Mejoras de auditoría (DBMS_AUDIT_MGMT) en Oracle Database 11g Release 2

Oracle, para la release 11g R1 activó la auditoría por defecto por primera vez. Oracle 11g Release 2 ahora permite una mejor administración de la pista de auditoría utilizando el paquete DBMS_AUDIT_MGMT.

Mover la pista de auditoría de base de datos a un espacio de tabla diferente

El procedimiento SET_AUDIT_TRAIL_LOCATION te permite modificar la ubicación de la pista de auditoría de base de datos (normal / detallada). Aunque no permite la alteración de la pista de auditoría del sistema operativo,  la documentación sugiere que esto puede suceder en el futuro. 
Este procedimiento acepta dos parámetros.

• AUDIT_TRAIL_TYPE: tipo de pista de auditoría que se va a mover.
• AUDIT_TRAIL_LOCATION_VALUE: el espacio de tabla al que deben moverse las tablas de seguimiento de auditoría.

El parámetro AUDIT_TRAIL_TYPE se especifica utilizando una de estas constantes.

• DBMS_AUDIT_MGMT.AUDIT_TRAIL_AUD_STD: pista de auditoría estándar (AUD $).
• DBMS_AUDIT_MGMT.AUDIT_TRAIL_FGA_STD: pista de auditoría detallada (FGA_LOG $).
• DBMS_AUDIT_MGMT.AUDIT_TRAIL_DB_STD: pistas de auditoría estándar y de grano fino.

Primero vemos la ubicación actual de las tablas de seguimiento de auditoría.

A continuación, creamos un nuevo tablespace para contener el seguimiento de auditoría.

Luego movemos la pista de auditoría estándar al nuevo espacio de tabla.

A continuación, movemos la pista de auditoría detallada.

Controlar el tamaño y la antigüedad de la pista de auditoría del sistema operativo

El procedimiento SET_AUDIT_TRAIL_PROPERTY le permite establecer el tamaño máximo y / o la edad de los archivos del registro de auditoría del sistema operativo. El procedimiento puede establecer parámetros para varios propósitos, pero restringiré la discusión solo a aquellos relevantes para esta sección. Se puede encontrar una lista completa de las constantes disponibles aquí.

El procedimiento acepta tres parámetros.

• AUDIT_TRAIL_TYPE: el tipo de pista de auditoría a modificar (AUDIT_TRAIL_OS, AUDIT_TRAIL_XML o AUDIT_TRAIL_FILES).
• AUDIT_TRAIL_PROPERTY: el nombre de la propiedad que se establecerá (OS_FILE_MAX_SIZE o OS_FILE_MAX_AGE).
• AUDIT_TRAIL_PROPERTY_VALUE: el valor requerido para la propiedad.

Para verificar la configuración actual, consulte la vista DBA_AUDIT_MGMT_CONFIG_PARAMS.

Para estableder  el tamaño máximo de los archivos de auditoría del sistema operativo en 15,000 Kb, ejecuta el siguiente script:

Para establecer la edad máxima de los archivos de auditoría XML en 30 días, ejecuta el siguiente script.

El procedimiento CLEAR_AUDIT_TRAIL_PROPERTY se puede utilizar para eliminar las restricciones de tamaño y edad o restablecerlas a los valores predeterminados. Establecer el valor del parámetro USE_DEFAULT_VALUES en FALSE elimina las restricciones, mientras que establecerlo en TRUE devuelve la restricción al valor predeterminado.

Purga de registros de seguimiento de auditoría

Al igual que en versiones anteriores, puede eliminar manualmente registros de las tablas AUD $ y FGA_LOG $ y eliminar manualmente los archivos de auditoría del sistema de archivos, pero el paquete DBMS_AUDIT_MGMT le brinda algunos mecanismos nuevos y más seguros para mantener la pista de auditoría.

Inicializando la infraestructura de gestión

Para poder purgar la pista de auditoría de la base de datos, se debe realizar una inicialización única de la infraestructura de administración de auditoría. Esto se hace usando el procedimiento INIT_CLEANUP. El procedimiento acepta dos parámetros.

