La tecnología como facilitador del

cumplimiento de los controles de

un SGSI.
Aproximación práctica de las
soluciones que ofrecen las
herramientas tecnológicas
Blas Piñero Uribe, CISA
Oracle Consulting
 Risk Security
Response Management

Plan Service Acquire

and Delivery / Control
Activities and
Organize Support Implement
Physical
Business
and Personnel
Continuity Security Policy
Environmental Security
Management
Security
Asset
Internal Organizational Classification Information
Environment Security and and
Control Communications

ITIL COSO ISO17799 COBiT

Planning to
Objective Implement Application
Monitoring
Setting Service Management
Management
Communications Systems
and Development
Access Control Compliance
Operations and
Management Maintenance
Define ICT Infrastructure Monitor
Risk
and Management and
Assessment
Support Support

Event Business
Identification Perspective
Estandares de seguridad IT
Gestión de la Seguridad IT: ISO 27001
La evolución de los estándares
ISO27001

• Sistema de Gestión de la Seguridad

de la Información (SGSI)
• Adopta la metodologia PDCA,
PDCA Model
 En la actualidad

• La serie ISO 27000 reemplazara a ISO

17799 y a UNE 71502:
– 27000: Definiciones y términos (draft)
– 27001: Implantación del SGSI (Certificable)
evolución de BS-7799-2 y equivale a UNE
71502
– 27002: Transcripción de ISO 17799:2005,
catalogo de buenas practicas.
– 27003: Guía de implementación (draft).
– 27004: Indicadores y metricas (draft).
– 27005: Gestión y evaluación de riesgos
(draft).
ISO27001

1) Define un marco para el establecimiento

de objetivos y establece las directrices y
principios de accion en lo referente a
seguridad de la información
2) Tiene en cuenta requerimientos legales,
de negocio y contractuales
3) Se alinea el contexto estrategico de
gestión del riesgo de la organizacion en
el que se desarrolla el SGSI
4) Establece los criterios de evaluación del
riesgo
ISO 27002

• Con origen en la norma británica BS7799-

1, constituye un código de buenas
prácticas para la Gestión de la Seguridad
de la Información.
• Establece la base común para desarrollar
normas de seguridad dentro de las
organizaciones.
• Define diez dominios de control que
cubren por completo la Gestión de la
Seguridad de la Información.
• 36 objetivos de control y 127 controles.
Dominios ISO 27002

1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10. Cumplimiento Legal
ISO/IEC 17799:2005 vs LOPD/RMS
 Ayudas Tecnologicas:
Oracle Database Vault
Aplicación

Control de acceso
Segregación de funciones

Características

Bloqueo de acceso al DBA u otros usuarios privilegiados a

datos corporativos (datos confidenciales, DBAs externos)
Restricción de comandos privilegidos ( DBA) basado en filtrado
de dirección IP
Protección de los datos frente a modificaciones no autorizadas
(Integridad)
Fuerte control de acceso sobre los datos corporativos

Cumplimiento

Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal
Adecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones

Adecuación LOPD – Control de acceso

Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus
funciones. (Nivel básico)
Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del
responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto)
¿Para que sirve Database Vault?

• Protege la Base de Datos con Separación de

Derechos por Aplicación/Usuario/Objeto
• Permite implementar controles de visualización
de los Datos de Aplicación por Usuario
• Permite limitar a los DBA’s y Super Usuarios el
acceso a los Datos Sensibles o Protegidos por
LOPD
• Permite administrar los Objetos, aún cuando se
limite el acceso a los datos.
• Proporciona un conjunto de Informes de
Seguridad para control y seguimiento de las
medidas implementadas
 Oracle Database Vault
Realms

• El administrador de la BD
ve los datos de RRHH
select * from HR.emp
Eliminamos el riesgo de DBA
incumplimiento legal o robo
de datos

HR
HR
• El administrador de RRHH HR DBA HR Realm
ve los datos de Financiero
Eliminamos el riesgo
derivado de la Fin
Fin
consolidacion de Fin Realm
servidores FIN DBA
 Oracle Database Vault
Rules & Multi-factor Authorization

• El administrador de la BD alter system…….

intenta un “alter system”
remoto
DBA
Reglas basados en dirección
IP bloquean la acción
create …
• El administrador de RRHH realiza HR
HR
acciones no autorizadas en HR Realm
HR DBA 3pm Monday
producción.

Reglas basadas en
fecha/hora bloquean la
acción
ISO 27002 Dominio 7

• CONTROL DE ACCESO
– Requisitos de la Organización para el control
de acceso
– Administración del acceso de usuarios
– Responsabilidades de los usuarios
– Control de acceso de la Red
– Control de acceso al Sistema Operativo
– Control de acceso de las Aplicaciones
– Acceso y uso del Sistema de Monitoreo
– Computadoras móviles y trabajo a distancia
El problema de la gestión
de identidades....
 ¿Qué es una identidad?

• Una identidad es
Health Care

Government
Work

un conjunto de
Blood
Group Shopping
Tax Insurance
Status Good-
Health
Conduct

identidades Income Status

Certificate MasterCard

Birthday Name
Age
Birthplace Address Credit
Rating Payment

parciales.
Diners Club

Diary Foreign Driving

Alice Languages Licence
Cellphone
Phone Number Likes &

• Cada identidad
Legend: Number Dislikes Travel
Interests

Identity Telecom-
of Alice Boyfriend
munication
Bob

parcial Partial
Identity
of Alice
Leisure

corresponde a un
rol en un entorno
 Ciclo de Vida de la Identidad Digital

Registro/Creación
Nuevos Empleados entran en
la Empresa
Propagación

Cuentas &
Políticas

Revocación Mantenimiento/Gestión
Empleados dejan Cambios y Soporte a
la Empresa Usuarios
El problema de las identidades

El problema: Islas de
Información
• Cada Usuario tiene
multiples identidades
parciales, una en cada
entorno.
CONSECUENCIAS
• Multiples puntos de
administración.
• Multiples
administradores
• Inconsistencia de datos
• Falta de una
“vista”unificada de la
identidad
Oracle Identity Management
Auditoria de Acceso a datos

• Art. 24 REGISTRO DE ACCESO, exige (nivel

alto):
1. Identificación, Dia/hora, Fichero y resultado
2. Identificación del registro accedido
3. Mecanismos no desactivables
4. Conservación dos años
5. Informe mensual de revisiones de control-
responsable Seguridad
• Corresponde al dominio 10 ISO
¿ Qué es Audit Vault?

• Herramienta de Seguridad enfocada a la

Auditoria de Accesos a Datos y uso de Privilegios
• Se proporciona con el Núcleo de Base de Datos
10gR2
• Dispone de un Intefaz Gráfico para Administrar
las diferentes Políticas de Auditoria
• Permite Auditar B.D. 9iR2 a 10GR2
• Protege, Consolida, Detecta, Monitoriza, Alerta
¿ Para qué Sirve Audit Vault ?

• Adaptación a la LOPD o ISO 27001 de manera

no traumática
• Identifica Quién y Cuándo ha accedido a Datos
Protegidos o Sensibles de la B.D.
• Identifica Quién y Cuándo ha realizado un uso
inadecuado de Privilegios en B.D.
• Eficiente herramienta de Control y Seguimiento
• Permite análizar las trazas recopiladas mediante
una herramienta de Reporting.
• Recopila Trazas de Múltiples orígenes
(SqlServer, DB2 ..)
Funcionalidades Audit Vault
Preguntas…..
<Insert Picture Here>