Professional Documents
Culture Documents
Event Business
Identification Perspective
Estandares de seguridad IT
Gestión de la Seguridad IT: ISO 27001
La evolución de los estándares
ISO27001
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10. Cumplimiento Legal
ISO/IEC 17799:2005 vs LOPD/RMS
Ayudas Tecnologicas:
Oracle Database Vault
Aplicación
Control de acceso
Segregación de funciones
Características
Cumplimiento
Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal
Adecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones
Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus
funciones. (Nivel básico)
Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del
responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto)
¿Para que sirve Database Vault?
• El administrador de la BD
ve los datos de RRHH
select * from HR.emp
Eliminamos el riesgo de DBA
incumplimiento legal o robo
de datos
HR
HR
• El administrador de RRHH HR DBA HR Realm
ve los datos de Financiero
Eliminamos el riesgo
derivado de la Fin
Fin
consolidacion de Fin Realm
servidores FIN DBA
Oracle Database Vault
Rules & Multi-factor Authorization
Reglas basadas en
fecha/hora bloquean la
acción
ISO 27002 Dominio 7
• CONTROL DE ACCESO
– Requisitos de la Organización para el control
de acceso
– Administración del acceso de usuarios
– Responsabilidades de los usuarios
– Control de acceso de la Red
– Control de acceso al Sistema Operativo
– Control de acceso de las Aplicaciones
– Acceso y uso del Sistema de Monitoreo
– Computadoras móviles y trabajo a distancia
El problema de la gestión
de identidades....
¿Qué es una identidad?
• Una identidad es
Health Care
Government
Work
un conjunto de
Blood
Group Shopping
Tax Insurance
Status Good-
Health
Conduct
Birthday Name
Age
Birthplace Address Credit
Rating Payment
parciales.
Diners Club
• Cada identidad
Legend: Number Dislikes Travel
Interests
Identity Telecom-
of Alice Boyfriend
munication
Bob
parcial Partial
Identity
of Alice
Leisure
corresponde a un
rol en un entorno
Ciclo de Vida de la Identidad Digital
Registro/Creación
Nuevos Empleados entran en
la Empresa
Propagación
Cuentas &
Políticas
Revocación Mantenimiento/Gestión
Empleados dejan Cambios y Soporte a
la Empresa Usuarios
El problema de las identidades
El problema: Islas de
Información
• Cada Usuario tiene
multiples identidades
parciales, una en cada
entorno.
CONSECUENCIAS
• Multiples puntos de
administración.
• Multiples
administradores
• Inconsistencia de datos
• Falta de una
“vista”unificada de la
identidad
Oracle Identity Management
Auditoria de Acceso a datos