• AUDIT_TRAIL_TYPE: la pista de auditoría a inicializar (constantes).
• DEFAULT_CLEANUP_INTERVAL: El intervalo predeterminado en horas, después del cual el procedimiento de limpieza se debe volver a llamar (1-999).

El siguiente script SQL verifica la configuración de parámetros actual, inicializa la infraestructura de administración de auditoría para todas las pistas de auditoría con un intervalo predeterminado de 12 horas y vuelve a verificar la configuración.

Observa que el 'DB AUDIT TABLESPACE' para las pistas de auditoría de la base de datos no ha cambiado y que se ha establecido el 'INTERVALO DE LIMPIEZA POR DEFECTO' para las cuatro pistas de auditoría. El estado de inicialización actual de una pista de auditoría específica se puede verificar utilizando IS_CLEANUP_INITIALIZED.

Para desconfigurar la infraestructura de gestión de auditoría, ejecute el procedimiento DEINIT_CLEANUP.

Gestión de marca de tiempo

Lo siguiente a considerar antes de purgar la pista de auditoría es la cantidad de datos que desea depurar. El paquete DBMS_AUDIT_MGMT nos permite purgar todos los registros, o todos los registros anteriores a una marca de tiempo específica. La marca de tiempo en cuestión se especifica individualmente para cada pista de auditoría utilizando el procedimiento SET_LAST_ARCHIVE_TIMESTAMP, que acepta tres parámetros.

• AUDIT_TRAIL_TYPE: el seguimiento de auditoría cuya marca de tiempo debe establecerse (constantes). Solo son válidos los registros de auditoría individuales, no las constantes que especifican los múltiplos.
• LAST_ARCHIVE_TIME: se borrarán los registros o archivos anteriores a esta hora.
• RAC_INSTANCE_NUMBER: opcionalmente especifique el nodo RAC para las pistas de auditoría del sistema operativo. Si no está configurado, asume la instancia actual.

Purga manual

El procedimiento CLEAN_AUDIT_TRAIL es el mecanismo básico para purgar manualmente el seguimiento de auditoría. Acepta dos parámetros.

• AUDIT_TRAIL_TYPE: la pista de auditoría a purgar (constantes).
• USE_LAST_ARCH_TIMESTAMP: establézcalo en FALSE para purgar todos los registros / archivos, o TRUE solo purgue los registros / archivos anteriores a la marca de tiempo especificada para la pista de auditoría.

Purga automatizada

El procedimiento CREATE_PURGE_JOB le permite programar un trabajo para llamar al procedimiento CLEAN_AUDIT_TRAIL. Al crear un trabajo de purga, puede especificar 4 parámetros.

• AUDIT_TRAIL_TYPE: la pista de auditoría a purgar por el trabajo programado (constantes).
• AUDIT_TRAIL_PURGE_INTERVAL: intervalo en horas entre purgas.
• AUDIT_TRAIL_PURGE_NAME: un nombre para el trabajo de depuración.
• USE_LAST_ARCH_TIMESTAMP: establézcalo en FALSE para purgar todos los registros / archivos, o TRUE solo purgue los registros / archivos anteriores a la marca de tiempo especificada para la pista de auditoría.

.

Oracle Database Security Assessment Tool

 

Con el creciente número de infracciones de datos cada día, salvaguardar la propiedad intelectual, la información sensible y los datos regulados se ha vuelto crítico. La herramienta de evaluación de seguridad de la base de datos Oracle (DBSAT) ayuda a identificar áreas de riesgo y recomienda cambios y controles que se deben implementar para mitigar esos riesgos. La herramienta de evaluación de seguridad de la base de datos Oracle recopila automáticamente los datos de configuración de una base de datos y luego informa los hallazgos.

Oracle ha proporcionado una nueva herramienta para evaluar la configuración de seguridad y asesor ar sobre ella. Es una utilidad liviana y lo más importante es que es gratis (¡Pero si es Oracle!, pobre Larry adiós a su nuevo barco  ). Siempre que tengamos el soporte activo de Oracle, deberíamos poder descargar la utilidad (¡no tan gratis!). 

