Audit Vault & Database Firewall
  25. 25. • Recopila y consolida los datos de auditorías de manera transparente de, quién hizo qué a cuáles datos y cuándo lo hizo. • Detecta amenazas anticipadas con el uso de alertas. • Puede integrarse con SIEM (System Information Event Management). Audit Vault 25Seguridad Oracle y GDPR
  26. 26. Claves de implantación • Es necesario disponer de la licencia del pack Audit Vault & Database Firewall. Factores para la estimación del tiempo de implantación • Número de entornos. • Número de esquemas. • Importante identificar qué datos son los que se quieren auditar. Audit Vault 26Seguridad Oracle y GDPR
  27. 27. Database Firewall 27Seguridad Oracle y GDPR Applications Block Log Allow Alert Substitute • Bloquea todas las operaciones de cualquier usuario que no esté autorizado . • Soporta bases de datos Oracle, MySQL, Microsoft SQL Server, Sybase, and IBM DB2 cle.
  28. 28. Claves de implantación • Es necesario disponer de la licencia del pack Audit Vault & Database Firewall. • Válido para otras bases de datos que no son Oracle. Factores para la estimación del tiempo de implantación • Número de entornos. • Número de esquemas, número de objetos sobre los que se quiere establecer políticas de bloqueo de acceso. Database Firewall 28Seguridad Oracle y GDPR
  29. 29. Solución de Seguridad con Tecnología Oracle 29Seguridad Oracle y GDPR
  30. 30. 30 4. Servicios Express Seguridad Oracle y GDPR
  31. 31. • Son un empaquetado de licencias más servicios. • Nosotros realizamos la implantación y posteriormente se da formación a los interlocutores. • Tiempo: Acotado a unas semanas. • Coste asociado: Unos pocos miles de Euros. ¿Qué incluye este servicio? • Despliegue en dos entornos. • Formación a sistemas y desarrollo. • Implantación acotada de algunas funcionalidades. Servicios Express 31Seguridad Oracle y GDPR
  32. 32. 32 5. Diagnóstico de seguridad Seguridad Oracle y GDPR
  33. 33. Diagnóstico de seguridad Evaluación de Confidencialidad e Integridad 33Seguridad Oracle y GDPR Configuración de Seguridad Protección de Datos Control de Acceso Monitorización, Auditoria y Bloqueo Conformidad regulatoria Seguridad de datos
  34. 34. • El Diagnóstico de Seguridad es un servicio diseñado para aportar alto valor en muy poco tiempo. ¿Qué es el Diagnóstico de Seguridad? 34Seguridad Oracle y GDPR Recogida de datos Análisis Diagnóstico Plan de acción
  35. 35. • Como resultado del diagnostico se entregan una serie de informes que reflejan:  Descripción de la situación actual.  Puntos de control analizados.  Deficiencias detectadas y vulnerabilidades.  Adecuación normativa.  Recomendaciones. Resultados tangibles 35Seguridad Oracle y GDPR
  36. 36. Informes proporcionados por el Diagnóstico: Ejemplo 36Seguridad Oracle y GDPR
  37. 37. Informes proporcionados por el Diagnóstico: Ejemplo 37Seguridad Oracle y GDPR
  38. 38. Informes proporcionados por el Diagnóstico: Ejemplo 38Seguridad Oracle y GDPR
  39. 39. Informes proporcionados por el Diagnóstico: Ejemplo 39Seguridad Oracle y GDPR
  40. 40. 40Seguridad Oracle y GDPR
  41. 41. Ana Zazo Jiménez Especialista en Seguridad de base de datos ana.zazo@avanttic.com 41Seguridad Oracle y GDPR

×