1. Poltica de Seguridad
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10. Cumplimiento Legal
ISO/IEC 17799:2005 vs LOPD/RMS
Ayudas Tecnologicas:
Oracle Database Vault
Aplicacin
Controldeacceso
Segregacindefunciones
Caractersticas
Cumplimiento
Adecuacin marco normativo de seguridad corporativa Procedimiento de control de acceso; Funciones y obligaciones del personal
Adecuacin UNE 72501 e ISO/IEC 27002 A.11 Control de accesos; A.10.1.3 Segregacin de funciones
Art. 12.1 Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus
funciones. (Nivel bsico)
Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los prrafos anteriores estarn bajo el control directo del
responsable de seguridad competente sin que se deba permitir, en ningn caso, la desactivacin de los mismos. (Nivel alto)
Para que sirve Database Vault?
El administrador de la BD
ve los datos de RRHH
select*fromHR.emp
Eliminamos el riesgo de DBA
incumplimiento legal o robo
de datos
HR
HR
El administrador de RRHH HR DBA HR Realm
ve los datos de Financiero
Eliminamos el riesgo
derivado de la Fin
Fin
consolidacion de Fin Realm
FIN DBA
servidores
Oracle Database Vault
Rules & Multi-factor Authorization
El administrador de la BD altersystem.
intenta un alter system
remoto
DBA
Reglas basados en direccin
IP bloquean la accin
create
El administrador de RRHH realiza HR
HR
acciones no autorizadas en HR Realm
HR DBA 3pm Monday
produccin.
Reglas basadas en
fecha/hora bloquean la
accin
ISO 27002 Dominio 7
CONTROL DE ACCESO
Requisitos de la Organizacin para el control
de acceso
Administracin del acceso de usuarios
Responsabilidades de los usuarios
Control de acceso de la Red
Control de acceso al Sistema Operativo
Control de acceso de las Aplicaciones
Acceso y uso del Sistema de Monitoreo
Computadoras mviles y trabajo a distancia
El problema de la gestin
de identidades....
Qu es una identidad?
Una identidad es
Health Care
Government
Work
un conjunto de
Blood
Group Shopping
e
Tax
d
Insurance
Status Good-
n
Health
identidades
Conduct
o
Status
i
Income
t
Certificate MasterCard
Ges dades
Birthday Name
Age
Address Credit
Birthplace
parciales.
Rating Payment
Diners Club
i
Diary Foreign
t
Driving
Alice Languages
n
Licence
Ide
Cellphone
Phone Number Likes &
Cada identidad
Legend: Number Dislikes Travel
Interests
Identity Telecom-
of Alice Boyfriend
munication
Bob
parcial Partial
Identity
of Alice
Leisure
corresponde a un
rol en un entorno
Ciclo de Vida de la Identidad Digital
Registro/Creaci
n
Nuevos Empleados entran
en la Empresa
Propagaci
n
Cuentas &
Polticas
Revocaci Mantenimiento/Gest
n
Empleados dejan in
Cambios y
la Empresa Soporte a
Usuarios
El problema de las identidades
El problema: Islas de
Informacin
Cada Usuario tiene
multiples identidades
parciales, una en cada
entorno.
CONSECUENCIAS
Multiples puntos de
administracin.
Multiples
administradores
Inconsistencia de datos
Falta de una
vistaunificada de la
identidad
Oracle Identity Management
Auditoria de Acceso a datos
Microsoft
Other third
9i 10g 10g Application EBusiness PeopleSoft * Siebel * SQL
Party sources
Release 2 Release 1 Release 2 Server * Suite * Server *
*
V1 Administration
C SDK Java SDK
Audit Collectors
Custom Collectors
Audit Agent
Auditor
Preguntas..
<Insert Picture Here>