Para los S.O. del lado oscuro (Microsoft)  no es tan útil

Para la primera versión, es muy prometedor, aunque los hallazgos para los sistemas operativos de Windows son limitados. Para Windows, no se ve las configuraciones del sistema operativo.

Necesitamos crear un usuario.

Primero, un usuario necesita ser creado con privilegios minimalistas. La documentación tiene el script de muestra que podría aprovisionarse.

create user dbsat_user identified by xxxxx;
//Si has instalado Database Vault y está habilitada, conéctate como DV_ACCTMGR para ejecutar este comando.
grant create session to dbsat_user;
grant select_catalog_role to dbsat_user;
grant select on sys.registry$history to dbsat_user;
grant select on sys.dba_users_with_defpwd to dbsat_user; // 11g and 12c
grant select on audsys.aud$unified to dbsat_user; // 12c only
grant audit_viewer to dbsat_user; // 12c
grant capture_admin to dbsat_user;// 12c covers sys.dba_priv_captures, sys.priv_capture$, sys.capture_run_log$
// Si has instalado Database Vault y está habilitada, conéctate como DV_OWNER para ejecutar este comando.
grant DV_SECANALYST to dbsat_user;

Recuperar información.

Necesitamos "recopilar" la configuración ejecutando los comandos a continuación. Como de costumbre, esto se ejecutará "como administrador". En el caso del proceso, le pedirá la contraseña. Asegúrese de que esté segura ya que el archivo tiene información muy importante.

D:\dbsat_output>set path=%path%;d:\dbsat

D:\dbsat_output>dbsat collect dbsat_user/xxxxxxxxxx dbsat_output20171024

Connecting to the target Oracle database...

SQL*Plus: Release 12.1.0.2.0 Production on Tue Oct 24 13:01:05 2017

Copyright (c) 1982, 2014, Oracle.  All rights reserved.

Connected to:

Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production

With the Partitioning, Oracle Label Security, OLAP, Advanced Analytics and Real Application Testing options

Database Security Assessment Tool version 1.0.2 (October 2016)

Setup complete.

SQL queries complete.

OS Commands Skipped.

BEGIN

*

ERROR at line 1:

ORA-20002: Complete without OS Commands.

ORA-06512: at line 4

Disconnected from Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production

With the Partitioning, Oracle Label Security, OLAP, Advanced Analytics and Real Application Testing options DBSAT Collector completed successfully.

Calling D:\app\oracle\product\12.1.0\dbhome_1\bin\zip.exe to encryptdbsat_output20171024.json...

Enter password:

Verify password:

adding: dbsat_output20171024.json (164 bytes security) (deflated 88%) zip completed successfully.

D:\dbsat_output>dir

Volume in drive D is New Volume

Volume Serial Number is 32D6-96CB

Directory of D:\dbsat_output

10/24/2017  01:01 PM  

10/24/2017  01:01 PM  

 ..

10/24/2017  01:01 PM            29,227 dbsat_output20171024.zip

               1 File(s)         29,227 bytes

               2 Dir(s)  223,632,429,056 bytes free

Mostrar los informes

Necesitamos generar un informe basado en el archivo, generado a partir del último paso. Al completar este paso, tendremos tres archivos (archivo de texto, excel, html) que enumeran las recomendaciones. Asegúrese de proteger este archivo, ya que la exposición al mundo exterior causaría riesgos de seguridad que nuestra base de datos tiene ahora.


Esta herramienta está destinada a ayudarnos a identificar posibles vulnerabilidades en nuestros sistemas, pero usted es el único responsable de su sistema y del efecto y los resultados de la ejecución de esta herramienta.


(Incluyendo, sin limitación, cualquier daño o pérdida de datos). Además, la salida generada por esta herramienta puede incluir información de configuración del sistema potencialmente sensible e información que podría ser utilizada por un atacante experto para penetrar en su sistema. Somos los  únicos responsables de garantizar que el resultado de esta herramienta, incluidos los informes generados, se maneje de acuerdo con las políticas de nuestra organización.

Archive:  dbsat_output20171024.zip

[dbsat_output20171024.zip] dbsat_output20171024.json password:

password incorrect--reenter:

password incorrect--reenter:

  inflating: dbsat_output20171024.json

Database Security Assessment Tool version 1.0.2 (October 2016)

DBSAT Reporter ran successfully.

