100 likes | 297 Views
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León. “Artículo 24.- Registro de accesos.”
E N D
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
“Artículo 24.- Registro de accesos.” “1.- De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.” ........... “3.- Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en ningún caso, la desactivación de los mismos..” “4.- El período mínimo de conservación de los datos registrados será de dos años. .... La aplicación del Artículo 24 sobre ficheros automatizados requiere una importante componente tecnológica, y la capa más cercana al dato, el motor de Base de Datos, puede tener un papel relevante.
¿qué nos dice el art. 24? • Debemos implementar un registro de auditoría sobre el acceso a los datos que no pueda ser desactivado ni eludido. • Debemos identificar unívocamente al usuario, incluidos los administradores. • Hay que elaborar informes de seguridad, con métricas, de forma periódica (art. 24.5). Otras artículos vinculados: • Artículo 10.- Registro de incidencias • Artículo 11.- Identificación y autenticación • Artículo 12.- Control de acceso • Artículo 14.- Copias de respaldo y recuperación.
Y un poco más allá ... • ... La auditoría de los datos nos debe ayudar a ... • garantizar el buen gobierno, • cumplir otras obligaciones internas o externas (ISO, Sox, ...) • mejorar la seguridad global, • reducir los costes, • ... Bucle Protección/Auditoría de Datos
Mejorar la seguridad global ... • ... optimizando costes. Evidenciando ... • La necesidad de mejorar la eficiencia operacional • Gestión del riesgo operativo • Aumentar la agilidad para responder a las necesidades de negocio • ...
Auditoría Básica (Identidad Unica) Separación de Funciones Consolidación Trazas Auditoría Auditoría Avanzada Tamaño Organización Gestión de identidades Coste/complejidad Aplicación del nuevo Reglamento ... ... debemos adaptar soluciones de acuerdo a las necesidades y capacidad de cada organización ...
El ejemplo de la JCYL • La Dirección General de Telecomunicaciones de la Consejería de Fomento arranca en 2004 una iniciativa para apoyar al resto de Consejerías en la adopción de una solución de Registro de Acceso a Datos aprovechando las nuevas capacidades de auditoría selectiva de la Base de Datos Oracle 9i. • Se opta por implantar una herramienta específica atendiendo a requerimientos técnicos, y a partir de ahí, definir un conjunto suficiente de prácticas y procedimientos tendentes al cumplimiento normativo de la LOPD, y aplicables al resto de Consejerías de la J.C. y L..
Resultados actuales • Se implantó la solución en una Consejería piloto, • Se creó un Marco Documental Metodológico de Referencia para el desarrollo de aplicaciones seguras desde el punto de vista LOPD que recoge los principales aspectos técnicos y funcionales: • Catálogo de buenas prácticas • Mecanismos de identificación de usuarios • Políticas de auditoría • Procedimientos de implantación • Aspectos técnicos y funcionales de la herramienta
Algunas lecciones aprendidas ... • Esponsorizar al máximo nivel posible: son proyectos que influyen y afectan a muchos ... • Empecemos por lo más sencillo, primero aprovechemos la funcionalidad de los productos existentes ... • Rompamos con ciertos tópicos: penalizaciones en el rendimiento, generación de grandes volúmenes de trazas, costes ocultos, ... • Finalmente, aprovechemos el marco de estos proyectos para definir la estrategia más adecuada a nuestra organización en materia de seguridad, hagamos controles periódicos y nuestro bucle (protección/auditoría) estará en marcha ...