310 likes | 618 Views
La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas. Blas Piñero Uribe, CISA Oracle Consulting. Estandares de seguridad IT. Gestión de la Seguridad IT: ISO 27001 .
E N D
La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas Blas Piñero Uribe, CISA Oracle Consulting
ISO27001 • Sistema de Gestión de la Seguridad de la Información (SGSI) • Adopta la metodologia PDCA,
En la actualidad • La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502: • 27000: Definiciones y términos (draft) • 27001: Implantación del SGSI (Certificable) evolución de BS-7799-2 y equivale a UNE 71502 • 27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas. • 27003: Guía de implementación (draft). • 27004: Indicadores y metricas (draft). • 27005: Gestión y evaluación de riesgos (draft).
ISO27001 • Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información • Tiene en cuenta requerimientos legales, de negocio y contractuales • Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI 4) Establece los criterios de evaluación del riesgo
ISO 27002 • Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información. • Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. • Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. • 36 objetivos de control y 127 controles.
Dominios ISO 27002 • Política de Seguridad • Organización de Seguridad • Clasificación y Control de Activos • Aspectos humanos de la seguridad • Seguridad Física y Ambiental • Gestión de Comunicaciones y Operaciones • Sistema de Control de Accesos • Desarrollo y Mantenimiento de Sistemas • Plan de Continuidad del Negocio • Cumplimiento Legal
Ayudas Tecnologicas:Oracle Database Vault Aplicación Control de acceso Segregación de funciones Características Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos) Restricción de comandos privilegidos ( DBA) basado en filtrado de dirección IP Protección de los datos frente a modificaciones no autorizadas (Integridad) Fuerte control de acceso sobre los datos corporativos Cumplimiento Adecuación marco normativo de seguridad corporativa –Procedimiento de control de acceso; Funciones y obligaciones del personal Adecuación UNE 72501 e ISO/IEC 27002 –A.11 Control de accesos; A.10.1.3 Segregación de funciones Adecuación LOPD –Control de acceso Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel básico) Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto)
¿Para que sirve Database Vault? • Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto • Permite implementar controles de visualización de los Datos de Aplicación por Usuario • Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD • Permite administrar los Objetos, aún cuando se limite el acceso a los datos. • Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas
El administrador de la BD ve los datos de RRHH • Eliminamos el riesgo de incumplimiento legal o robo de datos select * from HR.emp DBA HR HR Fin Fin • El administrador de RRHH ve los datos de Financiero HR DBA HR Realm • Eliminamos el riesgo derivado de la consolidacion de servidores FIN DBA Fin Realm Oracle Database Vault Realms
El administrador de la BD intenta un “alter system” remoto alter system……. DBA • Reglas basados en dirección IP bloquean la acción create … • El administrador de RRHH realiza acciones no autorizadas en producción. HR HR HR Realm 3pm Monday • Reglas basadas en fecha/hora bloquean la acción Oracle Database Vault Rules & Multi-factor Authorization HR DBA
ISO 27002 Dominio 7 • CONTROL DE ACCESO • Requisitos de la Organización para el control de acceso • Administración del acceso de usuarios • Responsabilidades de los usuarios • Control de acceso de la Red • Control de acceso al Sistema Operativo • Control de acceso de las Aplicaciones • Acceso y uso del Sistema de Monitoreo • Computadoras móviles y trabajo a distancia
¿Qué es una identidad? • Una identidad es un conjunto de identidades parciales. • Cada identidad parcial corresponde a un rol en un entorno Gestion de Identidades
Ciclo de Vida de la Identidad Digital Registro/Creación Nuevos Empleados entran en la Empresa Propagación Cuentas & Políticas Revocación Mantenimiento/Gestión Empleados dejan la Empresa Cambios y Soporte a Usuarios
El problema de las identidades El problema: Islas de Información • Cada Usuario tiene multiples identidades parciales, una en cada entorno. CONSECUENCIAS • Multiples puntos de administración. • Multiples administradores • Inconsistencia de datos • Falta de una “vista”unificada de la identidad
Auditoria de Acceso a datos • Art. 24 REGISTRO DE ACCESO, exige (nivel alto): • Identificación, Dia/hora, Fichero y resultado • Identificación del registro accedido • Mecanismos no desactivables • Conservación dos años • Informe mensual de revisiones de control- responsable Seguridad • Corresponde al dominio 10 ISO
¿ Qué es Audit Vault? • Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios • Se proporciona con el Núcleo de Base de Datos 10gR2 • Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria • Permite Auditar B.D. 9iR2 a 10GR2 • Protege, Consolida, Detecta, Monitoriza, Alerta
¿ Para qué Sirve Audit Vault ? • Adaptación a la LOPD o ISO 27001 de manera no traumática • Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D. • Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D. • Eficiente herramienta de Control y Seguimiento • Permite análizar las trazas recopiladas mediante una herramienta de Reporting. • Recopila Trazas de Múltiples orígenes (SqlServer, DB2 ..)
<Insert Picture Here> Preguntas…..