Además, para generar el informe, necesitaría instalar Python en su máquina. Mi preferencia es usar el html ya que tiene enlaces a las secciones individuales. Los infores tienen esta apariencia:

Oracle y Principales Regulaciones de datos en España (Parte 2)

En nuestra primera parte hablamos de las regulaciones ENS y LOPD y como abordarlas usando los productos de Oracle. Veamos ahora otras regulaciones y como Oracle nos puede ayudar.

Esquema Nacional de Interoperabilidad (España)

Considerando que las recientes leyes 39/2015 (Procedimiento Administrativo Común de las Administraciones Públicas), del 2 de octubre pasado y 40/2015 (Régimen Jurídico del sector Público) consagran definitivamente el uso de los medios electrónicos en las relaciones entre los ciudadanos y sus Administraciones Públicas, y de estas entre sí, varias entidades públicas vienen exigiendo que las soluciones y servicios prestados por terceros sean evidenciadas a través de una auditoría independiente.

General Data Protection Regulation (Europa)

Con toda la actividad en torno al nuevo Reglamento General de Protección de Datos (GDPR) de la Unión Europea, algunas organizaciones se esfuerzan por comprender el impacto que tendrá, incluidas, entre otras, las siguientes:

• Multas potenciales hasta el 4% de la facturación anual de ingresos y costos legales y recursos.
• Revisión y modificación de procesos, aplicaciones y sistemas de la organización.
• Nuevos y más estrictos requisitos de privacidad y seguridad que deben abordarse.

Abordar el cumplimiento de la GDPR requiere una estrategia coordinada que involucre a diferentes entidades de la organización, incluidas las legales, los recursos humanos, el marketing, la seguridad, la informática y otros. El tema puede involucrar información recopilada de varias entidades (clientes y empleados), así como también comunicaciones coordinadas y tecnología utilizada.

Por lo tanto, las organizaciones deben tener una estrategia y un plan de acción claros para abordar los requisitos del GDPR con miras a la fecha de vencimiento del 25 de mayo de 2018.

Aprovechando nuestra experiencia acumulada a lo largo de los años y nuestras capacidades tecnológicas, Oracle se compromete a ayudar a los clientes a implementar una estrategia diseñada para abordar el cumplimiento de la seguridad GDPR. Este artículo explica cómo se pueden utilizar las soluciones de Oracle Security para ayudar a implementar un marco de seguridad que se dirija a GDPR.

Definir una estrategia de seguridad para enfrentar amenazas, reducir el riesgo y mantener el cumplimiento continuo

Es importante tener una estrategia global que se adapte fácilmente a este panorama regulatorio en constante cambio.

El hecho de que existan más y más regulaciones de seguridad se puede explicar, en parte, por el aumento en las brechas de datos y los incidentes de seguridad cibernética. Ya sea que impliquen espionaje, crimen organizado o delitos relacionados con información privilegiada, los cibercriminales están obteniendo beneficios ilícitos de los mal diseñados sistemas de tecnología de la información. Esto finalmente pone en peligro el libre flujo de información, que es una de las claves para una economía y una sociedad prósperas.

GDPR promueve el uso de mejores prácticas y conceptos de seguridad bien establecidos. GDPR requiere "controladores" (como un cliente contratando servicios) y "procesadores" (como proveedores de servicios en la nube) para adoptar medidas de seguridad adecuadas diseñadas para garantizar un nivel de seguridad apropiado al nivel de riesgo que pueda afectar los derechos y libertades de los individuos cuyos datos está siendo recopilados y utilizados por el controlador ("sujetos de datos"). La ley entonces insiste en el análisis de riesgos y la implementación de medidas de seguridad (también conocidas como controles de seguridad) para abordar esos riesgos.

En general, GDPR aborda los principios clave:

• Seguridad
• Confidencialidad
• Integridad
• Disponibilidad de sistemas y datos. 

Oracle tiene una larga historia y un historial comprobado de seguridad de datos y sistemas. La seguridad de Oracle incluye un conjunto completo de soluciones híbridas en la nube, desde el chip hasta las aplicaciones, que ayudan a prevenir, detectar, responder y predecir amenazas de seguridad; también puede ayudar a abordar regulaciones como el GDPR.

