La tecnologa como facilitador del cumplimiento de los controles de un SGSI.

Aproximacin prctica de las soluciones que ofrecen las herramientas tecnolgicas

Blas Piero Uribe, CISA Oracle Consulting

Risk Response Plan and Organize Business Continuity Management Internal Environment Physical and Environmental Security Organizational Security Service Delivery / Support Security Policy Asset Classification and Control

Security Management Control Activities Personnel Security Information and Communications Acquire and Implement

ITIL
Monitoring Communications and Operations Management Define and Support

COSO
Objective Setting Systems Development and Maintenance ICT Infrastructure Management Event Identification

ISO17799
Planning to Implement Service Management Access Control

COBiT
Application Management

Compliance Monitor and Support Business Perspective

Risk Assessment

Estandares de seguridad IT

Gestin de la Seguridad IT: ISO 27001

La evolucin de los estndares

ISO27001

Sistema de Gestin de la Seguridad de la Informacin (SGSI) Adopta la metodologia PDCA,

PDCA Model

En la actualidad La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502:

27000: Definiciones y trminos (draft) 27001: Implantacin del SGSI (Certificable) evolucin de BS-7799-2 y equivale a UNE 71502 27002: Transcripcin de ISO 17799:2005, catalogo de buenas practicas. 27003: Gua de implementacin (draft). 27004: Indicadores y metricas (draft). 27005: Gestin y evaluacin de riesgos (draft).

ISO27001 1) Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la informacin 2) Tiene en cuenta requerimientos legales, de negocio y contractuales 3) Se alinea el contexto estrategico de gestin del riesgo de la organizacion en el que se desarrolla el SGSI 4) Establece los criterios de evaluacin del riesgo

ISO 27002 Con origen en la norma britnica BS77991, constituye un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin. Establece la base comn para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin. 36 objetivos de control y 127 controles.

Dominios ISO 27002

1. Poltica de Seguridad 2. Organizacin de Seguridad 3. Clasificacin y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Fsica y Ambiental 6. Gestin de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10. Cumplimiento Legal

ISO/IEC 17799:2005 vs LOPD/RMS

Ayudas Tecnologicas: Oracle Database Vault

Aplicacin

Control de acceso Segregacin de funciones

Caractersticas
Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos) Restriccin de comandos privilegidos ( DBA) basado en filtrado de direccin IP Proteccin de los datos frente a modificaciones no autorizadas (Integridad) Fuerte control de acceso sobre los datos corporativos

Cumplimiento
Adecuacin marco normativo de seguridad corporativa Procedimiento de control de acceso; Funciones y obligaciones del personal Adecuacin UNE 72501 e ISO/IEC 27002 A.11 Control de accesos; A.10.1.3 Segregacin de funciones Adecuacin LOPD Control de acceso Art. 12.1 Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel bsico) Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los prrafos anteriores estarn bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningn caso, la desactivacin de los mismos. (Nivel alto)

Para que sirve Database Vault?

Protege la Base de Datos con Separacin de Derechos por Aplicacin/Usuario/Objeto Permite implementar controles de visualizacin de los Datos de Aplicacin por Usuario Permite limitar a los DBAs y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD Permite administrar los Objetos, an cuando se limite el acceso a los datos. Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas

Oracle Database Vault

Realms

El administrador de la BD ve los datos de RRHH

select * from HR.emp

Eliminamos el riesgo de incumplimiento legal o robo de datos

DBA

El administrador de RRHH ve los datos de Financiero

Eliminamos el riesgo derivado de la consolidacion de servidores

HR HR HR DBA

HR Realm

Fin Fin FIN DBA

Fin Realm

Oracle Database Vault

Rules & Multi-factor Authorization

El administrador de la BD intenta un alter system remoto Reglas basados en direccin IP bloquean la accin
DBA

alter system.

El administrador de RRHH realiza acciones no autorizadas en produccin.

Reglas basadas en fecha/hora bloquean la accin

create HR HR HR DBA 3pm Monday

HR Realm

ISO 27002 Dominio 7 CONTROL DE ACCESO

Requisitos de la Organizacin para el control de acceso Administracin del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras mviles y trabajo a distancia

El problema de la gestin de identidades....

Qu es una identidad?

Una identidad es un conjunto de identidades parciales. Cada identidad parcial corresponde a un rol en un entorno

Health Care Government Work Blood Group Tax Status Income Birthday Birthplace Insurance Health Status GoodConduct Certificate Age Credit Rating Foreign Languages Cellphone Number Interests Telecommunication Likes & Dislikes Driving Licence Travel Payment
Diners Club

Shopping

MasterCard

Name Address Diary

Alice Phone Number

Legend: Identity of Alice

Boyfriend Bob

Partial Identity of Alice

Leisure

Ciclo de Vida de la Identidad Digital

Registro/Creacin
Nuevos Empleados entran en la Empresa

Propagacin

Cuentas & Polticas Revocacin

Empleados dejan la Empresa

Mantenimiento/Gestin
Cambios y Soporte a Usuarios

El problema de las identidades

El problema: Islas de Informacin

Cada Usuario tiene multiples identidades parciales, una en cada entorno.

CONSECUENCIAS
Multiples puntos de administracin. Multiples administradores Inconsistencia de datos Falta de una vistaunificada de la identidad

Oracle Identity Management

Auditoria de Acceso a datos

Art. 24 alto):
1. 2. 3. 4. 5. Identificacin, Dia/hora, Fichero y resultado Identificacin del registro accedido Mecanismos no desactivables Conservacin dos aos Informe mensual de revisiones de controlresponsable Seguridad

REGISTRO DE ACCESO, exige (nivel

Corresponde al dominio 10 ISO

 Qu es Audit Vault?
Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios Se proporciona con el Ncleo de Base de Datos 10gR2 Dispone de un Intefaz Grfico para Administrar las diferentes Polticas de Auditoria Permite Auditar B.D. 9iR2 a 10GR2 Protege, Consolida, Detecta, Monitoriza, Alerta

 Para qu Sirve Audit Vault ?

Adaptacin a la LOPD o ISO 27001 de manera no traumtica Identifica Quin y Cundo ha accedido a Datos Protegidos o Sensibles de la B.D. Identifica Quin y Cundo ha realizado un uso inadecuado de Privilegios en B.D. Eficiente herramienta de Control y Seguimiento Permite anlizar las trazas recopiladas mediante una herramienta de Reporting. Recopila Trazas de Mltiples orgenes (SqlServer, DB2 ..)

Funcionalidades Audit Vault

Preguntas..
<Insert Picture Here>