la tecnología como facilitador del cumplimiento de los controles de un sgsi
DESCRIPTION
La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas. Blas Piñero Uribe, CISA Oracle Consulting. Estandares de seguridad IT. Gestión de la Seguridad IT: ISO 27001. - PowerPoint PPT PresentationTRANSCRIPT
La tecnología como La tecnología como facilitador del cumplimiento facilitador del cumplimiento
de los controles de un de los controles de un SGSI. SGSI.
Aproximación práctica de las Aproximación práctica de las soluciones que ofrecen las soluciones que ofrecen las herramientas tecnológicasherramientas tecnológicas
Blas Piñero Uribe, CISABlas Piñero Uribe, CISAOracle ConsultingOracle Consulting
ISO17799
Communicationsand
OperationsManagement
OrganizationalSecurity
Security Policy
AssetClassification
andControl
BusinessContinuity
Management
Access Control
Physicaland
EnvironmentalSecurity
PersonnelSecurity
SystemsDevelopment
andMaintenance
Compliance
COBiT
Monitorand
Support
Acquireand
Implement
Planand
Organize
Defineand
Support
COSO
Monitoring
InternalEnvironment
RiskAssessment
ControlActivities
Informationand
Communications
ITIL
ICT InfrastructureManagement
ServiceDelivery /Support
BusinessPerspective
Planning toImplement
ServiceManagement
ApplicationManagement
SecurityManagement
ObjectiveSetting
RiskResponse
EventIdentification
Estandares de seguridad IT
Gestión de la Seguridad IT: ISO 27001
La evolución de los estándares
ISO27001
• Sistema de Gestión de la Seguridad de la Información (SGSI)
• Adopta la metodologia PDCA,
PDCA Model
En la actualidad
• La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502:– 27000: Definiciones y términos (draft)– 27001: Implantación del SGSI (Certificable)
evolución de BS-7799-2 y equivale a UNE 71502
– 27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas.
– 27003: Guía de implementación (draft).– 27004: Indicadores y metricas (draft).– 27005: Gestión y evaluación de riesgos
(draft).
ISO27001
1) Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información
2) Tiene en cuenta requerimientos legales, de negocio y contractuales
3) Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI
4) Establece los criterios de evaluación del riesgo
ISO 27002
• Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información.
• Establece la base común para desarrollar normas de seguridad dentro de las organizaciones.
• Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.
• 36 objetivos de control y 127 controles.
Dominios ISO 27002
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento Legal
ISO/IEC 17799:2005 vs LOPD/RMS
Adecuación LOPD – Control de acceso
Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel básico)Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto)
Características
Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos)
Restricción de comandos privilegidos ( DBA) basado en filtrado de dirección IP
Protección de los datos frente a modificaciones no autorizadas (Integridad)
Fuerte control de acceso sobre los datos corporativos
Cumplimiento
Aplicación
Control de acceso Segregación de funciones
Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personalAdecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones
Ayudas Tecnologicas:Oracle Database Vault
¿Para que sirve Database Vault?
• Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto
• Permite implementar controles de visualización de los Datos de Aplicación por Usuario
• Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD
• Permite administrar los Objetos, aún cuando se limite el acceso a los datos.
• Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas
Oracle Database Vault Realms
DBA
HR DBA HR
HR Realm
HR
• El administrador de la BD ve los datos de RRHH
select * from HR.empEliminamos el riesgo de incumplimiento legal o robo de datos
Fin
FIN DBA
• El administrador de RRHH ve los datos de Financiero
Eliminamos el riesgo derivado de la consolidacion de servidores
Fin Realm
Fin
Oracle Database Vault Rules & Multi-factor Authorization
DBA
HR DBA
HR
• El administrador de la BD intenta un “alter system” remoto
alter system…….
Reglas basados en dirección IP bloquean la acción
create …• El administrador de RRHH realiza acciones no autorizadas en producción.
3pm Monday
Reglas basadas en fecha/hora bloquean la acción
HR Realm
HR
ISO 27002 Dominio 7
• CONTROL DE ACCESO– Requisitos de la Organización para el control
de acceso– Administración del acceso de usuarios– Responsabilidades de los usuarios– Control de acceso de la Red– Control de acceso al Sistema Operativo– Control de acceso de las Aplicaciones– Acceso y uso del Sistema de Monitoreo– Computadoras móviles y trabajo a distancia
El problema de la gestión de identidades....
