200 likes | 346 Views
Impacto del ENS: Propuesta Oracle. Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011. AGENDA. Introducción: Cumplimiento de Normativas Nueva Era de Riesgos. Esquema Nacional de Seguridad. Propuesta Oracle. Proliferación de normativas. a.
E N D
Impacto del ENS: Propuesta Oracle Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011
AGENDA • Introducción: Cumplimiento de Normativas • Nueva Era de Riesgos. • Esquema Nacional de Seguridad. • Propuesta Oracle.
Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.
Las areas de foco en Seguridad - 2010Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010
¿Cuál es la Fuente de las Fugas?: 2010 Data Breach Investigations Report
Mercado global de la seguridad Gasto estimado en 2009: 17.000 millones
Una paradoja • La seguridad de los datos esta identificada como la primera prioridad en el ámbito de la Seguridad IT • La primera fuente de fugas de información (92%) son los servidores de base de datos • Sólo un 3% del presupuesto invertido en securizar las bases de datos
Oracle User Group: encuesta 2010 • Solo el 28% cifra sin excepciones la información persona identificable en las Base de Datos • Solo el 15% cifra sin excepciones las copias de Seguridad y exportaciones de las Base de Datos • El 76% no tiene medios para evitar que un usuario privilegiado pueda leer información sensible de la Base de Datos. • Solo el 25% de las empresas usan herramientas para monitorizar la actividad de las Base de Datos • El 39% no saben cuanto tiempo les llevaría detectar y rectificar un cambio no autorizado de la Base de Datos.
¿En qué consiste el ENS? • Ámbito de aplicación: • Obligatorio para las Administraciones Públicas (Administración General del Estado, Autonómicas y Locales), • Aplicable a todos los sistemas de información relacionados con el ejercicio de derechos y cumplimiento de deberes por medios electrónicos y con el acceso por medios electrónicos de los ciudadanos. • Excluidos los sistemas que tratan información clasificada. • Alcance: limitado a establecer los principios básicos y requisitos mínimos para una protección adecuada de la información. • Publicada el 29 de enero de 2010 en el BOE (11 de marzo publicada una corrección de errores) • Obligatorio para los nuevos sistemas. Los sistemas existentes se adecuarán en el plazo de 12 meses (2011), desde la entrada en vigor del ENS. Si no fuera posible, deberán formalizar un plan de adecuación no superior a 48 meses (2014).
Principios Básicos del ENS • Seguridad Integral: “La debilidad de un sistema la determina su punto más frágil”. • Gestión de Riesgos: “Establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.” • Prevención, reacción y recuperación: “..las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan”. • Líneas de defensa: “Ganar tiempo….Reducir probabilidad…Minimizar el Impacto” • Reevaluación periódica. • Función diferenciada
ENS: Requisitos Mínimos • Organización e implantación del proceso de seguridad • Análisis y gestión de los riesgos • Gestión de personal • Profesionalidad • Autorización y control de los accesos • Protección de las instalaciones • Adquisición de productos • Seguridad por defecto • Integridad y actualización del sistema • Protección de la información almacenada y en tránsito • Prevención ante otros sistemas de información interconectados • Registro de actividad • Incidentes de seguridad • Continuidad de la actividad • Mejora continua del proceso de seguridad Todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados:
Auditoría Autorización Federación Autenticación ID Admin Role Mgmt Servicios de Directorio Access Management Identity Administration Directory Services La Seguridad como un Servicio Oracle Apps Aplicaciones 3os/Desarrollos Proveedores Servicios Cloud Servicios Web Declarative Security Services Almacén de Identidad, Credenciales, Políticas y Acceso al Dato. BBDD
IT Desarrollador Ap. Desarrollador Ap. • Define Políticas y Servicios • Construye la Aplicación Incorpora la Seguridad a la Aplicación usando OPSS Servicios de Identidad Servicio de Gestión Roles Servicios de Aprovisionamiento Servicios de Autenticación Servicios de Autorización Servicios de Auditoría BBDD Oracle WebLogic Suite-based Application Grid Agile Application Security with Service-Oriented Security Interfaz de AutoServicio Oracle Identity Management Policies Despliega la Aplicación Políticas de Autenticación & Autorización Autenticaciónn Portal • Autoservicio • SSO
ENS • Medidas de Seguridad: • Marco organizativo: Consultora Especializada • Marco operacional: • Medidas de protección: • Categorización de los sistemas: • Dimensiones: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad • Niveles: Bajo, Medio y Alto • Auditoría de la seguridad: • Con carácter ordinario: al menos cada dos años, para verificar el cumplimiento de los requerimientos. • Con carácter extraordinario: cuando se produzcan cambios sustanciales en el sistema de información. • El Comité Sectorial de Administración Electrónica evaluará periódicamente el estado de la seguridad en las AAPP. • El Régimen sancionador se espera en breve. + Consultora Especializada