Los beneficios de implementar estratégicamente la tecnología correcta, con controles de seguridad efectivos, pueden ayudar:

• Tratar los requisitos reglamentarios
• Reducir el riesgo (ya sea impulsado por el cumplimiento normativo u otras necesidades)
• Mejorar la ventaja competitiva al permitir una mayor flexibilidad y un tiempo de comercialización más rápido
• Habilitar transformaciones digitales.

En última instancia, la implementación de una seguridad efectiva ofrecerá a las organizaciones la oportunidad de mejorar su seguridad de TI y su organización de seguridad de TI.

Artículos clave que afectan la seguridad de TI

Con 99 artículos y 173 considerandos, GDPR incluye algunos requisitos clave que afectan directamente la forma en que las organizaciones implementan la seguridad de TI.

La protección de las personas cuyos datos personales se recopilan y procesan es un derecho fundamental que necesariamente incorpora la seguridad de TI. En la sociedad moderna, los sistemas de TI son omnipresentes y los requisitos de GDPR requieren una buena seguridad de TI.

En particular, para proteger los datos personales, es necesario, lo siguiente:

• Sepa dónde residen los datos (inventario de datos)
• Revise y, cuando sea necesario, modifique las aplicaciones existentes (modificación de la aplicación)
• Integrar la seguridad en la arquitectura de TI (integración de arquitectura)
• Comprender la exposición al riesgo (conciencia del riesgo)

En la siguiente tabla destaca los artículos de GDPR más relevantes que hablan sobre seguridad de TI:

Categoría Seguridad	Referencia a artículo del la GDPR
Conciencia del riesgo	Art. 35 Evaluación de impacto de la protección de datos Solicitud
Inventario de datos	Art. 30 Registros de procesamiento
Modificación de la aplicación	Art. 15 Derecho de acceso del interesado Art. 16 Derecho a la rectificación Art. 17 Derecho a borrado ('derecho al olvido') Art. 18 Derecho a la restricción del procesamiento Art. 19 Obligación de notificación con respecto a la rectificación o borrado de datos personales o restricción del procesamiento Art. 20 Derecho a la portabilidad de datos
Arquitectura de integración	Art. 5  Principios relacionados con el procesamiento de datos personales Art. 24 Responsabilidad del controlador Art. 25 Protección de datos por diseño y por defecto Art. 28 Procesador Art. 32 Seguridad del procesamiento Art. 34 Comunicación de una violación de datos personales al sujeto de los datos

La creación y mantenimiento de un inventario de datos es un requisito en virtud del artículo 30 (registros de procesamiento) del GDPR, y más generalmente, también el punto de partida de cualquier actividad relacionada con la recopilación y el manejo de datos personales.

La mitigación de riesgos es una parte importante de la buena seguridad de TI. Las organizaciones deben mitigar los riesgos que pueden conducir a una violación de datos personales y deben considerar ejecutar una evaluación de seguridad y riesgo. 

Para ciertos derechos del sujeto de los datos (artículos 15 a 20), es posible que deba implementar cambios que habiliten estos derechos (por ejemplo, "derecho al olvido"). Debido a que los cambios se implementan dentro de aplicaciones específicas que pueden contener información de los sujetos de datos, es necesario conocer el modelo de datos específico y la lógica de negocios para ejecutar la función solicitada.

Se pueden implementar medidas adicionales dentro de la arquitectura. Por ejemplo, este es el caso del cifrado de red o cifrado base de datos. Las medidas que es posible implementar en la arquitectura son normalmente más sencillas y menos costosas que las modificaciones de la aplicación, y en general son más sólidas porque no están limitadas por la necesidad de conocer los modelos de datos de la aplicación y la lógica empresarial. En las multinacionales (si, las que estamos pensando todos), donde a menudo ocurre una "profunda" estratificación del sistema de TI y falta de conocimiento de la aplicación, este puede ser un enfoque más fácil para ayudar a proteger los datos personales.

