La tecnologa como facilitador del

cumplimiento de los controles de

un SGSI.
Aproximacin prctica de las
soluciones que ofrecen las
herramientas tecnolgicas
Blas Piero Uribe, CISA
Oracle Consulting
Estandares de seguridad IT
Gestin de la Seguridad IT: ISO 27001
La evolucin de los estndares
ISO27001

Sistema de Gestin de la Seguridad

de la Informacin (SGSI)
Adopta la metodologia PDCA,
PDCA Model
 En la actualidad

La serie ISO 27000 reemplazara a ISO

17799 y a UNE 71502:
27000: Definiciones y trminos (draft)
27001: Implantacin del SGSI (Certificable)
evolucin de BS-7799-2 y equivale a UNE
71502
27002: Transcripcin de ISO 17799:2005,
catalogo de buenas practicas.
27003: Gua de implementacin (draft).
27004: Indicadores y metricas (draft).
27005: Gestin y evaluacin de riesgos
(draft).
ISO27001

1) Define un marco para el establecimiento

de objetivos y establece las directrices y
principios de accion en lo referente a
seguridad de la informacin
2) Tiene en cuenta requerimientos legales,
de negocio y contractuales
3) Se alinea el contexto estrategico de
gestin del riesgo de la organizacion en
el que se desarrolla el SGSI
4) Establece los criterios de evaluacin del
riesgo
ISO 27002

Con origen en la norma britnica BS7799-

1, constituye un cdigo de buenas
prcticas para la Gestin de la Seguridad
de la Informacin.
Establece la base comn para desarrollar
normas de seguridad dentro de las
organizaciones.
Define diez dominios de control que
cubren por completo la Gestin de la
Seguridad de la Informacin.
36 objetivos de control y 127 controles.
Dominios ISO 27002

1. Poltica de Seguridad
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10. Cumplimiento Legal
ISO/IEC 17799:2005 vs LOPD/RMS
 Ayudas Tecnologicas:
Oracle Database Vault
Aplicacin

Controldeacceso
Segregacindefunciones

Caractersticas

Bloqueo de acceso al DBA u otros usuarios privilegiados a

datos corporativos (datos confidenciales, DBAs externos)
Restriccin de comandos privilegidos ( DBA) basado en filtrado
de direccin IP
Proteccin de los datos frente a modificaciones no autorizadas
(Integridad)
Fuerte control de acceso sobre los datos corporativos

Cumplimiento

Adecuacin marco normativo de seguridad corporativa Procedimiento de control de acceso; Funciones y obligaciones del personal
Adecuacin UNE 72501 e ISO/IEC 27002 A.11 Control de accesos; A.10.1.3 Segregacin de funciones

Adecuacin LOPD Control de acceso

Art. 12.1 Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus
funciones. (Nivel bsico)
Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los prrafos anteriores estarn bajo el control directo del
responsable de seguridad competente sin que se deba permitir, en ningn caso, la desactivacin de los mismos. (Nivel alto)
Para que sirve Database Vault?

Protege la Base de Datos con Separacin de

Derechos por Aplicacin/Usuario/Objeto
Permite implementar controles de visualizacin
de los Datos de Aplicacin por Usuario
Permite limitar a los DBAs y Super Usuarios el
acceso a los Datos Sensibles o Protegidos por
LOPD
Permite administrar los Objetos, an cuando se
limite el acceso a los datos.
Proporciona un conjunto de Informes de
Seguridad para control y seguimiento de las
medidas implementadas
 Oracle Database Vault
Realms

El administrador de la BD
ve los datos de RRHH
select*fromHR.emp
Eliminamos el riesgo de DBA
incumplimiento legal o robo
de datos

HR
HR
El administrador de RRHH HR DBA HR Realm
ve los datos de Financiero
Eliminamos el riesgo
derivado de la Fin
Fin
consolidacion de Fin Realm
FIN DBA
servidores
 Oracle Database Vault
Rules & Multi-factor Authorization

El administrador de la BD altersystem.
intenta un alter system
remoto
DBA
Reglas basados en direccin
IP bloquean la accin
create
El administrador de RRHH realiza HR
HR
acciones no autorizadas en HR Realm
HR DBA 3pm Monday
produccin.