MasterCard
Diners Club
Government
Alice
Telecom-munication
Leisure
BoyfriendBob
Travel
Shopping
Work
Payment
Health Care
HealthStatus
CreditRating
Interests
Age
DrivingLicence
TaxStatus
NameBirthday
Birthplace
Good-Conduct
Certificate
Insurance
PhoneNumber
BloodGroup
ForeignLanguages
Income
Diary
Address
CellphoneNumber Likes &
DislikesLegend:
Identityof Alice
PartialIdentityof Alice
Gestion de
Identidades
¿Qué es una identidad?
• Una identidad es un conjunto de identidades parciales.
• Cada identidad parcial corresponde a un rol en un entorno
Nuevos Empleados entran en la Empresa
Cambios y Soporte a Usuarios
Empleados dejanla Empresa
Cuentas & Políticas
Registro/Creación
Propagación
Mantenimiento/Gestión
Revocación
Ciclo de Vida de la Identidad Digital
El problema de las identidades
El problema: Islas de Información
• Cada Usuario tiene multiples identidades parciales, una en cada entorno.
CONSECUENCIAS• Multiples puntos de
administración.• Multiples
administradores• Inconsistencia de datos• Falta de una
“vista”unificada de la identidad
Oracle Identity Management
Auditoria de Acceso a datos
• Art. 24REGISTRO DE ACCESO, exige (nivel
alto):1. Identificación, Dia/hora, Fichero y resultado
2. Identificación del registro accedido
3. Mecanismos no desactivables
4. Conservación dos años
5. Informe mensual de revisiones de control- responsable Seguridad
• Corresponde al dominio 10 ISO
¿ Qué es Audit Vault?
• Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios
• Se proporciona con el Núcleo de Base de Datos 10gR2
• Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria
• Permite Auditar B.D. 9iR2 a 10GR2
• Protege, Consolida, Detecta, Monitoriza, Alerta
¿ Para qué Sirve Audit Vault ?
• Adaptación a la LOPD o ISO 27001 de manera no traumática
• Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D.
• Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D.
• Eficiente herramienta de Control y Seguimiento• Permite análizar las trazas recopiladas mediante
una herramienta de Reporting.• Recopila Trazas de Múltiples orígenes
(SqlServer, DB2 ..)
Funcionalidades Audit Vault
MicrosoftSQL
Server *10g
Release 1
Other thirdParty sources
*
9i Release 2
EBusinessSuite *
ApplicationServer *
Siebel *PeopleSoft *10g Release 2
Proteger, Consolidar, Detectar, Monitorizar, Administrar, Alertar y Report
Audit Archival
Mgmt
ProactiveDetectionand Alerts
Audit Reports
Audit Dashboard
Audit Admin
Audit Collection
Audit PolicyMgmt
Data Mining &Analysis
Custom Reports
V1 Java SDK
Audit CollectorsCustom Collectors
C SDK
Audit Agent
Administration
AV AdminReporting y Alertas
Auditor
MicrosoftSQL
Server *
MicrosoftSQL
Server *10g
Release 110g
Release 1
Other thirdParty sources
*
Other thirdParty sources
*
9i Release 2
9i Release 2
EBusinessSuite *
EBusinessSuite *
ApplicationServer *
ApplicationServer *
Siebel *Siebel *PeopleSoft *PeopleSoft *10g Release 2
10g Release 2
Proteger, Consolidar, Detectar, Monitorizar, Administrar, Alertar y Report
Audit Archival
Mgmt
ProactiveDetectionand Alerts
Audit Reports
Audit Dashboard
Audit Admin
Audit Collection
Audit PolicyMgmt
Data Mining &Analysis
Custom Reports
V1 Java SDK
Audit CollectorsCustom Collectors
C SDK
Audit Agent
Java SDK
Audit CollectorsCustom Collectors
C SDK
Audit Agent
Administration
AV AdminReporting y Alertas
Auditor
Reporting y Alertas
Auditor
<Insert Picture Here>
Preguntas…..