Oracle Security Solutions y GDPR

El siguiente diagrama proporciona una representación de alto nivel del marco de soluciones de seguridad de Oracle, que incluye una amplia gama de productos y servicios en la nube.

Descubrimiento. Productos locales y servicios en la nube que pueden ayudar a descubrir datos personales y flujos de datos de mapas. Esta la tecnología incluye la disciplina del gobierno de datos y proporciona capacidades tales como el linaje de datos, el activo

inventario y descubrimiento de datos.

Enriquecimiento. El enriquecimiento incluye modificaciones de la aplicación que pueden ser necesarias para cumplir con los derechos de los datos

sujeto (Art. 15-20). Además, puede ser necesario consolidar los datos del cliente para obtener una vista única de los datos sujetos en toda la organización.

Fundamento. El conjunto completo de tecnologías operacionales maduras que forman parte del ADN de Oracle para habilitar buena seguridad de TI con énfasis en la disponibilidad y el rendimiento de los servicios. Esto incluye la nube híbrida soluciones desde arquitectura de máxima disponibilidad y sistemas diseñados hasta sistemas operativos y procesadores. Estas soluciones pueden ayudar a abordar la "disponibilidad y resistencia de los sistemas y servicios de procesamiento; y la capacidad de

restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en el caso de una falla física o técnica incidente "(Art. 32).

Realización. Las tecnologías en la nube híbrida de Oracle que imponen políticas de seguridad y controles que protegen a las personas, software y sistemas. Esto abarca productos y servicios que brindan información predictiva, preventiva, detectivesca y controles de seguridad receptivos a través de la seguridad de la base de datos, gestión de identidad y acceso, monitoreo, administración, y análisis de comportamiento del usuario.

Soluciones de seguridad (aplicación)

Los controladores y procesadores de datos deben implementar medidas de seguridad adecuadas diseñadas para garantizar que el nivel de seguridad sea apropiado para los riesgos asociados con los datos que se procesan, como se describe en el artículo 32 GDPR ("seguridad del procesamiento").

El artículo 32 hace referencia a la seudonimización y al cifrado como ejemplos de posibles medidas de seguridad apropiadas. El GDPR finalmente deja la decisión y la responsabilidad a las organizaciones responsables de implementar un marco de seguridad para elegir las medidas apropiadas que garanticen la confidencialidad, la integridad, la disponibilidad y la capacidad de recuperación de datos y sistemas. Una idea errónea común, a menudo dispersada por los proveedores de seguridad, es que el GDPR enumera las tecnologías específicas que se aplicarán. En realidad, el GDPR responsabiliza al controlador y al controlador y requiere que consideren los riesgos asociados con los datos que manejan y adopten los controles de seguridad adecuados para mitigar estos riesgos. Las organizaciones no necesariamente abordan incluso los controles de seguridad más básicos que incluyen, por ejemplo:

• Cifrar datos confidenciales en reposo y en tránsito
• Sistemas de parches dentro de un marco de tiempo razonable
• Recoge los registros del sistema para encontrar actividad anómala
• Mantener el "privilegio mínimo" o "separación de deberes" para cuentas privilegiadas
• Controlar el acceso a, o la distribución de, credenciales de usuario de producción
• Máscaras de datos de producción que se copian en entornos de desarrollo

La sección de aplicación del marco de soluciones de Oracle incluye cuatro grupos que abarcan medidas de seguridad básicas que las organizaciones deberían considerar implementar.

Protege los datos. La implementación del cifrado para datos en reposo y en movimiento es uno de los primeros pasos más comunes para la protección de datos, ya que es relativamente simple y eficaz. La encriptación a menudo se implementa porque está diseñada para evitar el acceso no autorizado, es transparente para las aplicaciones y los usuarios, proporciona un fuerte control preventivo y las soluciones modernas suelen experimentar un impacto de bajo rendimiento. Las tecnologías adicionales de protección de datos incluyen la gestión de claves de cifrado, la redacción de datos de capa de aplicación y el enmascaramiento de datos de producción sensibles para su uso en entornos no productivos con fines de prueba y desarrollo.