Reglas basadas en
fecha/hora bloquean la
accin
ISO 27002 Dominio 7

CONTROL DE ACCESO
Requisitos de la Organizacin para el control
de acceso
Administracin del acceso de usuarios
Responsabilidades de los usuarios
Control de acceso de la Red
Control de acceso al Sistema Operativo
Control de acceso de las Aplicaciones
Acceso y uso del Sistema de Monitoreo
Computadoras mviles y trabajo a distancia
El problema de la gestin
de identidades....
 Qu es una identidad?

Una identidad es
Health Care

Government
Work

un conjunto de
Blood
Group Shopping

e
Tax

d
Insurance
Status Good-

n
Health

identidades
Conduct

o
Status

i
Income

t
Certificate MasterCard

Ges dades
Birthday Name
Age
Address Credit
Birthplace

parciales.
Rating Payment
Diners Club

i
Diary Foreign

t
Driving
Alice Languages

n
Licence

Ide
Cellphone
Phone Number Likes &

Cada identidad
Legend: Number Dislikes Travel
Interests

Identity Telecom-
of Alice Boyfriend
munication
Bob

parcial Partial
Identity
of Alice
Leisure

corresponde a un
rol en un entorno
 Ciclo de Vida de la Identidad Digital

Registro/Creaci
n
Nuevos Empleados entran
en la Empresa
Propagaci
n

Cuentas &
Polticas

Revocaci Mantenimiento/Gest
n
Empleados dejan in
Cambios y
la Empresa Soporte a
Usuarios
El problema de las identidades

El problema: Islas de
Informacin
Cada Usuario tiene
multiples identidades
parciales, una en cada
entorno.
CONSECUENCIAS
Multiples puntos de
administracin.
Multiples
administradores
Inconsistencia de datos
Falta de una
vistaunificada de la
identidad
Oracle Identity Management
Auditoria de Acceso a datos

Art. 24 REGISTRO DE ACCESO, exige (nivel

alto):
1. Identificacin, Dia/hora, Fichero y resultado
2. Identificacin del registro accedido
3. Mecanismos no desactivables
4. Conservacin dos aos
5. Informe mensual de revisiones de control-
responsable Seguridad
Corresponde al dominio 10 ISO
 Qu es Audit Vault?

Herramienta de Seguridad enfocada a la

Auditoria de Accesos a Datos y uso de Privilegios
Se proporciona con el Ncleo de Base de Datos
10gR2
Dispone de un Intefaz Grfico para Administrar
las diferentes Polticas de Auditoria
Permite Auditar B.D. 9iR2 a 10GR2
Protege, Consolida, Detecta, Monitoriza, Alerta
 Para qu Sirve Audit Vault ?

Adaptacin a la LOPD o ISO 27001 de manera

no traumtica
Identifica Quin y Cundo ha accedido a Datos
Protegidos o Sensibles de la B.D.
Identifica Quin y Cundo ha realizado un uso
inadecuado de Privilegios en B.D.
Eficiente herramienta de Control y Seguimiento
Permite anlizar las trazas recopiladas mediante
una herramienta de Reporting.
Recopila Trazas de Mltiples orgenes
(SqlServer, DB2 ..)
Funcionalidades Audit Vault

Proteger, Consolidar, Detectar, Monitorizar, Administrar, Alertar y Report

Audit Audit Custom Proactive Audit Audit Data Audit Audit

Dashboard Reports Reports Detection Policy Admin Mining & Archival Collection
and Alerts Mgmt Analysis Mgmt

Microsoft
Other third
9i 10g 10g Application EBusiness PeopleSoft * Siebel * SQL
Party sources
Release 2 Release 1 Release 2 Server * Suite * Server *
*

V1 Administration
C SDK Java SDK
Audit Collectors
Custom Collectors
Audit Agent

Reporting y Alertas AV Admin

Auditor
Preguntas..
<Insert Picture Here>