Controles de acceso. El cifrado de datos sin controles de seguridad que determinan quién tiene acceso autorizado no tiene sentido. Por lo tanto, es necesario implementar tecnología de acceso y gestión de identidades tanto para los usuarios de la aplicación como para el personal de TI, incluidos los administradores del sistema.

Monitorear, bloquear y auditar. Con las amenazas de seguridad innovadoras de hoy en día, es fundamental implementar una supervisión inteligente y automatizada de incidentes de seguridad y rendimiento. Los componentes y aplicaciones de software producen registros y pistas de auditoría. Para mitigar las infracciones de datos, es fundamental recopilar y analizar feeds y registros de amenazas internas y externas para detectar y mitigar las amenazas.

Configuraciones seguras. Para una seguridad de seguridad adecuada, el software debe actualizarse, configurarse correctamente y parchearse regularmente. La gestión de configuración segura se requiere cada vez más como parte de las mejores prácticas internacionales porque los ciberdelincuentes a menudo aprovechan las vulnerabilidades del software no parcheado para robar datos confidenciales

.

Estos cuatro requisitos de seguridad forman parte de muchos requisitos normativos globales y de las mejores prácticas de seguridad conocidas:

• ISO 27000
• NIST 800-53
• PCI-DSS 3.2
• OWASP 

Productos de seguridad de Oracle que pueden ayudar a la dirección GDPR

Oracle ofrece productos de seguridad en las instalaciones y en la nube para entornos de nube híbrida que están diseñados para ayudar a proteger los datos, administrar las identidades de los usuarios y supervisar y auditar los entornos de TI. La siguiente tabla proporciona una descripción breve del producto organizada por el tipo de medida de seguridad. Cada producto ofrece más funcionalidades que las descritas, por lo que debe consultar con su representante de ventas de Oracle para obtener más detalles.

Oracle y Principales Regulaciones de datos en España (Parte I)

Ley Orgánica de Protección de Datos (España)

Tiene por objeto garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. (Art. 1 LOPD).
Existen leyes similares en otros países, a los que se pueden aplicar estas políticas:

• México: LFPDPPP
• Colombia: Ley estatutaria 1581

Esquema Nacional de Seguridad (España)

Su finalidad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.

Los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales,sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.

Nivel básico

Artículo 91. Control de acceso. (Nivel básico)

• Los usuarios tendrán acceso únicamente a aquellos recursos que necesiten para el desarrollo de sus funciones.
• El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

Artículo 93. Identificación y autenticación. (Nivel básico)

• …adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
• …establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
• …establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas…

Artículo 94. Copias de respaldo y recuperación. (Nivel básico)

• Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros reales no se realizará con datos reales, …

Nivel Alto

Artículo 101. Gestión y distribución de soportes. (Nivel alto)

• La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos…

Artículo 103. Registro de accesos (Nivel alto)

• De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
• En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Artículo 104. Telecomunicaciones. (Nivel alto)

•  …la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datoso utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Ley Orgánica de Protección de Datos

Requerimientos vs Oracle

Esquema Nacional de Seguridad

Requerimientos vs Oracle

Securización de BBDD Remotas

Principales problemáticas de seguridad en las Sedes Remotas

• Acceso a dispositivos físicos
• Evitar posibles robos de información
• Acceso a los datos
• Evitar fugas/robos
• Segregar funciones de los Usuarios Privilegiados
• Registro y control
• Todo lo que pasan en las BBDD quedará registrado
• Cumplimiento LOPD-ENS
• Escenarios similares a los productivos

Soluciones seleccionadas e implantadas

• Oracle Data Masking and Subsetting Pack
• Reemplazo de la información sensible de los entornos productivos, de forma que datos similares a los que se manejan por el usuario final, puedan ser utilizados de forma segura en otros entornos.
• Oracle Advance Security
• Cifrado de datos, gestión de claves multinivel, autenticación fuerte contra la BBDD.

• Oracle Database Vault
• Separación de funciones y dominios de seguridad; Establecimiento de controles robustos sobre qué puede hacer quién dentro de la base de datos.
• Oracle Audit Vault and Database Firewall
• Recopilación de datos de actividad en las BBDD, firewall de BBDD para monitorear y bloquear sentencias SQL.

Continua en la segunda parte de este artículo, aquí.